Transcripción al español de “Going from Bad to Worse: From Internet Voting to Blockchain Voting”
Publicado en el canal de Youtube de Charles Hoskinson el 16 de Noviembre de 2020
Enlace a la versión doblada al español
Hola a todos, este es Charles Hoskinson transmitiendo en vivo desde la cálida y soleada Colorado. Acabo de volver desde Wyoming estaba, corriendo por ahí por Gillette en Wyoming, pasando el rato con mis padres, echando un vistazo a algunos ranchos, fue un tiempo encantador este fin de semana y alguien en Twitter me hizo un ping y dijo “hey, hay un hermoso documento del MIT”, escrito por Ron Revist, Niha y un montón de otros compañeros, Michael Specter y Sunoo Park, MIT Harvard, hablando sobre votación basada en blockchain, y la cuestión del documento es que la votación por internet es mala y la votación a través de blockchain es aún peor. Es en realidad un documento muy divertido de leer, tiene unas 24 páginas, dentro tiene un montón de preguntas interesantes y un buen marco de trabajo para mirar las elecciones. Aunque no estoy en absoluto de acuerdo con el contexto del documento, aunque sabes, es un poco atrevido ponerse de pie ante la RSA, esto es un gran ejemplo del poder del método científico en el proceso del ámbito académico. En realidad es un muy buen documento para pensar en las elecciones en general y les recomendaría encarecidamente que lo lean y proporciona una definición bastante buena de las elecciones basadas en evidencia y dicen que son necesarias pero no necesariamente condiciones suficientes para satisfacer la habilidad de tener auditabilidad y auditoría en tu elección. Así que ellos como que esbozan cinco puntos en el documento, propiedades que las elecciones deberían tener. El secreto de la boleta, independencia del software, votante verificable, impugnación de boletas y luego, obviamente, algún mecanismo de auditoría. Luego pasan a hablar de algunos de los desafíos que tienen tanto las blockchain con y sin permiso y el voto electrónico en general, y toman la posición que básicamente la votación en línea y la votación basada en blockchain realmente no tienen estas propiedades como un sistema autónomo. Si se hace híbrido con un sistema de papel y estás usando blockchain para una instalación conocida como un tablero de anuncios público o un tablero de anuncios autenticado, entonces no son tan despectivos. Pero sin embargo es un documento muy interesante y creo que al final de esto, veamos, ¿dónde estaba esa sección?, en la página, diseño del mecanismo de seguridad, ah, preguntas críticas en la página 16, donde en realidad pasan por un montón de cosas como las partes interesadas, adversarios, objetivos de seguridad, modelo de amenaza, diseño del mecanismo de seguridad, elecciones basadas en evidencias, investigación y transparencia, etc.
Así que el problema cuando tienes criptógrafos hablando de algo, es que sólo tienen parte del rompecabezas y también tienes que pensar realmente alrededor de los componentes sociales del sistema. Por ejemplo, una de las cosas fundamentales que luchan muy agresivamente, desde una perspectiva de seguridad, es este concepto de secreto del voto, ¿por qué?, porque uno no quiere que la gente sepa por qué votaste de una manera u otra, tu voto debe ser secreto, pero tampoco deberías ser capaz, personalmente, de probar que votaste por un candidato a o b, porque tu principal preocupación ahí es la venta del voto. Y aquí está la realidad, ya no vivimos en el siglo 19 donde la venta de votos es desenfrenada, vivimos en una era altamente digitalizada, y hay medios mucho mejores para las personas para interferir e intervenir en elecciones que ir a Alice y decir “si votas por el candidato X te daré un bote cargado de dinero”. Aquí hay un buen ejemplo de los Estados Unidos, si miras estadísticas demográficas, ciertas demográficas tienden a votar por ciertas persuasiones políticas mucho más que otras. Por ejemplo en los Estados Unidos los Afroamericanos históricamente votan alrededor del 80 a 90 por ciento demócratas en las elecciones presidenciales. Así que una estrategia racional de teoría del juego, si quisieras comprar votos, en lugar de intentar gastar cinco millones de dólares tratando de convencer a personas al azar de que voten por tu candidato demócrata, elige tu favorito, sería en cambio gastar esos cinco millones de dólares yendo a lugares donde la gente típicamente no vota, pero son de ese grupo demográfico y simplemente registrarlos, porque sabes que ocho o nueve de cada diez que se registren probablemente votará por tu candidato. Por lo que es una estrategia significativamente más racional gastar el dinero de esta manera y técnicamente hablando no es una violación del secreto de votación o venta de voto o estas cosas. Estos son ejemplos que ya sea que estés basado en un sistema de papel o blockchain, realmente no puedes hacer mucho al respecto y esos son medios mucho más eficaces para obtener cientos de miles de votos extra de una manera u otra, ¿ok? Así que estos son ejemplos de cosas que no se abordan en el documento, pero son increíblemente importantes cuando piensas sobre la meta de un sistema de votación en general, es que si sabes ciertas cosas sobre cómo votan ciertos grupos demográficos, puedes usar ese hecho para tomar ventaja del sistema tal como está.
Ahora la otra cosa es que hay dos quejas muy justas en el documento, la primera es que somos pésimos en gestión de llave pública y privada, el tipo que la inventó, Ron, probablemente es una muy buena persona para decirte eso y la infraestructura de clave pública es algo importante. La realidad es que no puedes hacer votación electrónica a menos que tengas un tablero de anuncios autentificado. No es suficientemente bueno decir “puedo hacer clic en un botón y votar”, necesitas algún tipo de simetría en el sistema donde lo que se introduce en el sistema no puede ser forjado, y tiene un grado de no reproducibilidad sobre ello. La única forma en que realmente puedes hacer eso efectivamente es con una firma digital, a cierta capacidad, bien. Pero, ellos muy acertadamente señalan que la infraestructura de clave pública es muy dura en la práctica y dicen “hey, cientos de millones de dólares en valor de criptomonedas se han perdido porque no somos tan buenos manteniendo seguras nuestras claves privadas”. Con eso dicho, nuestra industria entera se despierta todos los días y trata de encontrar formas de hacer esto más utilizable, más seguro, etc. También señalan algunas cosas en el documento que creo que son muy injustas, tomé algunas notas, por ejemplo cuando dijeron, déjame encontrar las notas que tengo aquí, oh por ejemplo ellos dijeron que la votación en línea puede que no aumente la participación, eso es relativamente contraintuitivo, porque en cualquier momento que haces que el voto sea más accesible, esperarías que más gente hiciera eso y señalan algunas de las elecciones cantonales que se hicieron en Suiza, es una de las citaciones, así como la disminución de la participación de los votantes en Bélgica, algunas cosas en Estonia y Canadá, o cómo la votación en línea simplemente favorecerá a una clase de personas o a la otra. Creo que la mayoría de la gente está de acuerdo en que un sistema de votación híbrido tiene mucho sentido, y no veo una realidad en la que te muevas completamente de un sistema basado en papel a uno basado en blockchain. Lo que preferirías hacer es que dirías “está bien que puedas hacer cualquiera de las dos cosas”, por ejemplo en los Estados Unidos puedes votar en persona o puedes recibir una boleta por correo. De manera similar puedes votar en persona con una votación por correo o puedes hacer una votación en línea, no me queda claro cómo eso priva a los votantes del derecho a voto o reduce la participación. La otra cosa es que puedes tener, con un sistema de votación electrónica, una complejidad de votación significativamente más involucrada o un conteo más rápido de la gente, así que puedes usar diferentes sistemas de votación, como votación ordenada por ranqueo y otras cosas mucho más cómodamente, puedes tener boletas mucho más grandes y elecciones más frecuentes, etc. También hubo un poco de selección de cerezas cuando señalaron que un sistema de votación basado en blockchain en Moscú estaba horriblemente roto, yo estaba en la conferencia en la que eso fue discutido, creo que era Real World Crypto en Colombia, a principios de este año, y recuerdo esa presentación bastante bien, y sí, es muy justo señalar que ese sistema estaba terriblemente roto, pero eso no es necesariamente una muestra representativa del estado de la técnica, y es muy fácil para mí, si estoy tratando de seleccionar un nuevo sistema cripto, simplemente elegir los peores sistemas posibles o sistemas que no están bien construidos.
También hay una pequeña cosa que dice que los gobiernos pueden proporcionar recursos legales a las víctimas, cuando hablaban de las diferencias entre las compras en línea y banca en línea, y cómo estos son umbrales más bajos que el voto electrónico. Parecen hacer esta afirmación de que no hay forma de hacer que los votantes vuelvan a estar completos si hay una elección comprometida. Eso no es verdad, materialmente no es cierto, y la razón es que tenemos la elección, pero la gente elegida no asume el cargo hasta mucho más tarde después de la elección. Por ejemplo en los Estados Unidos tuvimos la elección en Noviembre y el presidente no asume el cargo hasta Enero, creo que es el 20 o el 21 no puedo recordar la fecha, lo que da mucho tiempo para auditoría, supervisión, impugnación, y esa es una de las propiedades que impulsan, es esta noción de impugnabilidad. Así que si hay una sospecha de que el sistema, tras la auditoría obligatoria o ejecutada, se ve comprometida de alguna manera, entonces hay muchas oportunidades para rehacer las elecciones, o una gran oportunidad para invalidar parte de la elección e intervenir. Así que puedes construir latencia entre el momento en que los nuevos candidatos toman el cargo y cuando sucede la elección, todo tipo de recursos, no creo que eso sea justo en absoluto. También hay un concepto que es lectura literal del documento “los usuarios de Bitcoin y otras criptomonedas han perdido cientos de millones de dólares debido a robo, fraude o error, las criptomonedas tienen menos mecanismos de absorción de riesgos que la banca tradicional”. Eso tampoco es cierto, puedes construir todo tipo de cosas con contratos inteligentes y gobierno para la reversibilidad, supervisión, puedes utilizar multi firma, tienes cuentas de depósito en garantía, hay todo tipo de mecanismos de puesta en escena. Puedes reescribir la lógica del sistema, así que estos sistemas son mucho más flexibles en general que un sistema de comercio electrónico tradicional normal o el sistema bancario en línea y no estás a merced de la gente. Pero bien, ya sabes, y entonces ellos entran en cosas como el software e independencia y estoy de acuerdo, es un problema increíblemente difícil, tienes esta cuestión de que nosotros no tenemos entornos operativos seguros, los estamos buscando y los construimos en ciertos dominios, como por ejemplo el tratamiento de información clasificada, existen skiffs y otras cosas y la gente invierte billones de dólares en la construcción de sistemas de brecha de aire muy sofisticados que son inmunes a la coacción o a la manipulación externa, pero en general es muy caro y difícil para construir un sistema que sea ubicuamente seguro. Este es el santo grial de la seguridad de información y dijo muy acertadamente que es difícil evitar una infraestructura comprometida, hay muchos vectores de ataque, por eso un sistema híbrido tiene mucho sentido, porque tienes los medios para mirar eso. Ahora verificabilidad del votante, esta es una que creo que es muy injusta dicen “incluso antes de que los votos sean emitidos, un votante debe ser capaz de verificar por sí mismo que su boleta preparada refleja su intención de opciones”. Yo no tengo manera con una boleta de papel de saber si mi boleta fue realmente contada y en realidad reflejó mis opciones o no, sólo tengo que tener fe en contadores externos que de hecho eso fue contado. Así que dejemos claro aquí que la construcción de boletas es un problema, con un sistema digital lo que puede pasar es que cuando someta mi boleta a un tablero de anuncios público, puedo tomar un hash de lo que he presentado, todos esos metadatos y datos y firmar eso con un DID o algún tipo de identificador y puedo comprometer eso con un tablero de anuncios autentificado. Ahora bien, si hago eso, siempre podré verificar que mi boleta de hecho fue publicada y grabada correctamente. Ahora dicen “bien, no deberías hacer esto porque si puedo revertir el hash entonces puedo probar a una parte externa que voté por Trump o por Biden u otras cosas como esa y entonces podría potencialmente vender mi voto”. Así que podrías crear un sistema donde tienes negación plausible, donde puedo verificar que voté de cierta manera, pero puedes poner otra forma de hacer la verificación para que puedas hacer que parezca que votaste por alguien más, así que si alguien intenta comprar mi voto siempre podría hacer, por ejemplo, parecer como si hubiera votado por un candidato en particular, así que esa es una forma en la que puedes mirar eso. Y puedes construir una puerta trasera en el sistema, donde hay una pieza adicional de información que el gobierno podría poseer, que permitiría al gobierno saber cuál de ellos es legítimo, pero vos no podrías demostrar eso. La ventaja ahí es “criterio número cinco, auditabilidad”. Ahora, si yo tengo la habilidad de revertir un hash, lo que el gobierno puede hacer es elegir un subconjunto estadísticamente significativo de la gente que votó, y luego simplemente decir “si demuestras que tus imágenes previas son correctas y compruebas eso y no es un error en el sistema, podemos darle un beneficio como un crédito de impuesto”, por ejemplo. Así que ¿por qué no hacer que la gente que votó proporcione auditoría y supervisión del sistema? Si tienes DIDs o DID alias no pueden conectarlo a compromisos no reputados en el sistema, parece que en realidad sería una forma razonable de hacer cosas y en realidad tienes un gran grado de auditabilidad ahí, a diferencia de la auditabilidad existente, donde por ejemplo si perdemos los sobres es imposible verificar si una boleta es legítima para el desequilibrio de correo, pero está bien. La refutabilidad es otro ejemplo de eso, tengo que ser capaz de probar que voté de una forma particular para discutir que mi voto no fue registrado, y si tienes un tablero de anuncios público con compromisos firmados por un DID alias, podrías disputar si la imagen previa no era correcta, porque tendrías tu imagen previa y la gente tendría que forjar tu firma para conseguir un compromiso diferente, pero está bien. Luego ellos hablan sobre diferentes categorías de sistemas de votación dentro del papel y creo que es bastante interesante, pero siguen diciendo una y otra vez, la conclusión del documento, ellos hablan verificabilidad de extremo a extremo, ataques a nivel de sistema, sí en la sección 2.4, en la página número nueve y en realidad es muy agradable que ellos citaron el trabajo de Ari Juels y la propuesta Civitas con Clarkson y también las notas de fundación de voto de USA sobre verificabilidad, y hay un gran documento en el que hablan de muchos de los desafíos y la maduración que se requiere ahí. Así que es bastante bueno y hablan mucho sobre la transparencia en la sección 2.5, y luego diferentes sistemas blockchain, de modo que es un gran documento en el que muestra cuán complejas son las cosas cuando se habla de construir un verdadero sistema de votación. Y hay una ventaja verdadera con un sistema basado en papel, distribuido en persona, es muy difícil hackear ese sistema, especialmente si las máquinas cuentan con brecha de aire. Así que si quieres conseguir votación y blockchain tienes que responder tres cosas al mismo tiempo. Uno, tienes que averiguar cómo vas a manejar como sociedad los indicadores clave de rendimiento, por eso construimos Prism, es toda una filosofía sobre la gestión de identidad y cómo vamos a tomar la gestión de identidad en el siglo 21. Hay toda una clase de problemas de seguridad muy elegantes que existen ahí y una criptografía elegante que es requerida para hacer que sea significativo. Necesitas alguna noción de identidad para poder hacer elecciones, porque tienes este concepto de que los que están registrados y tienen derecho a votar, y los que realmente votaron, y necesitas un sistema de identidad para clasificar todo eso, que nosotros como sociedad aceptamos. En segundo lugar, necesitas la habilidad de tener no reproducibilidad y tener infalsificabilidad, la no reproducibilidad es este proceso en que yo más tarde no puedo decir “no, no, no, no, lo hice de otra manera”, es como una firma digital, cuando firmas algo, no es refutable, está firmado, no puedes anular la firma. Luego infalsificabilidad significa que tenemos que tener fe en que la gente no puede introducir datos en el sistema, boletas en el sistema que son ilegítimos. Así que esa es una enorme colección de problemas en sí mismo. Y en tercer lugar necesitamos un entorno operativo seguro, y ese entorno operativo seguro es otro de los santos griales de la ciencia de la computación, en la seguridad de la información y la criptografía en general, es una cosa muy, muy, muy difícil de lograr, pero en realidad estamos haciendo grandes progresos. Por ejemplo, mi teléfono tiene Samsung Knox, hay entornos de ejecución de confianza, tenemos cosas como las Yubikeys, dispositivos Ledger, Trezor y nada es 100 por ciento, pero en la vida, ¿qué es lo que impide que alguien vote con tu boleta de correo, cuando la ven la ponen en tu buzón de correo?, se llama cosecha de votos, hay una letanía de ataques que existen ahí, son de baja tecnología y se pueden hacer fácilmente. Y la verificación de la firma no necesariamente se hace siempre, mucha gente puede averiguar fácilmente cómo se ve tu firma, con sólo una modesta cantidad de ingeniería social.
Así que de nuevo, esto no es un juego de perfección, es sólo un juego de suficientemente bueno y luego hay una cuestión del dominio del voto. Así que, ¿estás votando todo digitalmente o simplemente estás votando, por ejemplo, sobre aprobaciones, o preferencias, o estás votando en elecciones locales pero no en elecciones federales para crear confianza en el sistema? Y luego está este concepto de universalidad de la auditoría y la supervisión, así que, por ejemplo, si tienes un software de código abierto y un sistema global abierto y transparente, entonces la sociedad puede colectivamente, iterativamente, mejorar el diseño del sistema e insertar todo tipo de controles y balances. Por ejemplo, un sistema de hombre de paja podría ser que después de votar y hacer tu compromiso al tablero de anuncios público, la blockchain, que el sistema pueda enviarte por correo ese compromiso, junto con un trozo del registro de datos, así que tienes un registro en papel de cómo las cosas fueron grabadas. Y si por alguna razón la base de datos se comprometió, que la gente pueda en realidad reensamblar las cosas. También tienes que decidir ¿son todas amenazas?, cosas que mantienes igual o ¿son ciertas amenazas peores que otras? Los adversarios externos tendrían un tiempo muy difícil rompiendo firmas, así que realmente la única cosa que podrían hacer es comprometer la base de datos de identidad y poner registros fraudulentos dentro. Ya sea si tienes un sistema de boleta de papel o tienes un sistema digital, ese es un ataque persistente, y todos los argumentos que se pueden hacer para las vulnerabilidades de software, también se pueden hacer para las vulnerabilidades del software ahí. ¿Qué me impediría poner 50.000 o 100.000 personas falsas en tu registro de votantes?, y dicen “bueno, tienen que tener direcciones o todas estas otras cosas”. Bien, pero ¿qué me impediría venir con un esquema para ello?, “oh, pero tiene que ser una cosa distribuida”. Bueno, si crees que eso es un problema entonces, ¿por qué te preocupa la venta de votos?, porque para que la venta de votos tenga algún impacto estadístico en la elección, tendrías que hacer la exacta misma cosa para atacar el sistema de votación por correo. Así que si dices que no es un problema ahí, pero es un problema para el sistema digital de boletas, estos son ejemplos de compensaciones. Y por eso creo que sin embargo es un documento interesante, lo leeré durante el fin de semana mucho más cuidadosamente y también pasaré por todas las citas con mucho más cuidado, pero es un tema que nos interesa bastante, y en realidad veré si puedo convencer a Aggelos de escribir algunas cosas sobre los desafíos del voto electrónico en general, y algunas de las más modernas investigaciones. Pensamos mucho en esto porque en realidad hacemos votaciones en línea para Cardano, y si este documento fuera exacto, básicamente la conclusión del documento sería que Catalyst no puede funcionar, y en cualquier momento un adversario externo puede entrar y comprometer todo el sistema. Y si este papel fuera exacto, supongo que la prueba de participación tampoco funcionaría, porque en cualquier momento la gente podría comprometer el sistema, etc. uno necesariamente no sigue al otro. Pero en general creo que es una gran pieza de trabajo, sabes, cualquier cosa que salga del MIT, a este nivel, siempre lo es, y de nuevo muestra la profunda complejidad en la construcción real de estos sistemas en la práctica. Así que cuando la gente dice votación basada en blockchain o votación electrónica, esa es una barra muy alta, y entiende que los sistemas de votación que tenemos hoy en día, bueno, son imperfectos, no son así por accidente, son así a través de años de prueba y error y lecciones y aceptando algunas duras realidades sobre cómo la tecnología funciona en general.
Pero creo que es esencial que nos movamos hacia el voto electrónico, porque necesitamos ser capaces de tener mucha más diversidad de boletas, muchos más tipos de sistemas de votación y sistemas de elección, tenemos que ser capaces de encuestar a nuestra población frecuentemente, especialmente para los referendos o cambios constitucionales o este tipo de cosas. Y también creo que no es aceptable que tus líderes sean elegidos con menos del 50 por ciento de la población dándoles ese mandato, eso significa que la minoría realmente decidió cómo va a ser la vida para la mayoría, y no es así como una sociedad democrática debería operar. Así que hay mucho que pensar, muchas gracias Twitter por enviarlo a mi manera y ya sabes, Niha, ella es genial, ella es parte de la iniciativa de moneda digital del MIT, y la he visto muchas veces a lo largo de los años y disfruté mucho tener grandes conversaciones con ella y ella es una verdadera experta en blockchain, una de las mejores personas alrededor para eso. Y también Ron es una leyenda viviente en los círculos de criptografía, realmente puedes decir cuando la gente sabe lo que está haciendo por lo escépticos que son de las nuevas y brillantes cosas porque entienden lo difícil que es hacer que estas cosas funcionen en la práctica y cuánto sufrimiento tuvieron para conseguir que las cosas viejas fueran razonablemente seguras. Así que aprecio el escepticismo y con suerte, seremos capaces de ofrecer un montón de soluciones interesantes, etc. Una gran felicitación a Ari Juels y el resto de la pandilla de gente que ha trabajado en este espacio y han estado pensando en este espacio durante mucho tiempo y han hecho progreso significativo, y los golpes de tambor continúan, saludos a todo el mundo.
- Documento original al que Charles hace mención: