ES2200853T3 - Metodo, articulo y aparato para registrar empadronados, tales como votantes empadronados. - Google Patents

Metodo, articulo y aparato para registrar empadronados, tales como votantes empadronados.

Info

Publication number
ES2200853T3
ES2200853T3 ES00918409T ES00918409T ES2200853T3 ES 2200853 T3 ES2200853 T3 ES 2200853T3 ES 00918409 T ES00918409 T ES 00918409T ES 00918409 T ES00918409 T ES 00918409T ES 2200853 T3 ES2200853 T3 ES 2200853T3
Authority
ES
Spain
Prior art keywords
registered
public key
public
received
series
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES00918409T
Other languages
English (en)
Inventor
C. Andrew Neff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
VoteHere Inc
Original Assignee
VoteHere Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by VoteHere Inc filed Critical VoteHere Inc
Application granted granted Critical
Publication of ES2200853T3 publication Critical patent/ES2200853T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Warehouses Or Storage Devices (AREA)

Abstract

Un método de registro, comprendiendo: - la recepción de un comprobante de una clave pública y una signatura escrita de cada uno de una serie de empadronados a través de un primer canal de comunicación que incluye la entrega a mano; - la recepción de una clave pública e información de identificación asociada de por lo menos algunos de una serie de empadronados a través de un segundo canal de comunicaciones, distintos del primer canal de comunicaciones que excluye la entrega a mano; - para cada uno de la serie de empadronados, firmar digitalmente la clave pública si la comprobación de la clave pública del empadronado recibida a través del primer canal de comunicaciones corresponde a la clave pública del empadronado recibida a través del segundo canal de comunicaciones; y - proporcionar las claves públicas firmadas digitalmente a una autoridad refrendadora.

Description

Método, artículo y aparato para registrar empadronados, tales como votantes empadronados.
Este invento hace generalmente referencia al registro de empadronados tales como votantes o empadronados para realizar escrutinios, y más particularmente al uso de claves cifradas durante el proceso de inscripción.
El Internet está siendo utilizado cada vez más para llevar a cabo una variedad de actividades, incluida la investigación, comunicación o intercambio de documentos, y el "comercio electrónico", en parte porque facilita las comunicaciones electrónicas con grandes bases de datos, entre individuos, y entre vendedores y compradores. Internet comprende un amplio número de ordenadores y redes de ordenadores interconectados a través de canales de comunicación. Un individuo puede usar un ordenador personal para conectarse vía Internet al ordenador de otro. Aun cuando muchas de las transacciones comerciales de hoy en día pueden efectuarse electrónicamente, la aceptación y uso extensivo del comercio electrónico depende, en gran parte, de la facilidad de uso para realizar tal comercio electrónico u otras actividades y en la capacidad de verificación de la transacción. Por ejemplo, si el comercio electrónico puede gestionarse fácilmente, entonces incluso el usuario de ordenador novel elegirá incorporarse en tales actividades. Por consiguiente, es importante que se desarrollen técnicas que faciliten la gestión de tales actividades electrónicamente.
Internet facilita el llevar a cabo actividades electrónicamente, en parte debido a que usa técnicas estandarizadas para el intercambio de información. Han sido establecidos varios estándares para el intercambio de información a través de Internet, tales como correo electrónico, Gopher y World Wide Web (telaraña mundial o "WWW"). El servicio WWW permite que un sistema servidor de ordenadores (por ejemplo un servidor de red o sitio de red) envíe páginas gráficas de información de red a un sistema de ordenador de un cliente distante. Entonces el sistema de ordenador del cliente distante puede presentar las páginas de red. Cada recurso (es decir, ordenador o página de red) del WWW es identificable únicamente por un Uniforme Resource Locator (localizador uniforme de recursos o "URL"). Para ver una página específica de red, un sistema de ordenador de cliente especifica el URL para la página de red en cuestión efectuando una petición (por ejemplo una demanda de HyperText Transfer Protocol (protocolo de transferencia de hipertexto o "HTTP")). La demando es enviada al servidor de red que tiene dicha página de red. Cuando el servidor de red recibe la solicitud, envía la página de red pedida al sistema ordenador del cliente. Cuando el sistema ordenador del cliente recibe la página de red, normalmente presenta dicha página de red utilizando un "browser" (hojeador). Un "browser" es típicamente un programa de aplicación de uso especial para solicitar y presentar páginas de red.
Normalmente, las páginas de red suelen definirse utilizando HyperText Markup Language (lenguaje de marcas de hipertexto o "HTML") aun cuando hay otros estándares en el horizonte. El HTML proporciona un conjunto estándar de instrucciones que definen cómo debe presentarse una página de red. Cuando un usuario requiere al "browser" que presente una página de red, el "browser" envía la petición al sistema servidor del ordenador que transfiera al sistema ordenador del cliente un documento HTML que defina la página de red. Cuando el documento HTML requerido es recibido por el sistema ordenador del cliente, el "browser" presenta la página de red tal como es definida por el documento HTML. El documento HTML contiene varias instrucciones que controlan la presentación de texto, gráficos, controles y demás características. El documento HYML puede contener URLs de otras páginas de red disponibles en el sistema servidor de ordenador o en otros sistemas servidores de ordenador.
La parte World Wide Web (telaraña) de Internet resulta especialmente conductiva para llevar a cabo comercio electrónico, y un servidor de otras actividades que individuos han realizado previamente de manera manual o a través del teléfono. Una de las actividades que ha sido difícil transferir a Internet o a la World Wide Web ha sido votar. Un esquema de votación electrónica debe garantizar la privacidad de cada voto, así como proporcionar seguridad para evitar una votación fraudulenta. Típicamente, los esquemas de votación convencionales emplean un proceso de dos fases. Primero, los registros de votantes, proporcionando la firma de un votante a un empadronador. Segundo, el votante firma en los empadronamientos, o firma un sobre que contiene un voto, lo que permite después comparar la firma del votante con la firma del empadronador. Igual como en las técnicas de comercio electrónico, un esquema electrónico de votación debe ser fácil de usar y acceder para los votantes, así como someterse a estrictos requisitos de verificación. Hasta la fecha, los inventores no conocen ningún sistema que cumpla tales requisitos.
La patente WO-A-9.814.921 describe un método de pago, en un sistema electrónico de pago, en que hay varios clientes que tienen cuentas con un agente. El cliente obtiene una cita refrendada de un comerciante específico, incluyendo la cita una especificación de géneros y una cuenta de pago para tales géneros. El cliente envía al agente una simple comunicación que incluye una solicitud de pago de la cantidad a pagar al comerciante específico y una sola identificación del cliente. El agente emite al cliente un aviso refrendado de pago únicamente en la simple comunicación y secreto compartido entre el cliente y el agente, e información del estado que conoce el agente respecto el comerciante y/o el cliente. El cliente avanza una parte del aviso de pago al comerciante específico. El comerciante específico suministra los géneros al cliente como respuesta de la recepción de la parte del aviso de pago.
Este documento describe un método para refrendar una clave pública recibida de un cliente (equivalente al votante) que se basa en dos mensajes. La clave pública se envía sin firmar y sin comprobar. El banco (equivalente al empadronador) devuelve, en un formulario de papel, la versión detallada de la clave pública. El cliente la compara con su clave pública una vez detallada y devuelve el formulario de papel firmado si coinciden.
El presente invento tiene por objeto proporcionar un método y sistema perfeccionados para el registro de empadronados, tales como votantes inscritos.
Este objeto se consigue gracias a la materia objeto de las reivindicaciones independientes. Las formas de realización preferidas son materia objeto de las reivindicaciones dependientes.
Bajo otro aspecto del invento, uno empadronado somete una clave pública de un par de claves pública/privada, e información a un empadronador. El empadronador determina si el empadronado es digno de ser admitido en base a la información de identificación proporcionada. El empadronador firma digitalmente las claves públicas de los empadronados dignos de ser admitidos y adelanta las claves públicas firmadas a una autoridad refrendadora utilizando para dicho refrendado la fuente de información cifrada de votación o votos electrónicos sometidos por el empadronado.
En otro aspecto del invento, un empadronado produce una tarjeta de comprobación de una clave pública del par de claves pública/privada del empadronado. El empadronado firma físicamente y somete la tarjeta de comprobación a un empadronador a través de un canal de comunicaciones, tal como un correo común. Luego el empadronado somete electrónicamente su clave pública al empadronador. Si la comprobación corresponde a la clave pública presentada, el empadronador firma digitalmente la clave pública y avanza la clave pública firmada digitalmente a una autoridad encargada de refrendarla para que sirva para refrendar la fuente de la información de votación cifrada o los votos electrónicos enviados por el empadronado.
En otro aspecto del invento, un empadronador identifica un empadronamiento en persona, y proporciona al empadronado una clave privada de un par de claves pública/privada, de una manera segura, tal como un medio extraíble. El empadronador proporciona la clave pública firmada digitalmente a una autoridad refrendadora para que la use para refrendar la fuente de la información de voto cifrada o votos electrónicos proporcionados por el empadronado.
Aún bajo otro aspecto del invento, un empadronado produce una tarjeta de comprobación que incluye una comprobación de una clave pública del par de claves pública/privada del empadronado. El empadronado firma y envía la tarjeta de comprobación al empadronador en persona. El empadronador somete electrónicamente la clave pública a un empadronador. El empadronador firma digitalmente la clave pública si la comprobación corresponde a la clave pública enviada electrónicamente. El empadronador envía la clave pública firmada electrónicamente a una autoridad refrendadora para que la utilice para refrendar la fuente de la información de voto cifrada o los votos electrónicos proporcionados por el empadronado.
En los dibujos, los mismos números de referencia identifican elementos o actos similares. Los tamaños y posiciones relativas de los elementos en los dibujos no han sido hechos necesariamente a escala. Por ejemplo, las formas de varios elementos y ángulos no han sido trazados a escala, y algunos de dichos elementos aparecen ampliados arbitrariamente y colocados con objeto de mejorar la claridad del dibujo. Asimismo, las formas particulares de los elementos, tal como se han dibujado, no pretenden transmitir ninguna información respecto a la forma actual de los elementos en particular, y únicamente han sido elegidos para facilitar el reconocimiento en los dibujos.
La figura 1 es un diagrama de bloques que muestra un entorno para usar con una forma de realización del invento;
La figura 2 es un diagrama de flujo de un primer método de registrar empadronados, en que un empadronado cursa electrónicamente información de identificación y una clave pública de un par de claves pública/privada a un empadronador que determina la legalidad de voto de un empadronado en base de la coincidencia y duplicado de datos de identificación;
La figura 3 es un diagrama de flujo de un segundo método para registrar empadronados en que un empadronado transmite una comprobación de una clave pública y firma al empadronador, a través de correo, y transmite electrónicamente una clave pública al empadronador;
La figura 4 es un diagrama de flujo de un tercer método de registrar empadronadas, en que un empadronador verifica la identidad de un empadronado en persona y produce un par de claves pública/privada para el empadronado con derecho de voto; y
La figura 5 es un diagrama de flujo de un cuarto método de registrar empadronadas en que un empadronada curva electrónicamente una clave pública a un empadronado, y somete una comprobación de una clave pública y firma al empadronador en persona.
En la siguiente descripción, se presentan algunos detalles específicos a fin de proporcionar una total comprensión de varias formas de realización del invento. Sin embargo, un entendido en la materia comprenderá que el invento puede llevarse a la práctica sin dichos detalles. En otros casos, no han sido representadas o descritas con detalle conocidas estructuras asociadas con ordenadores, redes y servidores, y clientes de Internet para evitar descripciones de las formas de realización del invento que puedan innecesariamente confundir.
Salvo que el contexto lo requiera de otro modo, en todas las siguientes especificaciones y reivindicaciones, la palabra "comprende" y sus variantes, tales como "comprender" y "comprendiendo" han de construirse en un sentido abierto e inclusivo, que significa "incluir, pero sin limitación".
Los titulares aquí existentes únicamente se aplican por conveniencia y no interpretan el ámbito del significado del invento reivindicado.
Algo de la descripción detallada aquí presentada viene explícitamente descrita en la solicitud provisional de patente estadounidense indicada con el número de serie 60/149.621, registrada el 16 de agosto de 1999; mientras gran parte del material adicional será reconocido por aquellos entendidos en la técnica correspondiente, tal como figura en la descripción detallada proporcionada en la solicitud provisional de patente, o bien ya conocidas por los entendidos en la materia. Los entendidos en la materia pueden implantar fácilmente aspectos del invento basándose en la descripción detallada existente en la solicitud provisional de patente.
Antecedentes de refrendado de votante
Por motivos de facilidad de presentación, la presente descripción emplea aquí el ejemplo específico de registro de votantes para mostrar el concepto más general de claves pública/privada de cifrado aplicada a sistemas prácticos de registro. En los ejemplos representados, un empadronado corresponde a un votante, un empadronador corresponde a una organización que dirige la elección (por ejemplo municipio, estado, país, asociación, club) y/o sus empleados y agentes, y una autoridad refrendadora corresponde a la entidad que recoge y recuenta los votos. Se observará de salida que la autoridad refrendadora puede ser un tercero consistente en un individuo, organización u otra entidad. Alternativamente, la autoridad refrendadora puede ser el empadronador o un componente del empadronador. Mientras que los ejemplos representados emplean escenarios basados en elecciones, los sistemas de registro pueden aplicarse a otros contextos, tales como escrutinios, concesiones y la gestión de loterías o concursos. Por tanto, las formas de realización seleccionadas para fines ilustrativos no debe considerarse limitadoras.
Los sistemas de registro aquí descritos proporcionan a cada empadronado digno de ser admitido un método para obtener un par de claves pública/privada que cumple un formado determinado y especificaciones de seguridad del empadronador y/o de la autoridad refrendadora. Además, es necesario que la clave pública de cada empadronado digno de ser admitido sea distribuida a la organización que administra el empadronamiento (es decir "registra") y que la organización haya mantenido un registro de cada clave pública del empadronado digno de ser admitido. El empadronador o autoridad refrendadora puede facilitar software que permita a cada votante generar un par de claves pública/privada en su propio ordenador, a fin de mantener un alto nivel de seguridad y privacidad. La clave pública puede ser distribuida a la autoridad refrendadora mediante casi cualquier medio, dado que está destinada a ser "pública". Dado que el software para la generación del par de claves pública/privada está a disposición de todo el mundo, los protocolos establecidos en el mismo deben implantarse para proteger la organización (es decir, el cuerpo gubernamental) de la aceptación y registro de claves públicas para empadronados prospectivos que hayan sido generados a través de alguna fuente ilegal. Bajo estas circunstancias, el disfraz ha asumido, para tales objetos, la identidad de cualquier otro. Sin dichos protocolos, la organización únicamente puede garantizar que los votos acreditados a una persona de su lista de votantes dignos de ser admitidos son contados en el escrutinio final, pero no puede asegurar que la fuente de cada voto sea, de hecho, el voto de quién lo acredita.
El trabajo de identificar debidamente al empadronado prospectivo y registrar la clave pública de cada votante prospectivo registrado se denomina proceso de registro. Cada organización o cuerpo gubernamental debe completar este proceso por lo menos una vez para cada uno de sus empadronados con derecho de admisión (es decir votantes). Además, salvo bajo especiales circunstancias, por ejemplo, cuando el votante con derecho de admisión haya perdido su clave privada, o cree que ha sido arreglado, hay que volver a completar el proceso de registro de nuevo para cada votante con derecho de admisión. (Las votaciones subsiguientes pueden volver a utilizar el mismo par de claves). A continuación se presentan cuatro métodos o protocolos para dirigir el proceso de registro, al objeto de que cada organización puede establecer un equilibrio entre el que crea satisface mejor sus necesidades en lo que respecta a seguridad y conveniencia. Los mismos se han presentado en las figuras 2 a 5, ordenados de modo que va aumentando la seguridad y reduciéndose la conveniencia, respectivamente.
Asimismo hay que observar que en todos los protocolos descritos más adelante se supone que el votante genera el par de claves pública/privada utilizando un programa verificado distribuido por el empadronador y/o la autoridad refrendadora. El problema de asegurar el uso de un programa verificado es el considerado Problema de Distribución del Generador de la Clave, que puede dirigirse por medio de la distribución del software para generar el par de claves pública/privada en un medio seguro.
Entorno
La figura 1 y la siguiente exposición proporcionan una breve y general descripción de un entorno de ordenador adecuado en el que pueden implantarse los aspectos del invento. A pesar de que no es necesario, se describirán formas de realización del invento en el contexto general de instrucciones ejecutables por ordenador, tales como rutinas ejecutadas mediante un ordenador de uso general, tal como un ordenador personal o un servidor de red. Aquellos entendidos en la técnica en cuestión se darán cuenta que pueden ponerse en práctica aspectos del invento (como para pequeñas elecciones) con otras configuraciones de sistemas de ordenador, incluyendo aplicaciones de Internet, aparatos manuales, sistemas de microprocesador, electrónicas de consumo programables o basados en microporcesadores, redes de PC, miniordenadores, teléfonos celulares, superordenadores y similares. Aspectos del invento pueden incorporarse en un ordenador de uso especial o procesador de datos que esté específicamente programado, configurado o construido para llevar a cabo una o más de las instrucciones ejecutables de ordenador aquí explicadas. El invento también puede llevarse a la práctica en entornos de cálculo compartido, donde las labores y módulos son realizados en dispositivos de procesamiento separados, que van enlazados a través de una red de comunicaciones, tales como una Local Area Network (red de área local o "LAN")), Wide Area Network (red de área amplia o "WAN") e Internet. En un entorno de calculo compartido, los módulos de programa o subrutinas pueden estar localizadas tanto en dispositivos de almacenamiento de memoria local o separada. Así pues, el invento no se limita a la World Wide Web (telaraña mundial) o Internet.
A no ser que se describa de otro modo, la construcción y funcionamiento de los diversos bloques, mostrados en la figura 1, son de diseño convencional. Como consecuencia de ello, no es necesario describir dichos bloques con más detalle, tal como comprenderán fácilmente los entendidos en la técnica en
cuestión.
Haciendo referencia a la figura 1, un entorno de sistema adecuado 100 incluye uno o más ordenadores de votante o de cliente 102, cada uno de los cuales incluye un módulo de programa "browser" 104 que permite al ordenador acceder e intercambiar datos con Internet, incluyendo los lugares de la red dentro de la porción World Wide Web 106 de Internet. Los ordenadores de votante 102 pueden incluir una o más unidades centrales de procesamiento u otro circuito lógico de procesamiento, memoria, dispositivos de entrada (por ejemplo teclados y dispositivos apuntadores), dispositivos de salida (por ejemplo dispositivos de presentación e impresoras) y dispositivos de almacenamiento (por ejemplo discos fijos, disquetes y dispositivos de disco óptico), todos perfectamente conocidos, pero no representados en la figura 1. Los ordenadores de votante 102 también pueden incluir otros módulos de programa, tales como un sistema operativo, uno o más programas de aplicación (por ejemplo, aplicaciones de proceso de textos o de hoja extendida) y similares. Adicionalmente, los ordenadores de votante pueden incluir un módulo de programa para la generación del par de claves pública/privada 105. Tal como puede verse en la figura 1, hay una cantidad N de ordenadores de votante 102, que representan los votantes 1, 2, 3...N.
Un sistema ordenador de servidor de la autoridad de refrendado 108, acoplado a Internet o World Wide Web ("red") 106 lleva a cabo la mayor parte o todos los procesos de recogida de votaciones, almacenamiento y otros. Una base de datos 110, acoplada al ordenador del servidor 108, guarda gran parte de las páginas de red y datos (incluidas las votaciones) intercambiadas entre los ordenadores de votante 102, uno o más ordenadores del lugar de votación 112 y el ordenador del servidor 108. El ordenador de la lista de votantes 112 es un ordenador personal, ordenador de servicio, miniordenador o similar, dispuesto en un lugar de votación pública para permitir que miembros del público o votantes que no puedan tener fácil acceso a ordenadores acoplados a Internet 106, voten electrónicamente con el sistema aquí descrito. Así pues, los ordenadores de votante 102 pueden encontrarse en domicilios de votantes individuales, donde se encuentra uno o más ordenadores de la lista de votantes 112, bien públicamente o accesibles de otro modo para los votantes durante una elección pública. El ordenador del lugar de votación 112 puede incluir una red de área local (LAN) que tenga un ordenador de servicio y varios ordenadores de cliente o terminales de votante acoplados al mismo a través del LAN, para permitir así que varios votantes voten simultáneamente o en paralelo.
El ordenador de servicio de la autoridad refrendadora 108 incluye un motor de servidor 120, un componente de gestión de página de red 122, un componente de gestión de base de datos 124, así como otros componentes. El motor del servidor 120, además de la función estándar, lleva a cabo uno o más protocolos de votación electrónica. Así pues, el motor del servidor 120 puede realizar toda la transmisión necesaria de votos a los votantes autorizados, recogida de votos, verificación de votos (por ejemplo verificar las firmas digitales y pasar la verificación de las pruebas de validez incluidas en los votos), suma de votos, descripción de votaciones y/o tabulación de votos.
El componente de la página de red 122 se ocupa de la creación y presentación o "routing" de las páginas de red tales como una página de red a una urna de votaciones electrónicas. Los votantes y usuarios acceden al ordenador del servidor 108 por medio de una URL asociada al mismo, tal como http:\\www.votehere.net o una URL asociada con la elección, tal como un URL para una municipalidad. La municipalidad puede alojar o hacer funcionar el sistema ordenador de servicio 108 directamente como la autoridad refrendadora o adelantar automáticamente los votos electrónicos recibidos a una autoridad refrendadora de terceros que puede operar el sistema ordenador de servicio. La URL o cualquier enlace o dirección aquí citada puede ser cualquier localizador de recursos.
El proceso de gestión de la página de red 122 y el ordenador del servidor 108 pueden tener secciones o páginas seguras que sólo puedan ser accedidas por personal autorizado, tal como votantes autorizados o administradores del sistema. El ordenador del servidor 108 puede emplear una Secure Socket Layer (capa de enchufe segura o "SSL") y "tokens" o "cookies" para refrendar tales usuarios. De hecho, para pequeñas elecciones, o aquellas en que la probabilidad de fraude es baja (o los resultados del fraude no tienen relativamente consecuencias), el sistema 100 puede emplear tales simples medidas de seguridad de la red para reunir y guardar votos tal como se explica más abajo, en vez de utilizar complejas votaciones electrónicas cifradas, tal como indica la solicitud de patente arriba citada. Los métodos para refrendar a los usuarios (como el empleo de claves), el establecimiento de conexiones de transmisión seguras y el proporcionar servidores y páginas de red seguras, ya son conocidos por los entendidos en la técnica en cuestión.
Uno o más sistemas de ordenador del servidor del empadronador 114 también van acoplados al sistema de ordenador del servidor de la autoridad refrendadora 108 y a los ordenadores del votante o cliente 102 a través de Internet 106. El sistema del ordenador de servidor del empadronador 114 realiza gran parte o todo el proceso de registro, verificando y registrando los empadronados (es decir, votantes) firmando digitalmente las claves públicas del empadronado y pasando las claves públicas firmadas digitalmente de los empadronados con derecho a voto al sistema ordenador del servidor de la autoridad refrendadora 108. Una base de datos 115, acoplada al sistema de ordenador del servidor del empadronador 114, guarda muchas de las páginas de red y datos intercambiados en el ordenador del servidor del empadronador 114, los ordenadores de votantes 102 y el ordenador del servidor de la autoridad refrendadora 108.
El ordenador del servidor del empadronador 114 incluye un motor de servidor 130, un componente de gestión de página de red 132, un componente gestor de base de datos 134, así como otros componentes. El motor del servidor 130, además de la función estándar, puede llevar a cabo uno o más protocolos, tales como los protocolos de registro aquí descritos.
El componente de página de red 132 se ocupa de la creación y presentación o dirección de páginas de red tales como una página de red con urna de votos electrónicos. Los votantes y usuarios acceden al ordenador del servidor del empadronador 114 por medio de una URL asociada al mismo, tal como http:\\www.votehere.net o una URL asociada con la elección, tal como un URL para una municipalidad. La municipalidad puede alojar o hacer funcionar el sistema ordenador de servicio del empadronador 114 directamente como la autoridad refrendadora o automáticamente adelantar los votos electrónicos recibidos a una autoridad refrendadora de terceros que puede operar el sistema ordenador de servicio. La URL o cualquier enlace o dirección aquí citada puede ser cualquier localizador de recursos.
El proceso de gestión de la página de red 132 y el ordenador servidor del empadronador 114 pueden tener secciones o páginas seguras que sólo pueden ser accedidas por personal autorizado, tal como votantes autorizados o administradores del sistema. El ordenador del servidor del empadronador 114 puede emplear una Secure Socket Layer (capa de enchufe segura o "SSL") y "tokens" o "cookies" para refrendar tales usuarios.
Bajo una forma de realización alternativa, el sistema 100 puede utilizarse en el contexto de una elección privada, tal como la elección de dignatarios corporativos o miembros de una junta. Bajo esta forma de realización, los ordenadores de los votantes 102 pueden ser ordenadores portátiles o de sobremesa de los accionistas, y el ordenador del lugar de votación 112 puede ser uno o más ordenadores colocados dentro de la empresa (por ejemplo en el vestíbulo) de la empresa que lleva a cabo la elección. Así pues, los accionistas pueden visitar la empresa para acceder al ordenador del lugar de votación 112 a fin de registrar y/o depositar sus votos. En otra forma de realización alternativa, el sistema 100 puede utilizarse en el contexto de una investigación de mercado o un escrutinio de opinión, en que la entidad que encarga la investigación o escrutinio desea recoger datos de un determinado segmento demográfico del público. El proceso de registro puede asegurar que se cumple el requisito demográfico a la vez que se mantiene el anonimato de los encuestados. En todavía otra forma de realización alternativa, el sistema 100 puede utilizarse en el contexto de una lotería o contienda controlando el registro para dicha lotería o contienda. El proceso de registro puede garantizar que los contendientes cumplen ciertos criterios de elegibilidad tales como requisitos de edad o residencia, a la vez que se mantiene el anonimato. Todavía en otra forma de realización alternativa, el sistema 100 puede usarse en un contexto de concesiones, por ejemplo en la concesión de individuos, vehículos, embarcaciones u otros objetos.
Empadronamiento electrónico a distancia
La figura 2 muestra un método para el registro electrónico a distancia 200. El método es más conveniente para el empadronador que los otros métodos indicados, pero puede ser menos seguro. En las figuras 2 a 5, la secuencia de flujo suele ser desde arriba de la página a la parte inferior de la misma, aun cuando el orden de muchas fases es intercambiable. Cada columna 202-206, 302-306, 402-406, 502-506 de las figuras 2 a 5 establece los actos de uno de los participantes, aunque en muchos casos los actos del empadronador y de la autoridad refrendadora pueden ser llevados a cabo por el otro. Cuando se hace referencia al empadronador y a la autoridad refrendadora, tales referencias deben incluir los actos de sus empleados, contratistas, agentes y sistemas, tales como ordenadores programados y bases de datos.
En la fase 208, un empadronador 204 proporciona una página de red con formulario de registro a un empadronado 202, a través de la World Wide Web. Alternativamente, la página de red del formulario de registro puede ser facilitado por la autoridad refrendadora 206.
En la fase 210, la autoridad refrendadora 206 proporciona software para generar el par de claves pública/privada al empadronado 202. La autoridad refrendadora 206 puede facilitar el software bajo demanda del empadronado 202, por ejemplo como respuesta en una selección de un enlace en la página de red del formulario de registro. Alternativamente, el empadronador 204 puede proporcionar el software para generar el par de claves pública/privada. El mantenimiento del software en el ordenador del propio empadronado 202 proporciona un mejor grado de seguridad, dado que el empadronado 202 está seguro de que nadie más posee la clave privada. En algunos casos, la descarga del software de generación del par de claves pública/privada puede ser innecesaria, por ejemplo cuando el empadronado 202 ya posee software adecuado o ya posee un par de claves pública/privada de acuerdo con las especificaciones de la autoridad refrendadora 206 y/o el empadronador 204. Hay que tener en cuenta que, en algunos casos, la fase 210 puede preceder a la fase 208.
En la fase 212, el empadronado 202 genera un par de claves pública/privada. El empadronado 202 puede emplear el software para generar el par de claves pública/privada descargado en la fase 210, o puede utilizar software para generar el par de claves pública/privada previamente descargada. Alternativamente, el empadronado 202 puede emplear una par de claves pública/privada generada previamente, que esté de acuerdo a las especificaciones de la autoridad refrendadora 206 o empadronador 204. El cifrado del par de claves pública/privada es conocido por aquellos entendidos en la técnica de cifrado y, en interés de la brevedad, no se discutirán los detalles de tales técnicas.
En la fase 214, el empadronado 202 somete la información de identificación y la clave pública del par de claves pública/privada al empadronador 204. La información de identificación puede comprender cualquier dato de un formado predeterminado, pero normalmente incluirá el nombre y dirección del empadronado 202. La dirección puede ser una dirección postal, una dirección de e-mail y/o alguna otra dirección. Por ejemplo, las universidades pueden preferir direcciones de e-mail, mientras que los municipios pueden preferir direcciones normales de calle. La información de identificación también puede incluir un único identificador, tal como un número de seguridad social u otro identificador asignado universalmente.
En la fase 216, el empadronador 204 recibe la clave pública e información de identificación. En la fase 218, el empadronador 204 determina si el empadronado 202 tiene derecho a voto en base a la información de identificación presentada. Por ejemplo, el empadronador 204 puede determinar si el nombre presentado coincide con una conocida dirección para el empadronado 202. El empadronador 204 también puede determinar si el nombre y dirección coinciden con un nombre y dirección conocidos para el empadronado 202, por ejemplo de las anteriores listas de votantes, y/o directorios telefónicos y de direcciones. El empadronador 204 también puede determinar si el nombre y dirección son duplicados de los nombres y direcciones registradas con anterioridad. Dichas determinaciones pueden detectar intentos de fraude de votante, aun cuando puede que no sea aparente de inmediato si el actual empadronado 202 o el empadronado anterior intenta cometer el fraude. Así pues, el método de la figura 2 proporciona cierto nivel de seguridad durante el proceso de registro.
Si el empadronado 202 no tiene derecho a voto, el empadronador 204 rechaza el registro en la fase 220, y puede seguir otras fases para identificar la fuente del intento de fraude. Si el empadronado 202 tiene derecho a voto, el empadronador 204 firma digitalmente la clave pública del empadronado 202 en la fase 222. Las firmas digitales son conocidas por los entendidos en la técnica del cifrado y, por motivos de brevedad, no serán descritas con detalle.
En la fase opcional 224, el empadronador 204 puede proporcionar al empadronado 202 la clave pública firmada digitalmente para que sirva de recibo del registro. (Las fases opcionales aparecen en las figuras 2 a 5 con un paréntesis alrededor de la etiqueta de la fase). En la fase 226, el empadronador 204 proporciona la clave pública firmada digitalmente a la autoridad refrendadora 206. Hay que observar que, si se desea, puede variarse el orden de las fases 224 y 226. Normalmente, el empadronador 204 suministrará a la autoridad refrendadora 204 una colección de todas las claves públicas firmadas digitalmente en una base individual, cuando son creadas. En la fase 228, la autoridad refrendadora 206 recibe la clave pública firmada digitalmente del empadronador 204.
En la fase 230, el empadronado 202 transmite un voto cifrado a la autoridad refrendadora 206, la cual recibe el voto cifrado del empadronado 202 en la fase 232. En algunos casos es posible llevar a cabo las fases 230 y 232 antes de la fase 228. No obstante, el orden representado en la figura 2 puede permitir a la autoridad refrendadora 206 rechazar la recepción de votos de los empadronados de quienes no haya recibido previamente la clave pública firmada digitalmente.
En la fase 234, la autoridad refrendadora 206 refrenda la fuente del voto cifrado utilizando la clave pública del empadronado 202 la cual fue firmada digitalmente por el empadronador. El refrendado valida la firma digital del empadronado en el voto cifrado. Así pues, el protocolo refrenda el voto cifrado utilizando la clave pública del empadronado 202, que a su vez fue refrendada utilizando la firma digital del empadronador 204. La autoridad refrendadora 206 puede refrendar cada voto al recibir el voto cifrado, o puede retrasar el refrendado de los votos hasta que termina el periodo de votación y han sido recibidos todos los votos cifrados. En la fase 236, la autoridad refrendadora 206 acumula los votos cifrados, y descifra el conjunto de votos cifrados en la fase 238. El descifrado se lleva a cabo utilizando un protocolo de múltiples vías.
Registro por correo/mensajero
La figura 3 muestra un método de registro empleando un correo, tal como un soporte postal u otro soporte común. Generalmente, este método es más seguro que el método de la figura 2, pero también puede ser menos conveniente para el empadronado.
En la fase 308, un empadronador 304 proporciona una página de red con formulario de registro a un empadronado, a través de la World Wide Web, y en la fase 210 una autoridad refrendadora 306 proporciona al empadronado software para generar el par de claves pública/privada. Tal como se ha explicado antes, de modo general, el orden de las fases 308 y 310, así como los papeles del empadronador 304 y de la autoridad refrendadora 306 pueden variar para satisfacer circunstancias particulares. En la fase 312, el empadronado genera un par de claves pública/privada, o bien utiliza un par de claves pública/privada ya existente que está de acuerdo con las especificaciones del empadronador 304 o de la autoridad refrendadora 306. En la fase 314, el empadronado genera una comprobación de la clave pública. Las funciones de comprobación son generalmente conocidas en las técnicas de ordenador y, por motivos de brevedad, no serán descritas con más detalle.
En la fase 316, el empadronador transfiere la comprobación de la clave pública a una tarjeta de comprobación 317. La tarjeta de comprobación 317 está formada sobre un material de medio tangible capaz de soportar la comprobación de la clave pública, así como una firma del empadronado. Por ejemplo, la tarjeta de comprobación 317 puede formarse en un papel, cartulina o cartón en blanco. La tarjeta de comprobación 317 puede emplear alternativamente algún material resistente a la destrucción, tal como TYVEK (marca registrada de DuPont de Neumours and Company). El empadronado puede crear u obtener la tarjeta de comprobación 317 en una variedad de formas. Por ejemplo, el empadronado puede imprimir una tarjeta de comprobación 317 utilizando una impresora de confianza sobre papel estándar. El empadronado puede obtener el material de la tarjeta de comprobación en fuentes accesibles públicamente tales como oficina de licencias de conducción, oficina de correos, tiendas y/o supermercados. El empadronado puede enviar un material en blanco de la tarjeta de comprobación a través de correo. El material en blanco de la tarjeta de comprobación puede contener algún material preimpreso o puede ser impreso completamente por el empadronado. La comprobación de la clave pública puede transferirse a la tarjeta de comprobación en blanco a través de impresión, escritura, codificación magnética u otra forma de impresión.
En la fase 318, el empadronado aplica la firma escrita del empadronado a la tarjeta de comprobación en blanco, proporcionado así una forma de identificar el empadronado 302 en una fecha posterior. En la fase 320, el empadronado 302 transmite la tarjeta de comprobación completada 317 al empadronador 304 a través de un correo de terceros, tal como a través de correos o algún otro sistema de reparto que comprenda la entrega a mano. El uso de un correo de terceros proporciona ventajas al empadronado 302, pero reduce ligeramente la seguridad del sistema general. En la fase 322, el empadronador 304 recibe la tarjeta de comprobación 317 por parte del empadronado 302. En la fase 324, el empadronador 304 introduce la comprobación de la clave pública dentro de una base de datos electrónica, completando una primera fase del proceso de registro.
En una fase opcional 326, el empadronador 304 puede garantizar el acceso del empadronado 302 a una segunda fase del proceso de registro a través de una página de registro de red de segunda fase. Alternativamente, el empadronado 302 puede tener automáticamente acceso a la segunda fase del proceso de registro. En la fase 328, el empadronador 304 proporciona una página de red con un formulario de registro de segunda fase al empadronado 302. En la fase 330, el empadronado 302 somete la clave pública al empadronador 304 a través de la página de red del formulario de registro de la segunda fase, recibiendo el empadronador 304 la clave pública del empadronado 302 en la fase 332. En la fase 334, el empadronador 304 determina si la comprobación recibida de la clave pública corresponde a la clave pública recibida. El empadronador 304 puede crear una comprobación de la clave pública recibida al hacer la determinación.
Si la clave pública recibida no corresponde a la comprobación de la clave pública, el empadronador 304 rechaza el registro en la fase 336, y puede adoptar otras fases para identificar la fuente del intento de fraude. Si la clave pública recibida corresponde a la comprobación de la clave pública, el empadronador 304 firma digitalmente la clave pública del empadronado 302 en la fase 338. En la fase 340, el empadronador 304 proporciona la clave pública firmada digitalmente a la autoridad refrendadora 306, la cual recibe la clave pública firmada digitalmente en la fase 342. De nuevo, el empadronador 304 puede transferir claves firmadas digitalmente en uno o más grupos. En la fase opcional 344, el empadronador 304 también proporciona la clave pública firmada digitalmente al empadronado 302, como recibo del proceso de registro. Esto permite al empadronado 302 o a un tercero verificar posteriormente el resultado de una elección. El empadronado 302 recibe la clave firmada
digitalmente en la fase 348.
En la fase 348, el empadronado 302 transmite un voto cifrado a la autoridad refrendadora 306, que recibe el voto cifrado en la fase 350. En la fase 352, la autoridad refrendadora 306 refrenda la fuente del voto cifrado utilizando la clave pública del empadronado 302 la cual fue firmada digitalmente por el empadronador. El refrendado valida la firma digital del empadronado en el voto cifrado. Así pues, el protocolo refrenda el voto cifrado utilizando la clave pública del empadronado 302, que a su vez fue refrendada utilizando la firma digital del empadronador 304. La autoridad refrendadora 306 puede refrendar cada voto al recibir el voto cifrado, o puede retrasar el refrendado de los votos hasta que termina el periodo de votación y han sido recibidos todos los votos cifrados. En la fase 354, la autoridad refrendadora 306 acumula los votos cifrados, y descifra el conjunto de votos cifrados en la fase 356. El descifrado se lleva a cabo utilizando un protocolo de múltiples vías.
Empadronador de confianza en el registro en persona
La figura 4 muestra un método de registro empleando el empadronador 404 para producir un par de claves pública/privada. Si el empadronado 402 confía en el empadronado 404, este método proporciona más seguridad que el método de la figura 3, pero puede ser menos conveniente que los métodos descritos previamente.
En la fase 408, el empadronador 404 identifica al empadronado 402 en persona. El empadronador 404 puede confiar en un formulario de identificación fotográfica, por ejemplo un permiso de conducción, pasaporte o tarjeta nacional de identidad. El empadronador 404 puede también confiar en una firma, huella dactilar, o al hecho de que el empadronador 404 reconozca al empadronado 402 como el individuo que el empadronado 402 dice ser. El empadronador 404 puede establecer oficinas en zonas geográficas relevantes para que el procedimiento sea conveniente para el empadronado 402. El empadronador 404 puede utilizar instalaciones existentes tales como oficinas de correo, escuelas, oficinas de licencia de conducción, tiendas y/o supermercados.
En la fase 408, el empadronador 404 genera un par de claves pública/privada para el empadronado identificado 402. El par de claves pública/privada puede generase una vez identificado el empadronado 402, o puede generarse antes de la identificación. En la fase 412, el empadronador 404 firma digitalmente la clave pública generada para el empadronado identificado 402. En la fase 414, el empadronador 404 proporciona al empadronado 402 la clave privada del par de claves pública/privada. En la fase opcional 416, el empadronador 404 proporciona al empadronado 402 la clave pública firmada digitalmente como recibo del proceso de registro. Tal como se ha dicho antes, la clave pública firmada digitalmente puede usarse posteriormente para verificar la integridad del proceso de elección. El empadronador 404 puede dar al empadronado 402 la clave privada y la clave pública firmada digitalmente sobre un medio extraíble que puede ser leído por ordenador o a través de algún canal seguro. Esto ayuda a garantizar que la clave privada sigue siendo privada. En la fase 418, el empadronado 402 recibe el medio extraíble que contiene la clave privada y la clave pública firmada digitalmente.
En la fase 420, el empadronador 404 proporciona la clave pública firmada digitalmente a la autoridad refrendadora 406, la cual recibe la clave pública firmada digitalmente en la fase 422. En la fase 424, el empadronado 402 transmite un voto cifrado a la autoridad refrendadora 406, que recibe el voto cifrado en la fase 426. En la fase 428, la autoridad refrendadora 406 refrenda la fuente del voto cifrado utilizando la clave pública del empadronado 402 la cual fue firmada digitalmente por el empadronador. El refrendado valida la firma digital del empadronado en el voto cifrado. Así pues, el protocolo refrenda el voto cifrado utilizando la clave pública del empadronado 402, que a su vez fue refrendada utilizando la firma digital del empadronador 404. La autoridad refrendadora 406 puede refrendar cada voto al recibir el voto cifrado, o puede retrasar el refrendado de los votos hasta que termina el periodo de votación y han sido recibidos todos los votos cifrados. En la fase 430, la autoridad refrendadora 406 acumula los votos cifrados, y descifra el conjunto de votos cifrados en la fase 432. El descifrado se lleva a cabo utilizando un protocolo de múltiples vías.
Empadronamiento en persona, en privado
La figura 5 muestra un método de registro que emplea la identificación en persona y un empadronado 502 general el par de claves pública/privada. Este es el método más seguro de los métodos presentados, pero alcanza el coste de la conveniencia.
En la fase 508, el empadronador 404 proporciona al empadronado 502 una página de red con formulario de registro. En una fase opcional 510, el empadronador 404 indica al empadronado 502 que cree una tarjeta de comprobación 519. En la fase 512, el empadronador 404 puede proporcionar software para generar el par de claves pública/privada al empadronado 502, si dicho empadronador 502 no posee ya dicho software o un par de claves pública/privada adecuado. En la fase 514, el empadronado 502 genera un par de claves pública/privada utilizando el software de generación del par de claves. Tal como se ha dicho antes, el orden de las fases y los papeles del empadronador 504 y de la autoridad refrendadora 506 puede variar. En la fase 516, el empadronado 502 produce un comprobante de la clave pública. En la fase 518, el empadronado 502 imprime el comprobante de la clave pública sobre la tarjeta de comprobación en blanco, tal como se ha explicado antes con referencia al método de la figura 3.
En la fase 520, el empadronador 404 indica al empadronado 502 que transmita la clave pública. En la fase 522 el empadronado 502 transmite electrónicamente la clave pública, recibiendo el empadronador 404 la clave pública en la fase 524. Hay que tener en cuenta que las fases 520, 522 y 524 pueden producirse antes de las fases 516 y 518. En la fase 526, el empadronador 404 identifica al empadronado 502 en persona, empleando medios similares a los antes descritos con referencia al método de la figura 4. Una vez el empadronador 404 ha identificado al empadronado 502, dicho empadronado 502 firma la tarjeta de comprobación 519 por escrito y proporciona la tarjeta de comprobación 519 al empadronador 404 en la fase 528. El empadronador 404 recibe la tarjeta de comprobación firmada 519 en la fase 530 y, en la fase 532, determina si la comprobación en la tarjeta de comprobación 519 corresponde a la clave pública presentada electrónicamente por el empadronado 502.
En la fase 534, el empadronador 404 rechaza el registro si la comprobación de la clave pública no se corresponde con la clave pública presentada electrónicamente. En la fase 536, el empadronador 404 identifica al empadronado 502 como con derecho a voto si la comprobación de la clave pública se corresponde con la clave pública presentada electrónicamente. En la fase opcional 538, el empadronador 404 transmite al empadronado 502 una copia oficial sellada o reconocida de otro modo de la tarjeta de comprobación como comprobante del proceso de registro, recibiendo el empadronado 502 la copia de la tarjeta de comprobación en la fase 540. En la fase 542, el empadronador 404 firma digitalmente la clave pública del empadronado 502 con derecho a voto. En la fase opcional 544, el empadronado 404 transmite a clave pública firmada digitalmente al empadronado 502 como otro recibo, que el empadronado 502 recibe en la fase 546. Hay que observar que las fases 542, 544 y 546 pueden tener lugar antes de las fases 538 y 540.
En la fase 548, el empadronador 404 transmite la clave pública firmada digitalmente a la autoridad refrendadora 506, siendo recibida por dicha autoridad refrendadora 506 en la fase 550. En la fase 552, el empadronado 502 transmite un voto cifrado a la autoridad refrendadora 506, que recibe el voto cifrado en la fase 554. En la fase 556, la autoridad refrendadora 506 refrenda la fuente del voto cifrado utilizando la clave pública del empadronado 502 la cual fue firmada digitalmente por el empadronador. El refrendado valida la firma digital del empadronado en el voto cifrado. Así pues, el protocolo refrenda el voto cifrado utilizando la clave pública del empadronado 502, que a su vez fue refrendada utilizando la firma digital del empadronador 504. La autoridad refrendadora 506 puede refrendar cada voto al recibir el voto cifrado, o puede retrasar el refrendado de los votos hasta que termina el periodo de votación y han sido recibidos todos los votos cifrados. En la fase 558, la autoridad refrendadora 506 acumula los votos cifrados, y descifra el conjunto de votos cifrados en la fase 560. El descifrado se lleva a cabo utilizando un protocolo de múltiples vías.
Aun cuando, por motivos ilustrativos, han sido descritas formas de realización específicas y ejemplos para llevar el invento a la práctica, pueden hacerse varias modificaciones equivalentes, tal como se darán cuenta los entendidos en la materia en cuestión. Las enseñanzas del invento, aquí proporcionadas, pueden aplicarse a otros sistemas de registro, no necesariamente en los protocolos y estructuras de registro de votantes antes descritos a modo de ejemplo.
Las varias formas de realización arriba descritas pueden combinarse para conseguir otras formas de realización. En caso necesario pueden modificarse aspectos del invento, para emplear sistemas, circuitos y conceptos de varias patentes, solicitudes y publicaciones a fin de proporcionar aún más formas de realización del invento.
Estos y otros cambios pueden hacerse en el invento a la vista de la descripción detallada antes. En general, en las siguientes reivindicaciones, los términos empleados deben construirse para limitar el invento a las formas de realización específicas descritas en la especificación y en las reivindicaciones, pero han de construirse de manera que incluyan todos los empadronamientos que funcionen de acuerdo con las reivindicaciones para registrar empadronados. Por consiguiente, el invento no queda limitado a la descripción, sino que por contra su ámbito debe ser completamente determinado por las siguientes
reivindicaciones.

Claims (36)

1. Un método de registro, comprendiendo:
-
la recepción de un comprobante de una clave pública y una signatura escrita de cada uno de una serie de empadronados a través de un primer canal de comunicación que incluye la entrega a mano;
-
la recepción de una clave pública e información de identificación asociada de por lo menos algunos de una serie de empadronados a través de un segundo canal de comunicaciones, distintos del primer canal de comunicaciones que excluye la entrega a mano;
-
para cada uno de la serie de empadronados, firmar digitalmente la clave pública si la comprobación de la clave pública del empadronado recibida a través del primer canal de comunicaciones corresponde a la clave pública del empadronado recibida a través del segundo canal de comunicaciones; y
-
proporcionar las claves públicas firmadas digitalmente a una autoridad refrendadora.
2. El método de acuerdo con la reivindicación 1, comprendiendo además:
-
el rechazo del empadronado si la comprobación de la clave pública recibida del empadronado a través del primer canal de comunicaciones no se corresponde con la clave pública del empadronado recibida a través del segundo canal de comunicaciones.
3. El método de acuerdo con la reivindicación 1 ó 2, en que se recibe una comprobación de una clave pública y una firma escrita a través de un primer canal de comunicaciones que incluye la recepción de un mensaje escrito a través de un correo.
4. El método de acuerdo con una de las reivindicaciones 1 a 3, en que se recibe una clave pública y una información de identificación asociada a través de un segundo canal de comunicaciones que incluye una señal de detección llevada en por lo menos un portador eléctrico, magnético y electromagnético.
5. El método de acuerdo con una de las reivindicaciones 1 a 4, en que la comprobación de la clave pública y la firma escrita de los empadronados recibida a través del primer canal de comunicaciones no son electrónica.
6. El método de acuerdo con una de las reivindicaciones 1 a 5, comprendiendo además:
-
proporcionar a cada uno de los empadronados una copia de la respectiva clave pública firmada digitalmente.
7. El método de acuerdo con una de las reivindicaciones 1 a 6, comprendiendo además:
-
crear una comprobación de la clave pública recibida a través del segundo canal de comunicaciones para compararla con la comprobación de la clave pública recibida a través del primer canal de comunicaciones.
8. El método de acuerdo con una de las reivindicaciones 1 a 7, comprendiendo además:
-
permitir a los empadronados el envío de la clave pública e información de identificación asociada a través del segundo canal de comunicaciones únicamente después de haber recibido la comprobación de la clave pública y la firma escrita a través del primer canal de comunicaciones.
9. El método de acuerdo con una de las reivindicaciones 1 a 8, comprendiendo además:
-
impedir a los empadronados el envío de la clave pública e información de identificación asociada a través del segundo canal de comunicaciones hasta después de haber recibido la comprobación de la clave pública y la firma escrita a través del primer canal de comunicaciones.
10. El método de acuerdo con una de las reivindicaciones 1 a 9, comprendiendo además:
-
introducir la comprobación de la clave pública recibida a través del primer canal de comunicaciones dentro de la base de datos electrónica.
11. Un medio que puede ser leído por ordenador cuyo contenido hace que un ordenador registre votantes empadronados mediante:
-
la recepción, para cada uno de una serie de votantes empadronados, una comprobación de una clave pública y una firma escrita que fue transmitida por el empadronado a través de un primer canal de comunicaciones, incluyendo la entrega a mano;
-
recibir electrónicamente, para cada uno de por lo menos algunos de la serie de votantes empadronados, una clave pública e información de identificación asociada que fue transmitida por el votante empadronado a través de un segundo canal de comunicación, excluida la entrega a mano;
-
firmar digitalmente, para cada uno de una serie de votantes empadronados, la correspondiente clave pública del empadronado si la comprobación de la clave pública recibida del votante empadronado corresponde con la clave pública recibida por el votante empadronado; y
-
proporciona las claves públicas firmadas digitalmente a una autoridad refrendadora.
12. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 11 cuyo contenido hace que además el ordenador registre votantes empadronados, mediante:
-
la creación de una comprobación de la clave pública recibida a través del segundo canal de comunicaciones para comparar con la comprobación de la clave pública recibida a través del primer canal de comunicaciones.
13. Un sistema de registro de votantes por ordenador, comprendiendo:
-
un subsistema de entrada de la comprobación de la clave pública que, para cada uno de una serie de votantes empadronados, recibe una comprobación de una clave pública y una firma escrita que fue transmitida por el votante empadronado a través de un primer canal de comunicaciones, incluyen la entrega a mano;
-
un subsistema de entrada de la clave pública que, para cada por lo menos algunos de la serie de votantes empadronados, recibe electrónicamente una clave pública e información de identificación asociada transmitida por el votante empadronado a través de un segundo canal de comunicaciones, excluyendo la entrega a mano;
-
un subsistema de firma digital que, para cada uno de una serie de votantes empadronados, firma digitalmente la respectiva clave pública del votante empadronado si la comprobación de la clave pública remitida por el votante empadronado se corresponde con la clave pública recibida por parte del votante empadronado; y
-
un subsistema de entrada de la clave pública firmada digitalmente que proporciona las claves públicas firmadas digitalmente a una autoridad refrendadora.
14. El sistema de registro de votantes por ordenador de acuerdo con la reivindicación 13, comprendiendo además:
-
un subsistema de comprobación que crea una comprobación de la clave pública recibida a través del segundo canal de comunicaciones para comparar con la comprobación de la clave pública recibida a través del primer canal de comunicaciones.
15. El método de acuerdo con la reivindicación 1, comprendiendo además:
-
recibir una serie de claves públicas firmadas digitalmente mandadas por un empadronador a la autoridad refrendadora, perteneciendo cada una de las claves públicas firmadas digitalmente a un votante respectivo de una serie de votantes empadronados que envían una comprobación de la clave pública a través del primer canal de comunicaciones y que someten la clave pública correspondiente a la comprobación a través del segundo canal de comunicaciones; y
-
refrendar una serie de votos cifrados de clave pública recibidos desde por lo menso algunos de la serie de votantes empadronados utilizando las claves públicas firmadas digitalmente recibidas.
16. El método de acuerdo con la reivindicación 15, en que los votos cifrados de la clave pública son firmados digitalmente por los correspondientes votantes empadronados.
17. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 11, cuyos contenidos hacen además que un ordenador registre los votantes empadronados, mediante:
-
la recepción de una serie de claves públicas firmadas digitalmente mandadas por un empadronador a la autoridad refrendadora, perteneciendo cada una de las claves públicas firmadas digitalmente a un votante respectivo de una serie de votantes empadronados que envían una comprobación de la clave pública a través del primer canal de comunicaciones y que someten la clave pública correspondiente a la comprobación a través del segundo canal de comunicaciones; y
-
refrendar una serie de votos cifrados de clave pública recibidos desde por lo menos algunos de la serie de votantes empadronados utilizando las claves públicas firmadas digitalmente recibidas.
18. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 17, en que los votos cifrados de la clave pública son firmados digitalmente por los correspondientes votantes empadronados.
19. El sistema de registro de votantes por ordenador de acuerdo con la reivindicación 13, comprendiendo además:
-
un subsistema de entrada que recibe una serie de claves públicas firmadas digitalmente de un empadronador, en que cada una de las claves públicas firmadas digitalmente pertenece a un respectivo votante de una serie de votantes empadronados que sometieron la comprobación de la clave pública a través del primer canal de comunicaciones y que sometieron a correspondiente clave pública a la comprobación a través del segundo canal de comunicaciones; y
-
un subsistema de refrendado que refrenda una serie de votos cifrados con clave pública recibidos de por lo menos algunos de una serie de votantes empadronados utilizando las claves públicas firmadas digitalmente que se han recibido.
20. El sistema de registro de votantes por ordenador de acuerdo con la reivindicación 19, en que los votos cifrados de la clave pública son firmados digitalmente por los correspondientes votantes empadronados.
21. El método de acuerdo con la reivindicación 1, comprendiendo además:
-
para cada uno de por lo menos algunos de la serie de empadronados, se verifica la identidad del empadronado en persona; de modo que
-
la firma del empadronado y la comprobación de la clave pública están comprendidas en una respectiva tarjeta de comprobación, y en que la clave pública recibida del empadronado es firmada digitalmente si el respectivo empadronado es un empadronado verificado.
22. El método de acuerdo con la reivindicación 21, comprendiendo además:
-
el proporcionar un duplicado de reconocimiento de la respectiva tarjeta de comprobación a cada uno de los empadronados verificados.
23. El método de acuerdo con la reivindicación 21 ó 22, comprendiendo además:
-
el proporcionar una copia de la respectiva clave pública firmada digitalmente a cada uno de los empadronados verificados.
24. El método de acuerdo con una de las reivindicaciones 21 a 23, comprendiendo además:
-
rechazar el empadronado si la comprobación en la tarjeta de comprobación no corresponde a la clave pública recibida del empadronado.
25. El método de acuerdo con una de las reivindicaciones 21 a 24, comprendiendo además:
-
proporcionar un formulario para crear una tarjeta de comprobación por lo menos a algunos de los empadronados.
26. El método de acuerdo con una de las reivindicaciones 21 a 25, comprendiendo además:
-
proporcionar una copia de software para la generación del par de claves pública/privada a por lo menos algunos de los empadronados.
27. El método de acuerdo con una de las reivindicaciones 21 a 26, comprendiendo además:
-
indicar a los empadronados que generen la tarjeta de comprobación; y
-
indicar a los empadronados que transmitan la clave pública.
28. El método de acuerdo con una de las reivindicaciones 21 a 27, en que la identificación en persona del empadronado incluye por lo menos la comparación del empadronado con una imagen de identificación y comparar una firma del empadronado con una firma existente en la imagen de identificación.
29. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 11, cuyos contenidos además hacen que un ordenador registre empadronados, mediante:
-
la recepción, para cada uno de por lo menos algunos de la serie de empadronados, de una indicación de que se ha verificado en persona la identidad del empadronado; en que
-
la comprobación de la clave pública y una firma escrita enviadas por el empadronado figuran en una tarjeta de comprobación y en que la clave pública recibida del empadronado está firmada digitalmente si se ha verificado que el respectivo empadronado tiene derecho a voto.
30. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 29, cuyos contenidos además hacen que un ordenador registre empadronados, mediante:
-
la producción automáticamente de un duplicado de reconocimiento de la correspondiente tarjeta de comprobación para cada uno de los empadronados verificados.
31. El medio que puede ser leído por ordenador de acuerdo con la reivindicación 29 ó 30, cuyos contenidos además hacen que un ordenador registre empadronados, mediante:
-
rechazar el empadronado si la comprobación en la tarjeta de comprobación no corresponde a la clave pública recibida del empadronado.
32. El medio que puede ser leído por ordenador de acuerdo con una de las reivindicaciones 29 a 31, cuyos contenidos además hacen que un ordenador registre empadronados, mediante:
-
proporcionar automáticamente un formulario de página de red para crear la tarjeta de comprobación por lo menos a algunos de los empadronados.
33. Un sistema de registro de votantes por ordenador de acuerdo con la reivindicación 13, comprendiendo además:
-
un subsistema de seguimiento que, para cada por lo menos algunos de la serie de empadronados, recibe una indicación que se ha verificado una identidad del empadronado en persona; de modo que
-
la comprobación de la clave pública y una firma escrita del empadronado están comprendidas en una tarjeta de comprobación, y en que la clave pública recibida del empadronado es firmada digitalmente si el correspondiente empadronado se verifica como tal.
34. El método de acuerdo con la reivindicación 1, comprendiendo además:
-
la recepción, desde un empadronador, de una serie de claves públicas firmadas digitalmente, perteneciendo cada una de las claves públicas firmadas digitalmente a un respectivo votante de una serie de votantes empadronados, en que la identidad de cada votante empadronado ha sido verificada en persona por el empadronador, habiendo proporcionado cada empadronado una tarjeta de comprobación al empadronador que incluye una firma escrita y una comprobación de clave pública correspondiente a una clave pública enviada electrónicamente al empadronador por el empadronado; y
-
refrendado de una serie de votos cifrados con clave pública que han sido recibidos de por lo menos algunos de la serie de votantes empadronados utilizando las claves públicas firmadas digitalmente que se han recibido
35. El método de acuerdo con la reivindicación 1, en que la comprobación se basa en cualquier función matemática.
36. El método de acuerdo con la reivindicación 1,en que la comprobación se basa en una función de identificación.
ES00918409T 1999-08-16 2000-03-24 Metodo, articulo y aparato para registrar empadronados, tales como votantes empadronados. Expired - Lifetime ES2200853T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14962199P 1999-08-16 1999-08-16
US149621P 1999-08-16

Publications (1)

Publication Number Publication Date
ES2200853T3 true ES2200853T3 (es) 2004-03-16

Family

ID=22531134

Family Applications (1)

Application Number Title Priority Date Filing Date
ES00918409T Expired - Lifetime ES2200853T3 (es) 1999-08-16 2000-03-24 Metodo, articulo y aparato para registrar empadronados, tales como votantes empadronados.

Country Status (11)

Country Link
EP (1) EP1224767B1 (es)
JP (1) JP2003509727A (es)
KR (1) KR100453616B1 (es)
AT (1) ATE243397T1 (es)
AU (1) AU3922700A (es)
CA (1) CA2382445C (es)
DE (1) DE60003444T2 (es)
DK (1) DK1224767T3 (es)
ES (1) ES2200853T3 (es)
PT (1) PT1224767E (es)
WO (1) WO2001020431A2 (es)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003016254A (ja) * 2001-07-04 2003-01-17 Takara Printing Co Ltd 議決権管理方法
GB2382008B (en) * 2001-11-13 2005-04-20 Sun Microsystems Inc Message generation
US8819253B2 (en) 2001-11-13 2014-08-26 Oracle America, Inc. Network message generation for automated authentication
US8887987B2 (en) * 2006-10-17 2014-11-18 Microsoft Corporation Federated voting with criteria-based discrimination
FI122847B (fi) * 2006-10-23 2012-07-31 Valimo Wireless Oy Menetelmä ja järjestelmä turvalliseksi PKI-avaimen (Public Key Infrastructure) rekisteröimiseksi matkaviestinympäristössä
ES2749606T3 (es) 2007-10-24 2020-03-23 Scytl Secure Electronic Voting S A Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales
DE202015104885U1 (de) * 2015-09-15 2016-12-16 Lars Walter System zur Koordination und Durchführung eines Abstimmungsprozesses
WO2021090975A1 (ko) * 2019-11-06 2021-05-14 한국스마트인증 주식회사 임시 익명 인증서 생성 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL113259A (en) * 1995-04-05 2001-03-19 Diversinet Corp A device and method for a secure interface for secure communication and data transfer
US5604804A (en) * 1996-04-23 1997-02-18 Micali; Silvio Method for certifying public keys in a digital signature scheme
US6029150A (en) * 1996-10-04 2000-02-22 Certco, Llc Payment and transactions in electronic commerce system

Also Published As

Publication number Publication date
PT1224767E (pt) 2003-10-31
CA2382445A1 (en) 2001-03-22
ATE243397T1 (de) 2003-07-15
WO2001020431A2 (en) 2001-03-22
KR100453616B1 (ko) 2004-10-20
DK1224767T3 (da) 2003-10-13
AU3922700A (en) 2001-04-17
DE60003444D1 (de) 2003-07-24
EP1224767A2 (en) 2002-07-24
CA2382445C (en) 2006-05-23
EP1224767B1 (en) 2003-06-18
JP2003509727A (ja) 2003-03-11
KR20020029926A (ko) 2002-04-20
WO2001020431A3 (en) 2002-05-16
DE60003444T2 (de) 2004-05-06

Similar Documents

Publication Publication Date Title
ES2841724T3 (es) Sistema para procesar códigos de barras bidimensionales en conexión con transacciones de pago móviles
CN100588156C (zh) 用于提供电子消息认征的方法和装置
US20020042879A1 (en) Electronic signature system
Tariq et al. Cerberus: A blockchain-based accreditation and degree verification system
CN1968093B (zh) 客户机/服务器验证***中的离线验证方法
ES2398827T3 (es) Método y aparato para proveer autenticación mutua entre una unidad de envío y un receptor
WO2020176691A1 (en) Credential verification and issuance through credential service providers
CN105791259B (zh) 一种个人信息保护的方法
KR20020064423A (ko) 통신네트워크를 통해 발급되는 유가증권 및 증명서류의위/변조 방지 방법 및 인증코드를 구비한 신분증,금융카드, 의료보험카드
JP2000148742A (ja) 認証管理システム及び認証管理方法
JP2002041695A (ja) 証明書発行方法及び証明書確認方法及び証明書発行センターシステム
DE102017217342B4 (de) Verfahren zum Verwalten eines elektronischen Transaktionsdokuments
ES2200853T3 (es) Metodo, articulo y aparato para registrar empadronados, tales como votantes empadronados.
Sharma et al. Augmenting Transparency and Reliability for National Health Insurance Scheme with Distributed Ledger
US8914898B2 (en) Electronically implemented method and system for authentication and sharing of documents via a communication network
WO2001022200A2 (en) Electronic voting scheme employing permanent ballot storage
US6676023B2 (en) Method and system for checking an original recorded information
US7182265B2 (en) Method and system for checking an original recorded information
Bapat Blockchain for academic credentials
Jamnik et al. Digital ticket booking and checking using aadhaar card or fingerprint and android application
JP2005284327A (ja) 領収書発行システム
Prosser et al. Implementing an Internet-Based Voting System for Public Elections: Project Experience
JPH10207959A (ja) 登録印鑑証明システム
JP2006059288A (ja) 電子申請システム、電子申請処理用のコンピュータ、電子申請処理プログラム
Macan EU Service Directive, Digital Identity and ID Documents in Bosnia and Herzegovina