Diskuse s wikipedistou:Beren/CsArbComVote

Ano, po mírných úpravách se zdá, že to funguje:

:literal data packet:
        mode ? (0), created 0, name="",
        raw data: 135 bytes
gpg: original file name=''

Moc bezpečně bych se ale při takovém hlasování necítil. --Tompecina 08:28, 29. 11. 2005 (UTC)

Za mírné úpravy velice děkuji. Můžete prosím někam vystavit novou verzi? (Hádám-li správně, že Vaše výhrady k bezpečnosti se vztahují k celému postupu, pak je můžeme probrat u oddlílu s další anternativou, kterou se pro tento účel chystám založit.) --che 13:48, 29. 11. 2005 (UTC)

To ani nestojí za posílání, stačilo přemístit funkci make_gpg_literal na nejvyšší úroveň. A pak samozřejmě zrušit -s ve volání gpg, ale to už máme vyřešeno. --Tompecina 15:01, 29. 11. 2005 (UTC)

Jakožto amatér ve světě počítačů se nehodlám zabývat technickými problémy s nějakými klíči. Otázka zní: Podle pravidla o arbcomu hlasují pouze ti, co mají více než 50 příspěvků v článcích k začátku voleb. Je v navrhovaném systému možno zajistit odfiltrování hlasů, které tyto podmínky nesplňují? Cinik 06:43, 28. 11. 2005 (UTC)

Přispěvatele, kteří podmínku nesplňují, systém k hlasování nepustí. --Beren 06:45, 28. 11. 2005 (UTC)

OK... Snad jen: Jak a odkud ověří počet příspěvků? Cinik 07:12, 28. 11. 2005 (UTC)

Protože jde o rozšíření, které se musí umístit přímo do MediaWiki české Wikipedie, tak by samozřejmě sdílelo přístup přímo k její živé databázi. --Beren 07:17, 28. 11. 2005 (UTC)

Ve skutečnosti je i tato funkčnost implementována chybně, protože se kontroluje počet editací nikoli k začátku voleb, ale až v okamžiku hlasování. --Tompecina 09:37, 28. 11. 2005 (UTC)

Jak jste na to přišel? Mě se při testování nepodařilo přimět k uznání hlasování jednou odmítnutého uživatele a navíc řádek: $sql = "SELECT COUNT(*) as n FROM $revision, $page WHERE rev_timestamp<=$date AND rev_user=$id AND rev_page=page_id AND page_namespace = 0";, kde $date je datum počátku voleb (proměnná $wgCsArbComVoteCountDate), vypadá naprosto v pořádku. --Beren 09:54, 28. 11. 2005 (UTC)

Ano, máte pravdu. Nevšiml jsem si toho přiřazení $date, měl jsem za to, že se používá globální. --Tompecina 10:10, 28. 11. 2005 (UTC)

Varianta A (Tompecina)[editovat zdroj]

Veřejná volba.

Výhody:
+ žádná další práce ani nutnost komunikace se zaneprázděnnými developery
+ možnost vysvětlit důvody jednotlivých hlasů

Nevýhody:
- stádnost hlasování
- strach z pomsty kandidátů
- nebezpečí apriorní podjatosti takto zvolených členů ArbComu vůči jednotlivým hlasujícím

Uskutečnitelnost: okamžitá

Varianta B (Tompecina)[editovat zdroj]

Pro šifrování se nepoužije dočasný soubor, ale jeden trvalý soubor, který se bude bude stále přepisovat novými daty (echo s rourou nestačí, protože timestamp se generuje i v takovém případě).

Výhody:
+ minimální úprava existujících skriptů

Neýhody:
- PGP není k utajení času, kdy byl ciphertext vytvořen, určeno a nezaručuje je, takže nemáme jistotu, že to nelze z jeho obsahu zjistit ještě jinak než volbou -vv
- neřeší problém, že výsledky hlasování se dozvědí jen správci a ostatní jim musejí věřit

PS: Varianta B padá, protože - jak jsem právě experimentálně ověřil - "created" se nevztahuje ke zdrojovému souboru, ale k vytvoření ciphertextu. Budu ještě hledat volbu, jak tomu zabránit (to by byla Varianta D), ale dost pochybuji... --Tompecina 12:53, 28. 11. 2005 (UTC)

Varianta C (Tompecina)[editovat zdroj]

Varianta s jedním klíčovým párem na webserveru, který se po skončení hlasování spolu s databásí výsledků vymaže (plus přisolení).

Výhody:
+ veřejnost a transparentnost výsledků hlasování
+ bezpečnost před správci
+ odolnosti proti útoku hrubou silou (ciphertext za normálních okolností vůbec neopustí server)

Nevýhody:
- nutnost většího zásahu do skriptů
- risiko, že developeři skript, který neznají a který se bude významně lišit od původního, pro nadaci, nepřipustí
- k narušení tajnosti stačí jeden útok na webserver a přečtení dat; tím je bezpečnost v podstatě ekvivalentní variantě E

Uskutečnitelnost: neznámá

Přece jen o něco vyšší, protože útočník musí skripty upravit - k Apachově privátnímu klíči se jinak nedostane. Tvrdím ovšem, že před útočníkem, který toto dokáže, je bezbranný každý systém - uvědomte si, že nikdo ze správců ani ostatních uživatelů cs.wiki nemá možnost kontrolovat, jestli nebyly skripty změněny. --Tompecina 16:07, 28. 11. 2005 (UTC)

Nesmyslné použití asymetrické kryptografie jako náhrady symetrické kryptografie. --Wikimol 17:03, 28. 11. 2005 (UTC)

Tak tedy symetricky, proč ne? Ale šifrování záznamu v databási svůj účel má, čímž je tato varianta lepší než E. --Tompecina 19:21, 28. 11. 2005 (UTC)

Varianta D (Tompecina)[editovat zdroj]

Bude se šifrovat jinými prostředky než voláním gpg, např. libgcryptem nebo mcryptem.

Výhody:
+ snesitelná úprava existujících skriptů

Nevýhody:
- neřeší problém, že výsledky hlasování se dozvědí jen správci a ostatní jim musejí věřit
- developeři nemusejí být touto myšlenkou nadšeni

Uskutečnitelnost: neznámá

Varianta E (Che)[editovat zdroj]

Hlasy se prostě uloží v databázi, skripty pustí ven na web jen součty.

Výhody:
+ jednoduchost
+ bezpečné před správci

Nevýhody:
- k narušení tajnosti stačí jeden útok na webserver
- k tomu stačí přístup do databáse, popř. k dumpu --Tompecina 16:04, 28. 11. 2005 (UTC)

Uskutečnitelnost: neznámá

Varianta F (Wikimol)[editovat zdroj]

Hlasy se uloží v tabulce A, přiřazení hlasy - hlasující v tabulce B, hlasující C. Na konci se zveřejní A a C a tabulka B se smaže. Rozdílem oproti E je ověřitelnost hlasování.
Bezpečnost lze mírně zvýšit symetrickým šifrováním tabulky B s klíčem uloženým na serveru, čímž se stane ekvivalentní nebo lepší než u varianty C.

Uskutečnitelnost: neznámá

Při INSERTU se záznamy do databáse ukládají postupně, takže z dumpu zjistíte, kdo jak hlasoval. Je to spíš jen pracnější varianta E. --Tompecina 17:16, 28. 11. 2005 (UTC)

Co to znamená "postupně"? V průběhu hlasování je dump hlasů tajný, takže sledovat rozdíly nemůžete. Hlasy se ukládají s (podle předpokladu tajnou) informací z tabulky B jako primárním klíčem, takže z fyzického uložení v souboru se při vhodném formátu tabulky nedozvíte nic.

Jak jsem napsal, buď to lze považovat za variantu E s ověřitelnými výsledky, nebo za variantu C bez nesmyslného použití asymetrické kryptografie. --Wikimol 17:51, 28. 11. 2005 (UTC)

Postupně znamená minimálně to, že kdo má read přístup k DB, zjistí hlasy tím, že bude sledovat jejich přibývání. Asymetrický algorithmus nemá proti symetrickému zvláštní výhody, ale nevidím ani nevýhody. Zabezpečení je dáno tím, že developeři převezmou skripty v publikované podobě, takže algorithmus bude ověřitelný. --Tompecina 18:17, 28. 11. 2005 (UTC)

Toto je IMHO vhodný způsob. Nemyslím, že je rozumně za daných podmínek dosažitelná úplná bezpečnost a utajení i před zákeřnými crackery a vývojáři s root kontem na serverech Wikipedie... Ověřitelnost hlasování je však zásadní featura, která zajišťuje, že ani tito nebudou snadno schopni hlasování ovlivnit. Co se mě týče, nemám potřebu utajovat svoje hlasování před Timem Starlingem, pro mě je u tajného hlasování podstatné jen to, že běžný uživatel nebude vědět, jak jsem hlasoval (ale spokojil bych se klidně i s veřejným hlasováním, BTW). --Mormegil ✉ 16:49, 29. 11. 2005 (UTC)

Také se nedomnívám, že jde o absolutní bezpečnost, která asi neexistuje - na tom ztroskotalo již více finančních institutů, pojišťoven atd. Jde o to: během či v okamžiku hlasování se chci osvobodit od tlaku , který vzniká tím, s kým jsem kamarác a s kým ne, čili chci skutečně volit podle mého gusta. Že tento hlas zcela utajit nemohu je jasné, jde jen o to, kdo ho rozluští. Toto říkám nejen jako někdo, kdo chce hlasovat, ale jako někdo, kdo zde kandidoval. Stejně jako Mormegil bych důvěru k možným dministrátorům měl, ať to uz bude Tim S. nebo někdo s obdobnými vlastnostmi, já navrhl angažovat minimálně nějakého stewarda či stewardku z mezinárodní wikipeide. -jkb- ✉ 17:45, 29. 11. 2005 (UTC)

Jasně, s tím lze naprosto souhlasit. Momentální situace je ale taková, že zdánlivě jednoduché E a jeho bezpečnější alternativy C nebo F jsou mnohem pracnější než např. H, které máme. Pokud jde o věrohodnost správců hlasování, mohu jim osobně věřit, ale to neznamená, že k tomu mohu legitimně nutit kohokoli jiného - námitka potenciálního zkreslení voleb správci je významná, a i správci když někomu dají svůj klíč, nedají ho jistě všem - to by žádný nemuseli mít. --Tompecina 22:16, 29. 11. 2005 (UTC)

Varianta G (Tompecina)[editovat zdroj]

Napíše se to celé pořádně, a ne nutně jako extense, ale jako feature MediaWiki.

Výhody:
+ výsledek bude použitelný pro všechna další tajná hlasování, a to i pro ostatní komunity
+ žádné problémy s developery
+ maximální úroveň bezpečnosti, kterou budeme schopni vymyslet a implementovat

Nevýhody:
- poměrně dost práce

Uskutečnitelnost: „nestane-li se něco mimořádného, bude za několik dní (možná už po víkendu, ne-li dřív) připravená k testování“ (Tompecina, 1.12.)

Vy rýpale :-) Zatím nic mimořádného nenastalo a vše jde hladce. --Tompecina 11:11, 2. 12. 2005 (UTC)

K této variantě mám něco rozpracováno, s použitím standardních mechanismů MediaWiki a speciálních šablon. --Tompecina 14:53, 29. 11. 2005 (UTC)

Popsáno je to zde: Wikipedista:Tompecina/Tajné_hlasování. --Tompecina 23:12, 29. 11. 2005 (UTC)

Varianta H (che)[editovat zdroj]

CsArbComVote, se dvěma klíčovými páry. Hlasy jsou šifrovány tajným klíčem správců voleb, které se vůbec nenacházejí na serveru. Server podepisuje jen hlasy, které zobrazuje uživatelům, aby bylo možné posoudit jejich případné stížnosti.

Výhody:
+ prakticky hotové
+ k narušení bezpečnosti je třeba buď vyměnit skripty na serveru, nebo zároveň získat přístup k databázi a tajnému klíči správců voleb

Nevýhody:
- je třeba důvěřovat správcům voleb, že hlasy správně sečtou (ti ale v případě pochybností mohou poskytnout svůj klíč další osobě, která může výsledek ověřit)
- stále nemáme exaktně prokázáno, že se timestamp nedá i z očesaného ciphertextu určit --Tompecina 14:51, 29. 11. 2005 (UTC)

Uskutečnitelnost: vyžaduje dvě úpravy současné Berenovy verze, což není na dlouho, bude-li zájem

Doplnil jsem k jednotlivým variantám pole pro jejich uskutečnostelnost, protože si myslím, že by zase nebylo hezké nechat Víta Zvánovce čekat do jara. Já osobně bych byl pro použití csarbcomvote (H), protože poskytuje velmi slušnou úroveň bezpečnosti, je prakticky hotové, a už prošlo mnoha připomínkami. Jaké jsou vaše názory? --che 20:49, 1. 12. 2005 (UTC)

Na G celkem intensivně pracuji, nestane-li se něco mimořádného, bude za několik dní (možná už po víkendu, ne-li dřív) připravená k testování. Její velkou výhodou je obecnost, není to nic ad hoc, co by se použilo jednou, ale dá se pomocí ní bez dalšího programování hlasovat kdykoli o jakémkoli návrhu nebo souboru návrhů. H je silně kompromisní varianta (její bezpečnosti, jak jsem napsal, nevěřím), ale z ostatních zřejmě nejlepší. --Tompecina 23:16, 1. 12. 2005 (UTC)

Otázkou je, k čemu univerzální systém, když žádná další tajná hlasování nikdo neplánuje. I správci se volí veřejně... Cinik 06:38, 2. 12. 2005 (UTC)

Kdyby pro nic jiného, tak kvůli doplňovacím volbám do ArbComu. --Tompecina 07:01, 2. 12. 2005 (UTC)

Na ty není potřeba univerzální systém, stačí hlasovadlo specializované pro volby do ArbComu. Jinak co do bezpečnosti mám dojem, že variantě H vytýkáte nedokonalosti, na jejichž řešení varianta G zcela rezignuje – hlasy jsou u ní uloženy na serveru, který je i dešifruje. Z toho plyne, že kdo má přístup na server, může se dostat ke klíči a tudíž i k hlasům. Dále mám pocit, že přesvědčit vývojáře MediaWiki k nainstalování jednoho rozšíření pro cswiki bude snadnější a půjde to prosadit rychleji než patchování celé aplikace. --che 15:34, 2. 12. 2005 (UTC)

To jsou správné poznámky. Nejprve ke druhé: zda hlasování implementovat jako feature nebo extensi, je nedůležité - obě varianty jsou technicky řešitelné, přejít od jednoho ke druhému není nijak zvlášť obtížně. Určitě ale budou developeři raději implementovat universální než jednorázový systém, ať už jako extensi nebo jako feature.

Pokud jde o bezpečnost, poměrně pečlivě jsem promýšlel jednotlivé možnosti a dospěl k závěru, že risika existují, ale jsou relativně velmi nízká. Je třeba rozlišovat různé druhy útoků:

1. Má-li útočník přístup k rootu nebo je bezpečnost serveru kompromitována ekvivalentním způsobem, není co řešit: takovému útoku se neubrání žádný systém, který bude mít v kterýkoli okamžik přístup k dešifrovaným hlasům. Pokoušel jsem se vymyslet variantu s využitím javascriptu nebo jiného client-side prostředku tak, aby se na server hlasy vůbec nedostaly, ale nepodařilo se přijít na nic použitelného.
2. Systém je fatálně zranitelný i vůči útočníkovi, který může zapisovat skripty, u systému jako je Wikipedie je takový uživatel fakticky na úrovní roota - velmi pochybuji, že tento přístup mají sami developeři (committers), těm by měl stačit přístup do databáse, aby mohli ladit na živých datech - a i to je otázka. Útočník s takovými privilegii ovšem prolomí každou ochranu, takže ani varianta H proti němu není bezpečná.
3. Dostane-li se útočník k jinému účtu, systém je před ním bezpečný, protože adresáře, ze kterých čte php skripty, nejsou world-writeable (nejvýš 775) a soukromý Apachův klíč je (nejvýš) 660, takže si může nejvýš přečíst skripty a pokud mají bezpečnost děravou, dostane se pomocí hesla přečteného z LocalSettings.php do mysql.
4. Důležité je chránit hlasy před možností pozdějšího útoku např. osobou, která získá přístup k serveru (opakuji, že není moc pravděpodobné, že by taková osoba mohla sama spouštět své skripty ze živého serveru). Protože údaje o tom, jak kdo hlasoval, se ihned po sečtení smažou, je nebezpečí prozrazení relativně malé, menší než risiko, že se někdo dostane k údajům o hlasování a zároveň získá - např. pod záminkou nedůvěry správcům - komunitní klíč csarbcomvote ve variantě H.

--Tompecina 18:05, 2. 12. 2005 (UTC)

Jenom pár poznámek:

• nejsem si jist, co je vlastně míněno rozdílem mezi feature a extenzí. Pokud je tím myšleno to, zda bude implementace roztroušena přímo do zbytku kódu MW ("featura"), nebo bude v oddělených souborech a do zbytku se zapojovat pomocí hooků ("extenze"), pak IMHO featura nemá u vývojářů šanci na přijetí. (To je ovšem jen můj názor založený na nevelkých zkušenostech vývoje MW, vývojář nejsem a ani s nimi nechodím do hospody. ;-) )
• Již delší dobu jede Wikipedie z CVS HEADu, takže pokud má útočník právo commitovat, dokáže tím automaticky svůj skript dostat na server (po takovém útoku však samozřejmě zůstane stopa v CVS). Privilegia všech jednotlivých vývojářů lze nalézt na meta:Developers.
• Nesouhlasím s tím, že by se útokům roota (et al.) neubránil nikdo. Nejdůležitější třídou útoku je IMHO zmanipulování výsledku voleb (oproti jejich utajení, které je pro mě druhotné). Proto je pro mě nutnost důvěřovat úředníkům, že výsledky spočítají správně, dost silný požadavek (podotýkám, že nejde o mou nedůvěru těmto úředníkům, ať už jimi bude kdokoli, ale o to, aby takové volby posléze nebylo možno takto zpochybnit). A proti této třídě útoků je IMHO dostatečnou ochranou možnost ověření, že můj hlas byl započítán správně, např. tak, že každý uživatel při volbě získá náhodný řetězec a u výsledků hlasování je zobrazen celý seznam platných hlasů a u každého příslušný náhodný řetězec. Tak si může každý ověřit, že celkový součet hlasů sedí a můj hlas byl započítán správně, a přitom jsou volby stále tajné.
• Opakuji, že obrana před útočníkem s přístupem k serveru pro mě není příliš podstatná.

--Mormegil ✉ 18:47, 2. 12. 2005 (UTC)

Pokud bude featura dobrá a bude řešit problém společný všem wiki, šanci má, ale ani extense není neřešitelný problém. Díky za link na privilegia, je zjevné, že committeři, kromě cca. 10 nejvyšších, se na server nedostanou, a "útok committem" je profesionální sebevražda. Mýlíte se ale, jestliže tvrdíte (tvrdíte-li to), že u methody H může každý výsledek ověřit, protože uvidí svůj zakódovaný hlas. Nemá-li heslo k rozšifrování, nemá jistotu, že součty sedí. Naopak transparentní algorithmus G dává vysoký stupeň ochrany před manipulací i před prozrazením. --Tompecina 18:59, 2. 12. 2005 (UTC)

Na druhé přečtení mi došlo, jak to myslíte. To je přirozeně nedostatečné, protože ještě byste musel zařídit, že dva uživatelé nedostanou stejný kontrolní kód. Jako útočník bych to právě tak udělal: dal bych pěti stejný kontrolní kód, takže by svůj hlas "viděli", čímž bych získal čtyři hlasy k manipulaci. --Tompecina 19:19, 2. 12. 2005 (UTC)

Myslím, že ani napodruhé nedošlo k úplnému pochopení mé myšlenky. ;-) Při odevzdání hlasu uživatel získá náhodný řetězec. Po ukončení voleb je veřejně zobrazen seznam všech hlasů, u každého z nich je také uveden příslušný řetězec. Tedy např. "46FD4645E54D54C4: Pro Štaflíka, proti Špagetkovi, u Vochomůrky se zdržuje; 5F54545D124E65FA: Proti Štaflíkovi, proti Špagetkovi, pro Vochomůrku; atd." U takového seznamu nevím, kdo jak hlasoval, ale mohu si ověřit celkový součet hlasů, stejně jako to, že můj hlas (který si v tomto seznamu najdu podle kódu) je započítán právně, aniž by utrpěla tajnost voleb; více stejných kódů by mohlo být použito jen pro stejně hlasující, ochranou proti takovému útoku (který by ovšem musel proběhnout už v okamžiku hlasování, nikoli ex post!) by bylo umožnit uživateli zvolit si kód (příp. nabídnout mu vygenerování jiného apod.). --Mormegil ✉ 20:16, 2. 12. 2005 (UTC)

P.S. Co se týče feature/extenze, nemyslím, že má smysl o tom debatovat, na věci stejně nic nezměníme, jenom na to upozorňuji předem. Uvědomte si, že spousta již používaných věcí na Wikipedii je implementována jako extenze. Vizte [2].

Tudy, myslím, cesta nevede, a to ze dvou důvodů: 1. U jednoduchých hlasování bude počet shodných hlasů vysoký. 2. Zobrazením celých hlasovacích lístků (anonymisovaně) porušujete tajnost voleb. Víte-li že, určitě nebudu volit za sysopy Štaflíka, Špagetku ani Káťu (se kterými mám pořád spory), ale zřejmě podpořím Škubánka, který je v komunitě sice prudce neoblíben, ale je to můj kamarád, dovtípíte se s vysokou mírou jistoty, jak jsem hlasoval u Puňti a Alíka. To jde proti principu tajnosti voleb a IMHO to není přijatelné. Volba kontrolního kódu je lepší nápad, ale nutně k tomu potřebujete vedlejší kanál (např. e-mail), na kterém si uživatelé potvrdí, že vidí totéž, a nikdo jim výsledky nemanipuluje. Osobně vidím jako nejsilnější prostředek, jak se bránit proti manipulaci, ve veřejnosti a relativní jednoduchosti algorithmu (moje skripty pro variantu G se vejdou do 1000 řádků php, takže nikdo nebude mít problém zkontrolovat, jestli dělají, co mají, a jejich shoda s veřejně přístupným checkoutem CVS je zaručena integritou vývojářské komunity). --Tompecina 20:30, 2. 12. 2005 (UTC)