О техническом оснащении современной политики (3)

[salikh]

Кстати, о сильной криптографии. Многие мечтатели, включая меня, впервые узнав
о шифровании с открытым ключом, электронных подписях и прочих чудесах,
немедленно погружаются в мечты и прожектерство разной степени детализации о том, как было
бы здорово сделать вот так и вот эдак, да ещё и таких финтифлюшечек приделать...

Между тем, в практической

Comments

[zoltan0]

Действительно, я сам не заметил Explorer :)

Последняя моя возня с сертификатами была связана как раз с IE и аутлуком. Там импорт прокатил как-то очень прозрачно. Но тут возможно был задействован какой-то хитрый javascript или дополнительные фичи IE (это внутренний интеловский сайт, а внутренние эти сайты на IE очень заточены). А до этого я с сертификатами возился ещё в сане на мозилле, и там я уже не помню насколько сложно было сертификат проинсталлировать.

В случае с социальными сетями боты будут даже в более привелегированном положении. Создают то как правило не одного, а сотни. Они все друг с другом передружатся, понапостят себе котиков и роликов из ютуба, и будут выглядеть обычными людьми, и у каждого по сотне френдов. В отличие от бота, у обычного человека, часто, и френдов, и постов гораздо меньше.

С паспортом совсем не понятно. Кто будет проверять что цифры соответствуют реально существующему документу? Это в банке специально обученный человек делает, то есть существует настоящий физический контакт, и специально обученному человеку доверяют что он не будет удостоверять кого попало.

Теоретически, что-то такое проделывается и в виртуальной среде, слышал, может про key signing parties (http://cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html)? Это когда много людей, находящихся физически вместе в одном месте, подписывают чужие ключи своей цифровой подписью, удостоверяя личность другого человека. Потом подписанные ключи выкладываются на так называемые key servers (например keyserver.net). Но, опять же, ботам никто не мешает проделать то же самое подписав друг другу свои ключи. Поэтому у подписи есть так называемый trust, это очень важно.

Доверять ключу, даже подписанному большим количеством неизвестных тебе людей, нельзя. Можно доверять ему только если он был подписан только кем-то до которого есть цепочка ключей подписанных подписями с достаточной степенью trust. Как такую проверку осуществить на сервере, я не знаю. Ну то есть тут ещё надо думать.

[salikh]

Web of trust -- это здорово, но в современных условиях он работает только с PGP-ключами, которые пока только теоретически можно использовать для защищенных голосований. Кстати, ребята из проекта http://gplvote.org, он же бывший http://cdemocracy.ru, ровно этим и занимаются. Они даже придумали key signing party проводить по скайпу, показывать паспорт и т.п.
Тут проблема состоит в том, что на практике все это осуществить можно, но пока не очень легко: требуется установка локального агента, нужно бережно хранить свой ключ, почти всем пользователям придется изучать принципы работы с системой. В итоге все это хоть и происходит, но с неимоверно маленькой скоростью. То есть количество людей, которые могут участвовать в полностью защищенных голсованиях на cdemocracy.ru сейчас исчисляется десятками в лучшем случае.

Совсем другое дело с PKI (корректно его называть X.509, если я не ошибаюсь), который по умолчанию вместо web of trust работает только с деревьями доверия, которые исходят из корней certificate authority. Зато пользователю не нужно ничего изучать, достаточно только скачать некий файлик и зарегистрировать его в своем браузере. Поэтому мне кажется, что хорошо написанная система на основе PKI могла бы быть внедрена на практике значительно раньше. Скажем, провели же голосование по поводу ораторов на митинге 24 декабря? Я исхожу из того, что лучше иметь неидеальный инструмент, который можно будет начать использовать прямо сейчас, чем что-то идеальное, но из будущего.

Насчет ботов в социальных сетях, спасибо за ценное указание. Если все так, как ты говоришь, то с ботами не справиться, просто отказывая аккаунтам без длинной истории. С другой стороны, количество ботов, созданных 2 года назад, оно конечно и не может вдруг вырасти. Если это количество не превышает 10% от количества настоящих людей, то тогда это бы ограничило возможности ботоводов для манипуляций. Но тут трудно говорить без конкретной информации на руках; а информацию можно собрать, только построив такую систему на практике и раскрутив ее сайт до определенного уровня -- т.е., немало работы.

Кстати, некий аналог web of trust можно скостерить даже на основе PKI -- пусть CA отдельно собирает сведения о том, кто из зарегистрированных пользователей ручается за других пользователей (скажем, за факт, что человек с именем, указанным в ключе, действительно существует). У такого решения слабым местом останется централизация, потому что нужно полностью доверять серверу, который будет заведовать сетью доверия. С другой стороны, все сложности будут решены на этом сервере, а пользователям останется только кликать на сайте согласно инструкции.