2014-05-28 17:41 GMT+02:00 rysiek rysiek@hackerspace.pl:
Cześć,
mam rokminkę -- mam wrażenie, że to powinno być możliwe, ale nie mogę w tej chwili ogarnąć, czy faktycznie jest, i czy przypadkiem jakiś soft już tego nie potrafi.
O co biega.
Czy możliwy jest do zaimplementowania system, w którym:
- obywatel idzie do urzędu/instytucji/trusted third party, tam generowany
jest para kluczy, certyfikat, podpis cyfrowy, cokolwiek -- jakiś token kryptograficzny;
- obywatel chce wziąć udział w konsultacjach społecznych; w tym celu musi
udowodnić, że ma prawo wziąć w nich udział, więc używa tokenu, ale...
- …w taki sposób, że urząd może stwierdzić, że faktycznie został użyty wydany
przez ten urząd token, ale
- ...tenże urząd nie ma żadnej możliwości ustalenia, który dokładnie token
został użyty (czyli: który obywatel wygłosił dany głos).
1. Urząd generuje klucz prywatny i publiczny gminy. Urząd wysyła klucz publiczny gminy do użyszkodników. Rzeczoni użytkownicy trzymają ten klucz jako tajny. Klucz prywatny jest jawny i dostępny, aby każdy mógł zweryfikować podpis.
ad. 2,3,4. Obywatel używa klucza publicznego i szyfruje nim jednorazowy/wielorazowy klucz symetryczny z noncją. Używa rzeczonego klucza symetrycznego tyle razy, ile potrzebuje przechować pseudonim.
Prawie jak GPG, tylko PKI zastosowane odwrotnie.
R.