WO2009068697A1 - Método y sistema para la consolidación segura y auditable de resultados de procesos electorales - Google Patents
Método y sistema para la consolidación segura y auditable de resultados de procesos electorales Download PDFInfo
- Publication number
- WO2009068697A1 WO2009068697A1 PCT/ES2007/000681 ES2007000681W WO2009068697A1 WO 2009068697 A1 WO2009068697 A1 WO 2009068697A1 ES 2007000681 W ES2007000681 W ES 2007000681W WO 2009068697 A1 WO2009068697 A1 WO 2009068697A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- local
- results
- test
- electoral
- validation
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000007596 consolidation process Methods 0.000 title claims abstract description 68
- 238000012360 testing method Methods 0.000 claims abstract description 137
- 238000010200 validation analysis Methods 0.000 claims abstract description 114
- 238000012795 verification Methods 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims description 25
- 238000012546 transfer Methods 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 238000013479 data entry Methods 0.000 claims description 3
- 230000006835 compression Effects 0.000 claims description 2
- 238000007906 compression Methods 0.000 claims description 2
- 238000004321 preservation Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 7
- 238000012550 audit Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C13/00—Voting apparatus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2230/00—Voting or election arrangements
Definitions
- the present invention focuses mainly on the field of electoral processes and introduces a safe and auditable method for consolidating results.
- the method provides the necessary processes for local electoral authorities, such as members of a polling station, to communicate electoral results in a secure and auditable manner to a results consolidation center.
- the method is likely to be used in the consolidation of results in remote environments, both in face-to-face and remote electoral processes.
- the invention also relates to a system for implementing said method.
- the precision in the results is a fundamental characteristic of every electoral process.
- the counting of votes has been carried out manually, which results in an unwanted delay in the publication of results and, above all, a high probability of making mistakes in said counting.
- the modernization of the electoral systems has made it possible to speed up the counting of the votes and the precision in the results through the use of electronic voting devices (e.g., electronic voting terminals or vote scanning machines). These devices allow to generate an electronic register of the votes, and therefore the realization of a faster and more reliable electronic count. They also facilitate the sending, both of electronic votes and of the local results obtained, to a central counting system that allows the consolidation of the results of different polling stations or voting channels.
- current proposals only contemplate Ia protection of the privacy of votes or results sent by encryption.
- US7044375 which describes a system in which a central consolidation of the results of a vote carried out by electronic means is carried out.
- the system has an acquisition and communication device that is responsible for gathering the votes and / or results generated in the local voting and / or counting machines in the voting precincts.
- This data is encrypted and sent from each local site to a central system for consolidating results through a communication channel.
- the central consolidation system receives the data, decrypts it and counts it.
- the consolidation system periodically sends the updated results to a results publication system.
- this solution does not incorporate measures to protect the integrity of the data sent by the central system. Nor does it incorporate measures to verify if the data sent has been verified by the local managers of the electoral process but assumes at all times that the data received comes from a trusted source without validating it.
- patent US20060196939 describes an electronic voting system that includes a centralized vote counting system.
- the local results of each electoral precinct are encrypted and sent to a centralized counting system. Said transmission may be online or through the physical transport of the storage devices of the local counting terminal.
- the local storage device has a physical interface that allows it to be connected to the centralized counting system to download and decrypt the local results.
- System Centralized counting through a communication network, sends the results to a publication system, which is responsible for making the results known.
- the present invention describes a method of consolidating the results of an electoral process in a safe manner. Said method allows the consolidation of local results that are generated in different local venues or even in different platforms or electronic voting channels. Another objective of the present invention is to protect the integrity of the local results of the election, as well as to verify the authorship of the official or of the officers of the election that sends said local results. In addition, it is intended with the present invention to generate physical records of local results and protect their integrity, as well as to verify their authorship.
- the present invention describes a method for the consolidation of results of electoral processes that allows electoral authorities, protect the security and auditability of the local results of the electoral unit to which those authorities have been assigned.
- the present invention describes as part of the method, the generation by one or more members of the local electoral authorities of a validation test of the electoral results, which allows at least identifying the members of the electoral authority that have participated in the validation of local election results.
- the method also describes the generation of a validation test that is also linked to the local electoral results validated by the members of the local electoral authority who have participated in this validation process. This validation test will be used to verify whether local electoral results to be consolidated have been previously validated by the assigned local electoral authorities.
- the method also contemplates the communication to the electoral authorities of the result of said verification.
- the method comprises the following stages: a) Validation by the local electoral authorities of an information of the local electoral result, by means of the generation of a validation test that allows verifying the participation of at least a part of said local electoral authorities in said validation; b) Communication of said validation test to a consolidation module; c) Verification in said consolidation module that the validation test of the reported local results has been generated by the correct local authorities; d) Generation in the module of consolidation of results of a proof of receipt of at least said validation test and that represents at least the result of the verification; and e) Communication to the local electoral authorities, of the acceptance or not of the local results from the receipt test.
- the method contemplates that steps a) and b) be carried out by means of an information transfer module.
- the invention introduces different alternatives to generate said test so that it can identify the identity of the authorities that have participated in the validation of the local results. It also proposes different alternatives, through the use of cryptographic and / or biometric techniques, for the generation of the validation test so that it can also link this test with the validated local electoral results.
- the invention describes different verification alternatives for the validation test and actions supported from the result of said validation, such as the acceptance or not of the local results for consolidation.
- the invention also describes different alternatives for generating a reception test, among which are the inclusion of an integrity test generated from the accepted local electoral results, such as a digital signature.
- the invention describes, optionally, how the reception proof information could be used to protect the official electoral records of the local electoral results. It also describes how privacy could be protected from validation tests and / or communicated election results, through the use of cryptographic techniques.
- Figure 1 shows an example of implementation with the main components and processes of the present invention. It is shown how local electoral authorities 101 validate local results information 105 communicated to a consolidation module 103, through the following stages:
- FIG. 2 shows an alternative implementation of the method described in the present invention.
- an additional transfer module 102 is used to carry out the generation 201 of the validation test 106 and to send 202 of the local results 105 and the validation test 106 to the consolidation module 103.
- Figure 3 shows two examples of application of the present invention.
- a telephone line 108 is used as a transmission means to communicate the information of local results 105.
- the transfer module 102 has a call center 109 to receive the transmitted information.
- the example of Figure 3-b uses a computer as interface 108 to carry out the introduction of local results information 105.
- FIG. 4 shows another alternative implementation of the present invention, in which there are intermediate consolidation modules 110.
- a set of local electoral authorities 101 is shown where each set represents the electoral authorities in charge of an electoral management unit. It is shown in the figure how different local electoral authorities 101 carry out the sending 202 of the local results information 105 and validation tests 106 to different intermediate consolidation modules 110. Said intermediate consolidation modules
- the present invention relates to a method that facilitates the secure consolidation of results of an electoral process, applicable to both face-to-face and remote voting environments.
- the consolidation of results is carried out through the use of techniques and procedures that protect the integrity and audit of the election results.
- an electoral process will be understood as any query or request for information in a public or private manner and to a limited or open group of people, after which a global or partial cumulative or qualitative result will be carried out later.
- Examples of electoral processes, without limiting its definition to them, would be votes, consultations, surveys, examinations or evaluation tests.
- the existence of local electoral authorities belonging to an electoral college or to any other electoral management unit is considered.
- These electoral authorities could be formed by an electoral committee (e.g., a polling station), one or more local electoral administrators, or a combination of them.
- the main function of these local electoral authorities is the validation, at least of a part of them, of the local results of their electoral management unit.
- these local electoral authorities or part of them could also have participated in obtaining the local count and / or communication of said results.
- These local electoral authorities, or part of them could also be responsible for generating and / or validating (e.g., by handwritten signature) an official paper record of the local election results of their electoral management unit.
- this act is attached to the physical or electronic votes that have been used for local counting and sent to the central electoral authorities for their central count or audit.
- a consolidation module where they normally communicate Validated local results.
- This module verifies that said local results reported have been validated by the corresponding local electoral authorities, and communicates the result of that verification to said authorities.
- this consolidation module has some means of data entry and exit and processing means, to receive and verify information related to local results. Information related to the result of the verification is communicated to at least the local electoral authorities.
- this module can store the results for consolidation, so it could have storage facilities.
- this module could be connected to a communications network and receive the local results and / or the information for verification through this communications network. Therefore, at least part of said data input and output means could be an analog or digital communication interface.
- an information transfer module through which local results will be communicated to a consolidation module .
- said module has an input and output data interface that allows the introduction of said results and their communication to the consolidation module.
- additional validation information that may be required by the consolidation module can also be communicated to verify whether said local results have been previously validated by the relevant local electoral authority.
- This validation information can be generated in said module from information obtained from at least part of the local electoral authorities.
- said module will have processing means in addition to the input and output data interface.
- the invention will begin by means of a first phase of validation by the local electoral authorities of information on a local electoral result.
- This validation will consist in the generation of a validation test of the local election result information, which contains information that allows verifying the identity of the authorities that have participated in said validation process.
- this validation test must contain at least one identity information from at least part of the authorities that have participated in the generation of the validation test.
- This identity information could be generated from identification credentials, such as an access code, a biometric registry or any other identity proof that can identify the electoral authorities in a unique way. The set or combination of these identity tests would form the validation test (PV).
- PV (Id-i, Id 2 ... Id n ) ld ⁇ proof of identity of the authority i
- said identity information could also be generated through mechanisms that allow linking said identity proof with the information of the local results.
- the validation test in addition to identifying the authorities that have participated in the validation, would also protect the integrity of the local results information (ie, any subsequent modification of the validated local results information would invalidate the validity test) .
- this identity information will be generated using cryptographic algorithms, such as a digital signature or a MAC, applied to at least the local result information using at least one key.
- the code or keys used for the implementation of this signature or MAC would be in the possession of one or more members of the local electoral authorities that participate in the generation of the validation test.
- a single key could be in the possession of a single member (e.g., an administrator of the election) or guarded by at least a subset of the electoral authorities, through the use of a Secret sharing scheme or an equivalent method.
- this key will be used to generate a signature or MAC on the information of the local result (IRL) or on the concatenation of said information of the electoral result with proof of identity of the authorities who also participate in the validation process, and who do not have access to the password.
- the proof of identity could be any credential that uniquely identifies a member of the electoral authority.
- the validation test would be formed by at least said digital signature or MAC obtained, or the concatenation of this signature or MAC with the identity tests used for its generation. For example:
- PV S (IRL) I (Id 1 Jd 2 ... Id n )
- more than one cryptographic key could be used to generate the identity information.
- digital or MAC signatures could be generated in a nested form (e.g., make a digital signature from another previous digital signature) or they could be concatenated or combined with each other.
- one or more of these signatures would be made of at least the local election result information.
- the validation test would contain at least the identity information and optionally the identity tests of authorities that participated in the validation.
- the generation of identity information from one or more biometric registers of the electoral authorities participating in the validation is also contemplated.
- These records should contain at least one information. related to the information of local results. This related information could be about the whole, part or proof of integrity of the local results.
- the integrity test of the results could be obtained by applying a summary cryptographic function (e.g., MD5, SHA1 or other equivalents) or a compression function (e.g., GZIP, RAR or equivalent), on the local election result information.
- a summary cryptographic function e.g., MD5, SHA1 or other equivalents
- a compression function e.g., GZIP, RAR or equivalent
- biometric test related to the information of local results could be a voice record of one or several local electoral authorities mentioning part of the value of a hash of the local electoral result information.
- the validation test would contain an identity information formed from a set of one or more biometric records of electoral authorities that contain the local result information.
- the biometric records could have been previously encrypted by a symmetric or asymmetric key to preserve the privacy of its contents (e.g., a password or a fingerprint). In this way the data would not be publicly accessible and only the owner of the decryption key could access this data (e.g., central electoral authorities).
- the method contemplates a second stage of communication to a consolidation module, of at least said validation test.
- a consolidation module of at least said validation test.
- these could be communicated together with the local count information.
- both the local results and the validation test could be totally or partially encrypted (e.g., only the parts considered important to keep secret, such as credentials or biometric records) before being communicated.
- This encryption will guarantee the privacy of the local results and / or the validation test in the cases that are required.
- the encryption could be carried out by means of a symmetric or asymmetric system interchangeably, provided that the decryption key is in the possession of the authority in charge of the consolidation module.
- the results consolidation module will verify if the validation test reported has been generated by the correct local electoral authorities. To do this, it will be verified if among the credentials, biometric tests, digital signatures and / or any proof of identity contained in the validation test, there are the identities of the local authorities responsible for carrying out that validation. In this sense, the validation test could contain, apart from the identities required by this verification process, the identities of other electoral authorities that could be used in other subsequent processes of audit of the results. In a basic implementation, the validation process would take into account all the identities contained in the validation test. In an alternative implementation, the verification process would only verify some of the identities contained in the validation test.
- the proof of identification could be formed by the digital signature (e.g., generated by an electoral administrator) of the identity tests of the members of the polling station, the latter being able to be encrypted.
- the validation could only be carried out on the identity of the electoral authority that has carried out the signature and the other identity tests would not be taken into account. Thus, if the latter were encrypted, it would not be necessary to decipher them.
- This type of verification is useful if the validation test is to be used in subsequent verification or audit processes.
- the validation of the rest of identity tests could be carried out in a second consolidation module that is in a safer environment.
- the validation test has been generated through mechanisms that allow linking said identity proof with the local results information (described above), during this verification stage the correspondence of the validation test could also be verified.
- local results If the mechanism is a digital signature or a MAC, it would be verified that this MAC or digital signature corresponds to the information of the reported local result. If the mechanism used is based on biometric techniques, it will be verified that the biometric record contains the local result information, part of it or an integrity test of it (depending on the process used in the validation stage to generate the validation test) . Once the validation test has been verified, a fourth stage of generating a reception test will be carried out, which will contain at least the result of the verification.
- This result of the verification contained in the reception test can be a numerical, alphanumeric value, a text or the combination thereof. For example, a 1 could be used to represent that the verification has been correct or a 0 if it is incorrect. You can also set a value or text for one of the cases (e.g., 1) and leave the other open to any other value other than the previous one (e.g., any text or value other than 1).
- the reception test in the event that the verification is positive, could contain an acceptance test generated from at least part of the local result information of the verified validation test. This acceptance test could be a digital or MAC signature applied to at least part of the local result information or a unique identifier of these local results. In this way, it could be verified, based on the acceptance test contained in the reception test, if the verified local electoral results of the previous stage correspond to those validated by the local electoral authorities.
- the acceptance test could contain a subset of information from this signature, a summary (e.g., cryptographic) of the signature or a subset of the hash information of this signature.
- the objective would be to generate an acceptance test that had a size that could be used for a visual or audible representation of this acceptance test.
- the consolidation module could store the local result information if necessary. In this same case and also optionally, the consolidation module could also store the validation test together with the result information or independently. Both the result information of the election and the validation test could be stored in the same module that has performed the verification or in an additional consolidation module.
- the method contemplates a final stage of communication of the proof of reception to at least the local electoral authorities that generated the validation test. Of this way, these authorities are informed of whether the validation test and the local electoral results have been accepted or not.
- said acceptance test could be used to verify that the verified local election results are the same as previously validated. For example, it could be verified if the signature contained in the acceptance test corresponds to the local electoral results validated by the local electoral authorities. Also as an option, this acceptance test could be included in the official records of the election results generated by local authorities. For example, the acceptance test could be printed or written in the official records of the face-to-face results of a precinct or electoral college. In this way, it could be verified if the results contained in the minutes have been communicated and accepted by the consolidation module, verifying the existence of the acceptance test in the minutes. If, in addition, the acceptance test was generated from a digital signature of the local result information, the integrity of the minutes could also be verified by checking that the results reported in it correspond to those of the signature contained in the acceptance test.
- the consolidation of results could already be carried out based on the set of local electoral results accepted by the consolidation module.
- These local electoral results could have been stored by the same consolidation module as described above or have been stored by other independent processes at the stages mentioned in the invention.
- an additional stage of decryption of said information will be carried out before consolidating the results.
- This decryption process could be done in a consolidation module. The decryption would be done using the private key in the possession of a single member of the central electoral authority. Alternatively, the private key could be guarded by a set of members of central electoral authorities. This would be possible through a secret sharing scheme, in which Each electoral authority has a part of the private key. To carry out the decryption, the total or a predefined subset of the electoral authorities must collaborate to reconstruct the key and then carry out the decryption.
- a second validation step of the identities of the validation test that had not been previously verified could be carried out. If the identity proofs are encrypted, they would be decrypted using a procedure similar to the decryption of the local result information described above. In the event that these identities did not correspond to those assigned during the configuration process of the election, information could be isolated from local results related to the validation tests rejected. Thus, this information of local result would not be used in the final consolidation. For example, based on the previous example in which the validation test contained the encrypted identity tests of the members of the polling station signed by an electoral authority, the validation of the identities of the members of the polling station would be carried out at this stage .
- the consolidation module could also perform the final results counting process.
- the consolidation module could be totally isolated, that is, without any network connection.
- the communication of the local results and / or validation test could be carried out through removable storage media.
- the local results validated by the local electoral authorities, together with the validation tests, would have been previously stored.
- the removable storage medium will be connected in the consolidation module so that the information contained can be read and subsequently processed.
- one or more intermediate consolidation modules may be available. Each of these intermediate modules will receive the local results of previously assigned electoral management units. Each intermediate consolidation module will carry out the processes already described to verify the test of validation, generation of the proof of receipt and shipment thereof. Once the intermediate consolidation modules have received and validated the information of all the assigned electoral management units, at least the local results information will be forwarded to the main consolidation module. Alternatively, each intermediate consolidation module will count the local results received, in which case you can send that partial count to the main consolidation module.
- the consolidation of results generated from two or more different voting channels can be carried out simultaneously.
- These may include, for example, the aforementioned in-person electronic voting systems, Internet voting systems, mobile telephone voting, telephone voting (IVR), postal mail voting and any other known voting system.
- the center for receiving and counting votes for each voting channel would act as an electoral management unit, represented by electoral authorities. Therefore, the processes carried out for the consolidation of the results would be the same as those already described in the preferred implementation.
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Tourism & Hospitality (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Educational Administration (AREA)
- Primary Health Care (AREA)
- Health & Medical Sciences (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
La presente invención describe un método y un sistema para la consolidación segura y auditable de los resultados de un proceso electoral, en el que participan unas autoridades electorales locales (101) para validar, mediante la generación de una prueba de validación (106), unos resultados electorales locales. Esta prueba de validación es comunicada a un módulo de consolidación (103), que verificará que dicha prueba de validación (106) haya sido generada por las autoridades electorales correctas. A continuación se generará una prueba de recepción (107) que contendrá el resultado de dicha validación, que podría ser la aceptación o no de dicha prueba de validación. Finalmente la prueba de recepción (107) es enviada a las autoridades electorales para información de dicha validación. La invención también describe distintas formas de generar las pruebas de validación y de recepción, para poder verificar de forma robusta la identidad de las autoridades electorales locales (101) que han participado en la validación de los resultados electorales, para poder verificar si los resultados electorales locales validados son los mismos que se van a consolidar y para preservar la integridad de las actas oficiales de los resultados electorales locales.
Description
Método y sistema para Ia consolidación segura y auditable de resultados de procesos electorales
Campo de Ia invención
La presente invención se enfoca principalmente en el campo de los procesos electorales e introduce un método seguro y auditable para Ia consolidación de resultados. El método proporciona los procesos necesarios para que unas autoridades electorales locales, tales como los miembros de una mesa electoral, comuniquen de forma segura y auditable unos resultados electorales a un centro de consolidación de resultados.
El método es susceptible de ser utilizado en Ia consolidación de resultados en entornos remotos, tanto en procesos electorales presenciales como remotos. La invención se refiere también a un sistema para implementar el citado método.
Antecedentes de Ia invención
La precisión en los resultados es una característica primordial de todo proceso electoral. Tradicionalmente, el recuento de los votos se ha llevado a cabo manualmente, Io cuál tiene como consecuencia un retraso no deseado en Ia publicación de resultados y sobretodo una alta probabilidad de cometer errores en dicho recuento. La modernización de los sistemas electorales ha permitido agilizar el recuento de los votos y Ia precisión en los resultados mediante el uso de dispositivos de voto electrónico (p.Ej., terminales de voto electrónico o máquinas de escaneo de votos). Estos dispositivos permiten generar un registro electrónico de los votos, y por Io tanto Ia realización de un recuento electrónico más rápido y fiable. También facilitan el envío, tanto de los votos electrónicos como de los resultados locales obtenidos, a un sistema de recuento central que permita Ia consolidación de los resultados de distintos colegios electorales o canales de voto. Sin embargo, las propuestas actuales sólo contemplan Ia
protección de Ia privacidad de los votos o resultados enviados mediante el cifrado. Estas soluciones no incorporan medidas que faciliten auditar Ia integridad de dichos recuentos locales o identificar si estos resultados han sido avalados por las autoridades encargadas de realizar dicho recuento. De este modo, no es posible verificar de una forma fiable si los recuentos locales recibidos por el centro de consolidación han sido manipulados antes de ser procesados por el centro de consolidación. Adicionalmente, estas propuestas no tienen en cuenta Ia posibilidad de consolidar resultados que provengan de recuentos manuales, por Io que no son aplicables a entornos de voto tradicional. Un ejemplo de estas propuestas Io podemos encontrar en Ia patente
US7044375, que describe un sistema en el cuál se lleva a cabo una consolidación central de los resultados de una votación llevada a cabo por medios electrónicos. El sistema tiene un dispositivo de adquisición y comunicación que se encarga de reunir los votos y/o resultados generados en las máquinas de votación y/o recuento locales en los recintos de votación. Esos datos son cifrados y enviados desde cada recinto local hacia un sistema central de consolidación de resultados por medio de un canal de comunicación. El sistema central de consolidación recibe los datos, los descifra y realiza el recuento. El sistema de consolidación envía periódicamente los resultados actualizados a un sistema de publicación de resultados. Tal como se menciona anteriormente, esta solución no incorpora medidas que permitan proteger Ia integridad de los datos enviados el sistema central. Tampoco incorpora medidas que permitan verificar si los datos enviados han sido verificados por los gestores locales del proceso electoral sino que asume en todo momento que los datos recibidos provienen de una fuente de confianza sin validar ésta.
De forma similar, Ia patente US20060196939 describe un sistema de votación electrónica que incluye un sistema de recuento de votos centralizado. Los resultados locales de cada precinto electoral son cifrados y enviados a un sistema de recuento centralizado. Dicha transmisión puede ser online o por medio del transporte físico de los dispositivos de almacenamiento de Ia terminal de recuento local. El dispositivo de almacenamiento local cuenta con una interfaz física que Ie permite conectarse al sistema de recuento centralizado para efectuar Ia descarga y descifrado de los resultados locales. El sistema de
recuento centralizado, a través de una red de comunicación, envía los resultados a un sistema de publicación, el cuál se encarga de dar a conocer los resultados.
En ninguno de los dos casos mencionados arriba se proponen acciones que ayuden a preservar Ia integridad de los resultados. Si bien es cierto que en ambos casos los resultados locales son cifrados antes de ser enviados al servidor central, Io cual los protege durante Ia transmisión, no se plantean técnicas que garanticen Ia integridad de los resultados locales antes de ser enviados ni tampoco que puedan garantizar Ia integridad del resultado final. Debido a Ia posibilidad de manipulación de los resultados, existen métodos que pretenden verificar (o auditar) Ia precisión en el resultado de una elección mediante registros paralelos en diferentes soportes de almacenamiento. Un ejemplo de esto son los sistemas que imprimen cada voto de forma paralela al registro del mismo en un medio electrónico. El problema principal con los sistemas de registro paralelo de votos es que si uno de los registros es manipulado esto puede ser detectado solamente mediante una auditoría. En caso de detección de una discrepancia en el recuento de ambos registros no es posible saber cuál de ellos ha sido manipulado y por Io tanto no se tiene Ia certeza de cuál es el resultado correcto. La presente invención describe un método de consolidación de resultados de un proceso electoral de una manera segura. Dicho método permite Ia consolidación de resultados locales que se generan en diferentes recintos locales o incluso en diferentes plataformas o canales de votación electrónica. Otro objetivo de Ia presente invención es proteger Ia integridad de los resultados locales de Ia elección, así como comprobar Ia autoría del oficial o de los oficiales de Ia elección que envía dichos resultados locales. Además, se pretende con Ia presente invención generar registros físicos de los resultados locales y proteger su integridad, así como comprobar Ia autoría de los mismos.
Breve exposición de Ia invención
La presente invención describe un método para Ia consolidación de resultados de procesos electorales que permite a unas autoridades electorales,
proteger Ia seguridad y auditabilidad de los resultados locales de Ia unidad electoral a Ia que han sido asignadas esas autoridades. La presente invención describe como parte del método, Ia generación por parte de uno o más miembros de las autoridades electorales locales de una prueba de validación de los resultados electorales, que permite al menos identificar los miembros de Ia autoridad electoral que han participado en Ia validación de los resultados electorales locales. El método también describe Ia generación de una prueba de validación que además quede vinculada con los resultados electorales locales validados por los miembros de Ia autoridad electoral local que hayan participado en este proceso de validación. Esta prueba de validación se utilizará para verificar si unos resultados electorales locales a consolidar han sido previamente validados por las autoridades electorales locales asignadas. El método también contempla Ia comunicación a las autoridades electorales del resultado de dicha verificación. En una implementación básica, el método comprende las siguientes etapas: a) Validación por parte de las autoridades electorales locales de una información del resultado electoral local, mediante Ia generación de una prueba de validación que permita verificar Ia participación de al menos una parte de dichas autoridades electorales locales en dicha validación; b) Comunicación de dicha prueba de validación a un modulo de consolidación; c) Verificación en dicho módulo de consolidación de que Ia prueba de validación de los resultados locales comunicada ha sido generada por las autoridades locales correctas; d) Generación en el módulo de consolidación de resultados de una prueba de recepción de al menos dicha prueba de validación y que represente al menos el resultado de Ia verificación; y e) Comunicación a las autoridades electorales locales, de Ia aceptación o no de los resultados locales a partir de Ia prueba de recepción.
De forma opcional el método contempla que las etapas a) y b) se realicen mediante un módulo de transferencia de información.
En relación a Ia etapa de generación de Ia prueba de validación, Ia invención introduce distintas alternativas para generar dicha prueba de manera que ésta permita identificar Ia identidad de las autoridades que han participado en Ia validación de los resultados locales. También propone distintas alternativas, mediante el uso de técnicas criptográficas y/o biométricas, para Ia generación de Ia prueba de validación de forma que permita además vincular dicha prueba con los resultados electorales locales validados. En relación a Ia etapa de verificación, Ia invención describe distintas alternativas de verificación de Ia prueba de validación y acciones soportadas a partir del resultado de dicha validación, como proceder a Ia aceptación o no de los resultados locales para su consolidación.
La invención también describe distintas alternativas de generación de una prueba de recepción, entre las que se encuentran Ia de incluir una prueba de integridad generada a partir de los resultados electorales locales aceptados, tal como una firma digital.
Finalmente Ia invención describe, de forma opcional, cómo se podría utilizar Ia información de Ia prueba de recepción para proteger las actas electorales oficiales de los resultados electorales locales. También describe como se podría proteger Ia privacidad de las pruebas de validación y/o resultados electorales comunicados, mediante el uso de técnicas criptográficas.
Breve descripción de los dibujos
En Ia figura 1 se muestran un ejemplo de implementación con los principales componentes y procesos de Ia presente invención. Se muestra cómo unas autoridades electorales locales 101 validan una información de resultados locales 105 comunicada a un módulo de consolidación 103, mediante las siguientes etapas:
o Generación 201 de una prueba de validación 106 a partir de Ia información de resultados locales 105.
o Comunicación 202 de los resultados locales 105 y de Ia prueba de validación 106 al módulo de consolidación 103. o Verificación 203 de Ia prueba de validación 106 por parte del módulo de consolidación 103. o Generación 204 de Ia prueba de recepción a partir del resultado del proceso de verificación. o Envío 205 de Ia prueba de recepción 107 a las autoridades electorales locales 105.
La Figura 2 muestra una implementación alternativa del método descrito en Ia presente invención. En dicha implementación, se utiliza un módulo adicional de transferencia 102 para llevar a cabo Ia generación 201 de Ia prueba de validación 106 y para realizar el envío 202 de los resultados locales 105 y de Ia prueba de validación 106 hacia el módulo de consolidación 103.
La figura 3 muestra dos ejemplos de aplicación de Ia presente invención. En el ejemplo de Ia figura 3-a se utiliza una línea telefónica 108 como medio de transmisión para comunicar Ia información de resultados locales 105. El módulo de transferencia 102 cuenta con una central de llamadas 109 para recibir la información transmitida. El ejemplo de Ia figura 3-b utiliza como interficie 108 un ordenador para llevar a cabo Ia introducción de Ia información de resultados locales 105.
La figura 4 muestra otra implementación alternativa de Ia presente invención, en Ia cuál se cuenta con módulos intermedios de consolidación 110.
Se muestra un conjunto de autoridades electorales locales 101 en donde cada conjunto representa a las autoridades electorales a cargo de una unidad de gestión electoral. Se muestra en Ia figura cómo diferentes autoridades electorales locales 101 llevan a cabo el envío 202 de Ia información de resultados locales 105 y pruebas de validación 106 a diferentes módulos intermedios de consolidación 110. Dichos módulos intermedios de consolidación
110 envían a su vez Ia información de resultados locales 105 al módulo de
consolidación principal 103 una vez que dicha información de resultados locales 105 ha sido validada y aceptada.
Descripción detallada de Ia invención
La presente invención se refiere a un método que facilita Ia consolidación segura de resultados de un proceso electoral, aplicable tanto a entornos de voto presencial como remoto. La consolidación de resultados se lleva a cabo mediante el uso de técnicas y procedimientos que permiten proteger Ia integridad y auditoría de los resultados electorales.
En esta invención se entenderá por proceso electoral cualquier consulta o solicitud de información de forma pública o privada y a un conjunto de personas limitado o abierto, a partir de Ia que se realizará posteriormente un resultado acumulativo o cualitativo global o parcial. Ejemplos de procesos electorales, sin ánimo de limitar su definición a ellos, serían votaciones, consultas, encuestas, exámenes o pruebas de evaluación.
Para llevar a Ia práctica Ia presente invención se considera Ia existencia de unas autoridades electorales locales pertenecientes a un colegio electoral o a cualquier otra unidad de gestión electoral (p.Ej., distrito, recinto, municipio, etc.). Estas autoridades electorales podrían estar formadas por un comité electoral (p.Ej., una mesa electoral), uno o más administradores electorales locales, o una combinación de ellos. La función principal de estas autoridades electorales locales es Ia validación, al menos de una parte de ellas, de los resultados locales de su unidad de gestión electoral. De forma opcional estas autoridades electorales locales o parte de ellas, podrían también haber participado en Ia obtención del recuento local y/o comunicación de dichos resultados. También estas autoridades electorales locales o parte de ellas, podrían ser las encargadas de generar y/o validar (p.Ej., mediante una firma manuscrita) una acta oficial en papel de los resultados electorales locales de su unidad de gestión electoral. Habitualmente esta acta se adjunta a los votos físicos o electrónicos que han sido utilizados para el recuento local y enviados a las autoridades electorales centrales para su recuento central o auditoría.
Adicionalmente, para Ia implementación de esta invención, se contempla Ia existencia de un módulo de consolidación dónde normalmente se comunican
los resultados locales validados. Este módulo verifica que dichos resultados locales comunicados hayan sido validados por las autoridades electorales locales correspondientes, y comunica el resultado de esa verificación a dichas autoridades. Para ello, se contempla que este módulo de consolidación disponga de unos medios de entrada y salida de datos y unos medios de procesamiento, para recibir y verificar una información relacionada a unos resultados locales. Una información relacionada con el resultado de Ia verificación es comunicada a al menos las autoridades electorales locales. Opcionalmente, dependiendo del resultado de Ia verificación, este módulo puede almacenar los resultados para su consolidación, por Io que podría disponer de unos medios de almacenamiento. Para facilitar Ia comunicación remota de los resultados locales y del resultado de Ia verificación, este módulo podría estar conectado a una red de comunicaciones y recibir los resultados locales y/o Ia información para Ia verificación mediante esta red de comunicaciones. Por Io tanto al menos parte de dichos medios de entrada y salida de datos podrían tratarse de una interficie de comunicación analógica o digital.
De forma opcional, para facilitar una comunicación remota de los resultados locales y/o Ia generación de información de validación, también se contempla Ia existencia de un módulo de transferencia de información, a través del cual se comunicarán los resultados locales a un módulo de consolidación. Para este fin se contempla que dicho módulo disponga de una interficie de entrada y salida de datos que permita Ia introducción de dichos resultados y su comunicación hacia el módulo de consolidación. Junto con los resultados locales se puede también comunicar otra información adicional de validación que pueda ser requerida por el módulo de consolidación para verificar si dichos resultados locales han sido previamente validados por Ia autoridad electoral local pertinente. Esta información de validación puede ser generada en dicho módulo a partir de una información obtenida de al menos parte de las autoridades electorales locales. Para ello, dicho modulo dispondrá de unos medios de procesamiento además de Ia interficie de entrada y salida de datos.
En una implementación preferente, Ia invención se iniciará mediante una primera fase de validación por parte de las autoridades electorales locales de una información de un resultado electoral local. Por simplicidad, se asume que
los resultados locales solo pueden ser validados por las autoridades electorales locales asignadas durante Ia configuración de Ia elección, aunque podrían participar en este proceso otras entidades (p.Ej., observadores) si el proceso electoral Io permite. Esta validación consistirá en Ia generación de una prueba de validación de Ia información de resultado electoral local, que contenga información que permita verificar Ia identidad de las autoridades que han participado en dicho proceso de validación. Para ello esta prueba de validación deberá contener al menos una información de Ia identidad de al menos parte de las autoridades que han participado en Ia generación de Ia prueba de validación. Esta información de identidad podría generarse a partir de unas credenciales de identificación, tal como una clave de acceso, un registro biométrico o cualquier otra prueba de identidad que pueda permita identificar a las autoridades electorales de forma única. El conjunto o combinación de estas pruebas de identidad formaría Ia prueba de validación (PV).
PV= (Id-i, Id2... Idn) ld¡ prueba de identidad de Ia autoridad i
Opcionalmente, dicha información de identidad también se podría generar mediante mecanismos que permitan vincular dicha prueba de identidad con Ia información de los resultados locales. De este modo Ia prueba de validación, además de identificar a las autoridades que han participado en Ia validación, también protegería Ia integridad de Ia información de resultados locales (i.e., cualquier modificación posterior de Ia información de resultados locales validados invalidaría Ia prueba de validez). En una implementación preferente, esta información de identidad se generará utilizando algoritmos criptográficos, tales como una firma digital o una MAC, aplicados a al menos Ia información del resultado local utilizando al menos una clave. La clave o claves utilizadas para Ia implementación de esta firma o MAC estarían en posesión de uno o varios miembros de las autoridades electorales locales que participan en Ia generación de Ia prueba de validación. En este sentido, una única clave podría estar en posesión de un único miembro (p.Ej., un administrador de Ia elección) o custodiada por al menos un subconjunto de las autoridades electorales, mediante Ia utilización de un
esquema de compartición de secreto o un método equivalente. En una implementación preferente basada en Ia existencia de una única clave, esta clave se utilizará para generar una firma o MAC sobre Ia información del resultado local (IRL) o sobre Ia concatenación de dicha información del resultado electoral con unas pruebas de identidad de las autoridades que también participen en el proceso de validación, y que no dispongan de acceso a Ia clave. Las pruebas de identidad, tal como se ha mencionado anteriormente, podrían tratarse de cualquier credencial que identifique de forma única a un miembro de Ia autoridad electoral. Finalmente, Ia prueba de validación estaría formada por al menos dicha firma digital o MAC obtenida, o Ia concatenación de esta firma o MAC con las pruebas de identidad utilizadas para su generación. Por ejemplo:
PV= S(IRL)
PV= S(IRL I (Id1, Id2... Idn)) PV= S(IRL | (Id1, Id2... Idn)) | (Id1, Id2... Idn)
PV= S(IRL) I (Id1Jd2... Idn)
En otra implementación alternativa, se podrían utilizar más de una clave criptográfica para generar Ia información de identidad. En este caso las firmas digitales o MAC se podrían generar de forma anidada (p.Ej., realizar una firma digital a partir de otra firma digital previa) o se podrían concatenar o combinar entre ellas. En cualquiera de los casos, una o varias de estas firmas se realizarían de al menos Ia información de resultado electoral local. Al igual que en Ia anterior implementación basada en una clave única, además de Ia información de resultado local, también se contempla utilizar en alguna de las firmas las pruebas de identidad de autoridades que participen en Ia validación de Ia información de resultado local. En cualquiera de los casos, Ia prueba de validación contendría al menos Ia información de identidad y opcionalmente las pruebas de identidad de autoridades que hayan participado en Ia validación. Finalmente, como alternativa al uso de algoritmos criptográficos, también se contempla Ia generación de Ia información de identidad a partir de uno o más registros biométricos de las autoridades electorales que participen en Ia validación. Estos registros deberían contener al menos una información
relacionada con Ia información de resultados locales. Esta información relacionada podría tratarse de Ia totalidad, parte o una prueba de integridad de los resultados locales. La prueba de integridad de los resultados podría obtenerse mediante Ia aplicación de una función criptográfica resumen (p.Ej., MD5, SHA1 u otras equivalentes) o una función de compresión (p.Ej., GZIP, RAR o equivalentes), sobre Ia información de resultado electoral local. Un ejemplo de prueba biométrica relacionada con Ia información de resultados locales, sin limitar el método únicamente a su uso, podría ser un registro de voz de una o varias autoridades electorales locales mencionando parte del valor de un hash de Ia información de resultado electoral local. En este sentido Ia prueba de validación contendría una información de identidad formada de un conjunto de uno o más registros biométricos de autoridades electorales que contengan Ia información de resultado local. De forma opcional, los registros biométricos podrían haber sido previamente cifrados por una clave simétrica o asimétrica para preservar Ia privacidad de sus contenidos (p.Ej., un password o una huella dactilar). De este modo los datos no serían accesibles públicamente y sólo el propietario de Ia clave de descifrado podría acceder a estos datos (p.Ej., autoridades electorales centrales).
Una vez generada Ia prueba de validación, el método contempla una segunda etapa de comunicación a un módulo de consolidación, de al menos dicha prueba de validación. Opcionalmente, en el caso de que el módulo de consolidación no dispusiera de los resultados locales, éstos podrían ser comunicados junto con Ia información de recuento local. También de forma opcional, tanto los resultados locales como Ia prueba de validación podrían ser cifrados total o parcialmente (P.Ej., sólo las partes que se considere importante mantener en secreto, como las credenciales o registros biométricos) antes de ser comunicados. Este cifrado permitirá garantizar Ia privacidad de los resultados locales y/o de Ia prueba de validación en los casos que así se requiera. El cifrado se podría llevar a cabo mediante un sistema simétrico o asimétrico indistintamente, siempre que Ia clave de descifrado esté en posesión de Ia autoridad a cargo del módulo de consolidación.
En una tercera etapa del método, el módulo de consolidación de resultados verificará si Ia prueba de validación comunicada ha sido generada por
las autoridades electorales locales correctas. Para ello se procederá a verificar si entre las credenciales, pruebas biométricas, firmas digitales y/o cualquier prueba de identidad contenida en Ia prueba de validación, se encuentran las identidades de las autoridades locales responsables de realizar esa validación. En este sentido Ia prueba de validación podría contener, aparte de las identidades requeridas por este proceso de verificación, las identidades de otras autoridades electorales que podrían utilizarse en otros procesos posteriores de auditoría de los resultados. En una implementación básica, el proceso de validación tendría en cuenta todas las identidades contenidas en Ia prueba de validación. En una implementación alternativa, el proceso de verificación sólo verificaría algunas de las identidades contenidas en Ia prueba de validación. Por ejemplo, Ia prueba de identificación podría estar formada por Ia firma digital (P. Ej., generada por un administrador electoral) de las pruebas de identidad de los miembros de Ia mesa electoral, pudiendo estar estas últimas cifradas. En este caso, Ia validación se podría realizar únicamente sobre Ia identidad de Ia autoridad electoral que ha realizado Ia firma y no se tendrían en cuenta el resto de pruebas de identidad. De este modo, si estas últimas estaban cifradas, no sería necesario descifrarlas. Este tipo de verificación es útil en el caso de que Ia prueba de validación se quiera utilizar en procesos posteriores de verificación o auditoría. Por ejemplo, Ia validación del resto de pruebas de identidad se podría realizar en un segundo módulo de consolidación que se encontrara en un entorno más seguro.
En el caso de que Ia prueba de validación se haya generado mediante mecanismos que permitan vincular dicha prueba de identidad con Ia información de los resultados locales (descritos anteriormente), durante esta etapa de verificación se podría también verificar Ia correspondencia de Ia prueba de validación con los resultados locales. Si el mecanismo es una firma digital o un MAC, se procedería a verificar que este MAC o firma digital se corresponda a Ia información del resultado local comunicado. Si el mecanismo utilizado se basa en técnicas biométricas, se verificará que el registro biométrico contenga Ia información de resultado local, parte de ella o una prueba de integridad de ella (dependiendo del proceso utilizado en Ia etapa de validación para generar Ia prueba de validación).
Una vez verificada Ia prueba de validación, se procederá a una cuarta etapa de generación de una prueba de recepción, que contendrá al menos el resultado de Ia verificación. Este resultado de Ia verificación contenido en Ia prueba de recepción puede ser un valor numérico, alfanumérico, un texto o Ia combinación de estos. Por ejemplo, se podría utilizar un 1 para representar que Ia verificación ha sido correcta o un 0 en el caso de que sea incorrecta. También se puede establecer un valor o texto para uno de los casos (P. Ej., 1) y dejar el otro abierto a cualquier otro valor distinto del anterior (P. Ej., cualquier texto o valor distinto de 1). En una implementación alternativa, en el caso de que Ia verificación sea positiva, Ia prueba de recepción podría contener una prueba de aceptación generada a partir de al menos parte de Ia información de resultado local de Ia prueba de validación verificada. Esta prueba de aceptación podría ser una firma digital o MAC aplicada sobre al menos parte de Ia información del resultado local o un identificador único de estos resultados locales. De este modo se podría verificar, a partir de Ia prueba de aceptación contenida en Ia prueba de recepción, si los resultados electorales locales verificados de Ia anterior etapa se corresponden con los validados por las autoridades electorales locales.
De forma alternativa, Ia prueba de aceptación podría contener un subconjunto de información de esta firma, un resumen (P. Ej., criptográfico) de Ia firma o un subconjunto de Ia información del hash de esta firma. El objetivo sería generar una prueba de aceptación que tuviera un tamaño susceptible de ser utilizado para una representación visual o audible de esta prueba de aceptación.
En el caso de que verificación sea positiva el módulo de consolidación podría almacenar Ia información de resultado local si fuera necesario. En este mismo caso y también opcionalmente, el módulo de consolidación podría almacenar también Ia prueba de validación junto con Ia información de resultado o de forma independiente. Tanto Ia información de resultado de Ia elección como Ia prueba de validación se podrían almacenar en el mismo módulo que ha realizado Ia verificación o en un módulo de consolidación adicional.
Finalmente, en su implementación básica, el método contempla una última etapa de comunicación de Ia prueba de recepción a al menos las autoridades electorales locales que generaron Ia prueba de validación. De este
modo estas autoridades son informadas de si Ia prueba de validación y los resultados electorales locales han sido aceptados o no.
Opcionalmente, en el caso de que Ia prueba de recepción contenga una prueba de aceptación, dicha prueba de aceptación podría utilizarse para verificar que los resultados electorales locales verificados son los mismos validados anteriormente. Por ejemplo, se podría verificar si Ia firma contenida en Ia prueba de aceptación se corresponde a los resultados electorales locales validados por las autoridades electorales locales. También de forma opcional, esta prueba de aceptación podría incluirse en las actas oficiales de los resultados electorales que generan las autoridades locales. Por ejemplo, Ia prueba de aceptación podría imprimirse o escribirse en las actas oficiales de los resultados presenciales de un precinto o colegio electoral. De este modo, se podría verificar si los resultados contenidos en el acta han sido comunicados y aceptados por el módulo de consolidación, verificando Ia existencia de Ia prueba de aceptación en Ia acta. Si además Ia prueba de aceptación se generó a partir de una firma digital de Ia información de resultado local, también se podría verificar Ia integridad del acta comprobando que los resultados reportados en ella se corresponden a los de Ia firma contenida en Ia prueba de aceptación.
Llegados a este punto de Ia invención, ya se podría proceder a Ia consolidación de resultados (o recuento global de Ia elección) a partir del conjunto de resultados electorales locales aceptados por el módulo de consolidación. Estos resultados electorales locales podrían haber sido almacenados por el mismo módulo de consolidación tal como se describe anteriormente o haber sido almacenados mediante otros procesos independientes a las etapas mencionadas en Ia invención. En el caso en que Ia información de resultado local estuviera parcial o totalmente cifrada por las autoridades electorales locales, se llevará a cabo una etapa adicional de descifrado de dicha información antes de consolidar los resultados. Este proceso de descifrado podría realizarse en un módulo de consolidación. El descifrado se realizaría utilizando Ia clave privada en posesión de un único miembro de Ia autoridad electoral central. De manera alternativa, Ia clave privada podría estar custodiada por un conjunto de miembros de autoridades electorales centrales. Esto sería posible mediante un esquema de compartición de secreto, en el cuál
cada autoridad electoral posee una parte de Ia clave privada. Para llevar a cabo el descifrado, el total o un subconjunto predefinido de las autoridades electorales deben colaborar para reconstruir Ia clave y entonces llevar a cabo el descifrado.
Adicionalmente, antes de proceder a Ia consolidación de los resultados, se podría realizar un segundo paso de validación de las identidades de Ia prueba de validación que no hubieran sido verificadas anteriormente. Si las pruebas de identidad están cifradas, se procedería a su descifrado utilizando un procedimiento parecido al descifrado de Ia información de resultado local descrito anteriormente. En el caso de que estas identidades no se correspondieran con las asignadas durante el proceso de configuración de Ia elección, se podría aislar las informaciones de los resultados locales relacionados con las pruebas de validación rechazadas. De este modo, estas informaciones de resultado local no se utilizarían en Ia consolidación final. Por ejemplo, partiendo del anterior ejemplo en el que Ia prueba de validación contenía las pruebas de identidad cifradas de los miembros de Ia mesa electoral firmadas por una autoridad electoral, Ia validación de las identidades de los miembros de Ia mesa electoral se realizaría en esta etapa.
Para concluir el proceso, el módulo de consolidación podría realizar también el proceso de recuento final de resultados. En un ejemplo de implementación práctica de este método, el módulo de consolidación podría estar totalmente aislado, es decir, sin ninguna conexión de red. En este caso, Ia comunicación de los resultados locales y/o prueba de validación podría llevarse a cabo a través de medios de almacenamiento extraíbles. En dichos medios de almacenamiento habrían sido previamente almacenados los resultados locales validados por las autoridades electorales locales, junto con las pruebas de validación. El medio de almacenamiento extraíble será conectado en el módulo de consolidación para que Ia información contenida pueda ser leída y posteriormente procesada.
En otra implementación práctica de Ia presente invención se podrá contar con uno o más módulos de consolidación intermedios. Cada uno de esos módulos intermedios recibirá los resultados locales de unidades de gestión electoral previamente asignadas. Cada módulo de consolidación intermedio llevará a cabo los procesos ya descritos de verificación de Ia prueba de
validación, generación de Ia prueba de recepción y envío de Ia misma. Una vez que los módulos de consolidación intermedios hayan recibido y validado Ia información de todas las unidades de gestión electoral asignadas se reenviará al módulo de consolidación principal al menos Ia información de resultados locales. Alternativamente, cada módulo de consolidación intermedio realizará un recuento de los resultados locales recibidos, en cuyo caso podrá enviar ese recuento parcial al módulo de consolidación principal.
En otra implementación práctica alternativa de Ia presente invención, se puede llevar a cabo Ia consolidación de resultados generados de dos o más canales de votación distintos de manera simultánea. Entre estos se pueden considerar por ejemplo los ya mencionados sistemas de votación electrónica presencial, sistemas de votación por Internet, votación mediante telefonía móvil, votación telefónica (IVR), votación por correo postal y cualquier otro sistema de votación conocido. En esta implementación, el centro de recepción y conteo de votos para cada canal de votación actuaría como una unidad de gestión electoral, representada por unas autoridades electorales. Por Io tanto, los procesos llevados a cabo para Ia consolidación de los resultados serían iguales a los ya descritos en Ia implementación preferente.
Claims
1. Método para Ia consolidación segura y auditable de resultados de un proceso electoral a partir de unos resultados locales, en el que participan al menos unas autoridades electorales locales, formada por al menos un miembro, para Ia protección de dichos resultados locales, comprendiendo dicho método para cada resultado local las siguientes etapas: a) Validación por parte de las autoridades electorales locales de una información del resultado electoral local, mediante Ia generación de una prueba de validación que permita verificar Ia participación de al menos una parte de dichas autoridades electorales locales en dicha validación; b) Comunicación de dicha prueba de validación a un modulo de consolidación; c) Verificación en dicho módulo de consolidación de que Ia prueba de validación de los resultados locales comunicada ha sido generada por las autoridades locales correctas; d) Generación en el módulo de consolidación de resultados de una prueba de recepción de al menos dicha prueba de validación y que represente al menos el resultado de Ia verificación; y e) Comunicación a las autoridades electorales locales de Ia aceptación o no de Ia prueba de recepción, a partir de Ia prueba de recepción.
2. Método según Ia reivindicación 2 caracterizado por comunicar adicionalmente en Ia etapa b) el resultado electoral local validado en Ia etapa a).
3. Método según Ia reivindicación 1 ó 2 caracterizado por utilizar un módulo de transferencia de información para Ia comunicación del Ia prueba de validación y/o resultado electoral local de Ia etapa b).
4. Método según Ia reivindicación 3 caracterizado por utilizar dicho módulo de transferencia de información para generar Ia prueba de validación de Ia etapa a).
5. Método según Ia reivindicación 1 caracterizado por generar Ia prueba de validación de Ia etapa a) a partir de al menos una prueba de identidad de al menos una parte de las autoridades electorales locales que han participado en Ia validación del resultado electoral local.
6. Método según reivindicación 5 caracterizado porque Ia prueba de identidad se obtiene a partir de unas credenciales de identificación del grupo que comprende una clave de acceso, un registro biométrico o cualquier otra prueba de identidad única.
7. Método según Ia reivindicación 1 ó 6 caracterizado porque Ia prueba de identidad se obtiene a partir de un mecanismo que permita vincular dicha prueba de identidad con Ia información de resultados locales.
8. Método según Ia reivindicación 7 caracterizado porque el mecanismo utilizado es un algoritmo criptográfico, del grupo que comprende una firma digital o una función MAC, aplicado sobre al menos parte de Ia información de resultado electoral local y/o al menos una prueba de identidad, utilizando una clave criptográfica.
9. Método según Ia reivindicación 7 caracterizado porque el mecanismo utilizado es un registro biométrico de al menos una de las autoridades electorales locales y que contenga parte, un resumen o una compresión de Ia información de los resultados locales.
10. Método según Ia reivindicación 9 caracterizado por utilizar como registro biométrico un registro audible o escrito de una o varias autoridades locales.
11. Método según Ia reivindicación 1 ó 2 caracterizado por comprender una etapa previa a Ia etapa b) que consiste en cifrar de manera parcial o total Ia prueba de validación y/o Ia información de resultados locales mediante un sistema de cifrado simétrico o asimétrico.
12. Método según Ia reivindicación 1 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que las pruebas de identidad, que son al menos una, contenidas en Ia prueba de validación corresponden a unas mínimas autorizadas para realizar Ia validación de los resultados electorales locales.
13. Método según Ia reivindicación 2 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que las pruebas de identidad, que son al menos
* una, contenidas en Ia prueba de validación corresponden a unas mínimas autorizadas para realizar Ia validación de los resultados electorales locales.
14. Método según Ia reivindicación 2 ó 13 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que Ia prueba de validación se corresponda con los resultados electorales locales.
15. Método según Ia reivindicación 14 caracterizado porque esta comprobación consiste en verificar si las firmas digitales contenidas en
Ia prueba de validación se corresponden con Ia información firmada y que al menos una de ellas se haya realizado utilizando los resultados electorales locales.
16. Método según Ia reivindicación 1 caracterizado porque Ia prueba de recepción de los resultados locales de Ia etapa d) contenga al menos el resultado de Ia verificación como una representación numérica, alfanumérico, un texto o Ia combinación de ellas.
17. Método según Ia reivindicación 16 caracterizado porque Ia prueba de recepción de los resultados electorales locales contiene una prueba de aceptación generada a partir de al menos Ia información de resultado local de Ia prueba de validación verificada.
18. Método según Ia reivindicación 17 caracterizado porque dicha prueba de aceptación contiene al menos parte o un resumen de una firma digital o una función MAC aplicada sobre al menos Ia información de resultado local de Ia prueba de validación verificada.
19. Método según Ia reivindicación 16 caracterizado porque las autoridades electorales locales utilizan dicha prueba de aceptación contenida en Ia prueba de recepción para verificar que los resultados locales aceptados son correctos.
20. Método según Ia reivindicación 16 caracterizado por incluir dicha prueba de aceptación de manera escrita o impresa en una acta oficial de resultados locales generada por las autoridades electorales locales.
21. Método según Ia reivindicación 1 caracterizado por almacenar en el módulo de consolidación los resultados electorales locales y/o dicha prueba de validación.
22. Método según Ia reivindicación 11 caracterizado por comprender en el módulo de consolidación una etapa adicional de descifrado de los resultados electorales locales y/o prueba de validación.
23. Método según Ia reivindicación 22 caracterizado porque Ia clave utilizada para descifrar se encuentra repartida entre un conjunto de autoridades electorales mediante un esquema de compartición de secreto.
24. Sistema para Ia consolidación segura de los resultados de un proceso electoral a partir de Ia recolección de resultados locales, para implementar el método descrito en las reivindicaciones 1 a 23, caracterizado por comprender un módulo de consolidación configurado para recibir Ia información de resultados locales y pruebas de validación, que comprende al menos: i. unos medios de entrada/salida de datos que permitan recibir al menos Ia prueba de validación y devolver una prueba de recepción de dichos resultados locales; y ii. unos medios de procesamiento que permitan Ia verificación de Ia prueba de validación y Ia generación de una prueba de recepción.
25. Sistema según Ia reivindicación 24 caracterizado por utilizar un módulo adicional de transferencia por medio del cuál se envía Ia prueba de validación y/o información de resultados locales hacia el módulo de consolidación, que comprende al menos: i. unos medios de entrada/salida de datos que permitan introducir y enviar Ia prueba de validación y/o información de resultados locales, recibir una prueba de recepción y mostrar el resultado de Ia verificación contenido en Ia prueba de recepción. ii. unos medios de procesamiento que permitan generar una prueba de validación de Ia información de resultados locales.
26. Sistema según Ia reivindicación 24 caracterizado porque al menos parte de los medios de entrada/salida están conectados a una red de comunicación del grupo que comprende una red local, global o punto a punto.
27. Sistema según Ia reivindicación 24 caracterizado porque dicho módulo de consolidación dispone de unos medios de almacenamiento para almacenar Ia prueba de validación, Ia información de resultado electoral local y/o una clave criptográfica.
28. Sistema según Ia reivindicación 25 caracterizado porque al menos parte de los medios de entrada/salida de datos de dicho módulo de transferencia son un dispositivo de captación de información biométrica del grupo que comprende un scanner de huellas dactilares, un dispositivo de registro de voz, una tableta digitalizadora o un scanner de documentos.
29. Sistema según Ia reivindicación 25 caracterizado porque al menos parte de los medios de entrada/salida de dicho módulo de transferencia están conectados a una red de comunicación digital del grupo que comprende una red local, global o punto a punto, una red de comunicación analógica del grupo que comprende una red de telefonía o una red de video, o una impresora.
30. Sistema según Ia reivindicación 24 caracterizado porque dicho módulo de consolidación es un ordenador personal, un servidor conectado o no a una red de comunicación, o un servidor de IVR conectado al menos a una red de telefonía.
31. Sistema según Ia reivindicación 25 caracterizado porque dicho módulo de transferencia es un dispositivo con capacidad de cómputo del grupo que comprende un ordenador personal, una PDA o un teléfono móvil conectado a una red de comunicación.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/ES2007/000681 WO2009068697A1 (es) | 2007-11-26 | 2007-11-26 | Método y sistema para la consolidación segura y auditable de resultados de procesos electorales |
| EP07858258A EP2246823A4 (en) | 2007-11-26 | 2007-11-26 | METHOD AND SYSTEM FOR SAFE AND VERIFICABLE CONSOLIDATION OF THE RESULTS OF OPTIONS |
| US12/837,912 US10445964B2 (en) | 2007-11-26 | 2010-07-16 | Method and system for the secure and verifiable consolidation of the results of election processes |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/ES2007/000681 WO2009068697A1 (es) | 2007-11-26 | 2007-11-26 | Método y sistema para la consolidación segura y auditable de resultados de procesos electorales |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US12/837,912 Continuation US10445964B2 (en) | 2007-11-26 | 2010-07-16 | Method and system for the secure and verifiable consolidation of the results of election processes |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2009068697A1 true WO2009068697A1 (es) | 2009-06-04 |
Family
ID=40678058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/ES2007/000681 WO2009068697A1 (es) | 2007-11-26 | 2007-11-26 | Método y sistema para la consolidación segura y auditable de resultados de procesos electorales |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10445964B2 (es) |
| EP (1) | EP2246823A4 (es) |
| WO (1) | WO2009068697A1 (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3038762B1 (fr) * | 2015-07-10 | 2022-08-05 | Novatec | Dispositif d'enregistrement et de gestion d'etat civil et procede de declaration de naissance et de delivrance d'actes authentiques |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002011025A2 (en) * | 2000-07-27 | 2002-02-07 | Rpost International, Inc. | System and method for verifying delivery and integrity of electronic message |
| US20040117244A1 (en) * | 2002-07-22 | 2004-06-17 | Anthony Scott | Web based voting tracking and reporting system |
| US20040169077A1 (en) * | 2002-04-01 | 2004-09-02 | Petersen Steven D. | Combination electronic and paper ballot voting system |
| US20060196939A1 (en) | 2005-03-02 | 2006-09-07 | Yong-Hi Kim | System for electronically voting, counting, and examining ballots |
| US20060202031A1 (en) * | 2001-10-01 | 2006-09-14 | Chung Kevin K | Reader for an optically readable ballot |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5189288A (en) * | 1991-01-14 | 1993-02-23 | Texas Instruments Incorporated | Method and system for automated voting |
| US5583329A (en) * | 1994-08-01 | 1996-12-10 | Election Products, Inc. | Direct recording electronic voting machine and voting process |
| US5982506A (en) * | 1996-09-10 | 1999-11-09 | E-Stamp Corporation | Method and system for electronic document certification |
| US6999936B2 (en) * | 1997-05-06 | 2006-02-14 | Sehr Richard P | Electronic ticketing system and methods utilizing multi-service visitor cards |
| US6250548B1 (en) * | 1997-10-16 | 2001-06-26 | Mcclure Neil | Electronic voting system |
| US6928546B1 (en) * | 1998-05-14 | 2005-08-09 | Fusion Arc, Inc. | Identity verification method using a central biometric authority |
| AU5805099A (en) * | 1998-09-02 | 2000-03-21 | Diversified Dynamics, Inc. | Direct vote recording system |
| US7099471B2 (en) * | 2000-03-24 | 2006-08-29 | Dategrity Corporation | Detecting compromised ballots |
| US7152047B1 (en) * | 2000-05-24 | 2006-12-19 | Esecure.Biz, Inc. | System and method for production and authentication of original documents |
| WO2001099388A2 (en) * | 2000-06-21 | 2001-12-27 | Docutouch Corporation | Digital signature system and method |
| US7234060B1 (en) * | 2000-07-11 | 2007-06-19 | Amdur Eugene | Generation and use of digital signatures |
| JP2002091299A (ja) * | 2000-08-31 | 2002-03-27 | Internatl Business Mach Corp <Ibm> | 電子署名システム、電子署名方法、電子署名の仲介方法、電子署名の仲介システム、情報端末および記録媒体 |
| AU2002245027A1 (en) * | 2000-11-22 | 2002-07-24 | Votehere, Inc. | Electronic voting system |
| FI20010761A (fi) * | 2001-04-11 | 2002-10-12 | Suomen Posti Oyj | Menetelmä, järjestelmä ja laite äänestyksen suorittamiseksi |
| US7284700B1 (en) * | 2003-06-19 | 2007-10-23 | Populex Corp. | Advanced voting system and method |
| WO2003050771A1 (es) * | 2001-12-12 | 2003-06-19 | Scytl Online World Security, Sa | Método para votación electrónica segura y protocolos criptográficos y programas informáticos empleados |
| WO2003060837A1 (en) * | 2001-12-31 | 2003-07-24 | Voting Technologies International, Llc | Computerized electronic voting system |
| JP2003244139A (ja) * | 2002-02-20 | 2003-08-29 | Amano Corp | 電子文書に対するタイムスタンプ押印システム、及び、そのプログラム媒体 |
| US7054829B2 (en) * | 2002-12-31 | 2006-05-30 | Pitney Bowes Inc. | Method and system for validating votes |
| US20050044413A1 (en) * | 2003-02-05 | 2005-02-24 | Accenture Global Services Gmbh | Secure electronic registration and voting solution |
| EP1571777A1 (en) * | 2004-03-02 | 2005-09-07 | France Telecom | Electronic voting process using fair blind signatures |
| CA2466466C (en) * | 2004-05-05 | 2020-05-26 | Dominion Voting Systems Corporation | System, method and computer program for vote tabulation with an electronic audit trail |
| US8214649B2 (en) * | 2004-06-30 | 2012-07-03 | Nokia Corporation | System and method for secure communications between at least one user device and a network entity |
| WO2006010019A2 (en) * | 2004-07-07 | 2006-01-26 | Digimarc Corporation | Systems and methods for document verification |
| US7487420B2 (en) * | 2005-02-15 | 2009-02-03 | Cadence Design Systems Inc. | System and method for performing logic failure diagnosis using multiple input signature register output streams |
| US7387244B2 (en) * | 2005-05-27 | 2008-06-17 | Election Systems & Software, Inc. | Electronic voting system and method with voter verifiable real-time audit log |
| US20070040027A1 (en) * | 2005-08-08 | 2007-02-22 | Fernando Morales | Method of confidential email voting using personal voting codes |
| US7734925B2 (en) * | 2005-10-21 | 2010-06-08 | Stewart Title Company | System and method for the electronic management and execution of transaction documents |
| US20070170252A1 (en) * | 2006-01-24 | 2007-07-26 | Orton Kevin R | Voting Machine with Secure Memory Processing |
| US7360702B2 (en) * | 2006-02-16 | 2008-04-22 | Pitney Bowes Inc. | Verifiable voting system |
| US8201738B2 (en) * | 2006-04-12 | 2012-06-19 | Energyield, Llc | Electronic voting system |
| US8615663B2 (en) * | 2006-04-17 | 2013-12-24 | Broadcom Corporation | System and method for secure remote biometric authentication |
| EP2216729B1 (en) * | 2007-10-24 | 2019-07-10 | Scytl Secure Electronic Voting, S.A. | Method and system for protection of user information registers for use in electoral processes |
| US9092922B2 (en) * | 2007-12-12 | 2015-07-28 | Smartmatic International Corporation | Systems, methods, and programs for voter information initialization and consolidation |
-
2007
- 2007-11-26 WO PCT/ES2007/000681 patent/WO2009068697A1/es active Application Filing
- 2007-11-26 EP EP07858258A patent/EP2246823A4/en not_active Withdrawn
-
2010
- 2010-07-16 US US12/837,912 patent/US10445964B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002011025A2 (en) * | 2000-07-27 | 2002-02-07 | Rpost International, Inc. | System and method for verifying delivery and integrity of electronic message |
| US20060202031A1 (en) * | 2001-10-01 | 2006-09-14 | Chung Kevin K | Reader for an optically readable ballot |
| US20040169077A1 (en) * | 2002-04-01 | 2004-09-02 | Petersen Steven D. | Combination electronic and paper ballot voting system |
| US20040117244A1 (en) * | 2002-07-22 | 2004-06-17 | Anthony Scott | Web based voting tracking and reporting system |
| US7044375B2 (en) | 2002-07-22 | 2006-05-16 | Anthony Scott | Web based voting tracking and reporting system |
| US20060196939A1 (en) | 2005-03-02 | 2006-09-07 | Yong-Hi Kim | System for electronically voting, counting, and examining ballots |
Non-Patent Citations (1)
| Title |
|---|
| See also references of EP2246823A4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2246823A4 (en) | 2011-06-01 |
| US10445964B2 (en) | 2019-10-15 |
| EP2246823A1 (en) | 2010-11-03 |
| US20120016723A1 (en) | 2012-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ayed | A conceptual secure blockchain-based electronic voting system | |
| US20200084039A1 (en) | Method and system for electronic voting with biometric identification | |
| ES2905097T3 (es) | Un método y sistema de votación electrónica implementado en un dispositivo portátil | |
| US11087578B2 (en) | Voting booth, system, and methods of making and using same | |
| CN110060403A (zh) | 基于区块链的一人多票电子投票方法及系统 | |
| Clarke et al. | E-voting in Estonia | |
| Selvarani et al. | Secure voting system through sms and using smart phone application | |
| Rønne et al. | Electryo, in-person voting with transparent voter verifiability and eligibility verifiability | |
| Jambhulkar et al. | A secure approach for web based internet voting system using multiple encryption | |
| Mursi et al. | A secure and auditable cryptographic-based e-voting scheme | |
| Rossler et al. | E-voting: A scalable approach using XML and hardware security modules | |
| WO2009068697A1 (es) | Método y sistema para la consolidación segura y auditable de resultados de procesos electorales | |
| Balti et al. | A Decentralized and Immutable E-Voting System using Blockchain | |
| Oppliger et al. | Protecting code voting against vote selling | |
| Juma et al. | Election results' verification in e-voting systems in Kenya: a review | |
| Ahmed et al. | Secure biometric e-voting scheme | |
| Stenbro | A survey of modern electronic voting technologies | |
| Feng et al. | An electronic voting system using GSM mobile technology | |
| Avetisyan | Comparative analysis of modern E-voting systems based on security criteria | |
| Yamini et al. | Secured Voting System based on Blockchain | |
| Andel et al. | Secure internet voting protocol for overseas military voters | |
| Solanki et al. | Proposed Secure and Robust Voting System Using Blockchain Conceptual Framework | |
| Sroa et al. | A Visionary Approach to Smart Voting System | |
| BR102019024374A2 (pt) | Processo de verificação da integridade de procedimentos que envolvam o depósito ou envio de um conjunto de informações ou objetos e posterior publicação dos mesmos | |
| Khaleel et al. | Developing e-voting Tasks Using Quantum Key Distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 07858258 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2007858258 Country of ref document: EP |