Зам.-министърът с кодовете реши да се обяснява във Фейсбук: Бързал заради ЦИК. Нямало да си „играе“

„Здравейте, казвам се Михаил Стойнов, заместник-министър на електронното управление. Тук съм, за да отговоря на въпросите ви по темата с местните избори – машините за гласуване, удостоверяването им“.

Това пише в групата DEV.bg зам.-министърът, прочул се преди изборите със снимането с личния си телефон на хеш кода от машините. Групата във Фейсбук е отворена, но е насочена към разработчиците на софтуер, предава Tribune.

На призив на член на групата да пусне записа от телефона си, който е направил, Стойнев отрича да разполага с него.

„Прехвърлих видеозаписа от моя телефон на служебна флашка и го предадох за съхранение с останалите материали, след което го изтрих от телефона си. До колкото ми е известно, записите от въпросния ден, а и всички останали материали, са иззети от ДАНС и не разполагам с тях“, твърди той.

Стойнев хвърля върху ЦИК вината, защо бързайки със сертифицирането е бил принуден да снима с личното си устройство и влиза в дебат с предшественика си отговорен заместник-министър Благовест Кирилов.

„Всеки процес от удостоверяването трябва да се документира (по вътрешните правила на министерството). Имайте предвид, че времето, което имахме за удостоверяване, беше изключително кратко – получихме машините без хартия на 16-ти октомври вечерта. През цялото време се е документирал процесът. По Изборен кодекс (213а, ал. 4) срокът за удостоверяване е 20 работни дни от датата на получаване на машините. Ние ги получихме на 16-ти октомври вечерта и то без хартия. Изборите бяха на 29-ти“, пише Стойнев.

А Благовест Кирилов му отговаря:

„Т.е. ги получавате 10 работни дни преди изборите (макар и в непълен формат). Ние ги получихме 9 работни дни преди това, като някои неща получихме ден преди да завършим удостоверяването. А защо никой не излезе тогава по медиите и да каже „ЦИК правят проблем.“ А се чака до последно, за да стане това, което наблюдаваме сега. Като наливаме масло в огъня под нас после е трудно само другите да са виновни… А защо публикуваме документи с код TP Red? Т.е. минали ли са промяна на нивото на конфиденциалност? Иначе е поредно нарушение, макар и с добри намерения. А относно снимането – като има една специално отделена за целта видеокамера, която не може да напуска залата и няма свързаност, защо се ползва телефон, който после може да се изкара всичко. Да не говорим, че можеше да се ползва от „специалните нетелефони за видеонаблюдение“, поне там само ИО може да извади данните после. В случая основният проблем е спазването на процеси. Както и мълчанието на г-н министъра, което не улеснява нито вас, нито разсейва съмненията, за съжаление. А ако „всеки сам си преценя“ и не сте съвместими с министъра правилният ход е да се подаде оставка – това го казвам от личен опит“, пише бившият зам.-министър.

Михаил Стойнев обвинява ДАНС в лъжа за думите, че щял да си играе с кода вкъщи.

Стойнов публикува в коментар своите важни уточнения, които според него не са били отразени в медиите.

„Само ЦИК извършва т.нар. доверено изграждане. Всяко друго изграждане (компилиране) генерира нов хеш и нови ключове. Само ЦИК държи ключовете от довереното изграждане.

Сорс код (изходен код) не е заснеман в нито един момент. Той е стотици хиляди редове.

Компилиране на сорс код (недоверено или тестово изграждане) не е заснемано. То отнема часове.

Нищо в сигурната среда (зала с контролиран достъп, в която се удостоверяват машините за гласуване) не може да послужи за компрометиране на изборния процес.

Всички тайни (криптографски ключове, пароли) се генерират и държат от ЦИК.

Физически достъп до всичките над 9000 машини, които участват в изборния процес, има само ЦИК. Само ЦИК може да инсталира софтуер върху тях.

Машините, които се изпитват и върху които се прави тестово удостоверяване (шест броя), са отделни, не се използват в текущия изборен процес, и се съхраняват отделно

Какво е снимано – тестово конфигуриране на тестова машина за гласуване и тестово изваждане на тестова бюлетина от тестова машина

Според вътрешните правила процесът се документира, вкл. и с видеокамера.

Къде пише, че не може да се снима? – в същите вътрешни правила е забранено ползването на лични телефони, единствено “при работа с изходния код”.

Всички подробни технически документи (и от минали удостоверявания) са изпълнени със снимков материал.

Защо подписах аз – защото имах заповед за това. А и не бе прецедент – през есента на 2022 г. удостоверяването на машините беше подписано от зам.-министър – Благовест Кирилов“.

Не всички обаче са щадящи към зам.-министъра се поставят множество въпроси, включително за ефективността на системата за удостоверяване.

Пламен Тачев: Какво направихте вие лично, какво се случи, в коя зала, сам ли бяхте, знаехте ли, че сте записван, имахте ли личен мотив (като тиражираното „да си играете вкъщи“) или просто вършехте същите стъпки, за да приложите снимки към документацията (но защо с личен телефон) и т.н.

Давид Мавродиев: Според ЦИК Вие не сте приложили направените снимки към доклада, а от казаното от Вас става ясно, че именно с тази цел сте правили снимките. Моля да уточните дали ЦИК лъже, за да знаем къде е истината в контрапунктните твърдения на двете страни. Благодаря за което!

Цветомир Иванов: Със служебно или с лично устройство снимахте? Какви са изискванията по закон в подобна „стерилна” среда?

Мартин Зарлев: Как ще коментирате факта, че премиерът Денков каза, че Вие сте извършил административни нарушения?!

Асен Иванов: Аз само да попитам… как така при всяко нов компилиране се получава нов хеш код? Искате да кажете че ако аз и вие компилираме един и същ сорс код с едни и същи компилатори, ще получим различен изходен машинен код?

Някой май е объркал групата в която да обяснява…

И още – изходния код няма никакъв проблем да бъде публичен, така че всеки който пожелае да може да се убеди как точно работи тая уйовиня и че няма заложени разни мини. Какъв е проблема ако видим кода? Има нещо, което не е за нашите очи ли, или какво?

Илхан Шабан: Генерализирах вероятно, но повечето популярни съвременни компилатори слагат най малкото timestamps в генерираните бинари. PE/PE+ формата пък си има TimeDateStamp в хедъра.

Светлин Зарев: Илхан Шабан, не е вярно. Пробвах с няколко различни програмки на ръст и винаги компилатора вади един и същ executable с еднакъв хеш. Нарочно пробвах с ръст, защото той рандомизира в рънтайм всяко създаване на HashMap (различен salt за всяка инстанция) и очаквах от различния iteration ordеr да се получат различни изпълними файлове, но въпреки това те пак са еднакви.

Отделно, при желание, в заданието може да се включи такова изискване, че при машините за гласуване да се използват само и единствено технологии гарантиращи reproducible build. Problem solved. Обаче явно това не е направено и там е проблема – хората които взимат решенията, нямат необходимите знания и опит

Илиян Греков: Първо, със сигурност не само ЦИК имат достъп до машините, най-малкото членовете на ЦИК няма как да инсталират каквото и да е, ЦИК нямат програмисти на щат.

Второ как така се тестват 6 машини, които са различни от тези, които се използват за изборите? Това е малко като да тестваш нещо на една среда за да си сигурен, че работи на друга среда, като двете няма гаранция, че си приличат. Не е ли редно да се взимат произволни машини от тези, които се използват реално.

Защо толкова време не се показахте да обясните пред хората, а се чудихте 1 месец какво да измислите?

Борислав Борисов: … и още един въпрос – кое ме спира да компилирам каквото си поискам – и съответно ПП да печата каквото му кажа да печати ? Отговорно твърдя че ако имам „резервна“ машина, с нея мога да отпечатам каквото си поискам та ако ще и „к**р за избирателя“ на всяка разписка. Оттук-нататък бъгването на избора се свежда до вече решена задача както при хартиените бюлетини. Целият този крайно мъглив процес навежда на една мисъл … някой нещо се опитва да направи много по сложно отколкото е необходимо. Въпроса е кой има интерес от това ?

Стойнов дава отговори и да други въпроси:

И тогава каква информация ни дава този хеш код?

Гарантира, че софтуерът, изграден (компилиран) на лаптоп на ЦИК в т.нар. доверено изграждане, не е бил променян. Съответстващите на този хеш ключове са достояние само на ЦИК и само те могат да работят с тях.

Прочетохте всичките стотици хиляди реда преди да пуснете процеса по компилирането ли?

Не всичките.

Ако аз (или съда) сега пожелая да се удостоверя, че програмата на машините е тази, чиито изходен код ред по ред съм проверил – как да го направя?

По правило достъп до сорс кода (изходния код) се предоставя на представители на политическите партии, БАН или изборни наблюдатели, които са се регистрирали в ЦИК преди това.

ЦИК изграждат доверено изградения билд от същия сорс, който се използва за удостоверяване.

Хешът генериран в т.нар. процес по доверено изграждане, който се състоя на 20.10.2023 г., беше записан от ЦИК, от представителите на партиите, от ДАНС и от МЕУ. Само ЦИК държат частните ключове, които се създават в процеса.

Софтуер на машините може да инсталира само ЦИК. Ключовете се държат и управляват от ЦИК.

Предвидена е допълнителна процедура по проверка дали машините са били манипулирани. Използва се т.нар. HashExtractor – който вади хеш кода по независим от машината начин.

Ами съдебните експерти? Ще прегледам сорса, ще го прекомпилирам и … ще получа друг хеш код…

Какъв е смисъла от цялото това упражнение в този случай?

Не разбирам въпроса ви.