22:18
4/5/2015

Wyglada na to, że jeden z certyfikatów, którejś z wyborczej komisji obwodowej wpadł w ręce znanego Wam PollyPocketa. Twardych dowodów co prawda brak, ale do tej pory PollyPocket zawsze “słowa dotrzymywał” i jego “fanty” były realne (por. dokumenty kapitana ABW wykradzione).

1000 złotych za certyfikat komisji wyborczej

PollyPocket na forum Torepublic informuje, że certyfikat należy do komisji w ramach której uprawnionych do głosowania ma być ok. 5 000 osób. I żąda za niego min. 1 000 PLN.

pkw-pollypocket

Pocket twierdzi, że posiada certyfikat, który ma zostać użyty podczas tegorocznych wyborów. Nie do końca jesteśmy w stanie określić co taki certyfikat ma na celu i czy jego posiadanie rzeczywiście stanowi jakiekolwiek zagrożenie dla porządku wyborów. Zgodnie z instrukcją obsługi programu WOW, są 4 typy certyfikatów (nie wiadomo jaki konkretnie został zdobyty przez PollyPocketa):

instrukcja-wow

Jak słusznie zauważa Paweł, właściwszym słowem niż certyfikat w tym kontekście byłby klucz prywatny, skoro ma on służyć do podpisu. Dla kompatybilności z nomenklaturą KBW pozostańmy jednak przy nieprecyzyjnym “certyfikacie”.

Głosy z obwodowych komisji są wysyłane do PKW i spodziewamy się, że nawet jeśli ktoś wyśle drugi raz poprawnie podpisaną paczkę (przy użyciu wykradzionego certyfikatu) to duplikat wzbudzi wątpliwości w PKW, które uruchomi procedurę wyjaśniającą. Wysłaliśmy już stosowne zapytanie do PKW w tej sprawie i oczekujemy odpowiedzi.

Aktualizacja 5.5.2015
Otrzymaliśmy odpowiedzi z KBW. Zanim jednak je osadzimy, przytoczmy pytania, które KBW od nas otrzymało:

1. Czy taki certyfikat może cokolwiek “złego” zdziałać w nieautoryzowanych rękach?
2. Czy za jego pomocą można przesłać fałszywą paczkę z danymi (np. protokołem danej komisji)?
3. Czy KBW/PKW jest w stanie wykryć “duplikaty” protokołów?
4. Czy trzeba będzie resetować wszystkie certyfikaty?

A teraz odpowiedzi (przepraszamy niedowidzących bądź niewidomych czytelników — pomimo obowiązku “dostępności” treści publikowanych w internecie przez administrację publiczną, poniższe odpowiedzi otrzymaliśmy w formie skanu pisma w formacie PDF…)

ZPOW-066-262-15

ZPOW-066-262-15 2

Podsumowując — kradzież certyfikatu nie powinna stanowić problemu. Chociaż warto się zastanowić jak do kradzieży doszło. Certyfikat mógł zostać skopiowany z komputera komisji-ofiary (kto je dostarcza?) albo ze skrzynki przewodniczącego (jeśli to on go odbierał e-maliowo). Jest też trzecia opcja — PollyPocket kontroluje komputer w KBW, który certyfikaty generuje. Jeśli certyfikat pozyskano komputerów (czy to komisji czy KBW) to należy mieć nadzieję, że nie “przestaną one działać” w kluczowym momencie.

Pozostaje też mieć nadzieję, że PollyPocket posiada tylko 1 certyfikat. Jeśli miałby kilka, i faktycznie wysyłał wiele zduplikowanych protokołów w imieniu wielu różnych komisji, małe zamieszanie i opóźnienie na pewno udałoby mu się wywołać.

PS. Od jednego z czytelników otrzymaliśmy też e-mail, jaki wczoraj PKW wysłało do osób obsługujących wybory:

Po konsultacji z Panią Minister Beatą Tokaj uprzejmie informuję, iż z przyczyn niezależnych od zespołu przygotowującego system Wsparcia Organów Wyborczych, w I turze głosowania w wyborach Prezydenta RP w dniu 10 maja 2015 r. nie będą wykorzystane certyfikaty do przeglądarek dla użytkowników WOW.
Ponieważ zgodnie z decyzją Państwowej Komisji Wyborczej system WOW użyty będzie testowo, wobec czego w I turze testować będziemy bez certyfikatów.
Jednocześnie zdecydowaliśmy, iż testowanie systemu z użyciem certyfikatów będzie miało miejsce w ewentualnej II turze głosowania. Jednocześnie informuję, iż zainstalowanie certyfikatów przed I turą głosowania nie będzie miało żadnego wpływu na działanie systemu WOW

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

55 komentarzy

Dodaj komentarz
  1. Jak wygląda takie zapytanie do PKW? “Ktoś na forum się pochwalił, że ma jakiś certyfikat i co w tej sprawie zrobicie”?

    • @Michał napisałem ci na Z3S posta odnośnie twojego tam stwierdzenia że poczytał byś na temat dowodów fałszowania wyborów. Napisałem tam analize za pomocą żródła, opartą na dowodach, ..ale została ocenzurowana

  2. Certyfikat nie stanowi żadnego zagrożenia, bo wynik jest już ustalony, a sąd jeżeli będzie zgłoszony sprzeciw, stwierdzi że nie miało to wpływu na wynik

    • A kolega widzę z partii wiecznie niezadowolonych paranoików smoleńskich.

    • A kolega maslak za złodziejami peowskimi?

    • Może i paranoicy, nawet słyszałem jakie mają szkolenia dla członków komisji. Patrz wszystkim na ręce, “przynieś własny długopis”, notuj wszystkie “incydenty” itp. Wg mnie – o ile nie będą przeginać – przyda się w wyborach taka banda paranoików.

    • jak się towarzysz maslan nie zna na polityce to proszę się nie wypowiadać

    • @maslan A Ty najwyraźniej z klapkami na oczach.

      Jak statystycznie wyniki wyborów wygladają bardziej niż nietypowo to możesz być pewny, że coś jest nie tak.

      Przejrzyj sobie dane z innych wyborów, przeanalizuj statystycznie, wyznacz normę i błąd i potem porównaj z ostanimi wyborami. Zobaczysz, że wylatuja z hukiem poza wszelką normę.

      Ale oczywiście można skulic ogon pod siebie i udawać, że nic się nie dzieje…

    • “Certyfikat nie stanowi żadnego zagrożenia, bo wynik jest już ustalony,” – tylko jeden protest wobec takiej głupoty, przygnębiające. Przecież to nie onet.pl. Paranaja smolenska rzeczywiście rzuciła się ludziom na mózgi.
      Kraj może nie jest idealny, w dodatku wyraźnie nie daje sobie rady także z informatyzacją państwa, no ale przecież daje się w nim żyć, nawet jak nie ma się etatu.
      I nawet można przeprowadzić wybory mimo kompromitacji komputerowego systemu wsparcia. Do niedawna wszystkie głosowania (wyjąwszy USA i może kilka innych technologicznie zaawansowanych krajów) zliczano “ręcznie” i było dobrze – możliwość matactwa jest jednak ograniczona a w razie czego mozna karteczki policzyć raz jeszcze.

    • Just… wow…

  3. —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA1

    Ciekawe czy jakiś buk zbiera zakłady na to kto będzie reprezentował naszą RP xD
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v2.0.22 (MingW32)

    iQEcBAEBAgAGBQJVR8GEAAoJEGOU9eyC6M9Ln9sH/36oh0GfroecdTKQ+78jf3Xh
    26rjIMyrzO40NYLd2UnoYOypwx5AHQy4EIacU3XCRQTXAkX2TNyCSUs5jl59Fd8J
    uZnmFtmvBqVIofNNvSetNFcELObnKIejITDXzpBzs5bCPM9IIRFvvbnL/3pk/OEK
    bou+wqXJKWB0VCKbi1AI2knz/c3m7j/LOFFiDh0O0Mr2jnaXzckcAGTqdSGVidEQ
    Wmz0XTan9QHrexbcXTVW+8qYdAp33IYtLXFLI1vsM1ymseMxIDSjHOikXma08N56
    i4uLzTofukuvubl8wVA7iGqUkL4lLA2KgPgbdRLxbJAIt8r0PeyROT5W9kSicfI=
    =/wXx
    —–END PGP SIGNATURE—–

    • Buk to szumi w lesie, a jeśli chodzi o innego buka to wiadomo tylko o jego zastępcach chodzących w sukienkach i jednocześnie walczących z transwestytami,w tym niejakim Rydzyku (bynajmniej nie śmigłym) który by chętnie wystrychnął nas na DUDkA ;)

      A co do reszty – ludzie ze WSI podobno bardzo chcą utrzymania obecnego prezydenta pod żyrandolem i są już nawet teorie spiskowe o Stanie Wojennym bis 15 maja ;)

      Jedyny zakład był dzisiaj: Korwin faktycznie pobawił się w hazard i założył się na debacie,że przez jednomandatówki UKIP nie dostanie nawet 20 głosów,stawiając swój udział w wyborach i ewentualne oddanie głosów Kukizowi jako stawke ;)

      Meritum: jeśli jesteś tym za kogo się podajesz, to po co brałeś te certyfikaty w obecnych wyborach ? Teraz jak będzie niespodzianka dla mainstreamu w pierwszej a może i drugiej turze, to będzie gadka,że shackowano. Ja rozumiem,komputerowy półświatek,ale warto władzy dawać powód do najdrobniejszej machlojki,na której nic nie zyskujesz ? Trwałej i całkowitej poprawy bezpieczeństwa nie będzie w państwie teoretycznym, które 24 latki po studiach zatrudnia jako wiceprezesów “bo narzeczona typa z PSL” (źródło wykop,za skasowanym artykułem), zarobić nie zarobisz – Prezydent RP to zbyt eksponowane stanowisko by ktoś z kandydatów czy sztabów był aż tak głupi,by się w to wplątać (służby mogły by specjalnie robić prowokację) – gdyby więc nawet nie unieważniano certyfikatów pozostawała by tylko (wątpliwa) próba dyskredytacji polityka,sensowna chyba tylko w przypadku kandydata do drugiej tury (jeśli by się ją ujawniło) A jeśli chodzi o sławę, to akurat sława “mistrza cyberzbrodni” jest nieco niezdrowym rodzajem hazardu,jak Rosyjska ruletka.W sumie trzeba przyznać,że ten atak raczej może pomóc w przypadku wyborów parlamentarnych które mogą być teraz lepiej pilnowane od strony kluczy (może… ale na pewno znowu coś spieprzą),a w których te kilka tysięcy głosów odpowiednio sprzedane przez hackera-przestępcę było by naprawdę łakomym kąskiem dla konkretnych mniej uczciwych kandydatów (których napastnik mógłby nawet próbować szantażować).

  4. Brawo dla niebezpiecznika za wkręcanie się w rozgrywki polityczne lub bicie piany….

  5. Sam certyfikat nic Wam nie da. Wyniki wyborów wyznaczane są na podstawie protokołu papierowego Obwodowej Komisji Wyborczej. Zawsze tak było i tak będzie dopóki będziemy mieli takie prawo jakie mamy. Fikcyjny / Nieautoryzowany protokół zostanie przez Gminę lub Okręgową Komisję Wyborczą zidentyfikowany i nie będzie brany pod uwagę (zostanie odrzucony). Ustawa Kodeks wyborczy się kłania.

    Takie emocje Wybory wywołują a nikomu nie chce się poczytać podstaw, pójść do źródła…

    Myślałem, że Redaktorzy Niebezpiecznika są bardziej odpowiedzialni i zanim napiszą coś opiniotwórczego to weryfikują dane dogłębnie.

    • Zwrocilismy sie do zrodla – mamy juz odpowiedz KBW – zaraz pojawi sie w aktualizacji

  6. Jeden obwód głosowania to od 500 do 3000 uprawnionych, więc podana przez PollyPocketa liczba 5000 nie jest możliwa przy jednym certyfikacie, dodatkowo w I turze wyborów zgodnie z wytycznymi PKW nie są wykorzystywane certyfikaty.

  7. System powinien wychwycić różnicę sum kontrolnych pomiędzy wesją papierową i elektroniczną. Fałszywy dokument nie powinien zostać uwzględniony w sumowaniu głosów. Tak to dotąd działało.

    • No właśnie tak działało – przed zmianą systemu. Teraz nie wiadomo. Do tego można wysłać kilkadziesiąt/kilkaset fałszywych protokołów i okręgowa komisja będzie miała problem ze znalezieniem tego poprawnego – czyli atak w rodzaju DOSa.
      A widząc jaki był problem z ustaleniem wyników ręcznie w ostatnich wyborach, przypuszczam, że na wyższych szczeblach nikt już nie sprawdza sumy wyników z niższych szczebli, obsługa kalkulatora/excela przerasta możliwości sporej części urzędników.

    • a czy ktoś sprawdza czy nie za dużo dokumentów system pominął?

  8. Certyfikaty przekazywane manualnie? Może jeszcze na dyskietkach FDD? Jeśli tak jest budowana sieć zaufania, to może jednak zostańmy przy ręcznym liczeniu głosów.

    W Szwajcarii do zabezpieczenia klucza transmisji stosuje się kryptografię kwantową…

    • Uhm, kryptografia kwantowa – w jakim to komiksie wyczytałeś? Bo wystarczy tylko do każdej komisji pociągnąć ciemne włókno (o parametrach to nawet nie wspomnę). Koszt wyborów by się prawdopodobnie w PKB nie zmieścił.

    • Popatrzyłem,zdziwiłem się (bo w sumie trochę ciekawie się tematem kryptografii kwantowej a o tym nie wiedziałem) i znalazłem: http://www.cse.wustl.edu/~jain/cse571-07/ftp/ballots.pdf – 50 mil maksymalny zasięg,wydatek 50k $ (średnio 1k $) za linię. Całość świetnie podsumował Bruce Schneier: https://www.schneier.com/blog/archives/2007/10/switzerland_pro.html i nie mam nic do dodania w tej kwestii.W dodatku to ściśle NIE JEST jakaś kryptografia kwantowa (ściśle rzecz biorąc,to tej póki co nie ma,można tego używać jako uproszczonego wyrażenia – jest post-kwantowa kryptografia i kwantowa kryptoanaliza) użyta do dystrybucji klucza,tylko kwantowa dystrybucja klucza – to jest różnica. Znaczy to tyle,że klucz może być co najwyżej zaszyfrowany dodatkowo technikami klasycznymi jak się uprzeć,a CAŁY KWANTOWY NUMER POLEGA TYLKO I WYŁĄCZNIE NA WYKRYCIU TEGO,ŻE KTOŚ PRZECHWYTUJE KLUCZ.W dodatku, ten akurat system komercyjny ostatecznie złamano: http://physicsworld.com/cws/article/news/2010/may/20/quantum-cryptography-system-hacked. A Szwajcaria zrezygnowała w 2011 z prób.

  9. Za duże i zbyt ciekawe jak na *ptr.

  10. Taki to już mamy kraj, że jak ktoś myśli nieszablonowo to jest debilem, paranoikiem i pisowcem, you name it ;) Tak już ta władza nasz dzielny onegdaj naród podzieliła i pozbawiła wszelkiego szacunku.

    • to nie władza za to odpowiada a media. W większości domów 30 calowy bożek zajmuje centralne miejsce w salonie i jest namaszczany każdego dnia.

  11. W kwestii formalnej – certyfikat, czy klucz prywatny? Bo certyfikat ma to do siebie, że jest publiczny i powinien być dostępny.

    • Może PKCS#12?

    • To nie jest kwestia formalna tylko elementarna różnica, a niebezpiecznik zamiast powtarzac urzędniczy bełkot mógłby wykorzystać zamieszanie i wytłumaczyć czym się różni certyfikat i klucz prywatny.

      Nie można tych głupot powtarzać, bo staną się prawdą…

    • święta prawda, święta prawda. Bo jeśli certyfikat z kluczem publicznym, to można się nim co najwyżej podetrzeć.

      W dodatku stwierdzenie “4 typy certyfikatów (nie wiadomo jaki konkretnie został zdobyty przez PollyPocketa”. Co najmniej jeden można było od razu wykluczyć.

      Wysłanie w zapytaniu tekstu “resetowanie certyfikatów” to już żenada. Nie wypada Panowie (i Panie?)!

  12. Z ciekawości, odpowiedź przesłali przez posłańca? Bo wygląda jak by była wydrukowana i zeskanowana!

  13. Słabo. Z odpowiedzi KBW wynika, że w nowym systemie zrezygnowano z podpisu cyfrowego w dokumentach wyborczych tworzonych w kalkulatorze. A to stwarza ryzyko ingerencji w dane zgromadzone w “centrali”, bez pozostawienia śladu.

  14. Skoro zwykły haker potrafi wejść w posiadanie takich materiałów to można się tylko domyślać co posiadają oraz jakimi narzędziami dysponują inne kraje a zwłaszcza duże mocarstwa jak np Chiny , Rosja albo USA. :)
    Śmiałbym się do rozpuku gdyby zaistniała taka sytuacja ,że wynikiem końcowym liczenia głosów będzie 100% głosów nieważnych :D :D :D
    Pokazałoby to zdarzenie w końcu dobitnie co te wybory są tak naprawdę warte a zwłaszcza ich wyniki :D

  15. Zauważyliście, że nie jesteście redakcją, tylko “reakcją”? :)
    A tak btw. to oni to wydrukowali, podpisali i zeskanowali?

    • Też nie rozumiemy, dlaczego taka forma przekazania odpowiedzi.

    • “Też nie rozumiemy, dlaczego taka forma przekazania odpowiedzi.”
      Bo to wciąż standard rządowy i ich świadome bądź nieświadome zabezpieczenie przed indeksowaniem.Nie jestem programem Microsoftu,ale szacunkowo zdjęcia które udostępnia wujek google wskazują,że ta Pani jest najprawdopodobniej niewiele młodsza od oficera ABW którego zdjęcia używa PollyPocket (oczywiście wiek w chwili fotografowania).
      Zresztą to już wyjaśniam: strona druga,podpisik pani Beaty Tokaj jest ? Jest. Strona pierwsza – orzełek jest ? jest. Do tego sygnatura sprawy itd… To nie jest jakiś email – to jest poważne urzędowe pismo.

      Tak jak w przypadku odpowiedzi poniżej – chodzi o to,że ten papierek trafi do teczuszki,a teczuszka do archiwum itd.Bo pismo urzędowe i już… :>

      A dlaczego nie jest to podpis elektroniczny i np. xades ? Raz,że może nie mają,dwa – może podpis elektroniczny używają tylko wewnętrznie i się boją go puścić na zewnątrz ?

  16. A tą odpowiedź, to wydrukowali, podpisali i zeskanowali? :P

    • Tak :)

    • Z prostej przyczyny.
      Musi to trafić do teczki w formie papierowej. Jesteśmy sto lat za murzynami i nadal korzystamy z faxów (w sensie kraj) i każde pismo musimy podpisywać ręcznie zamiast wdrożyć jakikolwiek system podpisów elektronicznych autoryzujący sam gov. Pewnie pismo otrzymało sygnaturę i opis typu “Odpowiedź na pismo …. z dnia …. wysłane przez niebezpiecznik.pl reprezentowany przez …” i z takim pięknym opisem zostanie zindeksowane na kilka lat, w zależności pod jakie archiwum to podepną.

    • To jest biurokracja pismo (mail) został zarejestrowany w systemie i musiał ktoś na to odpowiedzieć i podpisać się fizycznie po tym. Standardowa procedura wydruk skan i wysłanie. To dodatkowo trafiło zapewne do elektronicznego obiegu oraz zostało rozesłane.

      Co do faxów w urzędach są ale coraz częściej są wysyłane droga mailową. Ale to są pewne zaszłości po prostu niektórzy nie rozumieją pewnych kwestii i ktoś musi potrzymać dokument w dłoni i tyle :)

    • To nie tylko o to chodzi – gdybyś kiedykolwiek pracował przy masie dokumentów (przez masę rozumiem przynajmniej pełne szafy, a nie stosik na biurku), z których każdy musi przejść zgodnie z ISO-cośtam, a jeszcze i parę osób musi to przyklepać, to byś wiedział, że ALBO masz wszystko na papierze …albo WSZYSTKO musisz mieć elektronicznie. Tu nie ma półśrodków, bo robi się chaos. Więc albo masz wdrożony obieg elektroniczny dokumentów – i wtedy KAŻDE pismo przychodzące leci najpierw na skaner, opracowywane jest elektronicznie, a wychodzące zależnie od adresata, idzie w formie źródłowej lub jest dopiero na samym końcu drukowane (proces dystrybucji), albo każdy dokument elektroniczny przychodzący jest najpierw drukowany, później przechodzi w formie papierowej przez całą instytucję i na koniec ktoś mający dobrą wolę (bądź oszczędzający na znaczkach) może to zeskanować i odesłać elekronicznie.

      Do wprowadzenia obiegu elektronicznego potrzebne jest dobre prawo (na razie mamy jedynie znośne – ePUAP bez PLID z podpisem elektronicznym nic nie ułatwia), później zmiana pokoleniowa (zwyczajów pani Helenki, która każde pismo podbijała wstępnie kubkiem kawy nie wyeliminujesz z dnia na dzień), później olbrzymia inwestycja (“jak to, to teraz mamy wszystkie dokumenty skanować i jeszcze wpisywać metadane do każdego skanu?! Mamy tylko 1 skaner u Heńka!”) i na koniec masa czasu na wdrożenie. Oszczędności będą dopiero po wielu wielu latach, dokumenty elektroczne nie są wcale takie tanie ani takie szybkie.

  17. ale jakie to ma znaczenie, jeśli komisje są obserwowane przez obsikanych pilnujących papierów. jeśli coś się nie będzie zgadzało przeliczy się te tony papieru jeszcze raz…

  18. Nie no, ten PollyPocket sądząc po sygnaturce to straszny h4k3r, a łakomi się na 1k.

  19. Słyszał ktoś o nowych wzorach dowodów osobistych i prawdopodobnej możliwości sfabrykowania głosów przez podstawione słupy? Coś mi się obiło o uszy…

    • Słyszał, ale pewnie tyle samo, co ty. Ponoć chodzi o burdel w zameldowaniach i “zameldowanie” paru czy parunastu tysięcy osób na lewo w kilku miejscach na raz na czas wyborów. Patrząc na “sukces” kalkulatora, całkiem realny scenariusz, ale tak naprawdę nic nie wiem (i chętnie bym się dowiedział).

  20. Tak z ciekawości, wiecie, że te certyfikaty były wysyłane mailami do operatorów? A zostanie operatorem wyborczym, to nie jest naprawdę nic trudnego. Przy okazji można zobaczyć jak wyglądają wybory od “strony kuchni” i czy rzeczywiście wszystko odbywa się regulaminowo (nie :>).

    • To jest faul. Klucz prywatny musi być tworzony po stronie użytkownika i tylko on może mieć doń dostęp. Generowanie kluczy prywatnych w centrali i wysyłanie certyfikatów pocztą ( tak rozumiem opis działania WOW ) narusza podstawowe zasady bezpiczeństwa.

  21. No dobra, certyfikat to jedno, ale każdy przewodniczący OKW dostaje też listę kilkudziesięciu (chyba 80) kodów jednorazowych bez których teoretycznie nie da się wysłać protokołu. Po wypełnieniu formularza, system nakazuje wpisanie losowego kodu. Każdy kod ważny jest 3 minuty. Więc co komu po samym certyfikacie?

  22. “pomimo obowiązku “dostępności” treści publikowanych w internecie przez administrację publiczną, poniższe odpowiedzi otrzymaliśmy w formie skanu pisma w formacie PDF”
    Przecież to było pismo do was to mogło być i w bmp przesłane.

  23. Sam certyfikat nic nie da z 4 powodów:
    1. aby mieć dostęp do systemu potrzebny jest login i hasło operatora
    2. po wypełnieniu formularza kalkulatora wyborczego należy poprosić przewodniczącego komisji o jednorazowy kod autoryzujący (np program pyta o kod nr 27, przewodniczący odczytuje go ze ściągi, operator wprowadza go do systemu)
    3. kody jednorazowe są aktywne do północy każdego dnia – po tym okresie przewodniczący musi wygenerować nową listę kodów
    4. jak już zaznaczono – certyfikaty nie będą wykorzystywane do logowania do systemu w I turze

  24. przypominam ze wielce uczciwa I szanowna komisja nadal nie udostepnila protokolu po ostatnich machlojach,

    • Ależ brednie opowiadasz… Którego “protokołu” nie udostępniono.

  25. np dla warszawy hxxp://wybory2014.pkw.gov.pl/pl/wyniki/substates/view/1465

  26. Dziś słyszałem ,żeby własny długopis przynieść, bo te w komisji mogą być z tuszem ,który po kilku godzinach znika.
    A wiadomo jeśli karta pusta to nastąpi uzupełnienie bruteforce przez liczącego :)))

  27. I co z tego, że ktoś ma certyfikat? Przecież certyfikaty są publiczne i zawierają klucz publiczny i ich przeznaczeniem jest być rozpowszechnianym (np. Każdy serwer korzystający z SSL z jednostronnym uwierzytelnieniem serwera udostępnia swój certyfikat klucza publicznego). Autor artykułu powinien się lepiej orientować w tzw. PKI czyli Public Key Infrastructure i kryptografii asymetrycznej :). Zagrożeniem jest wyciek klucza prywatnego, zdobycie przez kogoś czyjegoś klucza prywatnego skorelowanego z kluczem publicznym oznacza możliwość podszycia się pod tego do kogo ten certyfikat i para kluczy należą (osobę, serwer, … ). Pozdrawiam.

  28. […] do podpisywania protokołów komisji wykradziono też w ostatnich polskich wyborach — PKW tłumaczyła, że nie stanowi to […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: