VETO 8 Modélisation formelle d'une architecture pour le vote électronique J. P. Gibson, E. Lallet, J-L. Raffy
Hypothèses (1) Le vote s effectue dans des endroits dédiés (appelés kiosques) Les isoloirs sont synchronisés par des horloges à temps global (u,s) précision u : à tout instant absolu, les heures affichées par 2 horloges quelconques ne sont pas distantes de plus de u. exactitude s : à tout instant absolu, l écart entre une horloge quelconque et une référence commune (extérieure) est au plus égal à s. 2
Hypothèses (2) Les machines sont sûres de fonctionnement Leur mode de défaillanceest de type systèmes à silence sur défaillance => on s intéresse aux seulsproblèmes réseau 3
Estelle Technique de description formelle [ISO/IEC ISO 974:1997] Champ d application : Protocoles de communications Systèmes distribués Outils de développement industriel XEDT 4
Estelle principaux concepts (1) Architecture un ensemble de modules génériques, hierarchisés, communicants à l aide de liens de communications Communication échange de messages partage restreint de variables 5
Estelle principaux concepts (2) Comportement exécution parallèle synchrone exécution non déterministe Comportement interne d une instance de module actif attribué automate à états finis étendu Pas de preuve formelle - Simulation 6
7 Architecture générique KIOSQUE urne Urne locale liste locale d émargement Isoloir Liste locale d électeurs R o u t e u r R E S E A U Liste d électeurs options de vote liste d émargement options de vote locales urne globale
8 Scénarios VoteAnyWhere BD centralisées VoteAnyWhere BD partiellement réparties VoteAnyWhere BD locales VoteAnyWhere + ReVote BD partiellement réparties VoteAnyWhere + ReVote BD locales
Paramètres de simulation (1) Gestion du temps identification (min,max) choix (min, max) entrée dans l isoloir (min, max) arrivée des électeurs (fréquence observée)[ref] temps de transmission (loi probabilistique) Incidents réseau date de début durée 9
1 Paramètres de simulation (2) Nbre de kiosques (par défaut = 2) Nbre d isoloirs (par défaut = 3) Nbre d électeurs/kiosque (par défaut = 1) % d abstentions % de non locaux (VoteAnyWhere) % de tentatives de re-vote
11 Architecture VoteAnyWhere BD centralisées KIOSQUE Isoloir R o u t e u r R E S E A U Liste d électeurs options de vote liste d émargement urne globale
VoteAnyWhere BD centralisées Problème Il n existe pas, à notre connaissance, de protocole robuste en cas de défaillances de sites multiples Solutions Stocker les bulletins de vote en local Avoir sur un même site la liste d émargement et l urne et assurer l étanchéité à l aide du cryptage (pas compatible avec les normes et recommandations) 12
13 Principe avec un seul site mon choix djrghya cmpenocqez Liste d émargement djrghya cmpenocqez URNE
Solution retenue pour la simulation Les bulletins de vote sont stockés dans une urne locale A la fin du scrutin, les bulletins sont envoyés vers l urne globale On ne tient pas compte des temps de transmission en dehors des incidents réseau. Simulation avec liste d émargement - BD partiellement réparties sans liste d émargement (revote autorisé) - BD partiellement réparties - BD réparties 14
15 EFSM de l isoloir (1)
16 EFSM de l isoloir (2)
17 Architecture VoteAnyWhere BD partiellement réparties KIOSQUE urne Urne locale Liste d électeurs Isoloir Liste locale d électeurs R o u t e u r R E S E A U options de vote liste d émargement options de vote locales urne globale
18 Principe du re-vote (1) mon choix djrghya cmpenocqez 238142 mon nouveau choix djrghya cmpenocqez 238112 N fois pendant la durée du scrutin URNE
19 Principe du re-vote (2) djrghya cmpenocqez 238142 djrghya cmpenocqez 238112 Après la fermeture du scrutin : On élimine toutes les enveloppes ayant la même signature à l exception de la dernière (en fonction du timestamp) On récupère l enveloppe contenant le vote djrghya cmpenocqez 2238163 Processus de comptage
2 Architecture VoteAnyWhere + Re-vote BD partiellement réparties KIOSQUE urne Urne locale Liste d électeurs Isoloir Liste locale d électeurs R o u t e u r R E S E A U options de vote options de vote locales urne globale
21 Architecture VoteAnyWhere + Re-vote BD locales - réseau non fiable KIOSQUE urne Urne locale Isoloir Liste d électeurs R o u t e u r R E S E A U urne globale options de vote
22 Simulation 1 (1) Fréquence d'arrivée des électeurs Temps min d'attente 22" 45" 42" Temps max d'attente 32 36 25 7" 8 19" Temps moyen d'attente 5 27" 2 35" 2 15" Temps médian d'attente 2 13" 2'9" 2 4" durées (en min) 35 3 25 2 15 1 5 Défaillances réseau 1 5 9 13 17 21 25 29 33 37 41 45 49 53 57 61 65 69 arrivée des défaillances Nbre de votants 1348 FILES D ATTENTE BUREAU 1 FILES D ATTENTE BUREAU 2 Nbre max d'électeurs dans le bureau de vote 1 Nbre max d'électeurs dans la file d'attente d'arrivée Nbre max d'électeurs dans la file d'attente à problème Nbre max d'électeurs dans le bureau de vote 2 Nbre max d'électeurs dans la file d'attente d'arrivée Nbre max d'électeurs dans la file d'attente à problème 4 4 21 44 28 43 9 9 5 11 11 9 9 9 11 11 % de votants 67,4% Nbre de départs sans voter Dont locaux 3 24 2
23 Simulation 1 (évolution des files d attente) Sans défaillance réseau Défaillances réseau et émargement Défaillances réseau sans émargement BD partiellement réparties Défaillances réseau sans émargement BD locales
24 Simulation 1 (répartition des temps d attente)
25 Simulation 2 Fréquence d'arrivée des électeurs Temps min d'attente 23" 46" 45" Temps max d'attente 49 9 28 33" 9 48" Temps moyen d'attente 8 54" 3 5" 2 18" Temps médian d'attente 3 37" 2 16" 2 7" Défaillances Nbre max d'électeurs dans le bureau de vote 1 35 12 7 35 3 25 2 15 FILES D ATTENTE BUREAU 1 Nbre max d'électeurs dans la file d'attente d'arrivée Nbre max d'électeurs dans la file d'attente à problème 26 34 12 6 7 1 5 1 4 7 1 13 16 19 22 25 28 31 34 37 4 43 46 49 52 55 58 61 64 67 7 Arrivée des défaillances FILES D ATTENTE BUREAU 2 Nbre max d'électeurs dans le bureau de vote 2 Nbre max d'électeurs dans la file d'attente d'arrivée 38 2 15 14 13 13 Nbre de votants 1348 Nbre max d'électeurs dans la file d'attente à problème 37 1 % de votants 67,4% Nbre de départs sans voter Dont locaux 59 43 3
26 Simulation 2 (évolution des files d attente) Sans défaillance réseau Défaillances réseau et émargement Défaillances réseau sans émargement BD partiellement réparties Défaillances réseau sans émargement BD locales
27 Simulation 2 (répartition des temps d attente)
28 Simulation 3 Fréquence d'arrivée des électeurs Temps min d'attente 23" 44" 45" Temps max d'attente 71 46 44 5" 8 11" Temps moyen d'attente 16 46" 3 33" 2 19" Temps médian d'attente 9 26" 2 15" 2 9" Défaillances Nbre max d'électeurs dans le bureau de vote 1 62 12 9 Durée (en min) 5 4 3 2 1 1 5 9 13 17 21 25 29 33 37 41 45 49 53 57 61 65 69 Arrivée des défaillances FILES D ATTENTE BUREAU 1 FILES D ATTENTE BUREAU 2 Nbre max d'électeurs dans la file d'attente d'arrivée Nbre max d'électeurs dans la file d'attente à problème Nbre max d'électeurs dans le bureau de vote 2 Nbre max d'électeurs dans la file d'attente d'arrivée 32 59 67 35 12 1 14 13 9 11 11 Nbre de votants 1348 Nbre max d'électeurs dans la file d'attente à problème 65 1 % de votants 67,4% Nbre de départs sans voter Dont locaux 143 115 15 1
29 Simulation 3 (évolution des files d attente) Sans défaillance réseau Défaillances réseau et émargement Défaillances réseau sans émargement BD partiellement réparties Défaillances réseau sans émargement BD locales
3 Simulation 3 (répartition des temps d attente)
31 QUESTIONS?
32 Gestion de l arrivée des électeurs KIOSQUE ROUTEUR KIOSQUE ROUTEUR Isoloir Isoloir Isoloir Isoloir Isoloir Isoloir Gestion électeurs
33 Fréquence type d arrivée (bureaux de vote ouverts de 8h à 2h) Fréquence d'arrivée des électeurs [retour]