<-- Retour à l'accueil Contact : etienne"point"sauvage"at"gmail.com Retour aux projets

    Res Publica - Fonctionnement

    Un bureau de vote = un fichier.

    Res Publica modélise diverses choses qu'on trouve quand on va voter.

    Le bureau de vote est vu comme un fichier. On y trouve les votants s'étant exprimés, et, pourquoi pas, les votants inscrits mais ne votant pas. On y trouve également une urne, qui contient l'ensemble des bulletins secrets. En fait, on peut y trouver plusieurs urnes : une par question posée.

    Pourquoi un bulletin secret ne peut-il être chiffré par ma clef de signature ?

    Parce qu'on perdrait l'anonymat. Mettons qu'Alice chiffre son vote avec sa clef privée. Alors, n'importe qui peut déchiffrer son vote avec sa clef publique. C'est raté. Si, à l'inverse, Alice chiffre son vote avec sa clef publique, elle seule peut déchiffrer son vote. Oui, sauf qu'on a tous les votes secrets. L'attaquant peut donc chiffrer tous les votes secrets, et le seul qui donnera le même résultat que celui stocké par Alice sera le bon. En conséquence, il faut que le vote secret soit chiffré par un mot de passe que seule Alice connaît.

    Pourquoi garder un lien avec son bulletin secret ?

    Pour le vérifier plus facilement. Afin que le vote reste secret, il faut que son auteur ne divulgue pas d'information dessus. Ainsi, l'intégrité des votes secrets est assurée par le collège des votants et non par leurs auteurs. Bien sûr, lors du vote, le votant peut noter l'identifiant de son vote et s'y reporter manuellement plus tard. Par souci d'ergonomie, j'ai souhaité que ce lien puisse être affiché directement par un logiciel. La logique du "tout dans un seul fichier" me conduit alors à chiffrer ce lien.

    Pourquoi un bulletin secret n'est plus modifiable ?

    Un bulletin secret ne peut être signé, sous peine de ne plus être secret. Afin de s'assurer qu'il n'est pas modifié, il est signé par d'autres votants : c'est un peu l'équivalent numérique de "j'ai vu des enveloppes dans l'urne quand je suis allé voter.". Toute modification du vote constitue alors une attaque. Comme il n'y a pas la possibilité de retrouver l'auteur du vote modifié, il n'y a pas la possibilité de différencier une modification d'une attaque.

Dernière mise à jour : 24 mai 2017.