נוהל בחירות באינטרנט

עם כמה שאני אוהב דרמה (ואני אוהב, מוזמנים להתעניין ברשימת הצפייה שלי פרטנית),
אני עדיין מחכה לאיזשהי התייחסות למה שכתבתי ואיזשהי לקיחת אחריות לטובת בחירות הוגנות.
@yotammanor @aaa , מקווה שלא אזכה להתעלמות :slight_smile:

מנו, אני חשבתי שעניתי אבל אני אנסה שוב -
בכל האסיפות הקודמות הבחירות התקיימו בסוף האסיפה.
אני לא רואה סיבה לשנות את הנוהג הזה משני טעמים:

  • הקהילה הקפידה על הנוהג הזה במשך כמעט עשור וצריך סיבה טובה לשנות, בטח שלא מספיקה החלטה של חבר בודד (אני)
  • עכשיו, משהאסיפה מקוונת המצב אף משופר לעומת האסיפות בשנים עברו כי אף אחד לא ממהר להספיק לאוטובוס האחרון מהקמפוס

(אוסיף שברמה האישית אני מאמין בדמוקרטיה מהותית בה מתקיים דיון רחב לפני ההצבעה ולא בדמוקרטיה פרוצדורלית המתעדפת את אקט ההצבעה עצמו)

2 לייקים

אם אתה שואל אותי מוטב היה להקדים את האסיפה + הצגת מועמדים למועד לפני המועד הקבוע. כך שמועד הבחירות יוותר ב-21/9 ב 19:00 ושמספר ימים לפני (עד כמה שנותרו ימים לשם כך) תתקיים האסיפה והמועמדים יוכלו להציג עצמם בניחותא.
מה שאתה אומר נותן לגיטימציה למרוח את האסיפה עד השעות הקטנות של הלילה, למה? וכמו שגם כן אמרתי, בשנה שעברה בוודאות היה ניתן להצביע מרגע פתיחת האסיפה וללכת, אז אני לא מבין מאיפה האמירה “הקפידה על הנוהג הזה במשך כמעט עשור” מגיע אם אפילו בשנה שעברה זה לא היה נכון.
אני חושב שסיפקתי סיבות רלוונטיות וקונרקטיות ללמה יש לקיים את ההצבעה בשעה מוקדמת ולא בסוף האסיפה (הזדמנות שווה לכל מועמד להציג את עצמו, קונרקטיות, שעה הגיונית וקבועה).
עם טיעונים כמו “מה שהיה הוא מה שיהיה” לא קמה הדמוקרטיה, ועם טיעונים כאלה גם אין סיבה להחליף ממשלה או ועד. זה טיעון לא רלוונטי בעליל. ושוב, מי זו הקהילה הזו? באסיפה שעברה היו 30 אנשים. בצוות שלי בלבד ב ANYWAY יש יותר אנשים, אז האם גם אנחנו קהילה? אולי בגלל שמספרנו רב יותר אז דעתנו גם יותר נחשבת משל כל הועד המכהן והנוכחים באסיפה הקודמת?

לסיכום, אתה (והאנשים המצודדים בסדר היום הנוכחי) מתעלם לחלוטין מכל דעה שמנוגדת לשלך (ועוד כשאלו הטיעונים מנגד), אני מטיל ספק במקומי בכל האירוע הזה. הבחירות האלה מזכירות לי משטרים מסוימים באסיה.

לייק 1

בשום פנים ואופן. שליחה של מספר ת"ז בדואל לא מוצפן הוא בעיה, שליחה של צילום התעודה כולה הוא סיכון כפול ומכופל. ממש לא לעניין.

אם ההצבעה היתה יכולה להיות פתוחה ולא חשאית, אז אפשר לעשות את זה בלי בעיות בזום. כל מצביעה פותחת את המצלמה ואומרת בקולה את שמה ואת ההצבעה ונגמר. ברגע שרוצים הצבעה אנונימית אי אפשר לזרוק את פרטיות המצביעים לפח בדרך.

אני יכול לספר לכם איך ניהלנו הצבעות כאלו בשנות ה90 ברשת ה-BBS (כן, טרום אינטרנט). אנשים יצרו מפתחות PGP, חתמו על מפתחות של מכרים אחרי שווידאו איתם OUT OF BAND שאלו באמת האנשים המדוברים. היום השלב הזה הרבה הרבה יותר קל בעזרת KEYBASE שמנהל עבורך את כל ענייני הזיהוי ע"י פרסום הצהרת בעלות על המפתח דרך טוויטר, רדיט, GIT בגיטהאב ומקומות אחרים שאיתם ניתן לאמת את הבעלות על המפתח.

כמו כן פורסמו שני מפתחות ציבוריים - זה של אוסף הקולות וזה של סופרת הקולות שמקובלים ע"י הקהילה.

ההצבעה היתה נכתבת לקובץ טקסט, מוצפנת ללא חתימה למפתח של סופרת הקולות, ואז התוצאה מוצפנת שנית עם חתימה למפתח של אוסף הקולות (לצורך הענין זה יכול להיות מקבץ של מפתחות של ועדה, לא רק מפתח אחד). התוצאה נשלחת לאוסף הקולות שיכול לוודא את זהות השולח אבל לא את תוכן ההצבעה, והוא שולח את התוכן הפנימי לסופרת הקולות שיכולה לקרוא את תוכן ההצבעה בלי לדעת את זהות השולח.

זו לדעתי הדרך הנכונה לעשות את זה, ללא שליחה של תעודות בדואל לא מוצפן ושאר סיכונים מיותרים. הבעיה היחידה היא שאין מספיק זמן כרגע לדאוג שכל מצביע שזכאי לקול ייצר לעצמו מפתח פרטי וילמד להפעיל GPG או אפילו KEYBASE. אז צריך למצוא פשרה.

הצעתי היא כזו - לכל חבר עמותה תשלח מחרוזת מזהה ייחודית (קצת יותר ביטים מאשר 6 ספרות) לכתובת הדואל שלו. בטופס ההצבעה יהיו שני שדות של מפתחות ציבוריים, אחד של אוספי הקולות והשני של סופרות הקולות, ותתבצע ההצפנה הכפולה כפי שתואר לעיל, מה שיזהה את המצביע תהיה המחרוזת הייחודית - זו לא חתימה קריפטוגרפית, אבל אפשר להניח סודיות מספקת של המחרוזת שנשלחה בדוא"ל למצביעה דרך כתובת הדוא"ל שלה כפי שמופיעה בפנקס החברים. הטופס ייצר בדפדפן את ההצבעה כמו עכשיו, יוסיף שדה של המחרוזת המזהה, יצפין את ההצבעה במפתח הציבורי של סופרת הקולות, יוסיף את המזהה ואז יצפין במפתח הציבורי של אוספי הקולות. בשלב הזה אפשר אפילו לעשות SUBMIT ישירות מהטופס, לא צריך להעתיק חזרה לדוא"ל.

אני חושב שזה גם פחות מסובך לתפעול, גם שומר על פרטיות המצביעים ועם פחות מקום לטעויות אנוש. כמו כן, זה יאפשר לפתוח את ההצבעה מרגע שהמערכת מוכנה ולא רק בזמן האסיפה. למעלה מכך, אפשר בקלות לכתוב את המערכת כך שתחשיב רק את ההצבעה האחרונה ותאפשר לאנשים לתקן את ההצבעה עד לדדליין אם רוצים.

לייק 1

@Ira אולי במקום או בנוסף לשליחה במייל אפשר לתת אפשרות גם לשלוח את תעודת הזהות וההצבעה בtelegram / signal / whatsapp ?

לא חשבתי על הנקודה ש @Ira העלה, ואין לי הבנה מספיקה כדי לחוות דעה לגבי הפתרון הנכון. משלוח צילומי ת.ז. נפוץ מאוד היום, אבל זו פרקטיקה בעייתית, ובאופן אישי אעדיף להמנע ממשלוח של צילומי תעודה מזהה. @OriHoch זה נכון גם לגבי פלטפורמות כמו Whatsapp או Telegram ו-Signal: המשמעות של העלאת צילום או מידע הוא אובדן היכולת לשלוט במידע הפרטי שנשלח. לא חושד בשום כוונת זדון, רק לא חושב שזה תהליך נכון.

2 לייקים

אני רואה שלמרות המשוב הפרקטי שהצעתי, שיטת ההצבעה נותרה עומדת על כנה. לצערי זה לא מאפשר לי להצביע ואאלץ לוותר על זכותי. מקווה שלאסיפה הבאה יותקן משהו יותר טוב.

אחרי עוד שתי דקות מחשבה - יש לי עוד רעיון. יש לי מפתח GPG ותיק, מוכר ומאומת. אני אפרסם את הצבעתי עם חתימה דיגיטלית, בלי צילומי ת"ז ותוך ויתור על החשאיות. הוועד יחליט אם זו חלופה מקובלת או לא, אני מקווה שהצבעתי תיספר.

לייק 1

ניכר כי המגמה הנוכחית היא לדכא עד כמה שניתן את ההצבעה - שעת ההצבעה המאוחרת, הליך ההצבעה המסורבל והפוגע בפרטיות, פסילת המתנדבים מלהצביע, אני חושש שהבחירות האלה יהיו פארסה שתשרת רק את הועד המכהן. חבל ועצוב. @Ira @noam @Mano3

כואב לי על מייסדי הסדנא שבשל רצון לשרת קוניקטורה מסוימת שוכחים לגמרי בשביל מה הם הקימו את הסדנא, אם רצון רגעי ונקודתי גובר על ערכים ומנהל תקין - מה אנחנו עושים פה בכלל?

לייק 1

אני חושב שזה פתרון טוב עירא.

המטרה היא לא לאסוף צילומי תעודות של חברי העמותה אלא לאמת את זהות המצביעים.

השיטה שהוצעה היא הכי פשוטה למרבית האנשים, אבל מי שמסוגל ליישם מנגנון מורכב יותר - גם אם זה רק עבור עצמו - יוכל לעשות זאת.

אגב, הקוד של מערכת ההצבעה מצוי בגיטהאב של הסדנא וישמח לקבל פול ריקווסטים.

‪On Sun, Sep 20, 2020 at 12:00 PM ‫גל רייך דרך פורום הסדנא לידע ציבורי‬‎ [email protected] wrote:‬

היי אדם, לא יודע כמה זה קל למימוש אבל ננסה. בגלל שגם אני חושב שצילום ת.ז זה קצת יותר מדי פולש לפרטיות, אולי כדאי במקום לתת אפשרות להתחבר דרך חשבון גוגל / פייסבוק שיכול לקשר את הזהות של אדם באופן יחסית מהימן למייל או לזהות כפי שהיא מופיעה בפנקס הבוחר. חשבונות מזויפים לצורך העניין מאוד קלים לאיתור (אם זה דרך חשבון מייל אז אם המייל לא מתאים אז ברורה התקלה, אם זה פייסבוק קל לאתר אם המשתמש נוצר יום קודם וכו’)
מה דעתך?

לייק 1

הי מנו,

תודה על ההצעה - כתובת המשלוח של מייל היא לא משהו מספיק מאובטח לצערי.

בנוסף, בשביל להבטיח את החשאיות, עשינו מאמץ לוודא שאפליקציית ההצבעה לא מתקשרת עם אף שרת באינטרנט במהלך פעולתה.

אבל - אם המייל איתו נרשמת לעמותה הוא חשבון גוגל (למשל), תוכל לפתוח איתו מסמך גוגל-דוקס, לשים שם את ההצעה שלך ולשתף את ועדת הקלפי.

אני חושב שזה גם יכול להיות פתרון למי שלא רוצה לשלוח את התעודה הפרטית שלו.

מה דעתך?

‪On Sun, Sep 20, 2020 at 12:22 PM ‫Mano דרך פורום הסדנא לידע ציבורי‬‎ [email protected] wrote:‬

הרע במיעוטו. הייתי שולח PR אבל הזמן קצר ויכולות ה-JS שלי חלשות. כמו שאמר דוקטור מקקוי לקפטין קירק, “אני עושה דוו-אופס, לא קליינט סייד, דאמיט!”

לייק 1

נשמע טוב, אבל אם אני מתחבר מחשבון הגוגל שאיתו נרשמתי בפנקס ואיתו מצביע, למה זה לא מספיק מאובטח?
פייסבוק לדעתך גם לא יכול להיות מספיק מאובטח?
אני מקבל את ההצעה שלך והיא נשמעת חלופה עדיפה בהרבה [אמנם רק למי שנרשם דרך מייל גוגל, אבל זה כנראה רוב האנשים], אבל אני פשוט תוהה אם יש דרכים יותר קלות ליישם אותה (בדמות מה שהצעתי)

אם מערכת ההצבעות היתה פונה לגוגל בשביל לאמת את זהות המשתמש, היה הרבה יותר מורכב להוכיח שלא מתבצע בשום מקום רישום של ההצבעה יחד עם זהות המצביע.
לזה התכוונתי בשמירה על חשאיות הבחירות.

הבנתי אותך, התכוונת בציר החשאיות.
הממ, אני בטוח שאפשר להתגבר על זה עם טכניקת הצפנה כלשהי. כך שרק חברי עמותה יקבלו מפתח שיעבור אותנטיקציה בשרת וכל מפתח יתאים להצבעה בודדת שאחריה ההאש המתאים בשרת נמחק, ללא אף פרט מזהה נוסף. ואז זה כבר בצד השרת לוודא שאין תיעוד של איזה האש נמחק יחד עם איזו הצבעה. אבל אני לא מבין בזה מספיק. הנקודה שזה נשמע לי פתיר (מצטער אם אין לי הצעה קונקרטית) גם ללא גוגל דוקס וכאלה

לדעתי ההצעה שלי סגרה את כל הפינות האלו.

  1. היא מוודאת שרק רשאים מצביעים כי הקוד האישי נשלח לפי רישומי החברות בעמותה רק למצביעים ורק אחד לכל אחד מהם.
  2. היא דואגת שההצבעה תהיה אנונימית - אוספי הקולות יכולים לראות מי הצביע אבל לא מה הצביע, סופרי הקולות רואים מה הצביעו אבל לא מי.
  3. היא שומרת על הפרטיות - הזיהוי לא דורש שליחת תעודות.
    למי שדובר JS שוטפת זה יקח שעה-שעתיים לשפצר את הקוד הקיים, לא צריך להיות תלויים בגוגל או כל צד ג’ אחר.

‪On Sun, 20 Sep 2020 at 16:34, ‫Mano דרך פורום הסדנא לידע ציבורי‬‎ [email protected] wrote:‬

לייק 1

לא בדיוק עירא, שכן ההצעה שלך מאפשרת העברת זכות ההצבעה בצורה די פשוטה מחבר אחד לשני.
אנו רוצים לוודא שלא מתבצעת הצבעה בי פרוקסי ללא אישור מסודר (כנדרש לפי חוקי רשם העמותות אאלט), אבל בשיטה שלך אין מניעה מחבר אחד לאסוף קודי 6 הספרות ממספר חברים רב ולהצביע בשמם.

אתה צודק, אבל זה כנראה נכון גם במקרה של איסוף תצלומי ת.ז מראש. אולי עדיף לחזור למקורות ולדרוש עלייה פיזית בזום במקרה זה?

לייק 1

כמו שמנו אמר, זה לא מאפשר שום דבר שהשיטה שלך לא אפשרה. בכל מקרה ההצבעה הערב, לא? צריך לארגן משהו ולהוציא לפועל.