Nota de la Redacción: Debido a la importancia de este tema, será tratado en dos partes. Esta, la primera, se referirá a los aspectos técnicos de la Votación Electrónica, en la modalidad descrita.
Por: Héctor DUQUE*
Los sistemas electorales a nivel mundial constituyen el principal y más importante mecanismo de participación ciudadana e influyen no solo en la participación política o gubernamental sino también de forma relevante en procesos empresariales como la votación en asambleas generales para elección de juntas directivas, entre otras decisiones. Estos sistemas pueden considerarse como sistemas de información susceptibles a la incorporación de Tecnologías de la Información (TIC), que mejoren características como seguridad, verificabilidad y autenticación.
Aunque el voto en papel es el sistema tradicional por excelencia en los países democráticos, las elecciones han ido evolucionando hasta convertirse en sistemas complejos con mayores necesidades de eficiencia y seguridad. En consecuencia, han surgido nuevos mecanismos de votación, algunos mecánicos o que aun necesitan del diligenciamiento manual, y otros electrónicos que incorporan TICs directamente en el sufragio, dando así lugar al concepto de Votación Electrónica.
La incorporación de la Votación Electrónica presenta entre otras ventajas: (i) el aumento de la eficiencia de las tareas electorales y la precisión en los resultados, (ii) la automatización de la legitimación de identidad de los votantes, (iii) computación de tareas tales como el registro y conteo de votos, el conteo de tarjetones, y la difusión de resultados, (iv) mejora en la capacidad para identificar y prevenir situaciones de fraude electoral, (v) disminución de la abstención, (vi) disminución de votos nulos y de errores en el proceso de votación, (vii) aumento en la confiabilidad del proceso de votación, y (viii) inmediatez del escrutinio.
En la mayoría de países Latinoamericanos se está considerando la implementación de proyectos de Votación Electrónica por las autoridades electorales con el fin de modernizar sus sistemas electorales tradicionales (votos en papel), en los cuales el votante tiende a equivocarse constantemente y no tiene la suficiente confianza en la transparencia del proceso. Casos conocidos de éxito en Latino America, han sido los proyectos Brasilero y Venezolano; el caso Paraguayo ha ofrecido soluciones vinculantes durante algunos procesos electorales, aunque a la fecha han decidido retornar al sistema manual y re-plantear sus procesos automáticos hacia futuro. Colombia, Perú, Ecuador, Bolivia, Argentina, México, Chile, han estado elaborando pilotos, en general no vinculantes, y en algunos casos tímidos de carácter vinculante, pero en su mayoría tienden a la implementación en el mediano plazo de algún sistema automatizado. El caso de los Estados Unidos y los casos Europeos (Lituania, Holanda, Suiza) han sido modelo de referencia para los procesos Latino Americanos, aunque se identifica su poca aplicabilidad a la región.
1. Votación Electrónica Segura (VES).
VESes un proyecto de ingeniería de código abierto certificado, tendiente a satisfacer las necesidades específicas del mercado Latino Americano en Votación Electrónica, con el objetivo de ofrecer procesos electorales más ágiles, seguros, eficientes y de vanguardia en la región. VES se plantea como una solución innovadora de Votación Electrónica que incorpora elementos de hardware y software con las últimas tecnologías de seguridad y de criptografía aplicada.
Para la implementación de VES se han considerado los desafíos y requerimientos planteados a nivel internacional por la comunidad científica en temas de Votación Electrónica, tales como (i) anonimia del voto, (ii) singularidad del voto, (iii) secreto del voto, (iv) integridad del proceso, (v) facilidad de uso, (vi) accesabilidad, (vii) flexibilidad, (viii) escalabilidad, (viii) eficiencia y (ix) certificabilidad.
Con el objetivo de cumplir estas características, se ha diseñado una arquitectura capaz de atender simultáneamente el Voto Presencial (VP) en terminales de votación, y el Voto No Presencial por Internet.
2. Seguridad.
La seguridad del sistema está soportada en PKI (Public Key Infrastructure), la cual es el área de la criptografía basada en el uso de llaves públicas y privadas. Igualmente se utiliza criptografía simétrica en algunos puntos donde es conveniente. Este esquema de seguridad se refleja a lo largo de toda la arquitectura del sistema.
Primero se ha diseñado el sistema de seguridad a manera Columna Vertebral, y entonces se ha construido la aplicación VES alrededor de esta.
El subsistema de Votación Presencial está basado en la seguridad de la información en todas las etapas del proceso, de tal forma que en ninguna de ellas existan datos sin garantizar su integridad (firmas digitales) o confidencialidad (encripción). De tal forma, en todas las aplicaciones VES la información se mueve entre tres sitios (actores) críticos: (i) el exterior de la terminal de votación, (ii) el interior de la terminal de votación, y (iii) los Servidores.
Para cada uno de esos tres (3) sitios existe una solución criptográfica:
ñ En el exterior de la terminal de votación se transporta la información en tarjetas inteligentes criptográficas, las cuales disponen de un chip que permite hacer operaciones criptográficas por hardware. De esta forma, se generan llaves criptográficas simétricas o asimétricas en el chip, las cuales son únicas para ese chip, y luego se hacen operaciones criptográficas (encripción y firma) sin necesidad de exportar las llaves.
ñ Una vez una terminal de votación se activa (por ejemplo una sesión de votación en la terminal), toda la información producida como parte de este proceso se encuentra encriptada o asegurada en su integridad (firma o MAC). Para esto se utiliza una tarjeta criptográfica propietaria (TCHH), desarrollada por VSI en el contexto de este proyecto . De tal forma, la información en disco no es legible ni modificable por un intruso. Dado que los códigos fuente y objetos estarán firmados y autenticados por una Autoridad Certificadora (CA) que emita confianza a las entidades electorales, un ataque del programa vía DUMP de memoria no es factible, por cuanto el programa en ejecución es confiable. Adicionalmente, las llaves secretas y privadas residen en la TCHH y no son exportables.
ñ Los Servidores disponen de HSM (Hardware Security Modules) exclusivos, de alto rendimiento. Estos garantizan que las llaves son custodiadas por hardware y que sólo usuarios autorizados tienen acceso a operaciones criptográficas sobre estas máquinas. La comunicación se efectúa utilizando el estándar de la industria PKCS11.
El tipo de procesamiento criptográfico efectuado en cada uno de los tres (3) sitios, se considera como de criptografía por hardware, de tal forma que la custodia de las llaves involucradas están protegidas por hardware.
El subsistema de Votación No Presencial (internet) tiene actores diferentes en la parte cliente de la arquitectura, pero el mismo tipo de actores en los servidores, los cuales continúan siendo los respectivos HSM. De esta forma, el protocolo de seguridad garantiza la seguridad del flujo de información entre los clientes y los servidores, las CA garantizan la identidad de los actores, y los HSM que interactúan con los servidores garantizan la seguridad de las operaciones inversas en los computadores.
3. Arquitectura.
La arquitectura está construida a partir del sistema de seguridad y está basada en la conformación de Grupos de Procesamiento Electoral, los cuales separan sus funciones, atribuciones y recursos físicos y computacionales.
Una solución completa de voto presencial y no presencial involucra servidores especializados en las labores de legitimación de identidad (GL), de aceptación de votos (GV), de conteo (GC) y de divulgación (GD). Estos grupos son independientes en personal, autoridad, ubicación y manejo del hardware y software.
Los servidores transaccionales se conectan directamente con servidores de bases de datos, que también guardan alguna información en forma encriptada y firmada, así como con servidores especializados en labores de criptografía, conocidos con el nombre de HSM (Hardware Security Modules). Cada grupo dispone de una infraestructura de hardware dedicada, a fin de garantizar su independencia.
El GL y el GV son grupos que interactúan en forma independiente para posibilitar la votación no presencial ( o Internet). Una interacción coordinada entre ellos, permite que el votante se identifique (legitime su identidad) mediante la consulta segura de su información en el censo (padrón) electoral; así mismo, esta base de datos es actualizada a fin de garantizar la singularidad del voto.
El GV recibe votos provenientes de votación presencial y no presencial; es decir, recibe tanto los votos emitidos en Terminales de Votación como en Terminales Internet. Estos votos tienen altos niveles de encripción e implementan la técnica del Doble Sobre Electrónico, que consiste en dependizar la apertura del voto entre 2 actores (GV y GC), de tal forma que solo mediante a acción conjunta de ellos, es posible acceder al voto; es de anotar que en ningún momento la identidad del votante es trazable desde el voto. Igualmente, con el fin de evitar acciones maliciosas en los servidores, en algunos momentos del protocolo de implementan firmas ciegas de la información, lo cual hace las veces de un tipo de lacre electrónico.
El GC procesa simultáneamente todos los votos del sistema en un tiempo reducido, hace los chequeos criptográficos correspondientes, y actualiza la base de datos para obtener los grandes totales por candidato.
El GD se encarga exclusivamente de la divulgación de la información del proceso electoral, tal como son los resultados parciales por candidato, partido, regiones, departamentos, provincias, municipios, parroquias, concejo, etc . Así mismo, el GD es el encargado de aplicar fórmulas para asignación de curules a las diferentes corporaciones. La información divulgada puede ser accesada por usuarios especializados en sala de prensa, así como por cualquier ciudadano vía Internet. Adicionalmente se ofrece un sistema de transparencia, el cual permite que identidades de control, así como la prensa y los partidos políticos, accedan a la información transmitida por las terminales, a fin de que puedan (con sus recursos de personal técnico) reconstruir los resultados que están siendo divulgados en los diferentes boletines.
El GL y el GD disponen igualmente de Sitios WEB que ofrecen servicios que pueden ser consumidos por los clientes WEB. En el caso de votación Internet, un Browser estándar de la industria ejecuta código Web Móvil que se encarga de consumir servicios de los Sitios Web (identificación del votante y aceptación del voto).
Los Sitios Web de estos grupos corresponden al Front End de la arquitectura. La prestación de estos servicios implica la ejecución segura de operaciones criptográficas y de Bases de Datos que son ejecutadas en los Servidores Seguros de estos mismos grupos, los cuales corresponden al Back End de la solución. De tal forma, la solución, por cada uno de los grupos, ofrece un Front End para atención masiva y pública de solicitud de servicios, y un Back End que es el que realmente presta el servicio en forma segura.
El quinto actor es la CA o Autoridad Certificadora, la cual emite confianza a los diferentes grupos que la utilicen; es decir a la entidad electoral.
El sistema está especialmente soportado en el esquema de seguridad PKI (Public Key Infrastructure); el cual permite que a partir de criptografía basada en el uso de llaves públicas y privadas se construya un esquema confiable, seguro e integro para la aplicación VES. Esta tecnología permite la implementación de firmas digitales y certificados digitales, los cuales tienen un amplio rango de aplicación en la solución de problemas basados en altos niveles de seguridad y confianza. En esencia, la terminal de votación encripta y firma digitalmente los votos y su información relacionada a partir de una clave criptográfica privada (secreta), de tal forma que la validez de esta firma digital es derivada de un certificado digital emitido por una autoridad certificadora (CA) que suministra la confianza en la firma. Estas características hacen que el voto sea confiable e integro, es decir, que no haya sido modificado.
4. Conclusiones.
La aplicación VES constituye un sistema integrado para Votación Presencial e Internet, basado en el estado actual del arte en criptografía. La solución ofrece un sistema completo de votación electrónica, considerando el procesamiento del voto electrónico desde su origen (terminales de votación y WEB) hasta su procesamiento en servidores centrales (servidores Web, servidores de legitimación, consolidación y divulgación). Igualmente ofrece todos los subsistemas inherentes al proceso, tales como la generación masiva de tarjetas inteligentes, generación y modelación de tarjetas electorales, instalación masiva de terminales, registro de votantes internet, terminales de legitimación de identidad de votantes, y aplicaciones de entrenamiento de votantes (en terminal de votación e internet).
Es innovador en el sistema VES el protocolo de seguridad definido; este hace uso de criptología simétrica y asimétrica avanzada, de tal forma que se garantiza la anonimia del votante y el secreto de su voto, tanto en un sistema de votación presencial como no presencial (Internet).
El sistema de criptología está basado en encripción por hardware, de tal forma que en los servidores centrales las operaciones criptográficas inversas se resuelven haciendo uso de HSMs. Para el caso específico de votación presencial, se ha optado por el desarrollo de una Tarjeta Criptológica Propietaria (TCHH), la cual igualmente constituye un elemento innovador en el sector de la votación electrónica. Esta tarjeta está en trámite de cumplir con las recomendaciones de la EAC en VVSG2007.
La seguridad empleada en este proyecto es del tipo seguridad por diseño, lo cual implica que la seguridad del sistema no depende del ocultamiento de información, ni del secreto de los códigos fuentes. La seguridad está basada en el diseño mismo de esta (protocolo de seguridad), en técnicas avanzadas de criptología que garanticen confidencialidad e integridad de la información, y en la custodia de las llaves criptográficas por hardware especializado (HSM).
La fortaleza de la seguridad de un sistema de votación está dada por el protocolo de seguridad implementado y por los esquemas de custodia de las llaves criptográficas (Principio de Kerckhoffs); la seguridad no está dada por el secreto de los algoritmos.
*PhD, Arquitecto Solución, Voting Solutions S.A.,