PUIGGALÍ ALLEPUZ, Jorge (SCYTL SECURE ELECTRONIC VOTING, SAc/ Tuse, 20 1-7 Barcelona, E-08006, ES)
MORALES ROCHA, Victor Manuel (SCYTL SECURE ELECTRONIC VOTING, SAc/ Tuse, 20 1-7 Barcelona, E-08006, ES)
VALLÈS FONTANALS, Pere (SCYTL SECURE ELECTRONIC VOTING, SAc/ Tuse, 20 1-7 Barcelona, E-08006, ES)
PUIGGALÍ ALLEPUZ, Jorge (SCYTL SECURE ELECTRONIC VOTING, SAc/ Tuse, 20 1-7 Barcelona, E-08006, ES)
MORALES ROCHA, Victor Manuel (SCYTL SECURE ELECTRONIC VOTING, SAc/ Tuse, 20 1-7 Barcelona, E-08006, ES)
REIVINDICACIONES
1. Método para Ia consolidación segura y auditable de resultados de un proceso electoral a partir de unos resultados locales, en el que participan al menos unas autoridades electorales locales, formada por al menos un miembro, para Ia protección de dichos resultados locales, comprendiendo dicho método para cada resultado local las siguientes etapas: a) Validación por parte de las autoridades electorales locales de una información del resultado electoral local, mediante Ia generación de una prueba de validación que permita verificar Ia participación de al menos una parte de dichas autoridades electorales locales en dicha validación; b) Comunicación de dicha prueba de validación a un modulo de consolidación; c) Verificación en dicho módulo de consolidación de que Ia prueba de validación de los resultados locales comunicada ha sido generada por las autoridades locales correctas; d) Generación en el módulo de consolidación de resultados de una prueba de recepción de al menos dicha prueba de validación y que represente al menos el resultado de Ia verificación; y e) Comunicación a las autoridades electorales locales de Ia aceptación o no de Ia prueba de recepción, a partir de Ia prueba de recepción.
2. Método según Ia reivindicación 2 caracterizado por comunicar adicionalmente en Ia etapa b) el resultado electoral local validado en Ia etapa a). 3. Método según Ia reivindicación 1 ó 2 caracterizado por utilizar un módulo de transferencia de información para Ia comunicación del Ia prueba de validación y/o resultado electoral local de Ia etapa b).
4. Método según Ia reivindicación 3 caracterizado por utilizar dicho módulo de transferencia de información para generar Ia prueba de validación de Ia etapa a).
5. Método según Ia reivindicación 1 caracterizado por generar Ia prueba de validación de Ia etapa a) a partir de al menos una prueba de identidad de al menos una parte de las autoridades electorales locales que han participado en Ia validación del resultado electoral local.
6. Método según reivindicación 5 caracterizado porque Ia prueba de identidad se obtiene a partir de unas credenciales de identificación del grupo que comprende una clave de acceso, un registro biométrico o cualquier otra prueba de identidad única.
7. Método según Ia reivindicación 1 ó 6 caracterizado porque Ia prueba de identidad se obtiene a partir de un mecanismo que permita vincular dicha prueba de identidad con Ia información de resultados locales. 8. Método según Ia reivindicación 7 caracterizado porque el mecanismo utilizado es un algoritmo criptográfico, del grupo que comprende una firma digital o una función MAC, aplicado sobre al menos parte de Ia información de resultado electoral local y/o al menos una prueba de identidad, utilizando una clave criptográfica. 9. Método según Ia reivindicación 7 caracterizado porque el mecanismo utilizado es un registro biométrico de al menos una de las autoridades electorales locales y que contenga parte, un resumen o una compresión de Ia información de los resultados locales.
10. Método según Ia reivindicación 9 caracterizado por utilizar como registro biométrico un registro audible o escrito de una o varias autoridades locales.
11. Método según Ia reivindicación 1 ó 2 caracterizado por comprender una etapa previa a Ia etapa b) que consiste en cifrar de manera parcial o total Ia prueba de validación y/o Ia información de resultados locales mediante un sistema de cifrado simétrico o asimétrico.
12. Método según Ia reivindicación 1 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que las pruebas de identidad, que son al menos una, contenidas en Ia prueba de validación corresponden a unas mínimas autorizadas para realizar Ia validación de los resultados electorales locales.
13. Método según Ia reivindicación 2 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que las pruebas de identidad, que son al menos
* una, contenidas en Ia prueba de validación corresponden a unas mínimas autorizadas para realizar Ia validación de los resultados electorales locales. 14. Método según Ia reivindicación 2 ó 13 caracterizado por realizar en Ia verificación de Ia prueba de validación de Ia etapa c) una comprobación de que Ia prueba de validación se corresponda con los resultados electorales locales.
15. Método según Ia reivindicación 14 caracterizado porque esta comprobación consiste en verificar si las firmas digitales contenidas en
Ia prueba de validación se corresponden con Ia información firmada y que al menos una de ellas se haya realizado utilizando los resultados electorales locales.
16. Método según Ia reivindicación 1 caracterizado porque Ia prueba de recepción de los resultados locales de Ia etapa d) contenga al menos el resultado de Ia verificación como una representación numérica, alfanumérico, un texto o Ia combinación de ellas.
17. Método según Ia reivindicación 16 caracterizado porque Ia prueba de recepción de los resultados electorales locales contiene una prueba de aceptación generada a partir de al menos Ia información de resultado local de Ia prueba de validación verificada.
18. Método según Ia reivindicación 17 caracterizado porque dicha prueba de aceptación contiene al menos parte o un resumen de una firma digital o una función MAC aplicada sobre al menos Ia información de resultado local de Ia prueba de validación verificada.
19. Método según Ia reivindicación 16 caracterizado porque las autoridades electorales locales utilizan dicha prueba de aceptación contenida en Ia prueba de recepción para verificar que los resultados locales aceptados son correctos.
20. Método según Ia reivindicación 16 caracterizado por incluir dicha prueba de aceptación de manera escrita o impresa en una acta oficial de resultados locales generada por las autoridades electorales locales.
21. Método según Ia reivindicación 1 caracterizado por almacenar en el módulo de consolidación los resultados electorales locales y/o dicha prueba de validación. 22. Método según Ia reivindicación 11 caracterizado por comprender en el módulo de consolidación una etapa adicional de descifrado de los resultados electorales locales y/o prueba de validación.
23. Método según Ia reivindicación 22 caracterizado porque Ia clave utilizada para descifrar se encuentra repartida entre un conjunto de autoridades electorales mediante un esquema de compartición de secreto.
24. Sistema para Ia consolidación segura de los resultados de un proceso electoral a partir de Ia recolección de resultados locales, para implementar el método descrito en las reivindicaciones 1 a 23, caracterizado por comprender un módulo de consolidación configurado para recibir Ia información de resultados locales y pruebas de validación, que comprende al menos: i. unos medios de entrada/salida de datos que permitan recibir al menos Ia prueba de validación y devolver una prueba de recepción de dichos resultados locales; y ii. unos medios de procesamiento que permitan Ia verificación de Ia prueba de validación y Ia generación de una prueba de recepción.
25. Sistema según Ia reivindicación 24 caracterizado por utilizar un módulo adicional de transferencia por medio del cuál se envía Ia prueba de validación y/o información de resultados locales hacia el módulo de consolidación, que comprende al menos: i. unos medios de entrada/salida de datos que permitan introducir y enviar Ia prueba de validación y/o información de resultados locales, recibir una prueba de recepción y mostrar el resultado de Ia verificación contenido en Ia prueba de recepción. ii. unos medios de procesamiento que permitan generar una prueba de validación de Ia información de resultados locales.
26. Sistema según Ia reivindicación 24 caracterizado porque al menos parte de los medios de entrada/salida están conectados a una red de comunicación del grupo que comprende una red local, global o punto a punto.
27. Sistema según Ia reivindicación 24 caracterizado porque dicho módulo de consolidación dispone de unos medios de almacenamiento para almacenar Ia prueba de validación, Ia información de resultado electoral local y/o una clave criptográfica.
28. Sistema según Ia reivindicación 25 caracterizado porque al menos parte de los medios de entrada/salida de datos de dicho módulo de transferencia son un dispositivo de captación de información biométrica del grupo que comprende un scanner de huellas dactilares, un dispositivo de registro de voz, una tableta digitalizadora o un scanner de documentos.
29. Sistema según Ia reivindicación 25 caracterizado porque al menos parte de los medios de entrada/salida de dicho módulo de transferencia están conectados a una red de comunicación digital del grupo que comprende una red local, global o punto a punto, una red de comunicación analógica del grupo que comprende una red de telefonía o una red de video, o una impresora.
30. Sistema según Ia reivindicación 24 caracterizado porque dicho módulo de consolidación es un ordenador personal, un servidor conectado o no a una red de comunicación, o un servidor de IVR conectado al menos a una red de telefonía.
31. Sistema según Ia reivindicación 25 caracterizado porque dicho módulo de transferencia es un dispositivo con capacidad de cómputo del grupo que comprende un ordenador personal, una PDA o un teléfono móvil conectado a una red de comunicación. |
Método y sistema para Ia consolidación segura y auditable de resultados de procesos electorales
Campo de Ia invención
La presente invención se enfoca principalmente en el campo de los procesos electorales e introduce un método seguro y auditable para Ia consolidación de resultados. El método proporciona los procesos necesarios para que unas autoridades electorales locales, tales como los miembros de una mesa electoral, comuniquen de forma segura y auditable unos resultados electorales a un centro de consolidación de resultados.
El método es susceptible de ser utilizado en Ia consolidación de resultados en entornos remotos, tanto en procesos electorales presenciales como remotos. La invención se refiere también a un sistema para implementar el citado método.
Antecedentes de Ia invención
La precisión en los resultados es una característica primordial de todo proceso electoral. Tradicionalmente, el recuento de los votos se ha llevado a cabo manualmente, Io cuál tiene como consecuencia un retraso no deseado en Ia publicación de resultados y sobretodo una alta probabilidad de cometer errores en dicho recuento. La modernización de los sistemas electorales ha permitido agilizar el recuento de los votos y Ia precisión en los resultados mediante el uso de dispositivos de voto electrónico (p.Ej., terminales de voto electrónico o máquinas de escaneo de votos). Estos dispositivos permiten generar un registro electrónico de los votos, y por Io tanto Ia realización de un recuento electrónico más rápido y fiable. También facilitan el envío, tanto de los votos electrónicos como de los resultados locales obtenidos, a un sistema de recuento central que permita Ia consolidación de los resultados de distintos colegios electorales o canales de voto. Sin embargo, las propuestas actuales sólo contemplan Ia
protección de Ia privacidad de los votos o resultados enviados mediante el cifrado. Estas soluciones no incorporan medidas que faciliten auditar Ia integridad de dichos recuentos locales o identificar si estos resultados han sido avalados por las autoridades encargadas de realizar dicho recuento. De este modo, no es posible verificar de una forma fiable si los recuentos locales recibidos por el centro de consolidación han sido manipulados antes de ser procesados por el centro de consolidación. Adicionalmente, estas propuestas no tienen en cuenta Ia posibilidad de consolidar resultados que provengan de recuentos manuales, por Io que no son aplicables a entornos de voto tradicional. Un ejemplo de estas propuestas Io podemos encontrar en Ia patente
US7044375, que describe un sistema en el cuál se lleva a cabo una consolidación central de los resultados de una votación llevada a cabo por medios electrónicos. El sistema tiene un dispositivo de adquisición y comunicación que se encarga de reunir los votos y/o resultados generados en las máquinas de votación y/o recuento locales en los recintos de votación. Esos datos son cifrados y enviados desde cada recinto local hacia un sistema central de consolidación de resultados por medio de un canal de comunicación. El sistema central de consolidación recibe los datos, los descifra y realiza el recuento. El sistema de consolidación envía periódicamente los resultados actualizados a un sistema de publicación de resultados. Tal como se menciona anteriormente, esta solución no incorpora medidas que permitan proteger Ia integridad de los datos enviados el sistema central. Tampoco incorpora medidas que permitan verificar si los datos enviados han sido verificados por los gestores locales del proceso electoral sino que asume en todo momento que los datos recibidos provienen de una fuente de confianza sin validar ésta.
De forma similar, Ia patente US20060196939 describe un sistema de votación electrónica que incluye un sistema de recuento de votos centralizado. Los resultados locales de cada precinto electoral son cifrados y enviados a un sistema de recuento centralizado. Dicha transmisión puede ser online o por medio del transporte físico de los dispositivos de almacenamiento de Ia terminal de recuento local. El dispositivo de almacenamiento local cuenta con una interfaz física que Ie permite conectarse al sistema de recuento centralizado para efectuar Ia descarga y descifrado de los resultados locales. El sistema de
recuento centralizado, a través de una red de comunicación, envía los resultados a un sistema de publicación, el cuál se encarga de dar a conocer los resultados.
En ninguno de los dos casos mencionados arriba se proponen acciones que ayuden a preservar Ia integridad de los resultados. Si bien es cierto que en ambos casos los resultados locales son cifrados antes de ser enviados al servidor central, Io cual los protege durante Ia transmisión, no se plantean técnicas que garanticen Ia integridad de los resultados locales antes de ser enviados ni tampoco que puedan garantizar Ia integridad del resultado final. Debido a Ia posibilidad de manipulación de los resultados, existen métodos que pretenden verificar (o auditar) Ia precisión en el resultado de una elección mediante registros paralelos en diferentes soportes de almacenamiento. Un ejemplo de esto son los sistemas que imprimen cada voto de forma paralela al registro del mismo en un medio electrónico. El problema principal con los sistemas de registro paralelo de votos es que si uno de los registros es manipulado esto puede ser detectado solamente mediante una auditoría. En caso de detección de una discrepancia en el recuento de ambos registros no es posible saber cuál de ellos ha sido manipulado y por Io tanto no se tiene Ia certeza de cuál es el resultado correcto. La presente invención describe un método de consolidación de resultados de un proceso electoral de una manera segura. Dicho método permite Ia consolidación de resultados locales que se generan en diferentes recintos locales o incluso en diferentes plataformas o canales de votación electrónica. Otro objetivo de Ia presente invención es proteger Ia integridad de los resultados locales de Ia elección, así como comprobar Ia autoría del oficial o de los oficiales de Ia elección que envía dichos resultados locales. Además, se pretende con Ia presente invención generar registros físicos de los resultados locales y proteger su integridad, así como comprobar Ia autoría de los mismos.
Breve exposición de Ia invención
La presente invención describe un método para Ia consolidación de resultados de procesos electorales que permite a unas autoridades electorales,
proteger Ia seguridad y auditabilidad de los resultados locales de Ia unidad electoral a Ia que han sido asignadas esas autoridades. La presente invención describe como parte del método, Ia generación por parte de uno o más miembros de las autoridades electorales locales de una prueba de validación de los resultados electorales, que permite al menos identificar los miembros de Ia autoridad electoral que han participado en Ia validación de los resultados electorales locales. El método también describe Ia generación de una prueba de validación que además quede vinculada con los resultados electorales locales validados por los miembros de Ia autoridad electoral local que hayan participado en este proceso de validación. Esta prueba de validación se utilizará para verificar si unos resultados electorales locales a consolidar han sido previamente validados por las autoridades electorales locales asignadas. El método también contempla Ia comunicación a las autoridades electorales del resultado de dicha verificación. En una implementación básica, el método comprende las siguientes etapas: a) Validación por parte de las autoridades electorales locales de una información del resultado electoral local, mediante Ia generación de una prueba de validación que permita verificar Ia participación de al menos una parte de dichas autoridades electorales locales en dicha validación; b) Comunicación de dicha prueba de validación a un modulo de consolidación; c) Verificación en dicho módulo de consolidación de que Ia prueba de validación de los resultados locales comunicada ha sido generada por las autoridades locales correctas; d) Generación en el módulo de consolidación de resultados de una prueba de recepción de al menos dicha prueba de validación y que represente al menos el resultado de Ia verificación; y e) Comunicación a las autoridades electorales locales, de Ia aceptación o no de los resultados locales a partir de Ia prueba de recepción.
De forma opcional el método contempla que las etapas a) y b) se realicen mediante un módulo de transferencia de información.
En relación a Ia etapa de generación de Ia prueba de validación, Ia invención introduce distintas alternativas para generar dicha prueba de manera que ésta permita identificar Ia identidad de las autoridades que han participado en Ia validación de los resultados locales. También propone distintas alternativas, mediante el uso de técnicas criptográficas y/o biométricas, para Ia generación de Ia prueba de validación de forma que permita además vincular dicha prueba con los resultados electorales locales validados. En relación a Ia etapa de verificación, Ia invención describe distintas alternativas de verificación de Ia prueba de validación y acciones soportadas a partir del resultado de dicha validación, como proceder a Ia aceptación o no de los resultados locales para su consolidación.
La invención también describe distintas alternativas de generación de una prueba de recepción, entre las que se encuentran Ia de incluir una prueba de integridad generada a partir de los resultados electorales locales aceptados, tal como una firma digital.
Finalmente Ia invención describe, de forma opcional, cómo se podría utilizar Ia información de Ia prueba de recepción para proteger las actas electorales oficiales de los resultados electorales locales. También describe como se podría proteger Ia privacidad de las pruebas de validación y/o resultados electorales comunicados, mediante el uso de técnicas criptográficas.
Breve descripción de los dibujos
En Ia figura 1 se muestran un ejemplo de implementación con los principales componentes y procesos de Ia presente invención. Se muestra cómo unas autoridades electorales locales 101 validan una información de resultados locales 105 comunicada a un módulo de consolidación 103, mediante las siguientes etapas:
o Generación 201 de una prueba de validación 106 a partir de Ia información de resultados locales 105.
o Comunicación 202 de los resultados locales 105 y de Ia prueba de validación 106 al módulo de consolidación 103. o Verificación 203 de Ia prueba de validación 106 por parte del módulo de consolidación 103. o Generación 204 de Ia prueba de recepción a partir del resultado del proceso de verificación. o Envío 205 de Ia prueba de recepción 107 a las autoridades electorales locales 105.
La Figura 2 muestra una implementación alternativa del método descrito en Ia presente invención. En dicha implementación, se utiliza un módulo adicional de transferencia 102 para llevar a cabo Ia generación 201 de Ia prueba de validación 106 y para realizar el envío 202 de los resultados locales 105 y de Ia prueba de validación 106 hacia el módulo de consolidación 103.
La figura 3 muestra dos ejemplos de aplicación de Ia presente invención. En el ejemplo de Ia figura 3-a se utiliza una línea telefónica 108 como medio de transmisión para comunicar Ia información de resultados locales 105. El módulo de transferencia 102 cuenta con una central de llamadas 109 para recibir la información transmitida. El ejemplo de Ia figura 3-b utiliza como interficie 108 un ordenador para llevar a cabo Ia introducción de Ia información de resultados locales 105.
La figura 4 muestra otra implementación alternativa de Ia presente invención, en Ia cuál se cuenta con módulos intermedios de consolidación 110.
Se muestra un conjunto de autoridades electorales locales 101 en donde cada conjunto representa a las autoridades electorales a cargo de una unidad de gestión electoral. Se muestra en Ia figura cómo diferentes autoridades electorales locales 101 llevan a cabo el envío 202 de Ia información de resultados locales 105 y pruebas de validación 106 a diferentes módulos intermedios de consolidación 110. Dichos módulos intermedios de consolidación
110 envían a su vez Ia información de resultados locales 105 al módulo de
consolidación principal 103 una vez que dicha información de resultados locales 105 ha sido validada y aceptada.
Descripción detallada de Ia invención
La presente invención se refiere a un método que facilita Ia consolidación segura de resultados de un proceso electoral, aplicable tanto a entornos de voto presencial como remoto. La consolidación de resultados se lleva a cabo mediante el uso de técnicas y procedimientos que permiten proteger Ia integridad y auditoría de los resultados electorales.
En esta invención se entenderá por proceso electoral cualquier consulta o solicitud de información de forma pública o privada y a un conjunto de personas limitado o abierto, a partir de Ia que se realizará posteriormente un resultado acumulativo o cualitativo global o parcial. Ejemplos de procesos electorales, sin ánimo de limitar su definición a ellos, serían votaciones, consultas, encuestas, exámenes o pruebas de evaluación.
Para llevar a Ia práctica Ia presente invención se considera Ia existencia de unas autoridades electorales locales pertenecientes a un colegio electoral o a cualquier otra unidad de gestión electoral (p.Ej., distrito, recinto, municipio, etc.). Estas autoridades electorales podrían estar formadas por un comité electoral (p.Ej., una mesa electoral), uno o más administradores electorales locales, o una combinación de ellos. La función principal de estas autoridades electorales locales es Ia validación, al menos de una parte de ellas, de los resultados locales de su unidad de gestión electoral. De forma opcional estas autoridades electorales locales o parte de ellas, podrían también haber participado en Ia obtención del recuento local y/o comunicación de dichos resultados. También estas autoridades electorales locales o parte de ellas, podrían ser las encargadas de generar y/o validar (p.Ej., mediante una firma manuscrita) una acta oficial en papel de los resultados electorales locales de su unidad de gestión electoral. Habitualmente esta acta se adjunta a los votos físicos o electrónicos que han sido utilizados para el recuento local y enviados a las autoridades electorales centrales para su recuento central o auditoría.
Adicionalmente, para Ia implementación de esta invención, se contempla Ia existencia de un módulo de consolidación dónde normalmente se comunican
los resultados locales validados. Este módulo verifica que dichos resultados locales comunicados hayan sido validados por las autoridades electorales locales correspondientes, y comunica el resultado de esa verificación a dichas autoridades. Para ello, se contempla que este módulo de consolidación disponga de unos medios de entrada y salida de datos y unos medios de procesamiento, para recibir y verificar una información relacionada a unos resultados locales. Una información relacionada con el resultado de Ia verificación es comunicada a al menos las autoridades electorales locales. Opcionalmente, dependiendo del resultado de Ia verificación, este módulo puede almacenar los resultados para su consolidación, por Io que podría disponer de unos medios de almacenamiento. Para facilitar Ia comunicación remota de los resultados locales y del resultado de Ia verificación, este módulo podría estar conectado a una red de comunicaciones y recibir los resultados locales y/o Ia información para Ia verificación mediante esta red de comunicaciones. Por Io tanto al menos parte de dichos medios de entrada y salida de datos podrían tratarse de una interficie de comunicación analógica o digital.
De forma opcional, para facilitar una comunicación remota de los resultados locales y/o Ia generación de información de validación, también se contempla Ia existencia de un módulo de transferencia de información, a través del cual se comunicarán los resultados locales a un módulo de consolidación. Para este fin se contempla que dicho módulo disponga de una interficie de entrada y salida de datos que permita Ia introducción de dichos resultados y su comunicación hacia el módulo de consolidación. Junto con los resultados locales se puede también comunicar otra información adicional de validación que pueda ser requerida por el módulo de consolidación para verificar si dichos resultados locales han sido previamente validados por Ia autoridad electoral local pertinente. Esta información de validación puede ser generada en dicho módulo a partir de una información obtenida de al menos parte de las autoridades electorales locales. Para ello, dicho modulo dispondrá de unos medios de procesamiento además de Ia interficie de entrada y salida de datos.
En una implementación preferente, Ia invención se iniciará mediante una primera fase de validación por parte de las autoridades electorales locales de una información de un resultado electoral local. Por simplicidad, se asume que
los resultados locales solo pueden ser validados por las autoridades electorales locales asignadas durante Ia configuración de Ia elección, aunque podrían participar en este proceso otras entidades (p.Ej., observadores) si el proceso electoral Io permite. Esta validación consistirá en Ia generación de una prueba de validación de Ia información de resultado electoral local, que contenga información que permita verificar Ia identidad de las autoridades que han participado en dicho proceso de validación. Para ello esta prueba de validación deberá contener al menos una información de Ia identidad de al menos parte de las autoridades que han participado en Ia generación de Ia prueba de validación. Esta información de identidad podría generarse a partir de unas credenciales de identificación, tal como una clave de acceso, un registro biométrico o cualquier otra prueba de identidad que pueda permita identificar a las autoridades electorales de forma única. El conjunto o combinación de estas pruebas de identidad formaría Ia prueba de validación (PV).
PV= (Id-i, Id 2 ... Id n ) ld¡ prueba de identidad de Ia autoridad i
Opcionalmente, dicha información de identidad también se podría generar mediante mecanismos que permitan vincular dicha prueba de identidad con Ia información de los resultados locales. De este modo Ia prueba de validación, además de identificar a las autoridades que han participado en Ia validación, también protegería Ia integridad de Ia información de resultados locales (i.e., cualquier modificación posterior de Ia información de resultados locales validados invalidaría Ia prueba de validez). En una implementación preferente, esta información de identidad se generará utilizando algoritmos criptográficos, tales como una firma digital o una MAC, aplicados a al menos Ia información del resultado local utilizando al menos una clave. La clave o claves utilizadas para Ia implementación de esta firma o MAC estarían en posesión de uno o varios miembros de las autoridades electorales locales que participan en Ia generación de Ia prueba de validación. En este sentido, una única clave podría estar en posesión de un único miembro (p.Ej., un administrador de Ia elección) o custodiada por al menos un subconjunto de las autoridades electorales, mediante Ia utilización de un
esquema de compartición de secreto o un método equivalente. En una implementación preferente basada en Ia existencia de una única clave, esta clave se utilizará para generar una firma o MAC sobre Ia información del resultado local (IRL) o sobre Ia concatenación de dicha información del resultado electoral con unas pruebas de identidad de las autoridades que también participen en el proceso de validación, y que no dispongan de acceso a Ia clave. Las pruebas de identidad, tal como se ha mencionado anteriormente, podrían tratarse de cualquier credencial que identifique de forma única a un miembro de Ia autoridad electoral. Finalmente, Ia prueba de validación estaría formada por al menos dicha firma digital o MAC obtenida, o Ia concatenación de esta firma o MAC con las pruebas de identidad utilizadas para su generación. Por ejemplo:
PV= S(IRL)
PV= S(IRL I (Id 1 , Id 2 ... Id n )) PV= S(IRL | (Id 1 , Id 2 ... Id n )) | (Id 1 , Id 2 ... Id n )
PV= S(IRL) I (Id 1 Jd 2 ... Id n )
En otra implementación alternativa, se podrían utilizar más de una clave criptográfica para generar Ia información de identidad. En este caso las firmas digitales o MAC se podrían generar de forma anidada (p.Ej., realizar una firma digital a partir de otra firma digital previa) o se podrían concatenar o combinar entre ellas. En cualquiera de los casos, una o varias de estas firmas se realizarían de al menos Ia información de resultado electoral local. Al igual que en Ia anterior implementación basada en una clave única, además de Ia información de resultado local, también se contempla utilizar en alguna de las firmas las pruebas de identidad de autoridades que participen en Ia validación de Ia información de resultado local. En cualquiera de los casos, Ia prueba de validación contendría al menos Ia información de identidad y opcionalmente las pruebas de identidad de autoridades que hayan participado en Ia validación. Finalmente, como alternativa al uso de algoritmos criptográficos, también se contempla Ia generación de Ia información de identidad a partir de uno o más registros biométricos de las autoridades electorales que participen en Ia validación. Estos registros deberían contener al menos una información
relacionada con Ia información de resultados locales. Esta información relacionada podría tratarse de Ia totalidad, parte o una prueba de integridad de los resultados locales. La prueba de integridad de los resultados podría obtenerse mediante Ia aplicación de una función criptográfica resumen (p.Ej., MD5, SHA1 u otras equivalentes) o una función de compresión (p.Ej., GZIP, RAR o equivalentes), sobre Ia información de resultado electoral local. Un ejemplo de prueba biométrica relacionada con Ia información de resultados locales, sin limitar el método únicamente a su uso, podría ser un registro de voz de una o varias autoridades electorales locales mencionando parte del valor de un hash de Ia información de resultado electoral local. En este sentido Ia prueba de validación contendría una información de identidad formada de un conjunto de uno o más registros biométricos de autoridades electorales que contengan Ia información de resultado local. De forma opcional, los registros biométricos podrían haber sido previamente cifrados por una clave simétrica o asimétrica para preservar Ia privacidad de sus contenidos (p.Ej., un password o una huella dactilar). De este modo los datos no serían accesibles públicamente y sólo el propietario de Ia clave de descifrado podría acceder a estos datos (p.Ej., autoridades electorales centrales).
Una vez generada Ia prueba de validación, el método contempla una segunda etapa de comunicación a un módulo de consolidación, de al menos dicha prueba de validación. Opcionalmente, en el caso de que el módulo de consolidación no dispusiera de los resultados locales, éstos podrían ser comunicados junto con Ia información de recuento local. También de forma opcional, tanto los resultados locales como Ia prueba de validación podrían ser cifrados total o parcialmente (P.Ej., sólo las partes que se considere importante mantener en secreto, como las credenciales o registros biométricos) antes de ser comunicados. Este cifrado permitirá garantizar Ia privacidad de los resultados locales y/o de Ia prueba de validación en los casos que así se requiera. El cifrado se podría llevar a cabo mediante un sistema simétrico o asimétrico indistintamente, siempre que Ia clave de descifrado esté en posesión de Ia autoridad a cargo del módulo de consolidación.
En una tercera etapa del método, el módulo de consolidación de resultados verificará si Ia prueba de validación comunicada ha sido generada por
las autoridades electorales locales correctas. Para ello se procederá a verificar si entre las credenciales, pruebas biométricas, firmas digitales y/o cualquier prueba de identidad contenida en Ia prueba de validación, se encuentran las identidades de las autoridades locales responsables de realizar esa validación. En este sentido Ia prueba de validación podría contener, aparte de las identidades requeridas por este proceso de verificación, las identidades de otras autoridades electorales que podrían utilizarse en otros procesos posteriores de auditoría de los resultados. En una implementación básica, el proceso de validación tendría en cuenta todas las identidades contenidas en Ia prueba de validación. En una implementación alternativa, el proceso de verificación sólo verificaría algunas de las identidades contenidas en Ia prueba de validación. Por ejemplo, Ia prueba de identificación podría estar formada por Ia firma digital (P. Ej., generada por un administrador electoral) de las pruebas de identidad de los miembros de Ia mesa electoral, pudiendo estar estas últimas cifradas. En este caso, Ia validación se podría realizar únicamente sobre Ia identidad de Ia autoridad electoral que ha realizado Ia firma y no se tendrían en cuenta el resto de pruebas de identidad. De este modo, si estas últimas estaban cifradas, no sería necesario descifrarlas. Este tipo de verificación es útil en el caso de que Ia prueba de validación se quiera utilizar en procesos posteriores de verificación o auditoría. Por ejemplo, Ia validación del resto de pruebas de identidad se podría realizar en un segundo módulo de consolidación que se encontrara en un entorno más seguro.
En el caso de que Ia prueba de validación se haya generado mediante mecanismos que permitan vincular dicha prueba de identidad con Ia información de los resultados locales (descritos anteriormente), durante esta etapa de verificación se podría también verificar Ia correspondencia de Ia prueba de validación con los resultados locales. Si el mecanismo es una firma digital o un MAC, se procedería a verificar que este MAC o firma digital se corresponda a Ia información del resultado local comunicado. Si el mecanismo utilizado se basa en técnicas biométricas, se verificará que el registro biométrico contenga Ia información de resultado local, parte de ella o una prueba de integridad de ella (dependiendo del proceso utilizado en Ia etapa de validación para generar Ia prueba de validación).
Una vez verificada Ia prueba de validación, se procederá a una cuarta etapa de generación de una prueba de recepción, que contendrá al menos el resultado de Ia verificación. Este resultado de Ia verificación contenido en Ia prueba de recepción puede ser un valor numérico, alfanumérico, un texto o Ia combinación de estos. Por ejemplo, se podría utilizar un 1 para representar que Ia verificación ha sido correcta o un 0 en el caso de que sea incorrecta. También se puede establecer un valor o texto para uno de los casos (P. Ej., 1) y dejar el otro abierto a cualquier otro valor distinto del anterior (P. Ej., cualquier texto o valor distinto de 1). En una implementación alternativa, en el caso de que Ia verificación sea positiva, Ia prueba de recepción podría contener una prueba de aceptación generada a partir de al menos parte de Ia información de resultado local de Ia prueba de validación verificada. Esta prueba de aceptación podría ser una firma digital o MAC aplicada sobre al menos parte de Ia información del resultado local o un identificador único de estos resultados locales. De este modo se podría verificar, a partir de Ia prueba de aceptación contenida en Ia prueba de recepción, si los resultados electorales locales verificados de Ia anterior etapa se corresponden con los validados por las autoridades electorales locales.
De forma alternativa, Ia prueba de aceptación podría contener un subconjunto de información de esta firma, un resumen (P. Ej., criptográfico) de Ia firma o un subconjunto de Ia información del hash de esta firma. El objetivo sería generar una prueba de aceptación que tuviera un tamaño susceptible de ser utilizado para una representación visual o audible de esta prueba de aceptación.
En el caso de que verificación sea positiva el módulo de consolidación podría almacenar Ia información de resultado local si fuera necesario. En este mismo caso y también opcionalmente, el módulo de consolidación podría almacenar también Ia prueba de validación junto con Ia información de resultado o de forma independiente. Tanto Ia información de resultado de Ia elección como Ia prueba de validación se podrían almacenar en el mismo módulo que ha realizado Ia verificación o en un módulo de consolidación adicional.
Finalmente, en su implementación básica, el método contempla una última etapa de comunicación de Ia prueba de recepción a al menos las autoridades electorales locales que generaron Ia prueba de validación. De este
modo estas autoridades son informadas de si Ia prueba de validación y los resultados electorales locales han sido aceptados o no.
Opcionalmente, en el caso de que Ia prueba de recepción contenga una prueba de aceptación, dicha prueba de aceptación podría utilizarse para verificar que los resultados electorales locales verificados son los mismos validados anteriormente. Por ejemplo, se podría verificar si Ia firma contenida en Ia prueba de aceptación se corresponde a los resultados electorales locales validados por las autoridades electorales locales. También de forma opcional, esta prueba de aceptación podría incluirse en las actas oficiales de los resultados electorales que generan las autoridades locales. Por ejemplo, Ia prueba de aceptación podría imprimirse o escribirse en las actas oficiales de los resultados presenciales de un precinto o colegio electoral. De este modo, se podría verificar si los resultados contenidos en el acta han sido comunicados y aceptados por el módulo de consolidación, verificando Ia existencia de Ia prueba de aceptación en Ia acta. Si además Ia prueba de aceptación se generó a partir de una firma digital de Ia información de resultado local, también se podría verificar Ia integridad del acta comprobando que los resultados reportados en ella se corresponden a los de Ia firma contenida en Ia prueba de aceptación.
Llegados a este punto de Ia invención, ya se podría proceder a Ia consolidación de resultados (o recuento global de Ia elección) a partir del conjunto de resultados electorales locales aceptados por el módulo de consolidación. Estos resultados electorales locales podrían haber sido almacenados por el mismo módulo de consolidación tal como se describe anteriormente o haber sido almacenados mediante otros procesos independientes a las etapas mencionadas en Ia invención. En el caso en que Ia información de resultado local estuviera parcial o totalmente cifrada por las autoridades electorales locales, se llevará a cabo una etapa adicional de descifrado de dicha información antes de consolidar los resultados. Este proceso de descifrado podría realizarse en un módulo de consolidación. El descifrado se realizaría utilizando Ia clave privada en posesión de un único miembro de Ia autoridad electoral central. De manera alternativa, Ia clave privada podría estar custodiada por un conjunto de miembros de autoridades electorales centrales. Esto sería posible mediante un esquema de compartición de secreto, en el cuál
cada autoridad electoral posee una parte de Ia clave privada. Para llevar a cabo el descifrado, el total o un subconjunto predefinido de las autoridades electorales deben colaborar para reconstruir Ia clave y entonces llevar a cabo el descifrado.
Adicionalmente, antes de proceder a Ia consolidación de los resultados, se podría realizar un segundo paso de validación de las identidades de Ia prueba de validación que no hubieran sido verificadas anteriormente. Si las pruebas de identidad están cifradas, se procedería a su descifrado utilizando un procedimiento parecido al descifrado de Ia información de resultado local descrito anteriormente. En el caso de que estas identidades no se correspondieran con las asignadas durante el proceso de configuración de Ia elección, se podría aislar las informaciones de los resultados locales relacionados con las pruebas de validación rechazadas. De este modo, estas informaciones de resultado local no se utilizarían en Ia consolidación final. Por ejemplo, partiendo del anterior ejemplo en el que Ia prueba de validación contenía las pruebas de identidad cifradas de los miembros de Ia mesa electoral firmadas por una autoridad electoral, Ia validación de las identidades de los miembros de Ia mesa electoral se realizaría en esta etapa.
Para concluir el proceso, el módulo de consolidación podría realizar también el proceso de recuento final de resultados. En un ejemplo de implementación práctica de este método, el módulo de consolidación podría estar totalmente aislado, es decir, sin ninguna conexión de red. En este caso, Ia comunicación de los resultados locales y/o prueba de validación podría llevarse a cabo a través de medios de almacenamiento extraíbles. En dichos medios de almacenamiento habrían sido previamente almacenados los resultados locales validados por las autoridades electorales locales, junto con las pruebas de validación. El medio de almacenamiento extraíble será conectado en el módulo de consolidación para que Ia información contenida pueda ser leída y posteriormente procesada.
En otra implementación práctica de Ia presente invención se podrá contar con uno o más módulos de consolidación intermedios. Cada uno de esos módulos intermedios recibirá los resultados locales de unidades de gestión electoral previamente asignadas. Cada módulo de consolidación intermedio llevará a cabo los procesos ya descritos de verificación de Ia prueba de
validación, generación de Ia prueba de recepción y envío de Ia misma. Una vez que los módulos de consolidación intermedios hayan recibido y validado Ia información de todas las unidades de gestión electoral asignadas se reenviará al módulo de consolidación principal al menos Ia información de resultados locales. Alternativamente, cada módulo de consolidación intermedio realizará un recuento de los resultados locales recibidos, en cuyo caso podrá enviar ese recuento parcial al módulo de consolidación principal.
En otra implementación práctica alternativa de Ia presente invención, se puede llevar a cabo Ia consolidación de resultados generados de dos o más canales de votación distintos de manera simultánea. Entre estos se pueden considerar por ejemplo los ya mencionados sistemas de votación electrónica presencial, sistemas de votación por Internet, votación mediante telefonía móvil, votación telefónica (IVR), votación por correo postal y cualquier otro sistema de votación conocido. En esta implementación, el centro de recepción y conteo de votos para cada canal de votación actuaría como una unidad de gestión electoral, representada por unas autoridades electorales. Por Io tanto, los procesos llevados a cabo para Ia consolidación de los resultados serían iguales a los ya descritos en Ia implementación preferente.
Next Patent: ELECTRIC CIRCUIT FOR CONVERTING DIRECT CURRENT INTO ALTERNATING CURRENT