|
||||
|
||||
הבעיה הבסיסית עם הצבעה ממוחשבת, להבדיל ממערכת פיננסית ממוחשבת, היא שבפועל אסור לבטל בחירות. ואין דרך מעשית לבטל רק הצבעות מזויפות (כי אסור שיישאר במערכת המידע על ההצבעות). הנה משהו בכיוון, שטרם הספיקותי לקרוא: |
|
||||
|
||||
למיטב ידיעתי, גם במערכת פיננסית אסור לבטל פעולות, מותר רק להוסיף תיקונים. בכלל, איך מערכת בחירות (ידנית או ממוחשבת) יכולה לתקן את עצמה בלי בחירות חוזרות? נגיד וגילית שבקלפי מסויימת יש 1,000 פתקים יותר ממספר המצביעים - מה תעשה? |
|
||||
|
||||
אם גיליתי העברה חשודה, אני יכול לבטל אותה (מבחינה טכנית הביטול יהיה אולי הוספת העברה אחרת, אבל לי כמשתמש זה לא משנה). ההבדל בין מערכת ידנית לאוטומטית: תמיד אפשר ליצור פרצות. אבל צריך לדאוג שהן תהיינה מספיק יקרות. אם נשכור צמ״מ (צוות מומחים מהסרטים), הם יצליחו בוודאי לחשוב על מזימה מתוחכמת להצליח להחליף את תוכן הקלפי בתוכן רצוי אחר. אבל זה נכון רק לקלפי אחד. העלות של הטיית הבחירות היא עלות של צמ״מ נפרד לכל קלפי שאותו רוצים להטות. וזה בהנחה שאזור הספירה המרכזי מאובטח היטב (הרבה יותר מסתם קלפי). במערכת אוטומטית יש בעיקרון אפשרות להוסיף הטיה קטנה לכל הקלפיות. לכן צמ״מ אחד (או מפתח משוחד אחד) יוכל ליצור הטיה בקנה מידה ארצי. אני לא מניח שיש כאן אזור מרכזי אחד שאפשר לאבטח מכיוון שיש אפשרויות לשנות את התוכנה הזו במשך זמן רב הרבה יותר ובדרכים הרבה פחות ברורות. אז לשאלתך: כל עוד מדובר על קלפיות בודדות בכל רחבי הארץ, עדיף לפסול אותן. אבל גם ההשפעה של זה עדיין נמוכה יותר מפוטנציאל ההשפעה של קלפי אוטומטי. |
|
||||
|
||||
מצטער, עדיין לא הבנתי את המשפט: "הבעיה הבסיסית עם הצבעה ממוחשבת, להבדיל ממערכת פיננסית ממוחשבת, היא שבפועל אסור לבטל בחירות". "אם נשכור צמ״מ (צוות מומחים מהסרטים), הם יצליחו בוודאי לחשוב על מזימה מתוחכמת להצליח להחליף את תוכן הקלפי בתוכן רצוי אחר. אבל זה נכון רק לקלפי אחד. העלות של הטיית הבחירות היא עלות של צמ״מ נפרד לכל קלפי שאותו רוצים להטות." זה לא נכון. את הצוות המיוחד צריך רק בשביל לחשוב על השיטה, ברגע שיש לנו את השיטה אפשר לשחזר אותה במחיר מאד זול על פני עשרות קלפיות. (1) "וזה בהנחה שאזור הספירה המרכזי מאובטח היטב (הרבה יותר מסתם קלפי)" (2) "צמ״מ אחד (או מפתח משוחד אחד) יוכל ליצור הטיה בקנה מידה ארצי" אתה מתלוצץ? אתה יוצא מהנחה שהגנה על מערכת אחת תהיה טובה מהגנה על מערכת אחרת ואז מסיק שהראשונה תהיה מוצלחת יותר. פסילת קלפיות היא פתרון לא צודק. הפתרון הצודק הוא בחירות חדשות באותה קלפי, וזה, כמובן, הרבה יותר פשוט לעשות בבחירות ממוחשבות. |
|
||||
|
||||
בקלפי שמנוהל כמו שצריך, די מסובך לזייף: יש ארבעה חברי ועדה שאמורים להשגיח אחד על השני (ואולי גם משקיף אחד או יותר). כותבים פעם בשעה את כמות המצביעים עד אותו הרגע. די מסובך לזייף ללא שיתוף פעולה של לפחות אחד מצוות הקלפי. לעומת זאת בקלפי אלקטרונית יש התקפות אפשריות שלא דורשות נוכחות מקומית אלא שינויים בתוכנה. לכן יש אפשרות להשפיע על הרבה יותר קולות עם שיתוף הרבה פחות אנשים. הצבעה מחדש: זה פשוט באותה מידה גם בבחירות ידניות. אבל בעייתי באותה מידה (מכיוון שלבוחרים הללו יש מידע שלא היה ביום הבחירות). כמוכן זה די בעייתי להתחיל לשנות תוצאות בדיעבד. |
|
||||
|
||||
לא ברור לי למה אתה חושב שמסובך כל כך לזייף. בטח לא יותר מסובך מ(למשל) לפרוץ למחשב של מס הכנסה. גם להשיג שיתוף פעולה של אחד מחברי הקלפי (אני בכלל לא בטוח שצריך את זה, מספיק להגניב כמה מעטפות ריקות בכיסים של כמה מצביעים) זה לא בלתי אפשרי. כל הבנקים הגדולים בעולם מנוהלים על ידי תוכנה. אם זה היה כל כך קל לשנות את התוכנה ולפרוץ למערכות ממוחשבות, אנשים היו פורצים לאתר של סיטי בנק וגונבים את התקציב השנתי של ממשלת ישראל... האמת היא שלשנות נתונים שמאוחסנים באופן מאובטח בלי שעצם השינוי יתגלה זה מאד לא פשוט. רוב הפריצות שאנחנו שומעים עליהם הן פריצות שחושפות מידע ולא כאלה שמשנות מידע (שגם הן לא פשוטות, אבל הרבה יותר פשוטות, וכמובן בהקשר הזה, הרבה פחות בעיתיות). בבחירות ידניות יש מחיר גבוה להצבעה מחדש (פתיחת קלפי, סגירת בית ספר, העסקת חברי ועדה...) שאין בבחירות אלקטרויות. הבעייתיות שבהצבעה עם יותר מידע היא זניחה עד לא קיימת (ז״א, אני בכלל לא בטוח שזאת בעיה, אחרי הכל המטרה שלנו היא לדעת מה האזרחים חושבים, וכמה שיותר מידע למצביעים יקרב אותנו למטרתינו) בוודאי לא בעייתי כמו לבטל הצבעה של קלפי מסויימת (שוב, המטרה היא לדעת מה האזרחים חושבים). |
|
||||
|
||||
מעטפה צריכה לקבל את חותמת ועדת הקלפי לפני הכנסתה. אפשר לזייף אותה (בעיקר אם כבר הצבעת), אבל זה לא לגמרי טריוויאלי). זה בכלל לא טריוויאלי לשלשל מעטפות נוספות לקלפי. אם היה כל כך קל לפרוץ היו עושים את זה: כבר עשו: גם בקלפי אלקטרונית יש חשיבות לאבטחת הקלפי. לדוגמה: מי בודק את זהות המצביעים? איך מבטיחים חשאיות הצבעה? כזכור, יש צורך בפועל במועסק אחד או שניים. היתירות היא כי לא סומכים על הממשלה וגם לא על אף מפלגה. גם בקלפי אלקטרונית ללא השגחה אפשר להצביע בשם מי שלא יגיע. |
|
||||
|
||||
לא טריויאלי, אבל בהחלט אפשרי. ״לדוגמה: מי בודק את זהות המצביעים?״ אני לא מבין את השאלה - מי בודק את הזהות שלך כשאתה נכנס לחשבון הבנק שלך? כן, יש צורך במועסק אחד או שניים, אבל היחס בין מספק המועסקים למספר המזוהים הוא לא לינארי. "כבר עשו" גם לבנקים פרצו... אנחנו לא משווים מערכת מושלמת למערכת פגומה, אנחנו משווים שתי מערכות פגומות ובודקים איזה פגומה יותר. כל הטיעונים שלך עד עכשיו פשוט לא ברורים לי. ״גם בקלפי אלקטרונית ללא השגחה אפשר להצביע בשם מי שלא יגיע״ בדיוק כמו שאפשר להכנס לחשבון הבנק שלך בשמך... ז״א, אפשר, אבל זה קשה, ואם יש לך את היכולת הטכנית לעשות את זה ואין לך בעיות מוסריות, מן הסתם תעדיף לפרוץ לאיזה בנק מאשר למערכת הצבעה. אתה יודע כמה כסף מגלגלים בויזה בכל שעה (הכל במערכות אלקטרוניות, אגב)? |
|
||||
|
||||
יש לא מעט גנבות זהות במערכות אלקטרוניות. תשלום בכרטיס אשראי כולל עמלה גבוהה יחסית בגלל כמות הרמאויות הגבוהה שיש שם. זה ממש לא מושלם. בכרטיס אשראי מה שקורה הוא מחזירים את הכסף. בבחירות? |
|
||||
|
||||
״יש לא מעט גנבות זהות במערכות אלקטרוניות.״ כמה? ספציפית, כמה אנשים מצליחים להכנס לחשבון בנק/כרטיס אשראי של אנשים אחרים? ״תשלום בכרטיס אשראי כולל עמלה גבוהה יחסית בגלל כמות הרמאויות הגבוהה שיש שם״ זה חלק מאד קטן מהעמלה. הרבה יותר עמלה משולמת על הסיכון בגניבה.ֿ עמלות גבוהות בהרבה היו כשהאשראי היה ידני. ״ זה ממש לא מושלם.״ אכן. הרשה לי לצטט מהתגובה לה הגבת (מבלי לקרוא?)- ״אנחנו לא משווים מערכת מושלמת למערכת פגומה, אנחנו משווים שתי מערכות פגומות ובודקים איזה פגומה יותר.״ ״בכרטיס אשראי מה שקורה הוא מחזירים את הכסף. בבחירות?״ אז, זהו, ואני מרגיש שאני קצת חוזר על עצמי, בבחירות ידניות אתה מאבד את קולך, בבחירות אלקטרוניות אתה מקבל הזדמנות להציע מחדש. לדעתי ברור לגמרי מה גרוע יותר. |
|
||||
|
||||
אי אפשר לפסול רק קול אחד בבחירות, כי זה דורש לשמור במערכת ההצבעה את השיוך של המצביע להצבעה (הבחירות חייבות להיות חשאיות). לכן אפשר לחזור (אם מסכימים שזה לגיטימי) על ההצבעה של קלפי שלמה או כל בלוק שלם מספיק גדול של מצביעים שאותו שומרים. כמו בבחירות ידניות. |
|
||||
|
||||
"הבחירות חייבות להיות חשאיות" כזכור, אני מטיל ספק בחשיבות של החשאיות. |
|
||||
|
||||
המוטיבציה להיכנס לחשבון בנק האישי שלי היא די קטנה, גם מאחר שבין כניסה שכזו לבין גניבת הוני הזעום עדיין יש מרחק רב. המוטיבציה לזיוף בחירות גבוהה בסדרי גודל, מאחר ואפילו במדינתנו הקטנטונת כוחו של השלטון שקול למיליארדי שקלים. למשל, זו מוטיבציה דומה לפריצה לאתרי ביטקוין וגניבת מאות מיליוני דולרים. וראה זה פלא, פריצות שכאלה כבר קרו לא פעם ולא פעמיים. לגבי כרטיסי ויזה, למשל, אני כבר זכיתי פעם לגלות שמישהו בטאיוון משתמש באיזה שלי, ונאלצתי להחליף כרטיס. ואני מכיר עוד מקרים. יתירה מזו - צריך לסגור שבבחירות החשוד המיידי בזיופים הוא בדיוק החתול ששומר על השמנת - השלטון הנוכחי (לא משנה מאיזה צד של המפה), ולו הרבה יותר קל לפצח מערכת אבטחה שהוא בנה, מאשר לסתם האקר מזדמן. |
|
||||
|
||||
"המוטיבציה להיכנס לחשבון בנק האישי שלי היא די קטנה, גם מאחר שבין כניסה שכזו לבין גניבת הוני הזעום עדיין יש מרחק רב." 1. כמה אתה חושב שהקול שלך שווה? יותר או פחות מההון ה"זעום" שלך? 2. הרי צפריר הסביר, בדיון הזה ממש (ובצדק), שברגע שיש לך פרצה אלקטרונית קל לך לנצל אותה פעמים רבות. ז"א, אם מישהו מצא פרצה באתר של בנק הפועלים, הוא מן הסתם לא יפרוץ רק לחשבון שלך. הון זעום כפול 100 זה כבר הרבה פחות זעום. "המוטיבציה לזיוף בחירות גבוהה בסדרי גודל, מאחר ואפילו במדינתנו הקטנטונת כוחו של השלטון שקול למיליארדי שקלים." 1. בשביל זה לא מספיק לפרוץ מאה או אלף קולות, בשביל להשיג את השלטון אתה צריך לפרוץ ליותר מ2 מליון קולות. באותו אופן, אם תצליח לפרוץ ליותר מ-2 מליון חשבונות בנק תרוויח די הרבה כסף. 2. וכמובן, גם אם תצליח לפרוץ, לא תוכל לשים את עלה ירוק כמפלגת רוב, ז"א תצטרך לזייף את הבחירות באופן משכנע מספיק על מנת שאנשים לא יחשדו בזיוף, אולי להעביר איזה חבר כנסת אחד או שניים, להוריד איזה מפלגה קטנה מתחת לאחוז החסימה, להעלות מפלגה אחרת מעל אחוז החסימה, להעביר את השלטון בין שתי המפלגות הגדולות, זה הרבה (מאד) כסף, אבל זה לא שתקבל את המפתח לקופת המדינה. "זו מוטיבציה דומה לפריצה לאתרי ביטקוין וגניבת מאות מיליוני דולרים. וראה זה פלא, פריצות שכאלה כבר קרו לא פעם ולא פעמיים." כאמור, לא מערכת מושלמת ולא התיימרתי להציג אותה ככזאת - אבל למה אתה מתכוון ב"קרו כאלה בעבר"? פריצה לביטקוין? איך? "אני כבר זכיתי פעם לגלות שמישהו בטאיוון משתמש באיזה שלי, ונאלצתי להחליף כרטיס. ואני מכיר עוד מקרים." אתה מדבר על גניבת מספר (ושימוש בו), לא על כניסה בשמך לאתר שלהם, נכון? אם כן, זה לא רלוונטי. "צריך לסגור שבבחירות החשוד המיידי בזיופים הוא בדיוק החתול ששומר על השמנת - השלטון הנוכחי (לא משנה מאיזה צד של המפה), ולו הרבה יותר קל לפצח מערכת אבטחה שהוא בנה, מאשר לסתם האקר מזדמן. " נקודה טובה, אבל גם את המערכת הנוכחית בנה השלטון... כל הצעה להחלפה של המערכת הנוכחית חייבת לעבור בדיקה קפדנית של הפרטים הטכניים על ידי כל הצדדים. |
|
||||
|
||||
פריצה לביטקוין - תן לי לגגל את זה בשבילך. זה רק באתרים בעברית. |
|
||||
|
||||
לא פרצה במערכת ביטקוין עצמה, אלא במערכת נלווה: אחסון ארנק או משהו דומה. אבל לצורך העניין זה אותו הדבר. אחד הדברים הכי קרובים לפרצה במערכת עצמה היה הפרשה של החוזה החכם DAO במערכת אתריום. חוזים חכמים הם בעיקרון משהו שקיים כבר בביטקוין, אבל במערכת אתריום הם הרבה יותר מפותחים. מדובר על התחייבות שהרשת יודעת לאכוף (ולכן היא כתובה בשפה שהרשת צריכה להכיר). אני לא מכיר בדיוק את הפרטים, אבל באופן כללי נדמה לי שהחוזה הזה נועד לאפשר משהו כמו מימון המונים (ולכן זהו חוזה עם הרבה שותפים). ומישהו חכם מצא פרצה (באג, בעברית) בניסוח החוזה שאפשרה לכל אחד (ובפרט: לו) למשוך את כל הכסף שכולם הפקידו. |
|
||||
|
||||
פריצה לבורסות שמחזיקות מיליארדי דולרים בביטקוין ושאר מטבעות קריפטו. מה הלאה? אני אכתוב "פריצה לבנק" ומישהו יכתוב שבעצם לא ממש פרצו לבנק, אלא לחשבונות הלקוחות של הבנק? ולמי שהניסוח לא היה ברור, תוצאות החיפוש שקישרתי אמורות להבהיר את הכוונה בקלות. |
|
||||
|
||||
גיגלתי וגיגלתי ולא מצאתי. אשאל שוב, היו פריצות לביטקוין? לא שזה רלוונטי לדיון, הרי אני מציע משהו שונה לחלוטין, משהו כמו אבטחה של הבנקים או כרטיסי האשראי, ולשם כולנו יודעים שהיו פריצות. זה פשוט מעניין אותי. אם היו כאלה, איך? |
|
||||
|
||||
אתה כנראה נחוש לנטפק את הניסוח, להיתמם ולהתעלם מהטיעון העקרוני1 (כמו שגם צפריר ציין). תהנה. 1 כנראה כי אין לך תשובה טובה. |
|
||||
|
||||
תקרא שוב את תגובה 709081 ותגובה 709090 ותענה לי בכנות - מי מאיתנו ״נחוש ללנטפק את הניסוח, להיתמם ולהתעלם מהטיעון העקרוני״? |
|
||||
|
||||
בכנות - לא אני. |
|
||||
|
||||
בכנות, לא התייחסת לשום דבר ממה שכתבתי ואני התייחסתי לכל מה שכתבת. התגובה שלי היתה עניינית, התגובה שלך היתה מזלזלת. חשבת שמצאת טעות באחד מעשרה המשפטים שכתבתי נתפסת למשפט הזה תוך כדאי התעלמות מכל הזאר וניסית לצחוק עלי... גם אם כן הייתי טועה, יש דרכים פחות מנטפקות ויותר ענייניות לענות. במקרה הנוכחי, כשאתה זה שטעה, על אחת כמה וכמה. אז עכשיו אתה גם מטיף לי מוסר?! באמת? אני לא עונה לעניין? אני מנטפק? אין לך מראה? |
|
||||
|
||||
ומעבר לכך: אני מבין שכבודו יודע לכתוב מערכת הצבעה ללא באגים ופגמים, בניגוד לכל האחרות שקיימות ובמקרה פגומות. |
|
||||
|
||||
״אנחנו לא משווים מערכת מושלמת למערכת פגומה, אנחנו משווים שתי מערכות פגומות ובודקים איזה פגומה יותר.״ - כבודו יודע לקרוא? |
|
||||
|
||||
חשבתי שאנחנו משווים מערכות קיימות ולא מערכות שקיימות אי שם בדמיונך. |
|
||||
|
||||
שתי המערכות: 1. מערכת הזיהוי שבכניסה לחשבון בנק אלקטרוני\\חשבון כרטיס אשראי. 2. מערכת הזיהוי שבכניסה לקלפי. שתיהן קיימות? למיטב ידיעתי, כן. שתיהן פגומות? אני משוכנע שכן. את שתיהן אנחנו משווים. למיטב ידיעתי, השנייה זולה יותר (ביחס למספר המזוהים, כשמדובר במספרים גדולים מספיק) ואמינה לא פחות. בשביל שתשכנע אותי שאני טועה, ז"א שהשנייה אמינה פחות או יקרה יותר לא מספיק שתסביר לי שהיא לא מושלמת, על זה אנחנו מסכימים, אתה צריך להראות שיש לה יותר פגמים מהראשונה ושהיא זולה מהראשונה. כל זמן שאתה מתעקש להתעלם מהפיל באמצע הטיעון שלך, אין לך סיכוי לשכנע אותי. העובדה שרוב, אם לא כל, הבנקים, שכידוע אוהבים את הכסף שלהם, החרו לאפשר את הראשונה, מעידה, לדעתי, שהיא זולה יותר, העובדה שרוב הלקוחות, שכספם יקר להם יותר מקולם, בחרו בראשונה, מעידה, לדעתי, שהיא לא פחות פגומה. |
|
||||
|
||||
אנחנו מדברים על מערכות הצבעה. לא רק מערכות הזדהות. אנא המשך. |
|
||||
|
||||
איבדת את ההקשר של הדיון. אתה שאלת: "מי בודק את זהות המצביעים? איך מבטיחים חשאיות הצבעה?" ולשאלה הזאת אני מתייחס. אם אתה חושב שנתתי תשובה טובה (ואני חושב שבהחלט עשיתי את זה, די מזמן אם להיות כנה) ואפשר לעבור לשאלה הבאה, אז בו נסכם שהשאלה הזאת נענתה ותשאל את השאלה הבאה. אם אין לך יותר שאלות אפשר לסכם את הדיון כזה שאין לך טיעונים משכנעים. |
|
||||
|
||||
אם אתה לא דורש לשמור על חשאיות ההצבעה, אין על מה לדבר. חלק גדול מהבעיה נובע מהצורך הזה. לצורך העניין אפשר לחשוב על מערכת הצבעה שבה אין מעטפות ועל פתק ההצבעה כותבים (מוועדת הקלפי) את זמן ההצבעה ומספרו של המצביע ברשימה. הרבה יתר מסובך לרמות בדרך זו. אפשר גם לפסול הצבעה בודדת. אבל אני דווקא כן רוצה לאפשר למצביע להסתיר את הצבעתו מוועדת הקלפי. |
|
||||
|
||||
אז לשאלת הזיהוי קיבלת תשובה? והתשובה מוסכמת עליך? או שאתה משנה נושא על מנת לחזור לשאלה הזאת בהמשך? לגבי החשאיות, יש כמה רמות לויתור על החשאיות. יש הבדל בין ויתור על החשאיות בה אתה דורש מכל מצביע לפרסם בפומבי את שמו, תמונתו, כתובתו והמפלגה לה הוא מצביע לבין ויתור על חשאיות בה אתה שומר בקובץ נתונים שמור ככל הניתן את הקישור בין המצביע לבין הצבעתו. נהוג להניח (בצדק לדעתי) שבעוד ששינוי מאגר כזה, במידה והא בנוי בצורה מאובטחת מספיק הוא קשה, הצצה למאגר כזה קלה יותר. ובכל זאת, אנחנו כבר היום שומרים הרבה דברים חשאיים במאגרים כאלה (התיק הרפואי שלנו, המיסים שלנו, חשבון העו"ש שלנו, התיק הפלילי שלנו). ז"א לא מדובר בויתור מוחלט על החשאיות, מדובר בויתור מסויים על החשאיות. אם אתה לא רוצה לוותר על החשאיות אתה יכול לשים את הקישור הזה בבלוקים (ז"א, במקום אבגיל הצביעה לא ובנימין הצביע לב', בבלוק שכולל את אביגיל ובנימין הצביעו לא' וב'). אתה יכול לשחק עם גודל הבלוק כרצונך, קטן יותר, פחות חשאי, גדול יותר יותר קשה לתקן פריצות. אם יש לך חשד שבלוק כזה נפרץ אתה יכול למחוק אותו (שזה כמו לפסול קלפי, ז"א זה המצב הנוכחי, ז"א הפגמים של שתי השיטות זהות במקרה הזה) או להצביע שוב (וזה, כאמור, הרבה יותר קל מהצבעה חוזרת של קלפי שלמה, ז"א הפגם של השיטה שלי פחות רע מהפגם של השיטה שלך) בנוסף, להבדיל מקלפי פיזית, אתה יכול לחבר את הבלוק באופן אקראי. היום, בישראל, הימים יודע שכדאי לו לפסול קלפיות בישובים ערבים או בקיבוצים והשמאל יודע שכדאי לו לפסול קלפיות בהתנחלויות או בשכונות חרדיות, אם הבלוקים יהיו אקראיים המוטיבציה לפסול בלוק ספציפי תרד באופן משמעותי, ז"א גם כאן, הפגמים של השיטה שלי פחות גרועים מהפגמים בשיטה שלך). |
|
||||
|
||||
לא בדיוק. כי ככל שהנתונים עוברים דרך רחוקה יותר כאשר הם עדיין מזוהים, הסיכוי של מישהו לרשום אותם בצד עולה. וצריך לזכור שאי אפשר לבנות על חיבור רשת של הקלפי לרשת המרכזית, כי בשלב מסוים במהלך היום הוא ייפול. |
|
||||
|
||||
אז, זהו, סיימנו אם בעיית הזיהוי? פתחנו נושא חדש? וכשאני אענה לזה תתעלם ותפתח נושא חדש או שאתה מתכנן לחזור לזיהוי ולעלות את אותן ״בעיות״ עליהן אניתי מתוך תקוה שאשכח את תשובותי? אני לא מבין את השיטה שלך. למה אי אפשר לגמור נושא אחד לפני שקופצים לאחר? ״ככל שהנתונים עוברים דרך רחוקה יותר כאשר הם עדיין מזוהים, הסיכוי של מישהו לרשום אותם בצד עולה״ אני חושב שהצפנת נתונים היא בעייה די פתורה, אבל נגיד והצלחת לפרוץ את המפתח שלהם, ובחרת לשבת דווקא בין הקלפי למרכזי הספירה (ולא, נגיד, בין בנק הפועלים לבין סונול, אני בטוח שזה קו ששווה הרבה יותר כסף) -אין סיבה לשמור על הקשר המלא בין המצביע להצבעתו, מספיק לשמור את הקשר הין הבלוק של המצביע למספר ההצבעות. אז כן, פגעת במידה מאד מצומצמת (מספיק מצומצמת עד כדי שאפשר להגיד שהיא לא קיימת) בחשאיות הבחירות, אבל זה קיים גם המצב הנוכחי, ומראש אמרתי שאני מוכן לוותר על הרבה יותר ממה שויתרנו עד עכשיו. אני לא רואה איך המסלול הזה יעזור לך לשכנע אותי. ״צריך לזכור שאי אפשר לבנות על חיבור רשת של הקלפי לרשת המרכזית, כי בשלב מסוים במהלך היום הוא ייפול.״ זאת לא באמת בעייה... גם אם בשלב מסויים הוא יפול לכמה דקות תוכל להמשיך לשלוח כשהוא יתחדש, בינתיים תשמור את זה במקום (שבשום פנים ואופן לא יהיה פגיע יותר מהמצב הנוכחי). מה קורה כשאתה רוצה קנות משהו והקשר בין החנות למאסטרכארט נופל? אז זהו? סוגרים את כל החנויות? עוברים להשתמש במזמן בלבד? זה לא נשמע לי כמו בעיה רצינית... מה יקרה אם תפרוץ שריפה בקלפי? מה יקרה עם סופה תזיז את הפרגוד בדיוק כשבחרת את הפתק שלך? מה יקרה אם מישהו התקין מצלמה מעל הקלפי? מצטער, שתי השיטות לא חסינות לחלוטין, ואסון בלתי סביר יכול לפגוע בשתיהן באותו אופן ובאותה רמה של סבירות. |
|
||||
|
||||
בוא נעשה תרגיל: נניח שאני יודע איך עובד המיפוי לבלוקים (זוהי הנחה פסימית סבירה לגבי תוקף. גם אם המידע הזה יוסתר, הוא יכול לדלוף). לכן אם אני יודע שמישהו מבלוק 144 הצביע בקלפי 3 ברמת גן: כמה אפשרויות יכולות להיות לזהות המצביע? הצפנה היא בעיקרון בעיה פתורה. הבעיה היא תמיד במימוש. מחשב הוא מכונה עם הרבה יותר חלקים נעים מאשר קלפי והרבה יותר מקומות להסתיר פרצות. מה יקרה אם תפרוץ שריפה? מה יקרה אם מישהו יתקין מצלמה בקלפי? משקיעים הרבה כדי שזה לא יקרה. אבל זה גם איום על קלפי אוטומטית (ומחייב אבטחה פיזית). מה יקרה אם סופה תזיז את הפרגוד? בגלל זה הקלפיות הן תמיד בחללים סגורים. |
|
||||
|
||||
לצערי אולי הנקודה העיקרית כאן, מעבר לכל הנקודות הטכניות המוצדקות שאתה מעלה, זה שבניגוד לבנק - שיש לו אינטרס כמעט אינסופי למנוע פריצה משמעותית שעלולה ממש להביא לקריסתו1 - למי שיוצר וממונה על אבטחת ההצבעה יש אינטרס עצום לאפשר לעצמו זיופים. זה בערך כמו בנק שמומחי האבטחה שלו יקבלו מיליארד דולר אם ישאירו דלתות אחוריות פתוחות. כיוון שכך הוא, אחת המטרות הראשיות של מנגנון ההצבעה הוא להקשות ככל האפשר דוקא על הרשויות והשלטון עצמו לייצר זיופים בקנה מידה גדול. בשיטה של היום - האנלוגית, המסורבלת, הידנית והארכאית, אפילו אם המפקח על טוהר הבחירות בכבודו ובעצמו רוצה להטות את התוצאות, ממש קשה לו להוציא לפועל את זממו. דוקא בגלל הפרימיטיביות של המנגנון. 1 בין אם נהירה המונית של הלקוחות לבנק אחר כשתפורסם הפריצה, או חיוב הבנק לכסות את הנזק ללקוחות. |
|
||||
|
||||
שלא לדבר על ניקוב חלקי |
|
||||
|
||||
אני מבין שהדו שיח שלנו הוא חד שיח, אתה שואל ואני עונה, אני שואל ואתה מתעלם? מה עם הזיהוי?פתרנו את הבעיה הזאת? יש הסכמה? אפשר לעבוא הלאה? אתה שומר תחמושת שכשימאס לי תוכל להגיד לעצמך שאין לי תשובות? מה הקטע עם הטכניקה הזאת? מה אתה מרוויח מהשיטה הזאת? אני פשוט לא מבין. ״לכן אם אני יודע שמישהו מבלוק 144 הצביע בקלפי 3 ברמת גן: כמה אפשרויות יכולות להיות לזהות המצביע?״ -אני חושב שהמשפט- ״אז כן, פגעת במידה מאד מצומצמת (מספיק מצומצמת עד כדי שאפשר להגיד שהיא לא קיימת) בחשאיות הבחירות, אבל זה קיים גם המצב הנוכחי, ומראש אמרתי שאני מוכן לוותר על הרבה יותר ממה שויתרנו עד עכשיו. אני לא רואה איך המסלול הזה יעזור לך לשכנע אותי.״ ענה בדיוק לשאלה הזאת. ״הצפנה היא בעיקרון בעיה פתורה. הבעיה היא תמיד במימוש. מחשב הוא מכונה עם הרבה יותר חלקים נעים מאשר קלפי והרבה יותר מקומות להסתיר פרצות.״ גם לזה עניתי אז אם פתרת את הבעיה הזאת, ברכותי, למה להתמקד דווקא בתקשורת בין קלפי 3 ברמת גן ולא בתקשורת בין הבנק הממלכתי של קנדה לבין הבורסה בניו-יורק? ברור איפה תרוויח יותר כסף, לא? ״... משקיעים הרבה כדי שזה לא יקרה. אבל זה גם איום על קלפי אוטומטית (ומחייב אבטחה פיזית).״ אבל להשקיע טיפונת על מנת להבטיח קו יציב ב-2019, זה נשמע לך מופרך?! ברצינות? ״מה יקרה אם סופה תזיז את הפרגוד? בגלל זה הקלפיות הן תמיד בחללים סגורים.״ סופות טורנדו יכולות להרוס חללים סגורים, צריך לשים קלפיות במקלטים? הנקודה, אני חוזר שוב, היא שאנחנו לא משווים פתרון מושלם לפתרון פגום, אנחנו משווים שני פתרונות פגומים. אני לא מסתיר את העובדה שפתרון שלי יש פגמים, אני רק טוען, ולדעתי בצורה משכנעת, שהוא הרבה פחות פגום מהפתרון שלך, ולכל פגם שמצאת עד עכשיו מצאתי פגם מקביל רק יקר יותר ובעל סיכוי גבוה יותר בהצעה שלך. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |