Authors: Stefano Campanelli, Allessandro Falleni, Fabio Martinelli, Marinella Petrocchi, Anna Vaccarelli
In 2008, they have proposed M-SEAS a mobile e-voting protocol that enables people to cast their votes from the majority of mobile devices, obviously including cellular phones which support Java technology. This implementation fulfills one of the important goals of e-voting, mobility. Some important aspects of this paper can be listed as follows:
• M-SEAS fixes a well-known vulnerability of a well known e-voting protocol SENSUS, that basically allows an adversary to cast votes of eligible users that, although registered, abstain to vote.
• In order to prove the correctness of M-SEAS a formal verification is performed in the paper.
• One of the most important contribution of the paper is that it presents us a real-life e-voting application based on mobile phones.
Some drawbacks can be as follows: an asymetric encryption schema utilized which needs heavy computational requirements. Although it is claimed that today’s mobile devices have capacity to do those computations faster, there is another issue of spending scarce resources such as the battery of those hend-held devices. Hence, we believe that the efficiency of the protocols used in the devices having limitted resouces should always be taken into consideration. Another drawback is that digital certificate is transfered from PC through Bluetooth. As we know that today’s technology let us to embed digital certificate in the SIM card which a more secure metodology.
Paper Review: Mobile Implementation and formal verification of an e-voting system
Aralık 16, 2008
Yorum Yok » | 
Paper Review | 
Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
Paper Review: Secure Electronic Voting for Mobile Communications
Aralık 16, 2008
Authors: Xun Yi, Pietro Cerone, Yanchun Zhang
In 2006 X. Yi et.al has proposed a secure electronic election scheme based on blind signature for mobile communication environments. As one of the most important problems is the limitted resources on mobile devices, they have tried to increase the efficiency of the cryptographic operations by implementing a “Modular Square Root” technique. By this technique, a mobile voter needs to compute at most 7 modular multiplications plus one modular inversion. When compared to the previous protocols proposed for standart PCs such as Fujiko-Okamota-Ohta scheme, this schema requires much less computations in mobile voter thereby is more suited for implementation on portable communication devices with limited computational capacities and resources. Their schema meets completeness, soundness, privacy, unreuseability, eligibility, fairness and verifiability but not uncoercibility. And although they have proposed a secure schema, they have not mentioned anything about the implementation and other security issues i.e. how to prevent the security issues with the OS of those portable communication devices.
Yorum Yok » | 
Paper Review | 
Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
Paper Review: An electronic voting protocol with deniable authentication for mobile Adhoc Networks
Aralık 16, 2008
Authors: Chu-Ta Li, Min-Shiang Hwang, Chi-Yu Liu
In this paper a secure e-voting schema has been proposed by C.Li et. al. in 2008 For mobile and ad hoc networks. They targets especially local and small size e-voting practices such as a decision making voting within a company. In their solution they have utilized denial authentication encryption which means that the integrity of a given message should be verified only by an intended receiver and the intended receiver cannot prove the source of the given messageto any third party, even if he/she fully cooperates with the third party. The advantage of denial authentication is that it provides freedom from coercion in e-voting systems over insecure networks.
Yorum Yok » | 
Paper Review | 
Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
Estonya E-seçimlerde Cep Telefonu Üzerinden Doğrulama Yapmak için Kolları Sıvadı
Aralık 15, 2008E-seçim çalışmalarında başı çeken ülkelerden biri olan Estonya şimdi de 2011 yılındaki seçimlerde cep telefonu üzerinden doğrulama yapabilmek için hazırlıklara başladı. 2005 yılından beri ulusal kimlik kartlarını elektronik seçimlerde doğrulama aracı olarak kullanıma sokan Estonya, özellikle yurtdışındaki vatandaşların lokal güvenlik nedeniyle bazen bu kartlar üzerinden doğrulama gerçekleştiremediğini bu nedenle cep telefonları üzerindeki SIM karta gömülmüş sertifikalarla doğrulama yapabilmek için bir yazılım projesi başladıklarını duyurdu. Mobil doğrulama fonksiyonunun mevcut yazılıma eklenmesi için öngörülen süre ise 6 ay olarak belirtiliyor. Doğrulama dışındaki seçim işlemlerinin güvenlik nedeniyle şuan için cep telefonu üzerinden düşünülmediği de vurgulanan konulardan bir tanesi. Haberin detaylarını bu linkten öğrenebilirsiniz.
Yorum Yok » | mobile phones in e-voting | Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
“Karakutu Elektronik Seçim Aygıtları” gerçekten kurtarıcı mı?
Aralık 12, 2008Elektronik seçim çalışmalarında iki temel yaklaşım göze çarpmaktadır. Bir tanesi uzaktan seçim, diğeri oy verme kabininde yapılan e-oylama. Uzaktan seçim, belirli bir mekana sınırlı olmadan istediğimiz yerden bilgi ve iletişim cihazları vasıtasıyla oy kullanabilmeye olanak sağlayan yöntemleri içermektedir. Dijital televizyonlar, mobil telefonlar uzaktan seçim için kullanılabilen aygıtlar olsa da uzaktan seçim deyince akla daha çok internet üzerinden oy kullanma gelmektedir. Bu kısaca i-oylama (i-voting) olarak da bilinmektedir. Yapılan bilimsel çalışmalar bu iki odak etrafında yoğunlaşmaktadır.
Gereksinimler ve güvenlik açısından baktığımız zaman i-oylama’nın daha zor bir problem olarak karşımıza çıktığını söyleyebiliriz. Çünkü doğası gereği dağıtık ve çeşitlilik arz eden bir topolojiye sahip olan i-oylama’nın güvenliğini sağlamak da çok zordur. Bruce Schneiner’in şu sözü olayın ne kadar kritik olduğunu gözler önüne sermektedir: “An Internet Voting System would be the first secure network application ever created in the history”. Sunucu, iletişim güvenliği ve benzeri bir takım faktörleri bir kenara bırakırsak, sadece istemci güvenliğini bile sağlamak i-oylamada kullanılan bütün istemcilerin güvenli olması anlamına gelmektedir ve bu da pratikte gerçekten çok zor bir konudur. Ayrıca güvenliğin dışında demokratik gereksinimlerden kaynaklanan sıkıntılar da bulunmaktadır. Bunlardan en belirgini oy ticareti ve zorla oy kullandırma olaylarıdır. İnternet üzerinden oylama esnasında her kişinin başına bir güvenlik görevlisi dikmek mümkün değildir. Bu da kişilerin bazı maddi imkanlar karşılığında oylarının hangi yönde kullandıklarını başka kişilere ispatlama olanağını doğurmaktadır. Aynı zamanda bir grubun zorla bir odaya alınıp, belirli bir kişi veya grup yönünde oy kullanmaları yönünde zorlama yapma gibi hadiseler de internet oylamada karşılaşabileceğimiz uınsurlar arasındadır. Dolayısıyla dünya çapındaki e-seçim örneklerinin çoğu oy verme kabininden yapılan e-oylama’yı temel almaktadır. Günümüze kadar bu konuda birçok farklı yöntem ve mekanizma denenmiştir. En son olarak DRE olarak adlandırılan kapalı kutu cihazlar ve dokunmatik ekranlar vasıtasıyla gerçekleştirilen e-seçim uygulamaları göze çarpmaktadır. Her ne kadar mekan bağımsız bir seçim mekanizması olmasa da, güvenlik ve seçim verimliliğinin arttırılması yönünde baktığınızda gerçekten de daha uygulanabilir bir çözüm olarak karşımıza çıkmaktadır.
Peki karakutu e-seçim aygıtları güvenlikle ilgili bütün problemleri çözmüş müdür? Bunu söylemek ne yazık ki çok zordur. Çünkü sözkonusu e-secim aygıtları her nekadar karakutu olsa da içerisinde bir yazılım barındırmaktadır. Bruce Schneier’ın bu konuda blogunda yazdığı çok güzel bir yazı bulunmaktadır. Bu yazıda birçok e-seçim cihazının oyları yanlış hesapladığına dair örnekler yer almaktadır. Bu da e-seçim cihazları üreticilerinin güvenilirliği konusunda çok büyük şüpheler doğurmaktadır. Çünkü hepimizin bildiği gibi seçimler çok kritik hususlardır ve bu konuda güvenilirliğin kesinlikle bir grup insana emanet edilmemesi gerekmektedir. Ayrıca kapalıkutu e-seçim cihazlarıyla ilgili yaşanan bir başka sıkıntı da seçimlerin tekrar sayılamamasıdır. Bilindiği üzere normal manuel sistemde, oylar sandıkta fiziki olarak bulunduğu için çıkan sonuçlarla ilgili herhangi bir şüphe durumunda sandıkların tekrar sayılması söz konusu olmaktadır. Fakat elektronik uygulamalarda ayrı bir fiziki materyal oluşturmadan tekrar sayım söz konusu değildir. Bu da şüphelerin sorgulanamaması ve güvensizliğin artması anlamına gelmektedir.
Kapalıkutu e-secim aygılarına yönelik güvenlik problemlerini sadece üretici bazda ele almak da yanlıştır. Çünkü her nekadar karakutu olarak tasarlanmış olsa da organize bir hacker grubu bu kutulara karşı saldırılar düzenleyip bir takım zararlı kodları bu makinelere sızdırmaları da mümkündür. Ayrıca geçmişteki örnekler, bu kutuların fiziki olarak da korunaklı yerlerde saklanmadığını gözler önüne sermektedir. Bu konuyla ilgili Dan Wallach blogunda “Vendor misinformation in the e-voting world” başlığında güzel bir yazı yazmıştır. İlgilenenler göz atabilir.
Sonuç olarak e-seçimlerde kullanılan teknolojiler ve sistemlerle ilgili hala birçok problem göze çarpmaktadır. Bu problemlere yönelik bir çok bilimsel araştırma yürütülmektedir. E-seçim cihazlarının güvenliğini arttırmaya yönelik ise yapılabilecek çalışmaların mevcut olduğuna inanıyor, konu üzerinde daha fazla çalışmanın yapılması, kapalı yazılımlardan ziyade güvenliği herkes tarafından test edilebilen açık yazılımlar vasıtasıyla bu işlemin gerçekleştirilmesi ve çok yönlü kontrol mekanizmalarının kurulması gerektiğini düşünüyorum.
Yorum Yok » | e-voting machine | Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
Trusted Platform Module (Güvenilir Platform Modulü)
Aralık 11, 2008Bugünki yazımın konusu “Trusted Computing Group” isimli grubun çalışmalarından biri olarak ortaya çıkan ve son zamanlarda çok sık konuşulan ve tartışılan konulardan birisi: TPM Trusted Platform Module (Güvenilir Platform modülü). Bu yazıyı okumadan önce, blogumuzdaki “Çok karıştırılan kavramlar: Security, Reliability, Safety, Trustability” isimli yazıya göz atmanızda büyük fayda görüyorum.
“Trusted Computing” grubu, çoklu platformlar, çevresel ve diğer aygıtlar arası donanım blokları ve yazılım arabirimleri oluşturmayı içeren donanım-etkin güvenilir hesaplama ve güvenlik teknolojileri gibi açık standartlar geliştirmeyi ve tanımlamayı amaçlayan kar gütmeyen bir yapılanmadır. TPM, bu grubun çalışmalarından biri olarak ortaya çıkmıştır. TPM ile ilgili daha detaylı bilgi edinmek isteyen arkadaşlar için benim yazımı oluştururken kullandığım Trusted Coputing Group Web sistesini ve şu linkte yer alan “Bilgi Güvenliğinde Yeni Bir Yaklaşım, Güvenilir Bilişim” başlıklı Türkçe makaleyi tavsiye etmek istiyorum.
Şimdi gelelim TPM’in ne olduğuna ve nasıl işlev gördüğüne:
TPM, günümüzde birçok bilgisayar üzerinde hazır gelen donanım tabanlı bir çeşit güvenlik ve kriptografi çipidir. Bu çip içerisinde dijital sertifika, kriptografik anahtarlar, parolalar ve benzeri birçok gizli bilgiyi barındırabilir. TPM aynı zamanda anahtar yönetimi, üzerinde çalıştığı PC’nin kimliğini doğrulama, elektronik belgeler ve e-postalar üzerinde güvenli elektronik imzalama, şifreleme, şifre çözme işlemlerini gerçekleştirme, tam-sürücü şifrelemeyi (full-drive encryption) yönetme, çok yönlü doğrulamada ikinci faktör olarak görev yapma ve üzerinde bulunduğu bilgisayarın güvenliğini ve bütünlüğünü değerlendirmeye yardımcı olma gibi bir çok alanda işlev görebilmektedir.
Teknoloji üreten firmaların birçoğu TPM’i, ürettikleri ürünlerde çok yenilikçi tarzlarda kullanabilmek için çaba göstermektedir. Örneğin HP, Lenova ve benzeri bir çok PC üreticisi ürünlerinde TPM destekli güvenlik yazılım araçlarını standart olarak sunmaya başlamıştır. Microsoft Vista Bitlocker aracı, TPM’i bilgisayarın güvenli açılışı için kullanmaktadır ve son örnek olarak Secude International AG, PC’ye erişimi güvenli kılmak ve sürücüleri şifrelemek için TPM’i kullanmaktadır.
TPM ‘in güvenilirliği sağlamada kullandığı iki metodoloji şunlardır:
İlk TPM uygulamaları PC’ler üzerine yoğunlaşsa da, sunucular üzerinde de TPM çalışmaları yapılmaktadır. Bu sayede güvenilir sunucu-taraflı hesaplama ve sunucu-istemci iletişimi hedeflenmektedir. IBM ve Dell gibi markalar sunucularında çoktan TPM destekli çiplere yer vermeye başlamıştır.
En çok kullanılan TPM uygulamaları ise şu şekildedir:
- Ağ Erişimi
- Veri Koruma
- Kullanıcı Doğrulama
Yorum Yok » | TPM | Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
E-Cognocracy (Cognitive Democracy) Bilişsel Demokrasi
Aralık 11, 2008Son zamanlarda “e” li kavramların hayatımızın daha da içine sokulmasıyla bir çok yeni kavram ve paradigmalar ortaya atılmaya başlamıştır. Tezimle ilgili araştırmalarım esnasında ilginç bir kavram daha dikkatimi çekti: E-Cognocracy. Aynı zamanda “Cognitive Democracy” olarak da kullanılabildiği için Türkçe çevirisi olarak Bilişsel Demokrasi olarak ele almanın daha uygun olduğunu düşünüyorum. Bildiğimiz üzere ODTU Enformatik Enstitüsünde de bir akademik program olarak yer alan “Cognitive Science” başlığı altındaki çalışmalar Türkçe’ye “Bilişsel Bilim” olarak geçmiş ve insan beyninin analiz edilerek bilişim alanındaki bir takım problemlere çözümler üretilmesi fikrine odaklanılmaktadır. Bilişselliğin demokrasiye uyarlanması ilk defa Moreno-Jimenez ve Polasek tarafından 2003 yılında ortaya atılmış ve bu düşünüş E-Cognocracy kavramını ortaya çıkarmıştır. E-Cognocracy, canlılardan sadece öğrenebilen (bilgiyi ortaya çıkarıp yayabilen) ve çevre şartlarına ayak uydurabilenlerinin hayatta kalmayı başabileceğinden yola çıkarak, toplum yönetişimi bağlamında halkın karar verme süreciyle ilgili kompleks problemlerin bilimsel çözümlerinden çıkarılan üstbilgi’nin (knowlegde) sosyal yayınım ve çıkarımına odaklanmıştır. Amaç üstbilginin demokratikleşmesi ve böylece vatandaşların yaşam kalitesinin arttırılması, daha açık, şeffaf, sivilleştirilmiş, özgür ve aynı zamanda birbirine bağlı ve uyumlu, daha katılımcı ve eşit bir toplumun yaratılmasıdır. Bilişsel demokrasi temsili ve katılımcı demokrasilerin bir bileşimi olarak düşünülebilir. Bilindiği üzere ülkemizin de içinde bulunduğu demokrasi temsili demokrasidir. Yani seçimler vasıtasıyla halk kendini temsil edecek kişileri belirli bir süreliğine yönetime getirir ve bu kişiler bu süre zarfında halk adına kararlar alır ve uygularlar. Aslına bakılırsa bu yönetimsel anlayış halkın yönetime katılımını ana ilke olarak benimseyen demokrasinin doğasına pek uymamaktadır. Bilginin ön plana çıktığı günümüzde, insanlar teknolojik olanaklar sayesinde birbirleriyle artık daha kolay ve hızlı temas kurabilir hale gelmiştir. Bu da mekanları farklı olan insanların ortak karar alma süreci içerisinde bulunmalarına olanak sağlamıştır. Dolayısıyla günümüz gereksinimleri artık devletin karar alma süreci içerisinde, vatandaşların daha çok dahil edilmesi ana temasına vurgu yapmaktadır. Tam demokrasi ancak şeffaf ve halkın tam katılımda bulunduğu bir anlayışla mümkündür. İşte bu noktada Bilişsel Demokrasi’nin amacı tam demokratik bir ortamın yaratılması adına halkın karar alma mekanizması içerisine çekilmesi ve bu süreçte canlıların yaşayışları örneklenmek suretiyle, bilgi ve iletişim teknolojilerinden en etkin şekilde yararalanmaktır.
Yorum Yok » | Bilişsel Demokrasi | Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
Makale İnceleme: Towards Secure E-Elections in Turkey: Requirements and Principles
Ağustos 14, 2008
Makale Adı : Towards Secure E-Elections in Turkey: Requirements and Principles
Yazarları : Orhan Çetinkaya (ODTÜ Uygulamalı Matematik Enstitüsü Ankara Türkiye)
Deniz Çetinkaya (ODTÜ Bilgisayar Mühendisliği Ankara Türkiye)
Yayınlandığı yer : IEEE 2nd International Conference on Availability, Reliability and Security (ARES’07)
Link: Makalenin IEEE Linki için tıklayınız…
Yorum : Makale genel olarak Türkiye’de e-seçim için gerekli olan ihtiyaçlar ve prensipleri ele almaya çalışmıştır. Türkiye’de temsili demokrasi (halkın kendini yönetecek kişileri seçtiği demokrasi) olduğu için makale aslında sadece Türkiye değil, temsili demokrasi uygulayan bütün ülkeleri kapsamaktadır denilebilir.
Bilişim teknolojilerinin gelişmesiyle demokrasinin de bilişim sistemleri üzerine taşınma fikirleri tartışılmaktadır. E-seçim ise e-demokrasinin vazgeçilmez bir parçası olarak karşımıza çıkmaktadır. Kimi kaynaklara göre e-seçim ve e-demokrasi kavramları birbirleri yerine kullanılabilmektedir. Literatürde e-seçim ile ilgili bir çok çalışma yapılmaktadır. Bu çalışmalarda en çok göze çarpan hususlar e-seçim sistemlerinin güvenlik, gizlilik ve mahremiyet sınırlarını zedelemeden nasıl gerçekleştirilebileceği yönündedir.
Makalede e-seçim gereklilikleri iki ana başlık altında toplanmıştır:
- Çekirdek ihtiyaçlar (Core Requirements)
- Ek ihtiyaçlar (Additional Requirements)
Çekirdek ihtiyaçlar
- Oy kullananın mahremiyeti (Voter privacy)
- Seçilebilirlik (Eligibility)
- Adaletlilik (Fairness)
- Biriciklik (Uniqueness)
- Zorlanamama (Uncoercibility)
- Doğruluk, Hatasızlık (Accuracy)
- Sağlamlık (Robustness)
- Verimlilik (Efficiency)
- İmtina Eden Oy Kullanıcı (Abstaining Voter)
- Sıfır Oy Pusulası (Null ballot)
- Boş Oy Pusulası (Empty ballot)
- Onaylanabilirliği (Validability)
- Evrensel Doğrulanabilirliği (Universal Verifiability)
- Bireysel Doğrulanabilirliği (Individual Verifiability)
- Uygunluk, Kullanılabilirlik (Convenience)
- Adayların Eşitliği (Equality of candidates)
- Açık Kaynak (Open Source)
- Bağların çokluğu (Manifold of Links)
- Şeffaflık (Transparency)
- Fiziksel tekrar sayma ve denetleme (Physical Recounting and Auditing)
- Teknik Yeterlilik (Technical Adequacy)
- Sonuçların Duyurulması (Anouncement of Results)
Ek İhtiyaçlar
- Alındı-Serbestliği (Receipt-freeness)
- Hareketlilik (Mobility)
- Ucuz Seçimler (Cheap Elections)
- Esneklik (Flexibility)
- Tasarım Bağımsızlığı (Design Independence)
- Doğrulanmış Oy Pusulası Stilleri (Authenticated Ballot Styles)
- Ölçeklenebilirlik (Scalability)
Yazarlar yukarıda sözkonusu olan ihtiyaçları makalede açıklamakla birlikte, Türkiye gibi temsili demokrasilerin olduğu ülkelerde normal seçimlerin e-seçim halini alabilmesi için bu ihtiyaçların mutlak suretle karşılanması gerektiğini vurgulamışlardır.
Yorum Yok » | Makale İnceleme, Uncategorized | Kalıcı Bağlantı
Yazan: Yusuf UZUNAY
