<div dir="ltr"><div>In another thread, Mikalai said:</div><div><br></div><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 31, 2020 at 10:53 AM Mikalai Birukou via kwlug-disc <<a href="mailto:kwlug-disc@kwlug.org">kwlug-disc@kwlug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Two weeks ago I was involved in a hakaton in Belarus, brainstorming tech <br>
for elections. Our team have articulated a process in which voters <br>
(their devices) check and count votes, collected with servers, of <br>
course. Note, there are no blockchains. Of course, we would I invite big <br>
Chinese operators into own elections :) .<br>
<br>
Elections is all about human trust and human consensus. In a solution <br>
that we've articulated. There are three points/stages that need check <br>
and human correction based on cryptographic evidence. Just counting is <br>
not enough, and may be not engaging enough.<br>
<br>
I want this type of system to be used in our municipal <br>
elections/referenda. Hence, project, concepts, discussion may be <br>
relevant to many of us.<br>
<br>
State of the project. It turns out that cryptography is trivial, when we <br>
use NaCl (<a href="http://nacl.cr.yp.to/" rel="noreferrer" target="_blank">http://nacl.cr.yp.to/</a>) level of abstraction for crypto tasks. <br>
Everything else has to do with actual settling on some standard form of <br>
https endpoints, preparation of Docker Stack files to describe <br>
configurations for different scales, etc. For September I have slides, <br>
diagrams with data flow, key use.<br>
<br>
Opinion and input back is very much appreciated. Especially, if we'll <br>
set a goal to see if this approach can be implemented i here, on <br>
municipal, provincial and federal levels.<br></blockquote><div> </div><div>This is a pet peeve of mine: I don't want to see anything electronic in the main voting process, <br></div><div>because of the reasons below. </div><div><br></div>The voting process should have the following criteria:<br><div><br>- <b>Anonymity</b>: <br></div><div>A ballot cannot be traced to an individual, so there is no pressure or reprisal if they vote against <br></div><div>their boss or something like that. <br>- <b>Transparency</b>: <br></div><div>The entire process should be understandable to, and observable by a lay person. <br></div><div>Encryption, tokens, hashes and all that tech stuff cannot be understood by a regular person. It is stuff <br></div><div>for specialists, which should not be the case. <br></div><div>- <b>Auditability</b>: <div>The voter list records who is eligible, and who actually showed up, so if someone comes in and finds</div><div>that he did vote before, they can raise a red flag that there is vote rigging going on. <br></div>Ballots can be counted/recounted with representatives from the various candidates/parties to ensure</div><div>neutrality. <br></div><div>Software on the other hand can be modified by one corrupt programmer or installer for a bribe, <br></div><div>under pressure or for ideology. Even if a committee supervises the software release, this is a single <br></div><div>point of failure (see next point), and there is no guarantee that "this software" is what ended up on <br></div><div>the machine/web site, or released as an app.<br>- <b>Decentralization</b>: <br></div><div>Ballots should not all go to one location to be counted (where it can be switched, or stuffed en route -- <br></div><div>I know because that was what happened in Egypt). Also, you can bribe or threaten a fewer number of <br></div><div>people to get a favorable result for you or your friends. <br></div><div><br></div><div>With internet voting, it is far easier to switch every n-th vote to a certain candidate/party, and the <br></div><div>game is over. Because anonymity is required, one cannot trace a person to an actual vote. If this <br></div><div>data is recorded, then it can be leaked and people can be threatened or intimidated. In the absence</div><div>of that, switching votes is very easy. <br></div><div><br></div><div>There is no problem with having a machine scan the completed ballot to make counting easier. The <br></div><div>paper ballot is still the authoritative vote, and can be manually recounted if needed. We do have <br></div><div>those in a minority of the elections we have (municipal I think).<br></div><div><br>Further reading:</div><div><br></div><div>An article by Zeynep Tufekci, a researcher on technology in society.<br>She wrote it after the Iowa Democratic caucus fiasco. If you don't read the entire article, then read</div><div>the last 3 or so paragraphs say how voting should be, and why: A Simple Adversarial Confirmation System<br><br>Combined with plain paper ballots, this system is almost foolproof.<br><a href="https://www.theatlantic.com/technology/archive/2020/02/bad-app-not-russians-plunged-iowa-into-chaos/606052/">https://www.theatlantic.com/technology/archive/2020/02/bad-app-not-russians-plunged-iowa-into-chaos/606052/</a></div></div></div></div>