בשום פנים ואופן. שליחה של מספר ת"ז בדואל לא מוצפן הוא בעיה, שליחה של צילום התעודה כולה הוא סיכון כפול ומכופל. ממש לא לעניין.
אם ההצבעה היתה יכולה להיות פתוחה ולא חשאית, אז אפשר לעשות את זה בלי בעיות בזום. כל מצביעה פותחת את המצלמה ואומרת בקולה את שמה ואת ההצבעה ונגמר. ברגע שרוצים הצבעה אנונימית אי אפשר לזרוק את פרטיות המצביעים לפח בדרך.
אני יכול לספר לכם איך ניהלנו הצבעות כאלו בשנות ה90 ברשת ה-BBS (כן, טרום אינטרנט). אנשים יצרו מפתחות PGP, חתמו על מפתחות של מכרים אחרי שווידאו איתם OUT OF BAND שאלו באמת האנשים המדוברים. היום השלב הזה הרבה הרבה יותר קל בעזרת KEYBASE שמנהל עבורך את כל ענייני הזיהוי ע"י פרסום הצהרת בעלות על המפתח דרך טוויטר, רדיט, GIT בגיטהאב ומקומות אחרים שאיתם ניתן לאמת את הבעלות על המפתח.
כמו כן פורסמו שני מפתחות ציבוריים - זה של אוסף הקולות וזה של סופרת הקולות שמקובלים ע"י הקהילה.
ההצבעה היתה נכתבת לקובץ טקסט, מוצפנת ללא חתימה למפתח של סופרת הקולות, ואז התוצאה מוצפנת שנית עם חתימה למפתח של אוסף הקולות (לצורך הענין זה יכול להיות מקבץ של מפתחות של ועדה, לא רק מפתח אחד). התוצאה נשלחת לאוסף הקולות שיכול לוודא את זהות השולח אבל לא את תוכן ההצבעה, והוא שולח את התוכן הפנימי לסופרת הקולות שיכולה לקרוא את תוכן ההצבעה בלי לדעת את זהות השולח.
זו לדעתי הדרך הנכונה לעשות את זה, ללא שליחה של תעודות בדואל לא מוצפן ושאר סיכונים מיותרים. הבעיה היחידה היא שאין מספיק זמן כרגע לדאוג שכל מצביע שזכאי לקול ייצר לעצמו מפתח פרטי וילמד להפעיל GPG או אפילו KEYBASE. אז צריך למצוא פשרה.
הצעתי היא כזו - לכל חבר עמותה תשלח מחרוזת מזהה ייחודית (קצת יותר ביטים מאשר 6 ספרות) לכתובת הדואל שלו. בטופס ההצבעה יהיו שני שדות של מפתחות ציבוריים, אחד של אוספי הקולות והשני של סופרות הקולות, ותתבצע ההצפנה הכפולה כפי שתואר לעיל, מה שיזהה את המצביע תהיה המחרוזת הייחודית - זו לא חתימה קריפטוגרפית, אבל אפשר להניח סודיות מספקת של המחרוזת שנשלחה בדוא"ל למצביעה דרך כתובת הדוא"ל שלה כפי שמופיעה בפנקס החברים. הטופס ייצר בדפדפן את ההצבעה כמו עכשיו, יוסיף שדה של המחרוזת המזהה, יצפין את ההצבעה במפתח הציבורי של סופרת הקולות, יוסיף את המזהה ואז יצפין במפתח הציבורי של אוספי הקולות. בשלב הזה אפשר אפילו לעשות SUBMIT ישירות מהטופס, לא צריך להעתיק חזרה לדוא"ל.
אני חושב שזה גם פחות מסובך לתפעול, גם שומר על פרטיות המצביעים ועם פחות מקום לטעויות אנוש. כמו כן, זה יאפשר לפתוח את ההצבעה מרגע שהמערכת מוכנה ולא רק בזמן האסיפה. למעלה מכך, אפשר בקלות לכתוב את המערכת כך שתחשיב רק את ההצבעה האחרונה ותאפשר לאנשים לתקן את ההצבעה עד לדדליין אם רוצים.