Barcelona, 22 de febrero de 2019. Siguiendo los requisitos de la Confederación Helvética y sus cantones, Swiss Post y Scytl han publicado recientemente el código fuente y los protocolos criptográficos del sistema de voto electrónico utilizado en Suiza para permitir que investigadores y otros grupos de interés puedan compartir aportaciones constructivas sobre el diseño del código y del protocolo.
El código fuente del sistema de voto electrónico suizo ha sido publicado en un repositorio oficial gestionado por Swiss Post en GitLab, que, además, proporciona un canal oficial para realizar las aportaciones. El acceso a este repositorio oficial y al canal de comunicación está sujeto a un acuerdo de acceso al código fuente. Scytl anima a cualquier persona interesada a compartir sus comentarios sobre GitLab y estará con toda la disposición de responderlos.
Sin embargo, Scytl ha detectado que existen repositorios paralelos no oficiales presumiblemente del mismo código fuente que también ha derivado en la creación de otros hilos de debate. En esos casos, resulta imposible garantizar la integridad y la autenticidad del código fuente alojado en un repositorio no oficial ni la validez de los comentarios relacionados. Por tanto, Scytl solo responderá a comentarios y preguntas enviados a través del canal oficial. Cientos de investigadores y otros grupos de interés ya han aceptado el uso del repositorio formal del código fuente y su correspondiente acuerdo de acceso, además de utilizar el canal oficial para compartir sus aportaciones de forma constructiva. Hasta el momento, no se ha encontrado ninguna vulnerabilidad en los protocolos criptográficos, que constituyen un paradigma para la seguridad del sistema de voto electrónico.
Por desgracia, en los últimos días, varias personas han realizado comentarios fuera del canal oficial en los que afirmaban que los protocolos criptográficos no eran seguros y emitiendo comentarios generales sobre la calidad del código. Los comentarios realizados en hilos no oficiales no permiten establecer un diálogo amplio y constructivo sobre el código fuente y no actúan en el interés de la comunidad que trabaja en seguridad ni en el de la ciudadanía.
Estas críticas se basan principalmente en malentendidos relativos a los mecanismos criptográficos, que ya han sido aclarados y solucionados en el repositorio oficial. Los protocolos y mecanismos criptográficos implementados en el código son muy avanzados y no se encuentran habitualmente en otros softwares. Este hecho complica el análisis de algunas de las personas que están realizando esas evaluaciones y comentarios en público y que, a su vez, están alimentando más malentendidos y podrían generar incluso mayor confusión.
Los protocolos criptográficos y las pruebas computacionales y simbólicas relacionadas, publicados junto con el código fuente, demuestran de forma tangible que el sistema de voto electrónico cumple con los requisitos sobre privacidad y plena verificabilidad establecidos por la Cancillería suiza.
Dichos protocolos son el resultado de las investigaciones realizadas desde la fundación de Scytl en 2001, que se han puesto a disposición del público general a través de continuas publicaciones académicas, y que han superado con éxito el escrutinio de expertos criptográficos de terceros.
Y, precisamente porque estos protocolos criptográficos han logrado una verificabilidad completa, ahora se ha publicado su código fuente, con la confianza de que ningún ataque pueda poner en peligro la confidencialidad de las urnas y la integridad de los resultados de las elecciones.
Animamos a los investigadores a utilizar el repositorio oficial para (i) compartir información y (ii) evitar multiplicar las respuestas sobre las mismas conclusiones.
Los canales de comunicación no oficiales podrían basarse en análisis incorrectos o podrían utilizar repositorios de código fuente no fiables. No solo no puede confiarse en estos canales sino que no contribuyen a crear un entorno de transparencia y fiabilidad alrededor del voto electrónico.
Swiss Post y Scytl van a someter su sistema de voto electrónico completamente verificable a un test de intrusión público que empezará el 25 de febrero y en la que investigadores y otros grupos de interés podrán probar el sistema en un entorno real. El registro para dicha prueba está abierto en https://www.onlinevote-pit.ch/.