( zeller | 2021. 04. 25., v – 16:56 )

No mégegyszer... A szavazat egy titkosított adatcsomag, aminek a titkosításához használt kulcspár egyik fele nálad van, a másik fel meg egy hsm-ben. Jön a csomag tőled, azonosítva hogy valóban te vagy, aki a csomagot elkészítette (pl. úgy, hogy e-sziggel aláírod), az elkészítést végző sw/hw környezet auditált, nyilvános sw/hw, mely csak RAM-ot tartalmaz, háttértérat nem, és a kommunikálni is csak a titkosított és aláírt adatcsomag küldéséért kommunikál a központi adatgyűjtő felé, azaz a titkosításra került adathalmazt nem tárolja és nem továbbítja nyíltan, csak és kizárólag az általad megadott kulcs használatával titkosítva.
Tehát bemegy az aláírt csomag, azt elrakják, hogy ha rákérdezel, hogy a szavazatod beérkezett-e, akkor be tudják mutatni, hogy igen, beérkezett.
A titkosított adatcsomagokat aláírás nélkül random sorrendben betolva a hsm-be az a titkosító kulcs párja alapján ki tudja cosmagolni, és tud pörgetni egy-egy számlálót, hogy A, B, vagy l0f@szj0ska volt "beikszelve". Ezek a számlálók korlátozottan olvashatóak ki, két kiolvasás között legalább n darab csomagnak "be" kell mennie, satöbbi.

Mondom, a technológiai _és_ a folyamatbeli elemeket együttesen kell nézni, illetve vizsgálni, hogy hogyan lehet a szoftveres elemekből olyan folyamatokat kialakítani, ahol minden érintett fél csak és kizárólag a számára szükséges és elégséges információval rendelkezik, és ugyanakkor az egyes tranzakciós lépések kellő mértékben naplózottak és bizonyítható a megtörténtük.