Merhaba, Ben merkezi oy sayma isine, hele ki Turkiye gibi cok renkli bir cografyaya yayilmis bir ulkede, birakin Python'u, bilgisayar bile karistirilmamasi taraftariyim. Yani Mucip bey'in Casio onerisini gonulden destekliyorum :)
Iki sebepten: 1) Bilgisayarin yaptigi hesabin denetlenemiyor olusu. 2) Sayimin 1-2 hafta hizlanmasi disinda bir getirisinin olmayisi. (onceden de dogru sayiliyordu oylar, degil mi? :))) Turkiye'de oy sayma isine hukmetmenin getirisinin cok cok buyuk oldugu konusunda da hemfikiriz diye umuyorum. Yani biz standart fani tayfasinin umrunda olmayan bir suru attack vector, is turkiye cumhuriyeti basbakanini belirlemeye gelince "feasible" oluveriyor. Hic bir seyimiz yoksa dunyanin bir turlu durulmayan bir bolgesinde bir cok tehlikeli gucu hizada tutacak kuvvette yuzbinlerce kisilik bir ordumuz var. Boyle olunca da ben bu hesabi yapan sistemin, guvenilirligi (guvenligi degil, o bir sekilde hallolur) acisindan, tepeden tirnaga denetlenmesi gerektigi sonucuna variyorum. Simdi siz kalkip bu sistemi Python ile yazinca denetlenmesi gereken kod miktarina 1 milyon satir[1] ekliyorsunuz. (Python kullanilmasiyla bu yuzden dalga gecmistim) Linux ve Gcc de kullanirsaniz bu rakam artik kac milyona cikiyor bilemiyorum. Ustelik daha userland'e (make, ls, cp, configure, fdisk, mkfs, fsck, vs vs) dokunmadik bile. Bunca kodu okuyamayacagimiza gore, ya da hadi okuduk diyelim, bu kodlari calistiran donanim uzerinde bir denetimimiz olmadigina gore, belki de sirf oy sayma amacli programlanabilir bir hesap makinesi yapabiliriz. Cok hizli bir sey olmasina gerek yok -- bir kac tane sayaci (veya yerel secimlerde bir kac bin) bir gun icinde bir kac milyon kere artirabilsin yeter. Denetlenebilirlik isini abarttik ama hala olmadi degil mi? Tubitak diyelim bu aleti gelistirdi, getirip YSK'ya kurdu. Bu aletin dogru calistigi ne malum? Sonradan bozulmayacagi ne malum? Hem Tubitak'in bu alette kullandigi ram ECC mi bakalim? Butun hesabi guvenilir (trusted) bir merkezde yapma stratejimizin burada bir cikmaza girdigi konusunda hemfikir miyiz? Evet ise stratejimizi ters yuz edelim: Herkes YSK'ya sayim sonuclarini bildirmesin de, YSK herkesten sayim sonuclarini alsin? Hatta sadece YSK degil herkes herkesten sandik sayim sonuclarini alabilsin. YSK aldigi sandik sayim sonuclarini aninda yayimlasin. Bu sayilar resmi sayim sonuclari olsun. Her sandik sorumlusu verisinin dogru iletildigini denetleyebilsin. Bu sekilde ortaya koyunca sorun birden guvenilir (trusted) hesaplamadan guvenli (secure) veri iletimine donustu. Ilkini (gucu bir merkezde toplamadan) yapmak konusunda henuz bir arpa boyu yol katedemesek de, ikinci hususta insanoglu olarak ozellikle son 5000 senede bayagi yol katettik. Turkiye'de 957 tane ilce varmis. Bildigim kadariyla dunyada guvenilen ~60 tane ticari kok sertifika saglayicisi var. Her ilce bu yayini yaparken kullandiklari ssl sertifikalarini kendisi alsin. Ama her sertifika saglayicisindan Turkiye capinda en fazla mesela 50 sertifika alinabilsin. Sonra her sandik sorumlusunun veri girmede ve bunu https uzerinden yayimlamada kullanacagi cok basit bir yazilim gelistirilsin, (bak bu Python ile olabilir) bu da acik kaynak olarak github'a konsun. Her ilce programi buradan cekip calistirsin. Herkes ayni programi kullanmak zorunda degil tabii ki, isterlerse elle XML (ya da YSK nasil bir format belirlediyse artik) yazsinlar, herkes veriye dogru bir sekilde ulassin yeter. Sandik sorumlularina da devlet client SSL sertifikasi versin. Sandigin sayimi kesin olarak tamamlandiginda bu sertifika revoke edilsin. ...... Bu da olmadi degil mi? Yani teoride sorunu cozduk ama, her sandik sorumlusu kendisine devlet tarafindan ufak bir CD'de(?) gonderilmis SSL sertifikasini onundeki bilgisayardaki tarayiciya kurabilecek kadar bu islerden anliyor olacak mi? Peki ya ilceler bu web sunucularini isletebilecek mi? O kadar da kolay olmayacak tabii ki ama dogru proje yonetimiyle yapilmayacak diye bir sey de yok. Sorumluluklar (liability anlaminda, yani o sirada orn. internet baglantisinin calismamasi ttnet icin "ulke guvenligine tehdit olusturmak" seviyesinde sorun teskil edecek) dogru dagitilirsa bu sistem calisir. Eger bu is bilgisayarla yapilacaksa bunun gibi dagitik bir yapiyla yapilmali, butun guvenin merkezi bir sistemde toplandigi kapali bir yapiyla degil. Bu sistemi bu sekilde getirecek kadar muktedir, iyi niyetli ve bilincli bir hukumet basa gelmisse demokrasimizin bir cok sorunu cozulmus demektir. O da yakin zamanda zor olduguna gore, kagitlari teker teker saymaya devam diyorum :) [1]: hg clone http://hg.python.org/cpython; cd cpython; find * -type f | egrep "\\.(py|c|h)$" | xargs wc -l; butun bunlarin isiginda cevaplara gecebilirim: On 07/17/13 16:37, Yasin Aydin (PP-TR) wrote: > - E-devlete ve FOSS'a en fazla destek veren ülkelerden biri olan > Estonya'ya excel macrosu yakışmazdı once yaptiklari isi ciddiye alsinlar. depoyu bile imzalamamislar. > - Yayınlanan kodun çalışan kod olduğunu ispalatlayacakları bir prosedür > üzerinde çalışmaya başlamışlar, dedi seçim kurumu başkanı. boyle bir prosedur bulunmadi daha. goz boyama, inanmayin. > - Resmi açıklama geldi, haberin linklerinde var. Seçim ve oy kurulunun > haberi zaten. > - Kodların açılmasının sebebi zaten güvenliğin ve sağlamlığının > mükemmelleştirilmesi. > - Bir de açılan kod sadece sunucu tarafının. Client tarafının kodlarını, > güvenlik sebebiyle açmamışlar. Malum, sahte seçmenler oluşturulmasının > kolaylaştırmasın diye. bu kafayla isleri zor :) Iyi gunler, Burak _______________________________________________ Linux-sohbet mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
