UNIVERSIDAD DON BOSCO

VICERRECTORÍA DE ESTUDIOS DE POSTGRADO

TRABAJO DE GRADUACIÓN

DISEÑO DE UN PROTOCOLO DE VOTACIONES ELECTRÓNICAS PARA LOS

PROCESOS ELECTORALES DE EL SALVADOR

PARA OPTAR AL GRADO DE:

MAESTRO EN SEGURIDAD Y RIESGOS INFORMÁTICOS

PRESENTADO POR:

HÉCTOR OSWALDO MARROQUÍN ARGUETA

OSCAR ROLANDO AGUILAR ROSA

RIGOBERTO ANTONIO REYES ALVARENGA

ASESORA:

DRA. MARÍA DE LOURDES LÓPEZ GARCÍA

Antiguo Cuscatlán, La Libertad, El Salvador, Centroamérica.

FEBRERO 2016

1

Diseno de un protocolo de votaciones electronicaspara los procesos electorales de El Salvador

Reyes, Rigoberto; Aguilar, Oscar; Marroquın, Hector.rigoberto.reyes@gmail.com, raguilarss@gmail.com, oswaldo.margueta@gmail.com

Resumen— Cuando las elecciones se realizan de formamanual, surgen inconvenientes tales como: La duplicidadde los votos, errores u omisiones en el padron electoral,retrasos en la clasificacion de las papeletas cuando se tratade un voto nulo y en el conteo general de los votos. Todolo anterior produce desconfianza en el proceso electoral engeneral.

Por otro lado, el voto electronico garantiza niveles deseguridad en la transmision del voto y la rapidez de losresultados, a traves de protocolos seguros que satisfacenprincipalmente el anonimato del votante y la integridad delos votos, por lo que ofrece una alternativa con respecto alas elecciones tradicionales.

En este documento, se propone un protocolo de votacionelectronica (e-voto) que automatiza la emision del sufragioa traves de un token que ayuda a garantizar el anonimatodel votante y evita la duplicidad de los votos. El protocolousa la criptografıa de llave publica, lo que permite quepueda ser implementado en cualquier dispositivo tantomovil como de escritorio.

Terminos Indice— cifrado, firma digital, votoelectronico, votaciones electronicas, urna electronica.

I. INTRODUCCION

La democracia es de suma importancia para lospaıses y un aspecto fundamental es la eleccionde los representantes de los diferentes organosde gobierno. Las votaciones, idealmente, se debenrealizar de manera transparente, confiable y eficientepara la obtencion de los resultados.

Muchos paıses han considerado el uso delvoto electronico como alternativa a los procesostradicionales. Algunos han realizado pruebas,mientras que otros ya usan las votacioneselectronicas de manera vinculante. Entre los paısesque han experimentado este tipo de votacionesse encuentran Suiza, Belgica, Holanda, Inglaterra,Alemania, Escocia, Austria, Francia, Espana, Italia,India, Canada, Venezuela, Colombia y Brasil. En [3]se puede encontrar una descripcion de la experienciade cada uno de estos paıses.

Es importante mencionar que, el voto electronicose refiere al uso de las tecnologıas de informaciony tecnicas criptograficas para la emision y recuentode los votos. El avance en las tecnicas criptograficasha permitido que estas sean consideradas como unaherramienta valiosa que brinda una alternativa a losprocesos de votaciones manuales.

En este artıculo, se propone un protocolo decomunicacion seguro de votacion electronica, entrelas entidades electorales y el votante, segun laestructura de las instituciones de El Salvador.Utilizar las votaciones electronicas, segun se planteaen el protocolo, en lugar de la forma tradicional;tiene beneficios tales como: Minimizar el tiempode procesamiento de los votos, dar resultadosconfiables y oportunos, ademas de reducir lasposibilidades de fraude y error, entre otros.

El protocolo propuesto considera la separacion defunciones de cada una de las entidades involucradasen el proceso electoral salvadoreno, garantizando elsecreto electoral y minimizando la posibilidad defraude, ya que cada una tendra solo la informacionque le compete. Es de resaltar que con la busquedade la eficiencia y mejora de los procesos electoralesse ha hecho uso de implementaciones tecnologicas.Sin embargo, el uso de estas tecnologıas enocasiones causa que emitir el voto, sea mascomplejo para la poblacion. Es importante destacarque en el protocolo que se propone, se consideraque la poblacion tiene un conocimiento minusculoen el uso de las tecnologıas, es por eso que losvotantes no tienen la necesidad de ser duenos deun par de llaves criptograficas o de generar algunafirma digital, de tal manera que el protocolo seafacil de utilizar en la poblacion, sin generar dudaso rechazos.

Las herramientas criptograficas utilizadas en elprotocolo son la funcion de cifrado y la firma digitalRSA [18]. Adicionalmente, el protocolo usa untoken que garantiza la unicidad del voto, el cual

2

es un numero generado de manera aleatoria por unade las entidades electorales.

La combinacion de las funciones RSA y eltoken dan como resultado un protocolo de votacionelectronica seguro, que ademas esta adaptado alas votaciones tradicionales indicadas en las leyeselectorales de El Salvador.

El resto del documento se encuentra organizadode acuerdo a lo siguiente. La descripcion de lasituacion actual respecto a las elecciones en elSalvador y el fundamento legal se presentan en lassecciones II y III, respectivamente. Los fundamentoscriptograficos para entender el protocolo propuestose muestran en la seccion IV, mientras que en laseccion V se encuentra la descripcion detalladadel protocolo propuesto. Las secciones VI, VIIy VIII consideran un analisis de seguridad parael protocolo propuesto, las recomendaciones deimplementacion y una discusion sobre las ventajasy sus limitaciones. Por ultimo, las conclusiones demencionan en la seccion IX.

II. SITUACION ELECTORAL ACTUAL ENEL SALVADOR

Las elecciones electorales en El Salvadorrealizadas el primero de marzo de 2015, paraelegir concejos municipales, diputados para laasamblea legislativa, diputados al parlamentoCentroamericano, fueron largas y complejas ya quese introdujeron nuevos elementos en la dinamicaelectoral, tales como: listas abiertas y el votocruzado (que promovieron la libertad de opcionpara el votante), la conformacion de los concejosmunicipales de tipo pluripartidista, la votaciondirecta por rostro de candidatos al parlamentoCentroamericano y la integracion de planillascon una cuota de genero femenino del 30%.Esto implico un mayor esfuerzo para el TribunalSupremo Electoral (TSE) para el correcto desarrollode las elecciones, esto ocasiono problemas enla transmision y procesamiento de los resultadospreliminares y en el escrutinio final creandoincertidumbre en la poblacion.

Las elecciones en El Salvador se realizande forma manual, una junta receptora de votos(JRV) conformada por cinco miembros (Presidente,Secretario, Primer Vocal, Segundo Vocal y TercerVocal). Estos se encargan de llevar a cabo laselecciones en el lugar establecido por el Tribunal

Supremo Electoral. El sufragio se realiza utilizandouna papeleta de votacion que el secretario de la juntafirmara y sellara una vez verificada la autenticidaddel elector, mediante el padron electoral y sudocumento unico de identidad. Al finalizar lajornada de votacion, los miembros de la juntareceptora de votos abren la urna en presenciade vigilantes asignados por los partidos polıticosparticipantes, se realiza el conteo de votos yse llena el acta correspondiente; la cual tieneinformacion sobre la cantidad de votos nulos,validos e impugnados. Se entrega una copia delacta a cada una de las personas que conformanla junta receptora de votos y a los vigilantes delos partidos polıticos. La junta receptora de votosMunicipal recolecta todas las actas correspondientesal municipio, hace el conteo, escanean las actasy las envıan a la junta receptora de votosDepartamental para continuar con el proceso.Cuando la junta receptora de votos departamentaltiene los resultados de todos los municipios deldepartamento, los datos son enviados al TribunalSupremo Electoral; el cual proporcionara datospreliminares conforme se reune la informacion. Elunico proceso en el que se usa la tecnologıa, es en eltraslado de la informacion y la suma de los conteosindividuales de cada una de las juntas receptoras.

En la Fig. 1 se muestran los pasos que siguenlos ciudadanos para ejercer su voto [13]. En elprotocolo de votaciones electronicas, este procesoes uno de los elementos que se toma como base eneste esquema para realizar la propuesta.

III. BASE LEGAL

En esta seccion se presentan los artıculos masimportantes de las leyes que rigen a las institucionesque intervienen en el proceso electoral de ElSalvador, extraıdos de la Ley de Creacion delRegistro Nacional de Personas Naturales [15].

A. Ley Organica del Registro Nacional de lasPersonas Naturales RNPN

Art. 2.) El Registro Nacional administrara lossistemas del Registro Nacional de las PersonasNaturales, el Registro del Documento Unico deIdentidad y los demas que determinen las leyes.

Art. 3.) Son atribuciones del RNPN:

3

Fig. 1. Pasos para emitir el voto [13]

a) Mantener en forma permanente y actualizadatoda la informacion del estado civil o familiar delas personas y crear los sistemas adecuados parael procesamiento y conservacion de la misma;

b) Dar certeza oficial de los hechos y actosrelacionados con el estado civil de las personas;

c) Organizar el Registro Nacional con lainformacion proporcionada por los RegistrosCiviles y del estado Familiar de la Republica,con base en las copias certificadas de todoslos asientos proporcionados por las oficinasrespectivas;

d) Proporcionar al Tribunal Supremo Electoral todala informacion necesaria para la inscripcion delas personas en el Registro Electoral;

e) Informar al Tribunal Supremo Electoral sobrelas defunciones de las personas, lo cual deberahacerse en un plazo no mayor de quince dıas

despues de muerta la persona;f) Facilitar informacion a solicitud de la Policıa

Nacional Civil, a la Fiscalıa General de laRepublica o de autoridad judicial para lainvestigacion de hechos delictivos;

g) Las demas que la ley le establezca.

B. Codigo Electoral 2015 Tribunal SupremoElectoral

Garantıa (Art. 63 C.E.) Son obligaciones delTribunal como Organismo Colegiado, las siguientes[16] :a) Velar por el fiel cumplimiento de la Constitucion

y Leyes que garanticen el derecho deorganizacion y participacion polıtica de losciudadanos y Partidos Polıticos.

b) Convocar, organizar, dirigir y vigilar los procesoselectorales relacionados con la eleccion de los

4

siguientes funcionarios:i) Presidente y Vicepresidente de la Republica,

ii) Diputados al Parlamento Centroamericano.iii) Diputados a la Asamblea Legislativa,iv) Miembros de los Concejos Municipales.

c) Practicar el escrutinio preliminar y definitivo delas Elecciones Presidenciales, de Diputados alParlamento Centroamericano y a la AsambleaLegislativa y de Concejos Municipales.

d) Firmar las credenciales de los funcionarios deeleccion popular dentro del termino de ochodıas, contados a partir de la fecha en que sedeclararon firmes los resultados de la eleccion,si transcurrido el plazo no se firmaren lascredenciales, bastara la declaratoria en firme delos resultados del escrutinio definitivo, para quepuedan tomar posesion de sus cargos, previaprotesta constitucional.

e) Divulgar por los medios oficiales y privados decomunicacion social, los fines, procedimientos yformas de todo proceso electoral.

f) Impartir las instrucciones necesarias para elnormal funcionamiento de todos los organismoselectorales.

g) Llevar el Registro Electoral debidamenteactualizado.

h) Preparar el Presupuesto de Gastos, administrarlos fondos que le sean asignados y cualesquieraotros recursos destinados a su normalfuncionamiento. Preparar los presupuestos degastos para los anos ordinarios, pre electorales yelectorales, a mas tardar en el mes de septiembredel ano anterior, en cada caso, a fin de cumplircon lo establecido en los artıculos 58 y 327 deeste Codigo.

i) Llevar el Registro de Partidos Polıticos inscritos,Coaliciones, candidatos para Presidente yVicepresidente de la Republica, Diputados alParlamento Centroamericano y a la AsambleaLegislativa, Concejos Municipales y demasregistros que establezca este Codigo.

j) Denunciar ante los Tribunales comunes, loshechos constitutivos de delito o falta de quetuviera conocimiento dentro de su competencia.

k) Elaborar y publicar la memoria anual de labores,ası como una memoria especial de cada eventoelectoral.

l) Velar por que se cumplan los acuerdos y

disposiciones emanadas del Tribunal.m) Disenar con la debida anticipacion y aplicar

coordinadamente con la Policıa Nacional Civilel plan general de seguridad electoral.

n) Inscribir a los Partidos Polıticos o Coaliciones,previo tramite, requisitos de Ley y supervisar sufuncionamiento.

o) Inscribir a los ciudadanos postulados por losPartidos Polıticos o Coaliciones, a cargos deeleccion popular previo el tramite y requisitosde ley.

p) Conocer y resolver sobre las suspensiones,cancelaciones y sanciones a los PartidosPolıticos y Coaliciones ası como de susautoridades.

q) Cumplir las Resoluciones y Sentencias Judicialesque le notifiquen con relacion a los actos denaturaleza electoral de su competencia y quemodifiquen el estado civil de las personas o suscapacidades electorales.

r) Impartir directamente o por medio de losfuncionarios a cargo, las instrucciones precisasy necesarias al centro de procesamiento dedatos en relacion al registro electoral y padroneselectorales; y

s) Todas las demas que le asigne el presenteCodigo.

Segun [14] la Junta Receptora de votos (JRV)es el Organismo Electoral Temporal, que da laprotesta de ley ante la Junta Electoral Municipal(JEM) y que de manera colegiada representa alTSE. Como autoridad electoral es la encargadade facilitar el derecho al voto a la ciudadanıa yrealizar el escrutinio de mesa. Sus facultades estandelimitadas por el artıculo 108 del Codigo Electoral.

El sufragio (Art. 3 C.E.) Es un derecho y undeber de los ciudadanos y ciudadanas, su ejercicioes indelegable e irrenunciable. El voto es libre,directo, igualitario y secreto.

Garantıa (Art. 4 C.E.) Nadie podra impedir,coartar o perturbar el ejercicio del sufragio. Lasautoridades competentes estan en la obligacionde garantizar la libertad y pureza del sufragio yfacilitar su ejercicio. Los infractores e infractorasseran sancionados.

5

Documento para votar (Art. 6 C.E.) Es deber detodo ciudadano y ciudadana obtener el documentounico de identidad que lo identifique para ejercerel sufragio conforme a la ley.

C. Funciones especıficas de integrantes de la JRVdurante la votacion

Presidente (Art. 196 C.E.)• Solicitara el DUI vigente y original al

ciudadano, verificando que la fotografıacorresponda con el rostro. Si el resto de laJRV o la vigilancia de los partidos polıticoso coaliciones contendientes exigen que elvotante se identifique ante ella, el presidente opresidenta debera permitirlo.

• Verificara que el votante, en sus manos u otraparte visible del cuerpo, no tenga marca de tintaindeleble que evidencie que haya votado.

• Buscara al votante en el padron de busqueda,confrontando nombre, foto y numero de DUI.Estampara sobre el nombre del votante elsello “ELECCIONES 2015 SE PRESENTO AVOTAR”.

• Anotara en el espacio indicado al final delpadron de busqueda a las personas que nopudieron votar.

Secretario (Art. 196 C.E.)• En presencia del votante firmara y sellara

las 3 papeletas de votacion (Sello “JRV”)mostrandolas al resto de la JRV y vigilantespara comprobar que estan debidamentefirmadas y selladas.

• Retirara y depositara en la bolsa respectiva lasesquinas desprendibles de las papeletas.

• Entregara al votante las 3 papeletas y el crayon.

Vocal 1 (Art. 197 C.E.)• Mientras la persona vota, y recurriendo a su

DUI ubicara su nombre en el padron de firma.• Verificara que el votante devuelva el crayon,

despues de haber votado.• Seguidamente pedira que el votante firme o

ponga su huella dactilar en el padron de firma,utilizando el espacio delimitado por la reglapara firma. Debe verificar que la firma o huellase realice sin rebasar mas alla de la casillacorrespondiente.

• Asumira las funciones del VOCAL 2 yVOCAL 3, en ausencia de estos.

Vocal 2 (Art. 197 C.E.)• Una vez que el votante ha firmado o colocado

la huella dactilar en el padron de firma, lepedira que introduzca el dedo pulgar de lamano derecha en el frasco de tinta indeleble. Alas personas a las que les faltaren ambas manos,les preguntara en que parte visible del cuerpoquieren que se les haga dicha marca.

• Devolvera el DUI al votante.• Llevara el registro de votantes en la Hoja

de Control de Asistencia y marcara la casillacorrespondiente a su sexo; adicionalmente, sise tratara de una persona ciega, lo marcara enel espacio respectivo.

• Asumira las funciones del VOCAL 3, enausencia de este.

Vocal 3• Velara porque el flujo de personas sea contınuo

garantizando que el anaquel doble o los dosanaqueles de mesa esten siendo utilizadossimultaneamente.

• Facilitara el trato preferencial para las personascon discapacidades, mujeres en estado deembarazo, personas con bebes en brazos yadultos mayores, ubicandolas al inicio de la filade votantes.

• Velara porque se mantengan las condicionesapropiadas para que la ciudadanıa vote demanera secreta en el anaquel.

• Indicara al votante despues de haber marcadoy doblado las 3 papeletas, que las introduzcaen los depositos de acuerdo al color y quedevuelva el crayon.

• Cuando la persona con discapacidad, asılo requiera lo guiara hacia el anaquel yposteriormente a los depositos de votos.

D. Artıculos de Interes de la Ley de FirmaElectronica

En El Salvador recientemente se ha aprobado laley de firma electronica [17].

• Art. 8.- Los documentos en soporteelectronico utilizando firma electronicatendran el mismo valor que los consignados de

6

manera tradicional. Quedan exentos aquellosdocumentos o actos jurıdicos que para superfeccionamiento requieren formalidades ysolemnidades especiales.

• Art. 3.- Para los efectos de la aplicacion dela presente Ley, se utilizaran las siguientesdefiniciones: Acreditacion: Es la autorizacionque otorga la autoridad competente establecidaen la presente Ley, a los proveedores deservicios de certificacion, para operar yproporcionar certificados electronicos, y a losproveedores de servicios de almacenamiento dedocumentos electronicos, una vez cumplidoslos requisitos y condiciones establecidos en lapresente Ley.

• Art. 18.- Todo prestador de servicios dealmacenamiento de documentos electronicosque brinde servicios a terceros, quedara sujetoa las facultades de supervision y controlde la Unidad de Firma Electronica de laautoridad competente para los efectos develar por el cumplimiento de las obligacionescorrespondientes que establece esta Ley y sureglamento, y normas y reglamentos tecnicosemitidos al efecto.

• La Autoridad de Control y VigilanciaArt. 35.- Crease la Unidad de FirmaElectronica, como parte del Ministeriode Economıa, el que en el texto de estaLey podra abreviarse MINEC. El Ministronombrara al funcionario que estara a cargo deesta Unidad, quien debera reunir los requisitosque para tal efecto se establezcan en elreglamento de esta ley.

• Art. 23.- La firma electronica certificada debeestar sustentada en un metodo de creacion yverificacion confiable y seguro, de manera queaquella sea inalterable, alertando al destinatarioen caso de modificacion de la informacion,despues de ser suscrita por el signatario. Lafirma electronica certificada tiene los siguientesefectos:

a) Vincula un mensaje de datos con su titular,de manera exclusiva;

b) Permite la verificacion inequıvoca de la

autorıa e identidad del signatario; y,c) Asegura que los datos de la firma esten bajo

control exclusivo del signatario.

IV. FUNDAMENTOS CRIPTOGRAFICOS

En [9] se define la criptografıa como laciencia que estudia la proteccion u ocultamientode informacion a personas no autorizadas. Segun[18], criptografıa se deriva de la palabra griega“Krypto”, la cual contiene un significado de“oculto”, y la palabra griega “Graphein”, quesignifica “escritura”.

La criptografıa se puede clasificar historicamenteen dos: clasica y moderna.

La criptografıa clasica es aquella que se utilizodesde antes de la epoca actual hasta la mitaddel siglo XX. Tambien puede entenderse como lacriptografıa no computarizada o mejor dicho nodigitalizada. Los metodos utilizados eran variados,algunos muy simples y otros muy complicados decriptoanalizar para su epoca.

Se puede decir que la criptografıa moderna seinicio despues de tres hechos: el primero fue lapublicacion de la “Teorıa de la Informacion” porShannon; el segundo, la aparicion del estandar delsistema de cifrado DES (Data Encryption Standard)en 1974 y finalmente con la aparicion del estudiorealizado por Whitfield Diffie y Martin Hellmansobre la aplicacion de funciones matematicas de unsolo sentido a un modelo de cifrado, denominadocifrado de llave publica en 1976.

Tanto la criptografıa clasica como la modernase clasifican de acuerdo a las tecnicas o metodosque se utilizan para cifrar los mensajes. Estaclasificacion la podemos ver en la Fig. 2.

La criptografıa se ha convertido en omnipresente,puede que sin saber en la vida cotidianase utilicen una gran variedad de aplicacionescriptograficas; como por ejemplo, el acceso aciertas aplicaciones por contrasena, la realizacionde compras a traves de conexiones seguras(SSL), o aplicar una actualizacion de softwareque esta firmado digitalmente. Los criptosistemasen la actualidad se pueden dividir en dosgrandes ramas, los criptosistemas simetricos y loscriptosistemas asimetricos, el protocolo propuestoen este documento utiliza un sistema asimetrico, porlo cual se profundizara un poco sobre el tema.

7

Fig. 2. Clasificacion de la criptografıa

A. Funcion Hash o PicadilloSegun [6], una funcion picadillo H : {0, 1}∗ →

{0, 1}n es una funcion que tiene como parametrode entrada una cadena de longitud arbitraria (∗) yarroja como resultado una cadena de longitud fija(n), el resultado de la aplicacion de H sobre x esconocido como digesto.

Las funciones hash para ser seguras debensatisfacer dos propiedades principales [8]:

1) debe ser extremadamente complicadoencontrar un mensaje m, tal que

H(m) = h

es decir, conociendo el valor de la funcionpicadillo (H) determinar el mensaje que loprodujo (m).

2) debe ser difıcil encontrar dos mensajes m1 ym2, tal que

H(m1) = H(m2)

Como se menciona en [5], existe una grandiversidad de aplicaciones de las funciones hashentre las que se puede mencionar las siguientes:

1) Contrasenas: Las funciones hash sonampliamente usadas para almacenarcontrasenas, por su caracterıstica deirreversibilidad.

2) Firmas digitales: Realizar operaciones defirmas digitales sobre mensajes grandes puedeconsumir mucho tiempo por los algoritmos defirmas digitales. En su lugar, al mensaje se

le aplica la funcion hash y el algoritmo defirma digital se aplica al valor hash obtenidode menor tamano.

3) Integridad: Un mensaje puede ser consideradoıntegro si su valor hash ya fue calculadoantes de cualquier transmision. Este valor escomparado con el valor hash del mensajerecibido.

4) Codigos de autenticacion de mensaje: Hashde un mensaje que se auxilia de una llavesecreta “k” para garantizar el origen delmensaje.

B. Criptosistemas Asimetricos o de Llave PublicaSegun [19] En este sistema criptografico cada

usuario tiene un par de llaves, una publica y otraprivada:

• La llave publica: sera conocida por todos losusuarios.

• La llave privada: sera custodiada por supropietario y no se dara a conocer a ningunotro.

Esta pareja de claves es complementaria: loque cifra una solo lo puede descifrar la otray viceversa. Estas claves se obtienen mediantealgoritmos y funciones matematicas complejas deforma que por razones de tiempo de computo, esimposible conocer una clave a partir de la otra.

Los sistemas de cifrado de clave publica sebasan en funciones resumen o funciones hashde un solo sentido que aprovechan propiedadesparticulares, por ejemplo de los numeros primos.Una funcion de un solo sentido es aquella cuyacomputacion es facil, mientras que su inversionresulta extremadamente difıcil.

En este caso no es necesario compartir la llaveprivada, cuando un usuario desea enviar un mensajea otro usuario, solo debe cifrar el mensaje que deseaenviar utilizando la llave publica del receptor. Elreceptor podra descifrar el mensaje con su llaveprivada (la cual solo el conoce).

Segun [18], el criptosistema RSA es el masimportante y extendido en la actualidad, el cualutiliza la exponenciacion modular para cifrary descifrar, y su seguridad esta basada en lacomplejidad del problema de factorizacion denumeros enteros grandes.

El criptosistema RSA es sencillo de implementar,algo muy peculiar en este criptosistema es que sus

8

llaves sirven indistintamente tanto para cifrar comopara firmar. Si un atacante quiere descifrar el textoclaro a partir del criptograma y su clave publica,tiene que enfrentarse a las dificultades que presentael problema de factorizacion de numeros enterosgrandes.

Otro aspecto importante en el criptosistema RSAson los numeros primos ya que constituyen lapieza basica en la construccion de este [7]. En lageneracion de las llaves tanto privada como publica,el cifrado del mensaje y el descifrado del mismo,se utiliza la siguiente notacion:

• M representa el espacio de mensajes quepueden ser cifrados, tambien es conocido comotexto claro.

• C representa el espacio de mensajes cifrados otambien conocidos como mensajes ofuscados.

• e es parte del par (e, n) el cual es conocidocomo llave publica.

• d es parte del par (d, n) el cual es conocidocomo llave privada.

• n es el modulo RSA.Hay que hacer notar que con este algoritmo los

mensajes que se cifran y descifran son numerosenteros de tamano menor que n, no letras sueltascomo en el caso de los cifrados Cesar o Vigenere.Para obtener el mensaje cifrado C a partir delmensaje en claro M , se realiza la siguienteoperacion:

C = M e(mod n) (1)

Para recuperar el mensaje original a partir delcifrado se realiza la siguiente operacion:

M = Cd(mod n) (2)

Segun [20] los sistemas de criptografıa asimetricase caracterizan por el uso de un tipo de algoritmocon dos llaves, una que no se revela y la otra sı.Dependiendo de la aplicacion, el emisor usa su llaveprivada o la llave publica del receptor, o las dos,para realizar algun tipo de funcion criptografica. Enterminos generales, se puede clasificar el uso decriptosistemas asimetricos en tres categorıas:

1) Cifrado/descifrado: Para realizarlo el emisorcifra el mensaje con la llave publica delreceptor, de esta forma solamente quien poseala llave privada emparejada a la llave publicapodra descifrar el mensaje.

2) Firma digital: El emisor firma un mensajeutilizando su llave privada, para verificar lavalidez de la firma, el receptor utiliza la llavepublica del firmante.

3) Intercambio de llaves: dos partes cooperanpara intercambiar una llave de sesion.

En la Fig. 3 se puede observar el proceso decifrado/descifrado usando criptografıa asimetrica.

Fig. 3. Criptografıa asimetrica: cifrado/descifrado

C. Firma Electronica

La firma electronica consiste en una seriede algoritmos matematicos basados en tecnicascriptograficas de generacion y la utilizacion de unpar de llaves: Publica y privada. Estas son asignadasa cada usuario del sistema y relacionados entresı asegurando ası que el usuario que firme esquien dice ser. La llave privada debe ser conocidaunicamente por su propietario ya que esta es la queutilizara para producir una firma unica, la cual serainfalsificable en un documento dado, mientras quela llave publica debe ser conocida por el verificadorde un documento firmado, con la finalidad dedeterminar si la firma de ese documento es autenticao no. La notacion en general para un esquema defirma digital es el siguiente:

• M representa el conjunto de todos los mensajesque pueden ser firmados.

• S representa el conjunto de todas las firmasque pueden ser generadas, usualmente con unalongitud fija.

• Ks representa el conjunto de llaves privadas.• Kv representa el conjunto de llaves publicas.

9

• kε : M × Ks → S representa las reglas detransformacon para que la identidad ε produzcauna firma.

• Vε : M × kv → {verdadero, falso}representan las reglas de verificacion de latransformacion para una firma producida por ε.Estas reglas son usadas por las entidades querequieren la verificacion de la firma.

Un esquema general sobre como se realiza lafirma eletronica se muestra en la Fig. 4.

Fig. 4. Firma electronica

Como se muestra en [21] la firma eletronica debecumplir con los siguientes requisitos:

1) Debe ser unica; esto es, que solo la puedagenerar el usuario legıtimo.

2) Ha de ser no falsificable, ya que el intentode falsificacion se encuentra con un problemamatematico intratable.

3) Facil de autenticar, pudiendo cualquier receptorestablecer su autorıa, aun despues de muchotiempo.

4) Irrevocable, puesto que su autor no puede negarsu autorıa.

5) Barata y facil de generar.

D. Voto ElectronicoSegun [2] se puede definir al voto electronico

como el acto de sufragio que aplica e incorporalas TICs de manera total o parcial, es decir, enel conjunto de las distintas facetas que componenel proceso electoral o en alguna de ellas. De esta

manera, la utilizacion de componentes de hardware,software y procedimientos que permiten automatizarlos procesos de construccion y actualizacion delregistro electoral, la emision del voto, el escrutinio;ası como de una red de comunicaciones parala transmision y consolidacion de los resultadoselectorales, marca la diferencia entre una votacionelectronica y aquellas que se sirven de metodologıastradicionales.

El voto electronico se ha vuelto atractivo por susdiferentes ventajas, pero tambien presenta nuevosretos, como se menciona en el siguiente listado delas fortalezas y debilidades del voto electronico [1]:

Fortalezas• Mayor rapidez en la votacion, conteo y

tabulacion.• Mayor precision en los resultados, ya que la

posibilidad de error humano queda excluida.• Eficiencia en el manejo de sistemas electorales

complicados que requieren procedimientos deconteo laboriosos 1.

• Mejora en la presentacion cuando las papeletasson complicadas 2.

• Posibilidad de aumento en la participacionelectoral.

• Prevencion del fraude en las mesas de votaciony durante la transmision y tabulacion de losresultados, al reducirse la intervencion humana.

• Disminucion en el numero de papeletasanuladas ya que el sistema de votacion puedeadvertirle al votante cuando un voto quedarainvalidado.

Debilidades• Existe la posibilidad de que se viole el secreto

del voto, en especial en sistemas que realizantanto la autenticacion como la emision de losvotos.

• Riesgo de manipulacion por parte de personalinterno con acceso privilegiado al sistema.

• Aumento en los costos por la compra ymantenimiento del sistema de voto electronico.

• Mayores requerimientos de infraestructura ymedioambientales, por ejemplo, asociados alsuministro electrico, la tecnologıa de las

1Como el voto cruzado implementado en El Salvador, elecciones2015

2Como el voto por rostro cuando existen muchos candidados.

10

comunicaciones, temperatura, humedad.• Necesidad de realizar mas campanas para

educar a los votantes.• Posibilidad de conflicto con el marco legal

vigente.• Es posible que la ciudadanıa desconfıe de las

elecciones con voto electronico como resultadode las debilidades antes mencionadas.

Para cubrir las fortalezas y evitar las debilidades,en el ambito de seguridad los protoclos de votoelectronico deben cumplir con ciertos requisitos defuncionamiento y seguridad [3]:

• Autenticacion: que voten solo los que estenlegitimados para el sufragio.

• Unicidad del voto (democratico): que solose vote una vez y no se pueda modificar elresultado de dicha votacion.

• Anonimato: que no se pueda relacionar alvotante con el voto.

• Imposibilidad de coaccion: el elector nodebera en ningun caso demostrar o divulgar quevoto emitio, impidiendo la compra masiva devotos y la presion (coaccion) sobre los votantes.

• Precision: el sistema debe tener la capacidadde registrar los votos correctamente y conseguridad.

• Verificacion (trazabilidad): cada votantepodra obtener un recibo del sistema de votacionque le garantice que su voto sera incluido enel escrutinio final.

• Imparcialidad: todos los votos deberanpermanecer en secreto hasta que finalice elperıodo de sufragio. De esta forma se evitaraque los resultados parciales afecten a ladecision de los electores que aun no hayanejercido su derecho al voto.

• Auditabilidad: deberan existir procedimientospara poder verificar que todos y cada uno delos votos se hayan tenido en cuenta en elescrutinio.

• Confiabilidad: los sistemas utilizados debentrabajar de modo seguro siempre, sin que seproduzcan perdida de votos incluso en casosextremos.

• Certificables: los sistemas deben podercomprobarse por parte de las autoridadeselectorales, para que puedan confiar en quecumplen con los criterios establecidos.

• Invulnerable: de forma que impida la

manipulacion a todos los niveles.• Abierto: de forma que las autoridades

electorales y, si es el caso, el ciudadanoen general puedan obtener detalles de sufuncionamiento (hardware y software).

V. PROTOCOLO SEGURO DE VOTOELECTRONICO PROPUESTO

Los avances en la tecnologıa han influidonotoriamente en la manera que se llevan acabo muchas de las actividades cotidianas,sustituyendo las formas tradicionales de realizarlas;logrando a traves de la implementacion deprotocolos criptograficos ofrecer los servicios deseguridad necesarios para generar la confiabilidady veracidad de las actividades, no repudio,integridad, anonimato, auditorıa y ademas evitan lasuplantacion de identidad. Tomando en cuenta estoes importante el uso de votaciones electronicas paramejorar y agilizar el proceso electoral, tomandoen cuenta las experiencias de diferentes paıses,logrando de esta manera fortalecer la democracia.

La propuesta parte de los pasos presentados enla Fig. 1 identificando las funciones realizadasy las instituciones responsables de ellas, ademasde las funciones atribuidas por la legislacioncorrespondiente la cual se describe en la seccionde base legal.

Luego tomando como base varios esquemas devotaciones electronicas existentes [4] se hace lasiguiente propuesta de protocolo para votacioneselectronicas, adecuado a los procesos electoralesdesarrollados en El Salvador.

En la Tabla I se muestra un resumen de lasfunciones legales y las acciones a desempenar enel protocolo propuesto de cada entidad involucradaen el proceso electoral.

El protocolo propuesto en la Fig. 5 consta dedos macro fases: Autenticacion y emision delvoto. El RNPN es la institucion cuya principalresponsabilidad consiste en la autenticacion delvotante determinando si es apto para emitir susufragio, en esta fase la JRV sirve como interfazentre el votante y el RNPN. Una vez realizada laautenticacion la JRV es la que inicia la siguiente fasede emision del voto, generando la boleta electronicay activando la urna; la urna es la interfaz con la queinteractua el votante para poder ejercer su derechoal sufragio especificando las opciones de su voto y

11

TABLA I

ORGANISMOS, RESPONSABILIDADES LEGALES Y SU FUNCION EN

EL PROTOCOLO

Responsabilidades legales Funciones en elprotocolo propuesto

RNPN• Registro del Documento

Unico de Identidad• Proporcionar al Tribunal

Supremo Electoral todala informacion necesariapara la inscripcion de laspersonas en el RegistroElectoral

• Encargado de laautenticacion delos votantes.

• Verificar si elvotante ya haejercido susufragio.

• Creacion de tokende sesion.

TSE• Convocar, organizar,

dirigir y vigilar losprocesos electorales.

• Practicar el escrutiniopreliminar y definitivo.

• Impartir lasinstrucciones necesariaspara el normalfuncionamiento detodos los organismoselectorales

• Almacenamientoy custodia de losvotos emitidos porlos ciudadanospara su respectivoescrutinio.

• Gestion de lasllaves publica yprivada de cadauna de las JRV’s

JRV• Representa al TSE.• Como autoridad

electoral es la encargadade facilitar el derecho alvoto a la ciudadanıa yrealizar el escrutinio demesa

• Sirve deintermediarioentre el votantey el RNPN enel proceso deautenticacion.

• Genera la boletaelectronica yactiva la urna

es tambien la encargada del envio del voto al TSE,siendo este ultimo el responsable del resguardo delos votos para su posterior conteo.

En la Fig. 6 se muestra la distribucion de losservicios; es de vital importancia que se garantice laindependencia entre las instituciones e incluso entrelos servidores dentro de la misma institucion, lasfunciones se describen en la Tabla II. El servidorde aplicaciones del RNPN no debe intercambiarmas informacion de la necesaria con el servidor debases de datos de la misma institucion. Ası comose debe mantener la independencia en las funciones:el servidor de aplicaciones no debe almacenar datosdel ciudadano, y el servidor de bases de datosno debe contener informacion de los procesos de

cifrado.

Fig. 6. Distribucion de servicios

A. AutenticacionEl objetivo de esta fase es validar que el elector

esta apto para emitir el sufragio verificando que seencuentra en el padron electoral y que no ha emitidosu voto. Los pasos son los siguientes:

1) El elector se presenta a la Junta Receptora deVotos, proporciona su Documento Unico deIdentidad

2) Un miembro de la mesa ingresa el numero dedocumento y pide al votante ingrese su huelladigital.

3) Si el votante tiene algun impedimento paraingresar su huella, se valida la identidadmediante la comparacion del documento, conlos datos del servidor de autenticacion, y paraaceptar esta validacion todos los miembros dela mesa ingresan su huella digital.

4) Se envıa al servidor de autenticacion: #DUI,huella digital, numero de Junta Receptora deVotos.

5) Si los datos son validos el servidor del RNPNcrea un token de sesion, el cual cifra y firma.

La Fig. 7 muestra las operaciones criptograficasrealizadas en esta fase.

B. Emision del SufragioEn esta fase, el elector selecciona las opciones de

su sufragio, y se debe garantizar la seguridad de los

12

Fig. 5. Esquema de votacion propuesto

datos contenidos en esta fase.

1) Con el token de sesion proporcionado por elRNPN, la JRV crea una boleta electronica enblanco, la firma y se activa la urna electronica,para lo cual la urna recibe el token de sesion yla boleta en blanco firmada. Esta boleta constade un numero correlativo de boleta, el numerode la JRV la fecha y hora de generacion.

2) El elector escoge sus opciones de votacion.Alternativamente puede cargar un paquete deopciones, para lo cual debe proporcionar elidentificador del paquete.

3) Cuando se finaliza la seleccion de opciones, secifra la boleta conteniendo el voto emitido, yla urna cifra con la llave publica del TSE.

4) Se envıa la boleta firmada y cifrada y el tokende sesion al servidor del TSE.

5) El TSE recibe la boleta, la descifra y verificafirma de JRV, verifica que no se haya registradoel voto con ese token, de lo contrario el votono se toma en cuenta. Si es correcto toma elvoto para el conteo y envıa el token de sesional servidor del RNPN.

6) El RNPN recibe el token de sesion, descifrael token y marca que el elector ya emitio elsufragio.

La Fig. 8 muestra las operaciones criptograficasrealizadas en la fase de emision del sufragio

C. Paquetes de Opciones de VotoUna de las dificultades del voto cruzado,

implementado en las elecciones 2015 en ElSalvador, es el tiempo que puede tardar un votantepara elegir todas las opciones, por ejemplo para elcaso del departamento de San Salvador el votantepuede elegir hasta 20 candidatos para diputados dela Asamblea Legislativa. Se propone un mecanismopara crear de manera previa, paquetes de opcionesde voto, el cual funcionara a traves de internet yestara disponible varios dıas antes del dıa de lasvotaciones.

El elector se conectara al servidor del TSE ypodra realizar la eleccion de sus candidatos, para locual podra tomarse el tiempo que crea conveniente,al finalizar se le proporcionara un codigo, similaral NPE de los recibos de servicios, y el dıa de las

13

Fig. 7. Proceso de autenticacion

Fig. 8. Emision del voto

votaciones podra utilizar dicho codigo para cargarlas opciones elegidas y agilizar el proceso.

Es importante destacar que un ciudadano nose identificara en ningun momento para crear unpaquete de opciones de voto, incluso puede crearmuchos paquetes pero podra elegir solamente uno

el dıa de la votacion.

VI. ANALISIS DE SEGURIDAD

El voto electronico puede ser tan seguro oincluso mas seguro que el voto tradicional en papelsiempre y cuando se implanten las medidas de

14

TABLA II

RESPONSABILIDADES DE LOS SERVICIOS

Servicio Responsabilidad

JRV Captura los datos del votante, DUI y huella.Genera la boleta electronica y activa la sesionde la urna

Servidor deaplicacionesRNPN

Realiza las operaciones criptograficas: verificarfirma de JRV, cifrado y firmado de token

Servidor debases de datosde ciudadanos

Realiza la busqueda de datos del ciudadano,verificando que sea apto para votar y genera eltoken de sesion

Urnaelectronica

Interfaz con la que interactua el votante paraemitir su voto, se realiza las operaciones deverificacion de firmas y cifrado del voto con lallave publica del TSE

Servidor deaplicacionesTSE

Verifica firmas y descifra el voto, envıa el votoal servidor de almacenamiento de votos

Servidor dealmacenamientode votos

Almacena el voto para el proceso de conteo

seguridad adecuadas. Las medidas de seguridadconvencionales tales como firewalls o comunicacionSSL son necesarias pero no suficientes paragarantizar los requisitos de seguridad especıficosdel voto electronico. Ademas de estas medidas deseguridad convencionales, es necesario implementartambien una capa seguridad especializada para hacerfrente a los riesgos especıficos planteados por elvoto electronico y garantizar ası el cumplimiento delos requisitos imprescindibles en cualquier elecciontales como la privacidad del votante, la integridaddel voto y la posibilidad de verificacion del correctotratamiento del voto por parte de los votantes.

A continuacion se presenta un listado de losposibles ataques que puede sufrir un sistema devoto electronico y de las soluciones que el protocolopropuesto presenta para evitarlo.

A. Ataques• Suplantacion de identidad: Tambien conocido

como Robo de Identidad, consiste en hacersepasar por otra persona para la realizacion deactividades en nombre de la vıctima, en elcaso de las votaciones electronicas es utilizadopara que una persona pueda emitir el sufragioen nombre de otras personas.

• Ataque al anonimato del voto: Consiste enque alguna entidad esta escuchando el traficoe interceptando paquetes con el fin de poderdescifrar la informacion sobre la identidad delos ciudadanos y conocer el voto que estosemitieron.

• Alteracion de Voto: Este ataque consiste enla intercepcion de los paquetes para alterar elvoto emitido durante el proceso de votacionde un ciudadano.

• Generacion de votos falsos: Consiste enel envıo de votos falsos generados desdeentidades externas (que no es una JRV) paraafectar los resultados a favor o en contra delos candidatos en contienda.

• Doble voto: Este ataque consiste en unaentidad valida para emitir votos y este lograrvotar mas de una vez en distintos lugares, porejemplo cuando un ciudadano esta sirviendoen una mesa receptora de votos ya sea comovigilante o miembro de la mesa (JRV) loscuales estan obligados a votar en esa mismamesa (JRV), pero estos votan y luego intentanvotar en la JRV que les corresponde comociudadanos (y no como miembros de la JRVo vigilantes).

• Generacion de votos despues del periodo:Este ataque consiste en emitir votos despues dela hora de cierre de las elecciones establecidaspreviamente por el Tribunal Supremo Electoral(TSE).

B. Soluciones

• Suplantacion de identidad: Para evitareste ataque, el protocolo propuesto utilizaun proceso de validacion, el cual consisteen la autentificacion de multiples factorescomo numero de identidad personal y lahuella digital del ciudadano, los cuales sonalmacenados en una base de datos en elmomento que la persona se convierte enmayor de edad.

• Ataque al anonimato del voto: El anonimatoes uno de los requisitos fundamentales del

15

voto electronico pero a la vez debe ser posibleevitar que un elector emita doble voto. En elprotocolo propuesto se hace uso de un tokenpara el proceso del sufragio y control de quela persona ha votado. El token esta cifradocon la llave publica del RNPN para quesolo esta institucion pueda hacer la relacionentre el votante y su token pero en ningunmomento el RNPN conoce informacion delvoto emitido; es importante que cuando elprotocolo sea implementado se verifique quecada institucion realice solo las acciones quele estan permitidas y que almacena solo lainformacion que le concierne. Dentro delRNPN deben estar separadas las funcionesde generacion y almacenamiento del tokencon la firma y cifrado de este. El servidorde aplicaciones del RNPN puede conocerel valor plano del token, pero no a quepersona pertenece; de igual forma el servidorde base de datos de ciudadanos, no podragenerar el token cifrado para asociar el votoemitido por las personas. Ademas, para evitarque se vote mas de una vez, si un electorya tiene un token generado e intenta votarnuevamente se le devuelve el mismo tokenpara que cuando llegue cifrado al TSE, nose cuente porque ese token ya ha sido utilizado.

• Alteracion de voto: El voto sera enviadocifrado con la llave publica del TSEgarantizando con esto que solo el TSE puededescifrarlo. Otra medida tomada en cuentaconsiste en la impresion de un comprobanteel cual contiene el voto del ciudadano (sin lainformacion del ciudadano), esto para hacerverificaciones en urnas seleccionadas comomuestras para corroborar los datos de losvotos enviados contra los existentes en loscomprobantes en papel.

• Generacion de votos falsos: Para evitar estetipo de ataques, el protocolo criptograficopropuesto utilizara la firma electronica paravalidar el envıo de un voto, ademas estainformacion sera enviada de manera cifrada.Otra de las caracterısticas con las que debecontar para evitar votos falsos sera que losvotos estaran relacionados con un numero detoken unico que se almacenara con el mismo

para poder auditar cada voto, ya que estetoken estara firmado por el RNPN evitandoque otra entidad pueda suplantarlo y generardicho token.

• Doble voto: Un elector puede emitir solamenteun voto valido, el token asignado asegura quesi intentara votar mas de una vez y por algunarazon aun no se haya marcado que ha emitidosu voto, se devuelve el mismo token que yatiene generado, de esta forma al llegar variosvotos al TSE con el mismo token solamentese tomara el primero.

• Generacion de votos despues del periodo:Para evitar este tipo de ataques el protocolocriptografico contemplara que la boletaelectronica contenga la fecha y hora degeneracion.

• Evitar engano del votante:Las maquinas devoto electronico proveeran una realimentacioninmediata al votante que detecta problemasposibles tales como votar por defecto ovotar por exceso, que pueden resultar enla anulacion del voto. Esta realimentacioninmediata puede ser de ayuda para determinarexitosamente el engano del votante, uno delos principales casos tomados en cuenta esla retroalimentacion del voto brindandoleun ticket donde el votante pueda aceptar odenegar de tal manera que el votante no seramarcado como voto emitido y permitiendolevolver intentar realizar la votacion hasta queel este se encuentre conforme con el resultadodel mismo.

• Auditorıas: Un desafıo fundamental paracualquier sistema de votacion electronica esasegurar que los votos fueron registradoscomo fueron emitidos y escrutados. Esto sesoluciona mediante un sistema de auditorıaindependiente, denominado comunmenteVerificacion Independiente, que tambiense puede usar para recuentos o auditorıas.Estos sistemas pueden incluir la posibilidadde que los votantes verifiquen como hansido emitidos sus votos o mas adelante,verificar si el recuento de los votos fuecorrecto. Se pueden usar muchas tecnologıas

16

para asegurar a los votantes que su voto fueemitido correctamente o detectar el fraude oel mal funcionamiento, y proveer los mediospara auditar la maquina original. Algunossistemas incluyen tecnologıas tales como lacriptografıa (visual o matematica), el papel,(conservado por el votante o solo verificado),verificacion auditiva y registros dobles osistemas testimoniales (distintos del papel),para tal caso en el protocolo se propone laimpresion de comprobante en papel que elusuario depositara en urnas y estos serviranpara realizar auditorıas.

VII. RECOMENDACIONES

La implementacion del protocolo esta fuera delalcance de esta investigacion, a pesar de ello sehacen las siguientes recomendaciones a tomar encuenta.

• Del software: el software utilizado en todas lasfunciones involucradas en el protocolo de votoelectronico propuesto, debe ser completamenteauditable, es decir, todos los partidos polıticos,ciudadanos, Tribunal Supremo Electoralpueden verificar su integridad en cada fase,antes de iniciar el proceso electoral y alfinalizar el proceso de votaciones, ademas deser transparente, seguro y exacto eliminandoel margen de error humano.

• Uso del protocolo https: se sugiereimplementar el protocolo de voto electronicousando internet sobre un protocolo HTTPScomo medio de comunicacion segura entreRNPN, TSE, JRV y la urna electronica. Segun[10], el protocolo Secure Socket Layer (SSL)facilita la autenticacion y privacidad de lainformacion en internet mediante el uso de lacriptografıa. Solo el servidor es autenticado (esdecir, se garantiza su identidad) mientras queel cliente se mantiene sin autenticar, ya quela autenticacion mutua requiere un desplieguede infraestructura de llaves publicas para losclientes. En este caso, se libera al elector deusar las llaves tanto privada como publica,para facilitar la emision del voto.Es importante mencionar que SSL se ejecutapara los protocolos de aplicacion como

el HTTP (Hypertext Transfer Protocol),proporcionando un intercambio de datosseguros para proteger las paginas World WideWeb (www) en transacciones electronicas.Debido a lo anterior, el protocolo SSL enHTTP, visto como HTTPS es muy util paratransmitir el voto a traves de la red como unprimer nivel de seguridad.

• Uso de software de intercambio orientado amensajerıa (MOM): para la implementaciondel protocolo propuesto en este artıculo sesugiere como alternativa a los servicios webla utilizacion un sistema de mensajerıa, por serestos mas tolerables a fallos (caracterıstica muydeseable en el envıo del voto a los servidoresdel TSE).Actualmente, los MOM (Message OrientedMiddleware) desempenan un papel importanteen la generacion e intercambio de datosfinancieros [11]. La utilizacion de un MOMdentro de la implementacion del protocolopermitira una comunicacion eficiente entreelementos heterogeos (aplicaciones, sistemasoperativos e incluso redes) existentes dentrode las instituciones involucradas en el procesoelectoral.En [12] se describe el protocolo avanzado deespera de mensajes (del ingles AMQP) comoun estandar abierto para la comunicacion delprotocolo de votacion electronica a traves deun MOM.Sus principales caracterısticas son:

Seguridad: Proporciona unainfraestructura para una red contransacciones seguras y de confianza.Soporta la perdurabilidad de los mensajesindependientemente de la conexion delos receptores. La entrega de mensajeses resistente a fallos tecnicos que puedenocurrir durante el evento electoral. Porejemplo: En caso de una interrupcionen la conexion entre la urna electronicay el servidor del TSE, los votos sealmacenan en forma de mensajes en laurna y son enviados cuando la conexionsea restablecida.Confiable: Capaz de eliminar las brechasy retrasos de diferentes plataformas,

17

sistemas y componentes crıticos deaplicaciones, tanto dentro como fuerade las instituciones involucradas en elproceso electoral. Garantiza la entrega delos mensajes de los votos, implementandouna semantica que abarca: al menos unavez, a lo sumo una vez y solo una vez,conocido como entrega fiable; con lo cualcada voto se envıa y se recibe una solavez.

• Seguridad en la comunicacion: asegurar elmedio de comunicacion en que se enviaran losdatos del protocolo de votaciones electronicaspropuesto, es un aspecto fundamental para elcorrecto funcionamiento de este, se proponeque la comunicacion se haga a traves deinternet asegurando ademas del uso delprotocolo https propuesto anteriormente, el usode VPN’s y tuneles IPSec.Segun [18] IPsec es un estandar queproporciona cifrado y autentificacion alos paquetes IP, trabajando en la capa de red.En lugar de tratarse de un unico protocolo,IPsec es en realidad un conjunto de protocolos,definidos en diversos RFCs (principalmenteen el 2401), encaminados a proporcionarautentificacion, confidencialidad e integridad alas comunicaciones IP.IPsec debe ser utilizado para proteger lasrutas de comunicacion entre las institucionesinvolucradas en las votaciones eletronicas. Coneste conjunto de protocolos que cifra todoel trafico IP antes de que los paquetes setransfieran desde el nodo de origen hasta eldestino (por ejemplo desde la urna electronicaal TSE). IPsec, ademas, es capaz y responsablede autenticar la identidad de los dos nodosantes se establezca la comunicacion realentre ellos, con esto se garantiza que no seagregue ninguna entidad no autorizada en elintercambio de paquetes de datos entre JRV,TSE, RNPN y la urna electronica.Con la utilizacion de IPSec dentro delprotocolo de votaciones electronicas propuesto,como se muestra en la Fig. 9, se fortalecen lossiguientes elementos de seguridad:

1) Autenticacion del origen de los datos:verificar que los datos recibidos han sidoenviados por la entidad correspondiente.

2) Integridad de los datos: verificar que losdatos de los votos recibidos no han sidomodificados por el camino. Se suele emplearel termino autenticacion de datos paraindicar tanto la integridad de los datos comola autenticacion de su origen.

3) Confidencialidad de los datos: ocultar losdatos utilizando un algoritmo de cifrado.

4) Proteccion tipo Anti-Replica: evitar que unintruso reenvıe alguno de los mensajes condatos de un voto y no se pueda detectar.

Fig. 9. Propuesta de red de comunicacion segura

VIII. DISCUSION

En este artıculo se fundamentan las basescriptograficas para la creacion de un sistema devotacion electronica, cumpliendo los requisitosde seguridad que actualmente son utilizados. Sinembargo, para que las votaciones electronicas seanuna realidad, se necesita trabajar en las siguientesareas:

• Diseno del software y hardware especıfico dela urna electronica. Se parte de que la urnaentrega la seleccion del votante para luegoser tomado por el protocolo para aplicar lastecnicas criptograficas.

• Sistema de conteo de votos. Dentro del disenodel protocolo propuesto se llega hasta la

18

verificacion de la validez del voto recibido paraser enviado al sistema de conteo, las reglasespecıficas para realizarlo deben ser acordesa la realidad y constantes cambios de cadaproceso electoral.

• Uso de software y hardware para laidentificacion de los votantes mediante lahuella dactilar. El Tribunal Supremo Electoraldebe adquirir los dispositivos para la lecturade las huellas de los votantes y el RNPN serael responsable de implementar los mecanismosque permitan identificar a cada personamediante las huellas capturadas. En esteprotocolo se considera que se cuentan conlos dispositivos necesarios para realizar esteproceso de identificacion.

• Las configuraciones de infraestructuras talescomo servidores, dispositivos pasivos y activosde una red.

• Elaboracion de planes de contingencia yrecuperacion de desastres.

IX. CONCLUSIONES

En este artıculo se presento un protocolo devoto electronico basado en firmas digitales ycifrado RSA, aplicable a los procesos electoralesde El Salvador, que contribuya a la transparencia,eficiencia y el fortalecimiento de la democracia.

Se analizo la experiencia de la utilizacionde distintos protocolos de voto electronicoimplementados en diferentes paıses, para disenar unprotocolo que cumple con todos los fundamentoscriptograficos necesarios para garantizar ladisponibilidad, confidencialidad e integridad de lainformacion de los procesos electorales.

Con los resultados obtenidos podemos determinarque el protocolo de voto electronico servira de guıapara el desarrollo de un sistema automatizado quepermita: agilizar y facilitar el proceso electoral,eliminar el error humano en el conteo de los votos,mejorar los procesos de publicacion de resultadosy evitar votos impugnados, entre otros beneficios.Considerando el uso de la firma electronica comoun metodo factible para la verificacion de laautenticidad e integridad de la informacion enviadaentre cada entidad y las funciones de cifrado paraproteger la confidencialidad del voto. Lograndocon esto, alcanzar las fortalezas del uso del votoelectronico, mitigando las debilidades del mismo.

Finalmente, es de destacar que la principalproblematica al disenar el protocolo propuesto, fueel cumplimiento de todos los requisitos de seguridady a la vez no crear un proceso complejo para losvotantes; es decir, garantizar la validez del votoy que sea facil la emision del sufragio. Con larealizacion del analisis de seguridad del protocolode voto electronico propuesto podemos concluirque se tomaron en consideracion los diferentestipos de ataques que pueden ocurrir durante elproceso electoral como: suplantacion de identidad,ataque al anonimato del voto, alteracion del voto,generacion de votos falsos, doble voto, generacionde votos despues del periodo electoral, y que se hanpropuesto soluciones para mitigar cada uno de estosataques.

REFERENCIAS

[1] Wolf, P.(2011) Una Introduccion al Voto Electronico:Consideraciones Esenciales. Instituto Internacional para laDemocracia y la Asistencia Electoral (IDEA), 9-10.

[2] Prince, A., Jolıas, L., & UBA, F. L.(2012) Voto Electronico:Experiencias y Tendencias en Argentina, 9.

[3] Panizo Alonso, L.(2007) Aspectos Tecnologicos del VotoElectronico, 13-29.

[4] Lopez Garcıa, M. L. (2011) Diseno de un Protocolo paraVotaciones Electronicas Basado en firmas a ciegas definidassobre emparejamientos bilineales (Tesis doctoral). Centro deInvestigacion y de Estudios Avanzados del Instituto PolitecnicoNacional, Distrito Federal, Mexico, 75-92.

[5] Chacon Zarate, A. (2010). Comparativa de Seguridadde Algoritmos para Resumenes Criptograficos (Tesis deespecializacion). Escuela Superior de Ingenierıa Mecanica yElectrica, Distrito Federal, Mexico, 9-10.

[6] Ochoa Jimenez, J. E. (2013). Funcion Picadillo Determinista alGrupo G2 y su Aplicacion en Autenticacion para DispositivosMoviles (Tesis de maestrıa). Centro de Investigacion y deEstudios Avanzados del Instituto Politecnico Nacional, DistritoFederal, Mexico, 27.

[7] Perez, L. S. C (2012). Factorizacion de Enteros (Tesis demaestrıa). Universidad Autonoma Metropolitana - Iztapalapa,Distrito Federal, Mexico, 8.

[8] Alcaraz, C., Roman, R., y Lopez, J. (2007) Analisis de PrimitivasCriptograficas para Redes de Sensores, 3.

[9] Paredes, G. G. (2006). Introduccion a la Criptografıa. RevistaDigital Universitaria, 7-9.

[10] Fonseca, D. S., Perez, W. R., y Faures, M. L. M. (2013).Pasarela de Pagos para la Seguridad de Transacciones Bancariasen Lınea, 7.

[11] Marsh, G., Sampat, A. P., Potluri, S., y Panda, D. K.(2008). Scaling Advanced Message Queuing Protocol (AMQP)Architecture with Broker Federation and InfiniBand. Ohio StateUniversity, Tech. Rep. OSU-CISRC-5/09-TR17.

[12] Perez, J. R., Muno, M. G., Perez, H., y Baranda, I. M. D. M.Sistema de Notificaciones para la Plataforma de Desarrollo deIntegracion Continua de la distribucion cubana de GNU/Linux,Nova. Notification System for Development Platforms ofContinuous Integration inside the Cuban Distribution.

19

[13] La Prensa Grafica. (2014), Procesopara emitir el voto. Recuperado dehttp://mediacenter.laprensagrafca.com/infografas/i/pasospara-votar

[14] Tribunal Supremo Electoral (2015).Instructivo elecciones. Recuperado dewww.tse.gob.sv/documentos/Elecciones%202012/InstructivoJRV.pdf

[15] Ley de Creacion del Registro Nacional de Personas Naturales.Diario Oficial No 227 tomo No 329 de la Republica de ElSalvador, San Salvador, El Salvador, 20 de abril de 2012.

[16] Codigo Electoral. Diario Oficial No 138 tomo No 400 de laRepublica de El Salvador, San Salvador, El Salvador, 22 de juliode 2015.

[17] Ley de Firma Electronica. Diario Oficial No 196 tomo No 409de la Republica de El Salvador, San Salvador, El Salvador, 21de octubre de 2015.

[18] Lucena Lopez, M. J.(2010) Criptografıa y Seguridad enComputadores, 182.

[19] Santos, J. C. (2000). Seguridad y alta disponibilidad. RA-MAEditorial. 115.

[20] Stallings, W. (2004). Fundamentos de seguridad en redes:aplicaciones y estandares. Pearson Educacion.73-74.

[21] Domingo, J. I. F. (2006). La firma electronica: Aspectos de laLey 59/2003, de 19 de diciembre. Editorial Reus. 38.