---- Wł. Śr, 28 maj 2014 17:41:11 +0200 rysiek napisał(a) ----
Cześć,
mam rokminkę -- mam wrażenie, że to powinno być możliwe, ale nie mogę w tej chwili ogarnąć, czy faktycznie jest, i czy przypadkiem jakiś soft już tego nie potrafi.
O co biega.
Czy możliwy jest do zaimplementowania system, w którym:
- obywatel idzie do urzędu/instytucji/trusted third party, tam generowany
jest para kluczy, certyfikat, podpis cyfrowy, cokolwiek -- jakiś token kryptograficzny;
- obywatel chce wziąć udział w konsultacjach społecznych; w tym celu musi
udowodnić, że ma prawo wziąć w nich udział, więc używa tokenu, ale...
- …w taki sposób, że urząd może stwierdzić, że faktycznie został użyty wydany
przez ten urząd token, ale
- ...tenże urząd nie ma żadnej możliwości ustalenia, który dokładnie token
został użyty (czyli: który obywatel wygłosił dany głos).
Słowem chodzi o system, w którym jesteśmy w stanie zweryfikować, że coś zostało podpisane kluczem jednej z osób z jakiejś grupy, ale jednocześnie nie jesteśmy w stanie sprawdzić, która to dokładnie osoba.
Jest coś takiego jak "attribute certificates":
http://courses.cs.vt.edu/~cs5204/fall02/Papers/Security/AttributeCertificate...
z tego, co czytam jeżeli potraktujemy możliwość zabrania głosu w konsultacji X jako wpis w wielkiej wyobrażonej ACL to możnaby to wykorzystać. Wygląda na to, że działa w oparciu o x509, więc może być łatwiejsze do przełknięcia przez rządowe systemy IT niż jakieś lewackie openPGP dla unixowców brodaczy.