Voto telemático

04 October 2011

by Manuel Mollar
mm.vot at nisu.org

Contenido.

  1. Resumen
  2. El voto telemático
  3. Descripción
  4. Garantías
    1. Uso de eSurvey
  5. Modos de uso
    1. Comisión central
    2. Mesa clásica
  6. Conceptos del sistema
  7. El problema de la autenticación
    1. Casos de uso
  8. Roles
    1. Miembro de la CCV
    2. Administrador del sistema
    3. Operador de autenticación
    4. Administrador de procesos electorales
    5. Miembro de mesa
    6. Elector
  9. Procedimientos de la CCV
    1. Ordinarios
      1. Creación de la comisión central de voto
      2. Elección del disco operativo
      3. Constitución del sistema de voto
      4. Renovación de la llave
      5. Verificación de integridad de los fragmentos de la llave
    2. De emergenciai
      1. Compromiso de fragmento de la llave de cifrado del disco
      2. Renovación de la clave interna
  10. Procedimientos de los procesos electorales
  11. Instalación
    1. Antes de empezar
    2. Personalización
    3. Integración de la autenticación
    4. Preparación del hardware y la red
    5. Instalación del sistema
    6. Prueba rápida
    7. Otras operaciones
  12. Uso de la aplicación web
    1. Elector
    2. Miembro de mesa
    3. Operador de autenticación
    4. Administrador de procesos electorales
      1. Tipo encuesta
      2. Tipo lista cerrada
      3. Tipo lista abierta
      4. Gestor de imágenes
    5. Administrador del sistema
  13. Notas

Resumen

Este documento describe un sistema de voto telemático (en adelante SVT) con las siguientes características:
  1. Ofrece las máximas garantías de anonimato, integridad, unicidad, autenticidad y auditabilidad.
  2. Las garantías están depositadas en las personas designadas al efecto y no en el personal informático.
  3. El software es Open Source, descargable desde esta página.
  4. Permite la participación vía web con cualquier navegador actual, sin uso de Java.
Este sistema ha sido desarrollado en la Universitat Jaume I. Más información en la página en inglés.

El voto telemático

Los procesos electorales son de una importancia clave para nuestra sociedad, como una de los principales herramientas garantes del sistema democrático. Es por esto que continuamente se debe trabajar en mejorar los mecanismos que velan por la integridad y el anonimato de las elecciones, así como tratar de acercarlas más al votante, con el fin de conseguir una mayor participación y facilitar al ciudadano que, por razones médicas, de accesibilidad o de residencia, presenten más dificultades para ejercer su derecho al voto. Esta es la razón de ser de los sistemas de voto telemático.

Adicionalmente, el voto telemático ofrece sustanciales mejoras en aspectos administrativos y logísticos. Un sistema de voto telemático nos permitirá minimizar las tareas burocráticas y la generación de documentos, eliminando los costes de producción, distribución y verificación manual de papeletas, actas, sobres y censos, atenuando la probabilidad de error humano en alguna sección del procedimiento. La centralización de la información, entre otras ventajas, permite evitar los problemas derivados de la asignación exclusiva de un censado a un colegio electoral, así como reducir drásticamente el número de oficiales de mesa movilizados y, en aquellos que sigan siendo necesarios, puede reducir el tiempo servicio.

Además, la implantación de un sistema de voto telemático, da libertad al votante de ejercer su derecho en cualquier punto del planeta con una conexión a Internet, disminuyendo los riesgos de coacción.

Descripción ^

El SVT se distribuye como un CDROM de autoarranque que lanza un GNU/Linux conteniendo una aplicación que corre en entorno web. Al arrancar el sistema por primera vez, el SVT solicita parámetros básicos de configuración y procede a la creación de la llave de cifrado del SVT. Inmediatamente procede al reparto de la misma en dispositivos de memoria USB, uno por miembro de la Comisión. Con esta llave cifra los datos almacenados en el disco duro, de forma que sin la llave es imposible acceder a ellos. Una vez iniciado el sistema, no hay ningún terminal de shell, sólo un menú de operaciones. Las que se consideran críticas requieren la reconstrucción de la llave. Por ello el sistema queda totalmente cerrado, no pudiendo ser manipulado sin una costosa intervención sobre el hardware. En caso de reinicio del sistema, será necesario la inserción de las memorias USB para reconstruir la llave y poder iniciar la operativa normal.

Con el sistema iniciado, todo el acceso al SVT es vía web HTTPS, a través de una aplicación de voto que soporta distintos roles. El rol más privilegiado sólo puede realizar operaciones importantes autorizado por la Comisión, en su presencia.

Para saber si la funcionalidad ofrecida por el SVT es de su interés, puede probar un sistema demostrativo, donde puede definir sus votaciones de prueba y realizarlas.

Garantías ^

Inciado el sistema, durante cualquier proceso electoral, el votante posee las siguientes garantías:

  • Que la conexión al servidor de voto es privada, segura y que la identidad del servidor es la esperada. Las llaves SSL se han generado internamente, la llave privada sólo podría extraerse con el consentimiento de la comisión en pleno. y sólo pueden ser extraídas con el consentimiento de la comisión.
  • Que la urna no se abrirá hasta el fin de la elección, no pudiendo obtenerse resultados parciales que puedan violar la privacidad del proceso. Esta garantía se alcanza por construcción.
  • Que no se almacena información que relacione un voto con su votante. Por construcción, y además, el votante puede conseguirlo por sus propios medios usando eSurvey.
  • Que una vez emitido, su voto no puede ser manipulado ni alterado. Por construcción.
  • Que las actas de los resultados electorales no pueden ser manipuladas ni alteradas una vez aceptadas por los miembros de la mesa. Por construcción, aparte de emplearse firma electrónica.
A su vez, el organizador del proceso electoral, posee las siguientes garantías:
  • Que los votos recibidos pertenecen a votantes registrados en el censo. El sistema permite establecer métodos de autenticación sólidos, alternativos o concurrentes, es decir que para cada elección puede establecerse los métodos de autenticación, exigiendo por ejemplo que se se usen varios métodos para poder votar.
  • Que los votos recibidos se han emitido entre la hora de apertura y cierre de urnas. Por construcción. Cuando se emplea eSurvey deben tenerse en cuenta plazos adicionales.
  • Que un votante no podrá emitir múltiples votos ni votar en una elección en cuyo censo no conste. Por construcción.
  • Que un votante no ha podido emitir más de un voto ni ha participado en una elección en cuyo censo no conste. Por construcción.
  • Que las actas de los resultados electorales no pueden ser manipuladas ni alteradas una vez aceptadas por los miembros de la comisión. Por construcción, aparte de emplearse firma electrónica.

Uso de eSurvey ^

El SVT emplea eSurvey para enviar el voto. El modo de uso por defecto es directo a la urna, es decir que eSurvey se emplea sólo por compatibilidad con los otros modos y para que el votante pueda verificar la identidad del SVT si éste no opera bajo HTTPS. En estas condiciones, el SVT ya ofrece las garantías descritas previamente.

Al definir la elección, puede optarse por aumentar el nivel de intervención de eSurvey, de modo que éste introduce una capa de anonimato adicional a la ya ofrecida por la propia naturaleza del SVT.

Lo importante es que el nivel de intervención de eSurvey puede ser aumentado por el propio elector sin alterar el funcionamiento del proceso electoral. Para ello el cliente debe emplear el navegador Firefox, donde la extensión eSurvey le suministra control e independencia para alcanzar el anonimato por sus propios medios.

Modos de uso ^

Aunque la forma de funcionar del sistema es siempre la misma, desde el punto de vista operativo proponemos dos modos de uso del sistema.

Comisión central

Este modo es adecuado para organizaciones que emplean el sistema de forma periódica. El eje del modelo es la creación de una Comisión central de voto, en adelante CCV. La composición de esta comisión debe ser tal que: o represente los intereses (opuestos) de todos los votantes, o esté formada por un grupo de miembros de la comunidad notables por su integridad, imparcialidad y compromiso con el sistema electoral. Esta comisión es la depositaria de la confianza del SVT, basándose en que es depositaria de la llave de cifrado del SVT, que habilita en exclusiva a la comisión a iniciar y acceder al sistema. La llave se reparte por medios criptográficos entre todos los miembros de la comisión, requiriendo para reconstruirla un número mínimo de miembros que oscilará según la composición de la misma, pero menor que el total, dando un margen de seguridad para salvar la ausencia justificada de alguno de ellos o la pérdida o destrucción accidental de fragmentos de llave.

La CCV, una vez creada, se encarga de instalar (con el apoyo de personal informático) el SVT. El sistema queda en marcha y en caso de parada accidental sólo puede ser reiniciado por la CCV, pues es la depositaria de la mencionada llave. La CCV sólo volverá a reunirse en caso de renovación de la misma o en los procedimientos de emergencia que describimos más adelante.

Dado que la CCV se atribuye las garantías, una vez iniciado el SVT, cuando se desee realizar un proceso electoral, se constituirá la correspondiente mesa, quedando las atribuciones de sus miembros reducidas a revisar el censo y las papeletas y a autorizar el inicio y fin de la participación, levantando las consiguientes actas.

Mesa clásica ^

Este modo es adecuado cuando el sistema es usado por colectivos con un alto grado de independencia que no desean emplear el modelo de confianza descrito en el modo anterior. En este modo de uso, la mesa de cada elección tiene todas las atribuciones. Su papel es más complejo, pues debe instalar un SVT nuevo para cada elección. Desde el punto de vista técnico, el SVT aquí presentado permite la coexistencia de distintas instancias del SVT en un mismo ordenador, pero estas instancias no pueden solaparse en el tiempo. La mesa electoral es la encargada de instalar e iniciar el SVT, realizar el proceso electoral y detener el sistema.

En el resto del documento cuando nos refiramos a la CCV debe entenderse que nos referimos tanto a la CCV del modo Comisión central o a la mesa electoral en el modo Mesa clásica.

Conceptos del sistema ^

Introducimos aquí los conceptos que maneja el sistema de gestión. Es necesario conocerlos para valorar el interés del SVT y para poder definir correctamente los procesos electorales.

El concepto básico del sistema es el de votación: es un conjunto de opciones a elegir. Cada votación establece el número mínimo y máximo de opciones que pueden elegise (marcarse). Cada opción puede contener un logotipo y un texto de varias líneas. La opción puede ir separada de la anterior por otro texto e imagen. Una opción puede llevar candidatos y suplentes. Varios candidatos en una opción representan una lista cerrada. Una voto puede resultar nulo si es manipulado por el elector, pero el sistema permite autorizar, por votación, el voto explícitamente nulo, permitiendo introducir un texto.

Una elección está definida por una papeleta, un censo y un conjunto de votaciones integrando una papeleta. Todas las votaciones aparecen en la misma papeleta, de modo que si el votante decide abstenerse, se abstendrá de todas las votaciones. Por ejemplo en unas elecciones a Congreso y Senado pueden definirse dos votaciones en una elección, pero el elector no podrá abstenerse a una de ellas (pero sí votar en blanco), de modo que si se desea abstención por votación, cada elección debe contener una sola votación.

Una mesa se define por una fecha de inicio y otra de fin, unos miembros y un conjunto de elecciones. Las elecciones de una mesa pueden estar conectadas simplemente por la fecha de inicio y fin, con lo que se decide agruparlas en una mesa o, más correctamente, porque forman parte de un mismo proceso electoral. Por ejemplo en unas elecciones a Congreso y Senado, parece razonable usar una sola mesa, aunque podrían ser dos. En cambio, en unas elecciones a Claustro Universitario, las elecciones deben estar necesariamente en una misma mesa, por ejemplo Representantes del PDI doctor permanente, Representantes del PDI, Representantes de los estudiantes y Representantes del PAS. Es necesario usar la misma mesa, ya que si una persona pertenece a dos de esos colectivos, debe elegir aquel al que quiere votar, para mantener la relación "una persona un voto". A este tipo de elecciones se las denomina excluyentes. El votante debe decidir en cuál participar, y al hacerlo es eliminado de los censos de las restantes elecciones excluyentes.

El problema de la autenticación ^

El SVT por construcción, ofrece amplias garantías, basadas principalmente en su naturaleza de sistema cerrado. La población que puede emplear el SVT está almacenada localmente. Cuando una persona quiere participar en una elección, como es obvio, primero debe autenticarse ante el sistema para poder participar. Añadir población al sistema es un proceso sencillo y nada crítico, establecer el censo de una elección es tarea de un administrador supervisada por la mesa, como en los procesos electorales en papel, pero autenticar al votante no es tan sencillo.

El SVT permite configurar diversos métodos de autenticación y establecer uno de ellos por defecto. Para entrar en el sistema bastará cualquiera de ellos, pero por cada elección, pueden determinarse una o varias combinaciones de métodos para máxima seguridad.

De éstos métodos, uno es propio del SVT, al que denominamos autenticación interna, basado en usuario y contraseña (más un captcha). El problema radica en cómo hacer llegar la contraseña al usuario. El procedimiento administrativo propuesto, complementario al informático, es el siguiente. La contraseña del usuario se establece en puntos de registro donde un operador, debidamente autenticado y con el rol adecuado, identifica personalmente al futuro votante y le entrega una constraseña de un solo uso con una validez de 48 horas. En el primer acceso1, el usuario recibirá una nueva contraseña generada por el sistema, que deberá anotar y custodiar.
Éste método parece el que menos depende de factores externos, el único factor es el operador del punto de registro y su capacidad de fraude está muy limitada.

La autenticación interna puede no ser apropiada en algunas circunstancias, por lo que el SVT se puede configurar para emplear métodos de autenticación externos. El primero de ellos es el sistema STORK de la Unión Europea que permite autenticación con certificados X509. Es un método fiable, pues el votante emplea certificados previamente expedidos por la administración (es decir, no emitidos expresamente por la propia organización objeto de la elección) y se autentica ante un organismo ajeno a la organización, lo que proporciona un amplio margen de confianza. El inconveniente radica en que el uso de los certificados X509 (por elemplo, el DNIe) está muy poco extendido, por lo que éste método puede no resultar práctico.

Así el SVT permite añadir hasta 10 métodos de autenticación externos al SVT, empleando, actualmente, un protocolo propio, de modo que, por ejemplo, si la organización que emplea el SVT dispone de un sistema de autenticación corporativo, éste puede emplearse para autenticar en el SVT. Hay que considerar que éste sería un método de autenticación con escasas garantías, pues la autenticación y por tanto los resultados de una elección, quedan en manos de los administradores del sistema de autenticación de la propia organización, es decir, en personas de la propia organización. Este método se empleará por ejemplo en elecciones con un censo muy pequeño donde pueda fácilmente auditarse la participación, es decir, donde un fraude del sistema de autenticación sería detectado de inmediato.

Casos de uso

Describimos algunos casos de uso correspondientes a nuestra organización, la Universidad Jaume I, unos ejecutados y otros programados.
  • Elecciones a representantes en los departamentos. Los miembros no natos de los consejos departamentales, debe ser elegido por votación estamentaria, es decir, los miembros de Personal de Admon. y Servicios eligen a sus representantes, los Profesores Asociados a los suyos, etc. Por ello estamos ante un caso de censos muy pequeños, pero varias votaciones diferentes por cada Departamento de la Universidad. El SVT es ideal para simplificar el procedimiento administrativo. Se establece un periodo de votaciones de 24 horas, con lo que se facilita la participación, y se establece la autenticación institucional como suficiente para votar, de modo que el proceso es sencillísimo para el participante. El método de autenticación es suficiente, ya que en un censo de, por ejemplo, cuatro personas, cualquier fraude se detectaría inmediatamente.
  • Elecciones a claustro. En estas elecciones participa toda la comunidad universitaria. La autenticación institucional no es suficiente pues la población es muy grande y es muy fácil determinar qué sectores de la población apenas van a participar. Además se detecta que la autenticación institucional, mediante usuario y contraseña, es compartida por muchos estudiantes con personas allegadas (novi@s, etc.), de modo que no autentica realmente a muchos votantes. Emplear STORK sería correcto, pero impediría la participación de la mayoría de la población. Así lo más recomendable es emplear la autenticación propia del SVT.
    Se imprimen unas tarjetas de carton con una contraseña pre-escrita en texto y en código de barras, y un espacio para anotar la nueva contraseña. El censado, acude a un punto de registro donde el operador lo identifica, elige una tarjeta cualquiera de las impresas e introduce en el sistema el DNI y la constraseña usando el código de barras. El censado, ya en su ordenador, al acceder por primera vez obtiene una nueva contraseña y la anota en el espacio previsto en la tarjeta, y guarda ésta en un cajón para su futuro uso. En la votación se exigirá la autenticación interna y la institucional, para minimizar la compra de votos.

Roles ^

Describimos los roles que contempla el SVT.

Miembro de la CCV

El miembro de la Comisión Central de Voto es responsable de custodiar el fragmento de llave que obtiene del SVT durante la instalación (o en caso de regeneración de la llave). Cuando el SVT requiera la presencia de la CCV, el miembro acudirá con su fragmento para la reconstrucción de la misma y dará su aprovación y supervisará las labores de mantenimiento que se realicen sobre el sistema.

Administrador del sistema

Por administrador del sistema entendemos un rol de la aplicación web. Sus funciones sólo pueden ser autorizadas previamente por la CCV y se reducen a operaciones de gestión de la población, de las mesas y del aspecto de la aplicación. Se consideran operaciones críticas, por lo que aun estando autenticado debidamente ante el sistema, no tiene acceso a ellas si no está autorizado por la comisión. Aunque el SVT permite más de un usuario con este rol, no es recomendable.

Operador de autenticación

Es la persona que opera en un punto de registro, siendo su labor principal establecer la contraseña inicial del votante. Normalmente habrá varias personas con este rol. También puede dar de alta nuevos votantes en el SVT.

Administrador de procesos electorales

Es la persona que, mediante la aplicación web, define la estructura de una mesa, las elecciones y votaciones que la componen, el censo, el aspecto de la papeleta y algún otro elemento de configuración. Esta persona puede ser directemente el presidente de la CCV, pero habitualmente será un administrativo en quien se delegue este trabajo. Pueden ser varias personas, cada una administrando sus procesos electorales.

Para cada proceso electoral, este administrador recibe copia por email de las actas emitidas por la mesa.

Miembro de mesa

Los miembros de la mesa (al margen de que puedan tener las atribuciones de miembros de la CCV en el modelo Mesa Clásica), desde la aplicación web son los encargados de activar un proceso electoral, generando el acta de constitución, y de abrir la urna, generando las actas de participación (normalmente confidenciales) y las actas de resultados del proceso (públicas), donde queda registrada cualquier incidencia que se desee hacer constar o que haya sido detectada automáticamente por el sistema.

Una labor importante de la mesa antes de iniciar el proceso electoral, es revisar el censo y las papeletas para detectar posibles errores en los mismos.

Elector

El elector, una vez autenticado, ejerce su derecho de voto simplemente vía un formulario web, empleando opcionalmente la extensión de eSurvey.

Procedimientos de la CCV ^

Ordinarios ^

Se describen los procedimientos por orden de ejecución.
Creación de la comisión central de voto
Procedimiento de naturaleza administrativa.
  1. Se constituirá la comisión central de voto, responsable del SVT.
  2. La comisión estará formada por un número suficiente de miembros notables, independientes y de intereses dispares, comprometidos con la integridad del sistema electoral.
  3. Las atribuciones de dicha comisión serán custodiar la clave, supervisar los procesos de inicio y mantenimiento del sistema y verificar la autenticidad del disco óptico que se está empleando para operar el sistema.
Elección del disco operativo
Procedimiento de seguridad. Es la base (no tecnológica) de las garantías ofrecidas por el SVT.
  1. La comisión obtendrá del equipo de desarrollo un conjunto de discos CDROM. Esta operación puede consistir en la descarga y grabación de los discos por parte de un técnico (preferiblemente en presencia de la comisión, aunque no es determinante).
  2. Aleatoriamente, se elige uno de los discos, que será el disco operativo. Todos los miembros firman este disco manualmente, para lo que se requerirá un marcador permanente. Sólo éste disco debe ser firmado.
  3. El resto de discos se reparten a los miembros de la comisión.
  4. Cada miembro se responsabiliza de su propia copia y de su protección ante posibles sustituciones o robos por parte de un atacante. Esta copia tiene como único fin, auditar la copia operativa.
  5. Opcionalmente cada miembro puede calcular el hash del disco y el de la copia operativa, verificando que es el mismo. También puede, con ayuda de los técnicos que considere adecuados, auditar el SVT, pues el disco contiene incluso el código fuente de los programas compilados.
Constitución del sistema de voto
Esta fase requiere la presencia de un técnico.
  1. Cada miembro deberá disponer o se le proporcionará un dispositivo USB vacío, ya que todo su contenido se destruirá.
  2. Los miembros de la comisión verificarán su firma manual sobre el disco operativo, para asegurar su autenticidad.
  3. Se insertará el disco y se arrancará el sistema.
  4. Durante el arranque, se solicitarán los parámetros de funcionamiento del sistema, entre ellos el número de miembros de la comisión y el número mínimo de piezas para reconstruir la llave. Este númro, que nunca deberá ser inferior a 2, deberá adecuarse a las necesidades de seguridad y disponibilidad de miembros de la comisión. A menos piezas, mayor posibilidad de vulneración, pero se requerirán menos miembros para operar el sistema. Este valor nunca será igual al número de miembros, ya que la pérdida del fragmento o ausencia de uno de sus miembros, inhabilitaría el acceso al sistema temporal o permanentemente.
  5. El SVT solicitará el dispositivo USB a cada miembro para escribir su fragmento de llave, así como la contraseña con la que desea protegerlo. Esta contraseña debe ser segura y no ser revelada.
  6. El propio sistema destruirá el contenido del USB y lo formateará como Clauer, escribiendo el fragmento correspondiente.
  7. Es recomendable que el sistema opere bajo HTTPS. Para ello se requiere la obtención de un certificado confiable a nombre del servidor, es decir, emitido por una CA en la que confien los electores (normalmente una CA admitida por los navegadores). El SVT solicitará la introducción de un dispositivo USB en que escribir la solicitud de certificado de servidor SSL. Puede emplearse uno de los USB usados previamente para las claves. Se delegará en un técnico la tramitación del certificado. Este proceso no resulta crítico para la seguridad, ya que no revela ningún secreto.
  8. El administrador del sistema de voto, si no dispone de un Clauer propio, podrá crear uno en blanco, con fines identificativos.
  9. El sistema quedará en marcha.
  10. Desde un navegador (aparte del SVT), el técnico accederá a la aplicación de voto como administrador, sustituirá el CSS por el desarrollado previamente, podrá configurar los métodos de autenticación y establecer la URL informativa.
  11. El técnico definirá los roles según indicación de la comisión.
  12. La comisión podrá verificar el correcto funcionamiento del sistema de autenticación.
  13. Si se optó por usar HTTPS, el sistema funcionará con un certificado provisional. Cuando se disponga del certificado, se sustituirá, es una operación que no compromete la seguridad del sistema.
  14. Posteriormente, el técnico completará la tramitación con eSurvey.
Renovación de la llave ^
Este procedimiento podrá realizarse por renovación de la CCV o con carácter de emergencia por sospecha de compromiso o pérdida de varios fragmentos de la llave.
  1. Se reunirá la comisión.
  2. Cada miembro de la nueva CCV (o de la misma) deberá disponer o se le proporcionará un dispositivo USB vacío para la nueva llave. Resulta imprescindible no emplear los clauers anteriores para evitar una pérdida de datos irreparable en caso de error.
  3. Se solicitará reconstruir la antigua llave para garantizar que la comisión se halla presente.
  4. Se generará una nueva llave, que se repartirá entre los nuevos clauers de la comisión, cuyo contenido será totalmente destruido.
  5. Una vez repartida la nueva llave sin errores, el sistema invalidará la llave antigua y dará de alta la nueva; y los viejos clauers podrán ser almacenados para un posterior uso, no representando ninguna amenaza para la seguridad del sistema.
Verificación de integridad de los fragmentos de la llave
Procedimiento opcional: Con cierta periodicidad, y para evitar una pérdida de datos irreparable, se procederá revisar que se conservan suficientes fragmentos de la llave en buen estado.
  1. Se reunirá la comisión.
  2. Se solicitarán los clauers de la CCV y sus contraseñas, para reconstruir la clave de acceso al sistema.
  3. Si se produce un error al verificar alguno de los fragmentos, se procederá a una regeneración de la llave.

De emergenciai ^

Compromiso de fragmento de la llave de cifrado del disco
Este protocolo debe aplicarse sin demora ante la sospecha o detección de una revelación de uno o más fragmento de la clave de cifrado.
  1. Se reunirá la comisión.
  2. Si se estima que la revelación sólo afecta a un número de fragmentos insuficiente como para descubrir la clave, es decir, inferior al número mínimo de miembros necesarios para iniciar el sistema. se procederá a renovar esta llave, según el procedimiento ya descrito.
  3. Si se estima que existe riesgo de que el atacante pueda reconstruir la llave, se procederá a renovar la llave interna del sistema.
  4. Se tomarán las medidas legales necesarias relacionadas con el incidente.
Renovación de la clave interna
Es la clave que cifra los datos y nunca sale del sistema. Debe renovarse sólo ante una posibilidad de compromiso de la clave externa o si se sospecha que el soporte de los datos puede fallar, ya que todos los datos se trasladan a una nueva ubicación. La periodicidad de este protocolo es extremadamente baja.
  1. Se reunirá la comisión.
  2. Cada miembro, además de su clauer con la pieza de llave, deberá disponer o se le proporcionará un dispositivo USB vacío para la nueva llave. Resulta imprescindible no emplear los clauers anteriores para evitar una pérdida de datos irreparable en caso de error.
  3. Los miembros de la comisión verificarán su firma manual sobre el disco operativo, para asegurar que no ha sido sustituido por un atacante.
  4. Se solicitará reconstruir la llave, como verificación de la identidad de los presentes.
  5. Se solicitarán los parámetros de acceso al nuevo soporte de datos. Esto puede requerir a un técnico especializado.
  6. Se generará una nueva llave, que se repartirá entre los nuevos Clauers de la comisión, cuyo contenido será totalmente destruido.
  7. Se construirá el cifrado del nuevo soporte, transfiriendo los datos al mismo.
  8. Una vez transferidos los datos y repartida la nueva clave, se procederá a destruir los datos del soporte antiguo.

Procedimientos de los procesos electorales ^

-- Por redactar --

Instalación ^

Este apartado puede no reflejar exactamente la última versión del software, pues actualmente el SVT sigue en desarrollo para ampliar su funcionalidad.

Antes de empezar

Acceda a la demostración como Administrador para realizar una prueba rápida. Para ello, como administrador de mesas pulse Nueva y siga leyendo las instrucciones para una prueba rápida. Si el sistema no ofrece la funcionalidad que desea, la operativa ha concluido.

Personalización

El propósito de la personalización es dar al SVT un aspecto propio y probar la funcionalidad antes de la instalación definitiva.
Para ello debe realizar una instalación de la aplicación de voto en un servidor web cualquiera, donde obtendrá toda la funcionalidad del SVT pero sin sus garantías.
  1. Instale el software del Clauer en el ordenador desde donde piensa acceder a la aplicación web. Prepare una "memoria USB" como dispositivo Clauer según:
    • Si emplea windows, desde el menú Inicio, acceda al "gestor del clauer" y proceda a formatear el dispositivo.
    • Si emplea linux, abra Firefox y en el menú "Herramientas" encontrará el "Gestor Clauer", proceda a formatear el dispositivo.
  2. Descarge la aplicación de gestión. Es una aplicación php+mysql que va integrada en el SVT, si la instala por separado su sistema carece de integridad, pero le permite preparar la instalación definitiva del SVT, es necesario hacerlo.
    El procedimiento es el siguiente:
    1. Acceda por ssh a un servidor web (suponemos Unix, si es Windows realice pasos análogos).
    2. Ejecute:
      cd /....directorio accesible vía web ...
      umask 0
      mkdir svt
      cd svt
      wget -O ivot.php "http://dwnl.nisu.org/dwnl/ivot.php/y"
    3. Acceda con un navegador a la URL que ha generado, algo como http://suservidor/..../svt/ivot.php
    4. Rellene con sumo cuidado el formulario. Ante cualquier duda consúteme (mm.vot at nisu.org).
    5. Complete los pasos de instalación, en el editor de población, edite al menos su nombre de usuario.
    6. Desde el shell, deje el directorio con los permisos adecuados:
      umask 022
      chmod 711 .
  3. La aplicación se ha iniciado, anote su URL, ha entrado como administrador.
  4. La aplicación se instala en modo de mantenimiento máximo. La contraseña del administrador es la misma que se suministró para el alta en eSurvey.
  5. Acceda al partado CSS. Personalice su CSS, observe cómo se referencian las imágenes.
  6. Si quiere añadir o borrar imágenes, acceda al gestor de imágenes a través del botón "Imagen de error".
  7. Cuando el CSS sea acorde con su organización, cópielo y guárdelo para instalarlo en el sistema definitivo.
Si sale de la aplicación y desea volver a entrar, necesita el Clauer y usar el mismo ordenador, con Internet Explorer si emplea Windows o Firefox si emplea Linux.

Integración de la autenticación ^

Al instalar el gestor, se ha instalado un sistema de autenticación propio basado en usuario y contraseña, almacenadas localmente.
Si este sistema no es adecuado para su organización, debe establecer otros métodos de autenticación, como integrar el SVT con la autenticación de su organización.

Para esa integración, debe comunicar el SVT con su sistema mediante una pasarela que deberá construir e instalar en su sistema de autenticación. El protocolo empleado entre el SVT y la pasasarla es muy simple y está orientado a PHP, aunque podría escribirse en otros lenguajes, pero siempre manteniendo la compatibilidad con el código aquí2 expuesto.

Preparación del hardware y la red ^

Como se deduce de lo expuesto, el SVT debe de funcionar en un ordenador independiente. Las necesidades de procesador o memoria son reducidas. Las de memoria, si deseamos protección contra una suplantación física del disco, requerirá al menos 2 GB, pero si obviamos esta protección, las necesidades de memoria son mínimas.

Las aplicaciones que estan en marcha son ntpd, postfix, apache y mysql. En cambio sí es importante el almacenamiento. El espacio mínimo requerido es de 100 Megabytes, a partir de ahí segín el número de votos que entren en la base de datos. Más importante que el espacio es la calidad, siendo recomendable un sistema RAID con redundancia. Alternativamente puede emplearse un disco iScsi o un directorio accesible vía NFS o SMBFS, que estén implementados con la correspondiente redundancia.

El SVT permite la relalización de copias de seguridad, para lo cual debe suministrar un servidor accesible por SSH y un usuario y una contraseña para conectar con él. El SVT depositará en dicho servidor un archivo de nombre svt-dbdump.gz.aes, siendo responsabilidad del servidor mantener varias copias si así se desea.

Respecto a la red, el ordenador debe tener un hostname válido (FQDN). Si el ordenador accede a Internet a través de un SNAT usando varias IPS debe tenerlo en cuenta en el alta en eSurvey sites.

Para completar la instalación, necesitará un ordenador (un portátil por ejemplo) que disponga de un navegador con acceso a Internet.

Instalación del sistema ^

Después de aplicar los procedimientos Creación de la comisión central de voto y Elección del disco operativo, se procede a la Constitución del sistema de voto. Detallamos aquí la operativa con el disco del SVT:-- Por redactar --

Prueba rápida ^

  1. Va a probar el sistema. Desde la zona de administrador de mesas, cree una nueva mesa con el botón Nueva y pase a editarla.
  2. Introduzca su dirección de correo y establezca que la mesa es de edición exlcusiva suya.
  3. Llámela test o algo que indique su cometido.
  4. Verifique que la hora actual es correcta.
  5. Establezca la fecha de inicio a un valor anterior a la hora actual.
  6. Establezca la fecha final a un valor 50 minutos posterior a la hora actual.
  7. En Más miembros escriba su nombre de usuario y pulse Cambiar.
  8. Cree una elección de nombre test, pulse la tecla Intro.
  9. En seguridad, seleccione Vía LCN 3 servidores y marque todas las casillas excepto Cliente local
  10. Introduzca test como votación, pulse la tecla Intro.
  11. En Más opciones introduca en líneas sepradas a, b y c. Pulse Cambiar.
  12. Al final de la página podrá ver la papeleta. Vuelva al principio y ajuste la fecha final a 10 minutos posterior a la hora actual.
  13. Pulse Inicio.
  14. En la zona de miembro de mesa, pulse Gestionar, active la mesa, proceda sin firmar.
  15. Pulse Inicio.
  16. Vote y pulse Continuar.
  17. Pulse Gestionar, como miembro de mesa.
  18. Cuando el sistema se lo permita, abra la urna y cierra la mesa sin firmar.
  19. Salga del sistema.

Otras operaciones ^

Uso de la aplicación web ^

Describimos la aplicación web, que es la que permite definir procesos electorales, administrar el sistema, gestionar las mesas y votar, según los distintos roles.

Elector

Cuando un elector accede a la aplicación, después del proceso de autenticación, puede ser rechazado si no forma parte de la población.

En primer lugar, puede darse la situación de que un elector, dado un conjunto de elecciones en las que está censado, deba elegir participar en una sola de ellas, en este caso ésta decisión debe tomarse antes de realizar ninguna votación y es definitiva, es decir, sólo puede deshacerse contactando con la CCV.

Si hay una o varias elección en las que puede participar, se le mostrará sólo una de ellas, pudiendo elegir entre participar o abstenerse. Si decide abstenerse, se mostrará otra elección si la hay o un enlace de "Continuar" que le permite volver a intentar la primera elección, es decir que la abstención es una decisión provisional hasta el cierre de la mesa.

En una elección puede haber varias votaciones, se muestran juntas al votante. Cada votación puede tener papeletas pre-marcadas. Si es el caso el votante puede elegir la papeleta en blanco o una de las pre-marcadas, que no son más que sugerencias, es decir, que pueden modificarse las marcas antes de emitir el voto.

El botón "Participar" permite enviar el voto. Si el usuario emplea Firefox con la extensión eSurvey, ésta se abrirá inmediatamente, salvo que existan papeletas pre-marcadas, en cuyo caso debe marcar primero y después pulsar "Iniciar después de marcar".

Además de las elecciones el votante encuentra información de otras elecciones en curso, donde puede ver datos públicos importantes de otras elecciones en las que él pueda participar o haya participado.

Por último se incluye información de elecciones anteriores, de modo que el elector puede ver las mesas ya cerradas en las que ha participado y en las que no, hecho de gran relevancia en el proceso de auditoría individual.

Miembro de mesa ^

Al usuario que es miembro de alguna mesa se le muestra la lista de mesas que están pendientes de operación, y un histórico para inspección.

Cuando una mesa está programada, puede ser "abierta" hasta 30 minutos antes de la fecha establecida. El acto de apertura puede ser realizado por cualquier miembro de la mesa, por lo que es aconsejable que los miembros se reúnan físicamente para esta y todas las operaciones. Se genera entonces un acta de constitución de la mesa, que puede ser firmada electrónicamente por los presentes, y es enviada por correo al administrador que ha programado la mesa.

Llegada la hora de fin de las votaciones, se debe proceder a la apertura de la urna. Si las elecciones no usan la LCN la urna puede abrirse inmediatamente, pero si la emplean, la apertura se retrasa hasta un valor estimado en función del uso de la LCN. Aun así, es probable que muchos votos no estén en la urna en el momento de la apertura, en ese caso se retrasa hasta que estén todos o haya transcurrido una hora. La falta de votos puede deberse a que votantes individuales hayan empleado la extensión eSurvey con un uso profundo de la LCN, de modo que el voto se retrasará unos minutos. La apertura de la urna mostrará los resultados e invitará al cierre de la mesa. Los resultados reflejarán las incidencias detectadas automáticamente en el proceso de recuento. Con la posibilidad de desescribir manualmente alguna incidencia, se procede a cerrar la mesa firmando o no el acta. El siguiente paso permite enviar las actas por correo a quien se desee.

Las actas resultantes son:

  • Acta con los resultados de las elecciones de la mesa y las papeletas, que queda pública.
  • Acta con los participantes, que no es pública.
  • Acta opcional con los códigos de auditoría, que no es pública.
Señalar que distintas mesas pueden ser operadas desde distintas ventanas simultáneamente, pero de operarse la misma mesa en dos ventanas distintas, cosa que no debe hacerse, es obvio que los resultados pueden ser confusos.

Operador de autenticación ^

La misión principal del administrador de población es establecer la constraseña inicial para el método de autenticación propio (interno) del SVT. El interfaz es extremadamente sencillo: introduce el DNI y la contraseña inicial. Si el DNI no corresponde a nadie conocido, se le ofrece la posibilidad de añadirlo a la población, para lo que debe aportar su nombre de usuario y sus apellidos y nombre.

Administrador de procesos electorales ^

En su panel4, puede elegir una de las mesas en proceso, una de las cerradas o crear una nueva. Puede crear cuantas mesas desee, quedando programadas a la espera de la apertura por los miembros de la mesa. Una vez creada la mesa, pasa a editarla, estableciendo su dirección de correo (muy importante) para recibir las actas y asignando un nombre la mesa, que tiene un carácter administrativo y no se muestra a los votantes. Es importante notar que, si durante la edición de la mesa se deja en blanco el nombre de la misma, la mesa se borrará completamente. Esto afecta también a las elecciones, votaciones, etc. En el caso de elecciones exlcuyentes, debe marcarse la casilla a tal efecto e incluirse a la persona en los censos de aquellas las elecciones en las que inicialmente tenga derecho a participar.

El Administrador debe establecer las fechas y horas de inicio y fin del proceso electoral. Para establecer los miembros de la mesa, debe emplear el formato de introducción de población:

  • Si la persona no forma parte de la población del sistema puede darla de alta en ese momento usando el formato:
    	usuario!DNI!Nombre y apellidos
  • Si la persona ya forma parte de la población puede emplear:
    	usuario
    o
    	!DNI
Para cada miembro, puede establecer su cargo y una imagen. El campo "peso" sólo tiene sentido si se usa el componente de voto5 para realizar el recuento, lo mismo sucede con el campo "Apertura". A medida que se van introduciendo cambios, aparecen botones con el nombre de "Cambiar", todos realizan la misma función, se muestran varios por comodidad.

Ahora puede introducirse el nombre de una elección, para dejarlo en blanco debe introducirse "-". El nombre la elección puede contener varias líneas y se muestra al votante. Al final de la página ya puede observarse la previsualización de las papeletas. Pulse la tecla "Intro" o cualquier botón "Cambiar" y la elección se creará. Al crearla, se aprecia que la aplicación invierte un poco de tiempo (hasta unos segundos) en generar las llaves RSA de la elección, que son necesarias cuando el cliente eSurvey usa firma ciega y la LCN, no debe interpretarse como un mal funcionamiento del sistema. Para poder cambiar el orden de las elecciones de una mesa, se utiliza un campo "posi" que se numera automáticamente de 10 en 10, y puede cambiarse manualmente para reordenarlas a voluntad. Este método se emplea también para las votaciones, las opciones, los candidatos y los suplentes.
Al definir la elección, debe determinarse el uso de la LCN, existinedo 3 opciones:

  1. Voto directo a la urna: todo el anonimato se deposita en la integridad del SVT.
  2. Usando la LCN con un solo servidor: provee un cierto nivel de anonimato adicional al SVT (y aunque éste fallara).
  3. Usando 3 servcidores: el nivel de anonimato queda garantizado de forma autónoma (independiente del SVT).
Si el SVT está correctamente instalado, cualquier opción es válida, la primera de ellas da al sistema independencia de la LCN, pero los usuarios pueden decidir usar la LCN usando la extensión de eSurvey.
La lista de posibilidades que se muestra a continuación es importante:
  • Ver logs: Indicada para pruebas, si marcada, los logs del cliente eSurvey se ven siempre, si no, sólo en caso de error.
  • Auditable: Al votante se le mostrará el código de auditoría. Al cerrar la mesa se genera un acta con los códigos, que es pública.
  • Cliente local: Indicada para pruebas o sistemas obsoletos, si marcada, la URL del cliente eSurvey es local, si no, es la URL de la página de desarrollo, lo que inspira más confianza (independencia) al votante.
  • Censo publicado: Cuando el censo de la elección esté completo, debería marcarse esta casilla para que quede públicamente disponible. La aplicación no provee de ningú método de difusión, pero lo que el administrador sólo tiene que enviar el enlace por correo electrónico a los colectivos interesados, para que puedan revisarlo.
  • Papeleta publicada: Idem de la papeleta.
  • Ayuda en papeleta: Si se opta por esta opción, la aplicación mostrará atuda al votante, cuyo texto se construye en función de la estructura de la papeleta.
  • Abierta: Indica que el censo de la elección es toda la población. Ésto permite emplear el programa para hacer consultas tipo encuesta.
Por último, debe establecer los métodos de autenticación válidos para esta elección. El usuario puede estar autenticado pero no podrá votar si no coincide con lo aquí definido. Se muestran los métodos de autenticación disponibles, deben marcarse los que se necesitan para esta elección: el usuario deberá autenticarse por todos estos métodos para poder votar. Una vez definidos los métodos, pulsando cualquier botón "Cambiar", aparecerá una nueva línea de métodos en blanco. Puede establecerse otro conjunto alternativo de métodos de autenticación para esta elección. Por ejemplo puede establecerse como una alternativa la autenticación local (Interna) y como otra alternativa, una externa + STORK.

La elección dispone de un pié de papeleta donde puede introducirse texto libremente. Si la elección no es abierta hay que suministrar el censo de votantes, lo que puede hacerse usando el formato de introducción de población ya explicado, introduciendo de golpe tantos votantes como desee.

A continuación, pueden establecerse una o más votaciones de la elección. Obsérvese la identación de los recuadros de texto para indicar que la votación pertenece a la elección. Introduzca un nombre de votación (o "-") y pulse la tecla "Intro" o cualquier botón "Cambiar", entonces se crea la votación y se despliegan los distintos atributos de la misma. En primer lugar debe establecerse el número mínimo y máximo de casillas que el votante puede marcar y si se permiten votos explícitamente nulos.

A continuación se introducen las opciones, definiendo un texto que aun pudiendo ser de varias líneas no es recomendable que las tenga. Cada opción puede llevar asociada una imagen, e ir separada de la anterior también por un texto y una imagen. Cada opción puede llevar asociada una lista de candidatos y suplentes, que se introducen según el formato de introducción de población ya explicado.
Pueden introducirse varias opciones de golpe: en el recuadro "Más opciones", cada línea se interpreta como una nueva opción.

La combinación de opciones + candidatos, permite realizar combinaciones que generan papeletas muy variadas, que pueden incluso carecer de lógica, por lo que a modo de ejemplo citamos tres formatos típicos de papeleta:

  • Tipo encuesta
    En este modelo no hay candidatos ni suplentes:
    Se ha definido un separador en la primera opción de modo que se introduce un pequeño texto.
  • Tipo lista cerrada
    En este modelo, cada opción lleva un pequeño texto descriptivo y una lista de candidatos, sólo puede elegirse una de las listas. Opcionalmente cada lista puede llevar suplentes:

  • Tipo lista abierta
    Cada opción carece de texto descriptivo y lleva un solo candidato, es decir se introducen tantas opciones como candidatos. Para acelerar la confección de la papeleta, en el recuadro "Más opciones" puede introducirse la lista completa de candidatos (de todas las agrupaciones electorales), en la forma !DNI, uno por línea. Cuando una opción comienza por !, la aplicación interpreta que es una opción sin texto con un primer candidato con ese DNI. Para agrupar los candidatos por candidaturas, la opción donde está el primer candidato de cada candidatura se dota de un texto separador indicando la candidatura.
    Si se desea introducir suplentes a una candidatuta, dado que los suplentes no son elegibles y por tanto es una lista meramente informativa, puede colocarse la lista de suplentes en la última opción de cada candidatura:
    Suplentes
    Suplente 1 1
    Suplentes
    Suplente 2 1
    No debe olvidarse establece el número mínimo de opciones a cero (para permitir voto en blanco) y el máximo al valor que esté regulado.
Mencinar por último que la aplicación permite generar papeletas premarcadas sugeridas por las agrupaciones electorales. Estas papeletas se muestran al votante, que puede elegirlas y modificarlas. Para generarlas, introduzca un texto descriptivo en la casilla al efecto, pulse "Cambiar" y marque las opciones que desee.

Señalar que distintas mesas pueden ser operadas desde distintas ventanas simultáneamente, pero de operarse la misma mesa en dos ventanas distintas, cosa que no debe hacerse, los resultados serán los de la ultima ventana operada, aunque pueden producirse resultados inesperados.

Gestor de imágenes ^
Este gestor pone imágenes a disposición del administrador de mesas. Se accede a él normalmente durante la gestión de una mesa, pinchando en el botón "Imagen" o en una imagen ya establecida. Como operativa básica, el gestor permite seleccionar una imagen de las disponibles. Tras pulsar el botón "Actualizar" (al final de la página) la imagen seleccionada aparece la última y se debe pulsar el botón "Volver" para regresar a la administración de la mesa.

Cada imagen tiene un nombre que puede repetirse, pero no debería y cuya utilidad es referenciar a las imágenes cómodamente desde el CSS (la imagen puede referenciarse por el nombre o por el número de indentificación que aparece al poner el cursor sobre ella). Si un nombre termina en "-", se entiende que se desea ocultar la imagen de la vista ordinaria, lo que no tiene más aplicación que simplificar la lista de imágenes. Una imagen pública es la que puede ser visualizada por un visitante no autenticado. Las imágenes de los candidatos no deberían establecerse como públicas. Para borrar una imagen debe dejarse su nombre en blanco y "Actualizar". Se borrará definitivamente de todo el sistema, por lo que el borrado sólo es posible si la imagen no se emplea ni se ha empleado nunca.

Se pueden añadir imágenes, una por una, cargándola con el navegador o indicando su URL para ser cargada de alguna página web. Sea cual sea el tamaño de la imagen se reducirá hasta ocupar como máximo 75 pixels de alto o 375 de ancho, manteniendo las proporciones. Si la imagen es menor, se mantendrá el tamaño original.

Administrador del sistema ^

El administrador es un rol comprometido con la seguridad del sistema6. Aún así, el SVT está concebido para que cualquier operación que pueda comprometer mínimamente la seguridad del sistema requiera la autorización/presencia de la CCV. Sin la autorización de la misma, el administrador puede:
  • Cambiar la URL informativa, la que se abre al acceder al enlace "Ayuda".
  • Establecer la imagen de error, añadiendo, si es necesario, imágenes al sistema y eliminando las que no se necesiten.
  • Acceder a los logs de eSurvey. Ocasionalmente el uso de eSurvey puede producir errores o alertas que se registran aquí, normalmente intrascendentes, pero en el caso de que produzcan incidencias en algún usuario, pueden depurarse con estos logs. Cada log aparece como varios botones y el mensaje correspondiente. Pulsando en los botones puede obtenerse un subconjunto de los logs filtrado por ese criterio, por ejemplo, pulsando en el botón de la IP, se mostrarán sólo los logs de esa IP.
    Si el equipo donde está instalado el SVT cambia de IP, pierde el acceso a la LCN de eSurvey. Para recuperar el acceso, basta con acceder a los logs de eSurvey y esperar 24 horas a que se actualicen los nodos.
Con la autorización de la CCV, que se otorga desde la consola principal del SVT una vez iniciado, el administrador puede realizar funciones más comprometidas, que deberá, por tanto, ejecutar en presencia de la CCV.
  • Editar la población. Desde aquí puede añadir personas al censo, usando el formato usuario!DNI!Nombre y apellidos, una persona por línea. Pulsando en la inicial del apellido mostrará para editar las personas de ese apellido. También puede solicitar "Todos" los censados. Para cada persona puede modificar cualquiera de los campos, incluído el rol. Si deja la contraseña en blanco, al actualizar no se modifica, si desea cambiar una contraseña debe escribirla tal cual en la casilla correspondiente. El campo IP representa la IP desde la que el usuario quedará automáticamente autenticado si el método de autenticación por IP está habilitado (lo normal es que no lo esté). Si no está habilitado, esta IP sirve para incrementar la "validez" de la autenticación del usuario: si el usuario se autentica desde esa IP se incrementa la validez de su autenticación, si no, simplemente no tiene efecto. El mismo proceso se utiliza con el campo ClId, que es el identificador del clauer. Si el ClId o la IP se establecen con el valor -1, la primera vez que el usuario se autentique quedará registrado el valor actual de la IP o del clId (si estña presente), de modo que la IP o el clId de la primera autenticación quedan establecidos como los propios del usuario para incrementar la "validez" de la autenticación, simplificando la tarea del administrador.
    Para eliminar completamente a un usuario deben dejarse todos los campos en blanco. El usuario será eliminado sólo si no ha votado anteriormente y no ha sido miembro de ninguna mesa.
  • Gestionar las mesas.
  • Editar el CSS mediante un simple recuadro de texto. Esta operación no es tan inofensiva como aparenta, pues mediante el CSS se podrían ocultar partes de la aplicación.
  • Gestionar la autenticación. En este apartado establece los nombres con que se muestran los métodos de autenticación, si están activos o no y cual es el método por defecto. Establece también las URLs de los métodos de autenticación externa, el sistema soporta hasta diez métodos. Si activa el método STORK, se requieren algunos parámetros adicionales. Debe establecer qué países disponen de un PEPS de STORK, pero si está seguro de que todos los miembros del censo pertenecen al mismo país, puede habilitar sólo ese. Debe establecer la URL del PEPS que le ha autorizado a usar STORK (se la habrá suministrado) y el certificado de firma de dicho PEPS. Para conseguir la autorización del PEPS se le requerirá el certificado del SVT, se le muestra a continuación. En un estadio de pruebas, puede emplear el PEPS de pruebas, para lo que no requiere configurar nada.
  • Disminuir el nivel de mantenimiento. Desde este botón se disminuye el nivel de mantenimiento, debe pusarse siempre al terminar el mismo (la CCV debe asegurarse de que se hace.

Notas ^

1
Si hay un método de autenticación por defecto y es distinto de la autenticación interna, exigirá autenticarse antes por éste método, como una medida de seguridad adicional que pretende disminuir la responsaabilidad del operador del punto de registro
2
Código de la pasarela
	<?php
	  if ($sid=$_GET['sid']) // al ser llamada desde mgr.php cambia a la sesión indicada
	    session_id($sid);
	  session_start();
	  if ($sid) { // llamada desde mgr.php para obtener los datos del usuario autenticado
	    echo serialize($_SESSION);
	    session_destroy();
	    session_unset();
	    die();
	  }
	  if ($url=$_REQUEST['exit']) {
	    // ***************
	    //   Aquí debe realizar las acciones para de-autenticarse del sistema de autenticación externo.
	    // ***************
	    header("Location: $url");
	    die();
	  }
	  // ***************
	  //   Aquí debe realizar las acciones para autenticarse, que probablemente, incluyen:
	  //	- saltar al sistema de autenticación externo
	  //	- volver a esta URL (con todos sus parámetros) y conectar con el sistema de autenticación externo
	  //		para recoger los datos del usuario autenticado
	  //	- almacenar en $login el nombre del usuario autenticado, y opcionamente
	  //		su DNI en $DNIi y su nombre en la forma "Apellidos, Nombre" en $nom
	  // ***************
	  if ($login) {
	    $_SESSION['login']=$login;
	    $_SESSION['DNI']=$DNI; // si su sistema le devuelve el DNI
	    $_SESSION['nom']=$nom; // si su sistema le devuelve nombre y apellidos
	    if ($url=$_GET['reto']) {
	      $rah='reto_auth='.urlencode(
			'http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].
			'?sid='.session_id());
	      header("Location: $url$rah");
	      die();
	    }
	    header('Content-type: text/html; charset=utf-8');
	    die('Call');
	  }
	  header('Content-type: text/html; charset=utf-8');
	  die('Error');
      
Si por ejemplo se quiere añadir un CAPTCHA:
	<?php
	  if ($sid=$_GET['sid']) // al ser llamada desde mgr.php cambia a la sesión indicada
	    session_id($sid);
	  session_start();
	  if ($sid) { // llamada desde mgr.php para obtener los datos del usuario autenticado
	    echo serialize($_SESSION);
	    session_destroy();
	    session_unset();
	    die();
	  }
	  if ($url=$_REQUEST['exit']) {
	    // ***************
	    //   Aquí debe realizar las acciones para de-autenticarse del sistema de autenticación externo.
	    // ***************
	    header("Location: $url");
	    die();
	  }
	  if (!$_SESSION['reto'])
	    $_SESSION['reto']=$_GET['reto'];
	  if (!$login=$SESSION['login']) {
	    // ***************
	    //   Aquí debe realizar las acciones para autenticarse.
	    // ***************
	    $SESSION['login']=$login;
	  }
	  if ($login) {
	    $capok=($_REQUEST['cap'] and $_REQUEST['cap'] == $_SESSION['cap']);
	    $_SESSION['cap']='';
	    if ($capok) {
	      $_SESSION['login']=$login;
	      $_SESSION['DNI']=$DNI; // si su sistema le devuelve el DNI
	      $_SESSION['nom']=$nom; // si su sistema le devuelve nombre y apellidos
	      if ($url=$_SESSION['reto']) {
	        $rah='reto_auth='.urlencode(
			'http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].
			'?sid='.session_id());
	        header("Location: $url$rah");
	        die();
	      }
	      header('Content-type: text/html; charset=utf-8');
	      die('Call');
	    }
	    header('Content-type: text/html; charset=utf-8');
	    die('<form mothod=post><img src=captcha.php> <input name=cap> <input type=submit value=Continuar>');
	  }
	  header('Content-type: text/html; charset=utf-8');
	  die('Error');
      
3
Una vez validada la petición, su acceso a eSurvey sites quedará bloquedo para evitar una baja o modificación intencionada.
4
El administrador de procesos electorales se autentica por un sistema de puntuación, debe alcanzar 2 puntos para acceder a este rol. Puede hacerlo mediante usuario y contraseña (1), accediendo desde la IP (1) que usó la primera vez. También puede usar dos métodos de autenticación.
5
El componente de voto es un subsistema cuyo objetivo es dotar a las mesas individuales, en un esquema de CCV, de un mayor protagonismo. El componente está constuído, pero dada la dificultad de su instalación, actualmente no se distribuye.
6
El administrador se autentica por un sistema de puntuación, debe alcanzar 3 puntos para acceder a este rol. Puede hacerlo mediante usuario y contraseña (1), accediendo desde la IP (1) que usó la primera vez, y con el clauer insertado (1). También puede añadir puntuación empleando más métodos de autenticación, por ejemplo usuario + contraseña desde la IP correcta (2) más STORK (1).

Temas relacionados.

[english] Elija estilo - Legal