1

EDITORIALE Mario LanzariniEDITORIALE 1Mario Lanzarini

Il nuovo scenario dei concorsi universitari 3Gianna Fabiani

Gli strumenti per le Università 5e per il pubblicoLuca Postpischl

Architettura del sistema di voto 10Pierluigi Bonetti, Simone Piergallini,Stefano Ravaioli

Come si vota in un seggio telematico 16Pierluigi Bonetti, Simone Piergallini,Stefano Ravaioli

Le smart card 19Pierluigi Bonetti, Simone Piergallini,Stefano Ravaioli

I server centrali 22Valerio Corazza

L’infrastruttura di rete 25Franca Fiumana

Alcuni dati relativi all’utilizzo del sistema 28Pierluigi Bonetti, Simone Piergallini,Stefano Ravaioli

Futuri sviluppi del sistema 32Pierluigi Bonetti, Simone Piergallini,Stefano Ravaioli

APPENDICE DI APPROFONDIMENTO 35

L’INFRASTRUTTURA DI RETE

CRITTOGRAFIA E SICUREZZA

Inserto D A E D A L U SNews from the Minos Project

Il sistema di voto telematicoIl voto elettronico è uno degli argomenti di cui si è discusso nel Terzo GlobalForum “Fostering democracy and development through e-government”:l’e-government, come strumento di democrazia e sviluppo. Da anni si parladel voto elettronico come della nuova frontiera della democrazia, del metodoche porrà fine ai brogli o alle lungaggini delle operazioni elettorali, fulcro del-l’evoluzione informatica della pubblica amministrazione e dei suoi rapporticon il cittadino. Il progetto del Governo italiano, enunciato in occasione delGlobal Forum dal Ministro Bassanini, è di avviare l’utilizzo delle votazioniper via telematica a partire dall’autunno 2001 in alcune città, per arrivare alpassaggio definitivo dalla “carta ai bit” entro pochi anni. A frenare questoprocesso non è l’implementazione del sistema di voto telematico.Diversamente da quanto si può pensare, sono soprattutto i problemi di carat-tere organizzativo ed economico a rappresentare i limiti del progetto. Il vototelematico, infatti, è una realtà consolidata in diversi paesi del mondo edanche, e soprattutto, in Italia.

Il voto elettronico in Italia e nel mondo

In varie parti del mondo sono state intraprese delle iniziative allo scopo disperimentare nuove tecnologie e nuove forme di voto. In Brasile, dal 2000 icittadini votano tramite computer situati nei seggi. Il loro voto viene conser-vato localmente nelle urne elettroniche sino allo scrutinio. Sempre nel 2000,presso l’Università di Osnabrück in Germania, gli studenti hanno eletto i pro-pri rappresentanti tramite Internet: il loro voto era certificato da una Cartad'Identità digitale. Negli Stati Uniti, il partito democratico dell'Arizona hasvolto le primarie presidenziali con il voto su web.In Italia le prime sperimentazioni di voto elettronico sono state effettuate nel1997 in quattro Comuni della Valle d’Aosta, dove per l’identificazione si èfatto uso di Carte d’Identità digitali precedentemente distribuite. In un seggio

n° 38/39

2

del Comune di San Benedetto del Tronto, 363elettori hanno condotto una simulazione divoto parallela alle Elezioni Amministrative chesi sono svolte nel 2000. Nello stesso anno,l’INPS ha affiancato al voto tradizionale quel-lo elettronico per l’elezione dei membri delComitato amministratore della Gestione sepa-rata: su 9.966 votanti 1.765 hanno fatto uso diquesta opportunità. Ma l’esempio più “artico-lato”, quello che ha interessato fin’ora il mag-gior numero di elettori, è il sistema che ilCINECA ha realizzato nel 1999 per conto delMinistero dell’Università e della RicercaScientifica e Tecnologica (MURST), oggettodi questo numero monografico di “notizie dalCINECA”.

Il sistema di vototelematico del CINECA

Il sistema di voto telematico è stato realizzatoper rispondere ad una precisa esigenza delMURST in merito alle modalità di elezionedelle Commissioni di Valutazione dei docenti edei ricercatori universitari. Dal 1998, infatti, lalegge prevede che venga composta unaCommissione ad hoc per ogni posto di docentemesso a concorso, e che i membri di taliCommissioni siano eletti su base nazionale. Inquesto modo ogni anno gli Atenei si trovano adover gestire le elezioni di diverse migliaia dicommissioni di questo tipo, con voti prove-nienti da tutta Italia. Per consentire il regolaresvolgimento di una tipologia di voto così com-plessa, è stato necessario fare ricorso ad un si-stema che ne snellisse sia l’aspetto ammini-strativo che quello più strettamente logistico,garantendo nel contempo quel livello disicurezza ed anonimato necessariamenterichiesto ad un sistema di voto. La molteplicitàdelle variabili da gestire ha reso necessario l’u-tilizzo di un sistema su base informatica, che ilCINECA ha realizzato e messo in produzionenell’estate del 1999. Il sistema di voto telematico è stato utilizzatocon successo come sistema ufficiale di votoper la composizione delle Commissioni diValutazione ed in alcune Università anche perl’elezione del Rettore e del SenatoAccademico. Il sistema nella sua globalità sicompone di tre parti: un sito riservato agliUffici Concorsi degli Atenei per lo scambio

tempestivo di informazioni tra le Università eil MURST; un sito Internet ad accesso pubbli-co ‘http://reclutamento.murst.it/’ per dif-fondere tutte le informazioni relative ai bandi,gli elettorati e su cui viene diffuso in temporeale l’esito degli scrutini; ed infine il sistemadi voto vero e proprio, che abbina le più avan-zate tecnologie informatiche volte a preservarela sicurezza, l’anonimato e la segretezza delvoto, in un ambiente che garantisce in ogniistante l’integrità delle informazioni trasmesse.A tale scopo, sono state impiegate le più mo-derne tecnologie di cifratura delle infor-mazioni, utilizzando smart card crittograficheconformi agli standard di sicurezza inter-nazionali. In 79 seggi elettorali, e da 203postazioni di voto (installate su altrettanti com-puter Javastation) distribuite negli Atenei intutta Italia, gli elettori votano per via telematicagrazie a collegamenti su linea ISDN in un si-stema chiuso all’utenza esterna. Dalla suaentrata in servizio, sono state svolte circa 8.000elezioni ed i voti gestiti sono stati circa 1,5 mi-lioni.

Guida alla lettura

Consci dell’importanza del progetto, della suaattualità così come della sua complessità,abbiamo realizzato questa monografia chevuole essere una panoramica a 360 gradi delsistema. Tutti gli aspetti che lo compongonosono stati analizzati: dall’aspetto normativo,all’infrastruttura di rete, dalla composizionedel seggio, alle modalità di voto, dai sistemicrittografici, al feedback degli utilizzatori. Si ècercato comunque di semplificare l’espo-sizione dei passaggi più tecnici per renderecomprensibile un sistema estremamente arti-colato, soprattutto per ciò che riguarda gliaspetti relativi alla sicurezza ed all’infrastrut-tura di rete, per i quali è stata realizzata un’ap-pendice di approfondimento. L’obiettivo è quello di spiegare il processonon solo agli addetti ai lavori, ma anche a chi,pur auspicando un’evoluzione delle modalitàdi voto, non conosce a fondo i meccanismiinformatici e si è chiesto se sia possibilegarantire comunque la regolarità delleelezioni. Una risposta, affermativa e dettaglia-ta, viene dai documenti raccolti in questamonografia.

notizie dal CINECA

Il sistema di vototelematico è stato

utilizzato consuccesso come

sistema ufficialedi voto per lacomposizione

delleCommissioni

di Valutazioneed in alcune

Università ancheper l’elezione

del Rettoree del SenatoAccademico

3

notizie dal CINECA

La legge 210/98 (perfezionata dal D.P.R.390/98) ha profondamente modificato ilprocesso di reclutamento dei docenti e deiricercatori delle Università italiane. Primadella sua entrata in vigore, ogni quattro/cinqueanni il MURST bandiva i concorsi per profes-sore ordinario o associato articolandoli neisingoli settori scientifico-disciplinari e sud-dividendoli in base all’Ateneo; i concorsi perricercatore, invece, venivano banditi dalle sin-gole Università.La nuova legge ha stabilito che • ogni Ateneo deve bandire direttamente i

concorsi per tutte le fasce dei docenti, oltreche per i ricercatori;

• i concorsi vengono banditi più volte l’anno; • i concorsi non designano più direttamente il

vincitore, bensì una coppia di idonei tra cuila Facoltà sceglierà il vincitore stesso. Il“secondo” idoneo potrà essere chiamatodalla Facoltà di un altro Ateneo entro treanni dall’idoneità (in origine gli idoneierano tre);

• i concorsi sono condotti, e si concludono,con un giudizio espresso da unaCommissione nominata dal Rettoredell’Università che ha bandito il concorso;la sua composizione è determinata dai risul-tati delle elezioni nazionali, fatta eccezioneper uno dei membri, designato dalla Facoltàche ha richiesto il posto.

La composizione delle Commissioni varia aseconda della fascia del posto messo a concor-so:• per gli ordinari ed associati la Commissione

è composta da cinque membri: per un postoda ordinario la Commissione è composta

esclusivamente da professori ordinari; perconcorsi da associato la Commissione ècomposta da due ordinari e due associaticui si aggiunge il membro designato chedeve almeno appartenere alla fascia degliassociati;

• per i ricercatori, la Commissione è com-posta da tre membri;

• il membro designato dalla Facoltà devecomunque appartenere ad una fascia almenopari a quella del posto messo a concorso, edin particolare, per i ricercatori, la fascia diappartenenza del membro designato deter-mina la fascia degli altri componenti.

Rispetto al passato, è rimasta valida la regolasecondo cui gli ambiti scientifico-disciplinaridei posti messi a concorso individuano idocenti che hanno diritto di voto e coloro chepossono essere eletti per ogni singolo concor-so.

La commissione giudicatrice el’elettorato attivo e passivo

In prima approssimazione, tutti i docenti ed iricercatori afferenti al settore scientifico disci-plinare e di fascia almeno pari a quella delposto bandito hanno diritto di voto (elettoratoattivo), mentre possono entrare a far partedelle Commissioni giudicatrici (e compon-gono quindi l’elettorato passivo) i docenti o iricercatori che:• appartengono al settore scientifico discipli-

nare del posto messo a concorso (o affine,in alcuni casi particolari) e ad una fasciaalmeno di pari livello;

• non appartengono all’Università che ha

notizie dal CINECA

Il nuovo scenariodei concorsi universitaridi Gianna Fabiani

La legge 210/98ha modificatoil processodi reclutamentodei docentie dei ricercatoridelle Universitàitaliane

bandito il concorso;• non sono già membri di una Commissione

giudicatrice per il medesimo settore scien-tifico-disciplinare e per la medesima fascia;

• non usufruiscono di sospensione dalservizio.

Le ragioni del voto elettronico

Oltre alla molteplicità delle su citate variabili,va ricordato che i concorsi sono banditi, pur subase nazionale, dalle singole Università: ciòsignifica che, pur dovendo raccogliere i votida tutta Italia, tutte le operazioni elettorali cosìcome quelle amministrative e burocraticheche precedono e seguono le operazioni di votosono di competenza dell’Ateneo che ha bandi-to il concorso stesso, che ne diviene dunqueresponsabile a tutti gli effetti. Questa peculiarità comporta che tutti i docen-ti, qualunque sia la sede di appartenenza,hanno il diritto di esprimere la propria pre-ferenza per eleggere i componenti di tutte leCommissioni giudicatrici dei candidati checoncorrono a posti di fascia congrua e dellostesso settore scientifico-disciplinare, a pre-scindere dalle Università che hanno bandito ilposto.In passato, quando il concorso era bandito dalMinistero, tutti i docenti esprimevano le pro-prie preferenze presso il seggio elettorale delproprio Ateneo mediante una scheda cartacea,di colore diverso a seconda della fascia diappartenenza del votante, recante all’esternol’indicazione del settore scientifico-discipli-nare di afferenza del votante stesso. Terminatala sessione di voto, le schede, accompagnateda un verbale di seggio, venivano spedite alMURST che si faceva carico dello scrutiniodei voti, raggruppati per fascia e suddivisi persettore scientifico-disciplinare. Lo scrutinioera di competenza del Ministero perché il con-corso veniva bandito dal Ministero stesso, chene era responsabile nei confronti dell’interaComunità Accademica nazionale. Con la nuova legge, il soggetto responsabiledel concorso è l’Università che lo ha bandito ecome tale è responsabile dello scrutinio; ciò

comporta che i voti debbano essere scrutinatidall’Ateneo che ha bandito il concorso a pre-scindere dalla sede dove il votante ha espres-so la propria preferenza. Con il metodotradizionale del voto espresso su scheda car-tacea, ogni Università avrebbe dovuto predi-sporre un numero di urne equivalente alnumero di concorsi banditi, suddividendoleulteriormente per fascia. Al termine del perio-do di voto, poi, ogni Università avrebbe dovu-to spedire alle Università competenti dei sin-goli concorsi tutte le preferenze espresse perquei concorsi; l’Università che aveva banditoil concorso avrebbe dovuto attendere l’inoltrodi tutte le schede, dividerle per fascia e persettore scientifico-disciplinare e procedere,finalmente, allo scrutinio. Un’operazionelunghissima, senza la certezza di raccoglieretutti i voti e soprattutto con la possibilità diledere il diritto dell’anonimato, qualora unasede avesse raccolto una sola espressione divoto.A complicare ulteriormente lo scenario, nonva trascurato l’alto numero dei concorsi ban-diti e dei votanti: più di mille concorsi per tor-nata (alcune Università bandiscono anchecentinaia di concorsi per tornata) e più di40.000 votanti potenziali per tornata, con ildiritto di concorrere alla composizione dimolteplici Commissioni per tornata ossia diesprimere molteplici preferenze.L’utilizzo dei sistemi di voto tradizionali subase cartacea non avrebbe consentito diamministrare tutte le variabili introdotte dallanuova legge.In particolare, non avrebbe potuto gestire ildecentramento delle operazioni di voto sututto il territorio nazionale e contemporanea-mente consentire l’accentramento presso lesingole sedi universitarie delle operazioni discrutinio di competenza.Questo notiziario è dedicato ad illustrarecome tecnicamente è stato risolto questoproblema, e come il medesimo approcciodella gestione centralizzata e del governo di-stribuito sia stato utilizzato nel disegno enello sviluppo del sistema di gestione dell’in-tero iter concorsuale.

notizie dal CINECA

4

Con la nuovalegge, il soggetto

responsabiledel concorso

è l’Universitàche lo habandito,

e come taleè responsabiledello scrutinio

5

notizie dal CINECA

In questoarticolo verràdescritta quellaparte dei servizidel sistemache si avvalgonodi Internet,in quelliseguentiil sistema di vototelematicoche fa usoinvece di unarete privata

Il sistema per il reclutamento dei docenti e deiricercatori fa largo uso di strumenti telematiciche, sostituendo la circolazione di materialecartaceo e automatizzando molte operazioni,consentono di ottenere sensibili vantaggisenza pregiudizio per la sicurezza. Dal bandodi concorso alla presentazione delle candida-ture, dall'elezione delle commissioni di valu-tazione sino alla pubblicazione dei risultati,tutte le fasi del procedimento di reclutamentotraggono beneficio dall’uso della rete. Inquesto articolo verrà descritta quella parte deiservizi del sistema che si avvalgono diInternet, in quelli seguenti il sistema di vototelematico che fa uso invece di una rete pri-vata.I potenziali utenti di questi servizi possonoessere divisi in due macro categorie: chi habandito e/o deve gestire l’organizzazione delconcorso (sostanzialmente gli Uffici Concorsiall’interno dei singoli Atenei), e gli utenti,siano essi i candidati o gli elettori. Per rispon-dere alle esigenze degli Uffici Concorsi è statorealizzato un “sito web riservato”, accessibilesolo da un ristretto numero di utenti preceden-temente autorizzati e dedicato alla gestione“burocratica” dei concorsi. Ad esso è affian-cato un secondo sito web ad accesso “pubbli-co” http://reclutamento.murst.it/ per la pubbli-cazione di informazioni rivolte agli utenti.

Il sito web riservato

Il sito riservato rappresenta il principale stru-mento di lavoro per gli Uffici Concorsi deisingoli Atenei, permettendo l’attivazione dellenuove procedure di Valutazione comparativa ela gestione telematica di tutti i dati ad esseassociate nelle varie fasi conseguenti: regi-strazione dei candidati, creazione e stampadell’elettorato, formazione delle Commis-sioni, scelta idonei e chiamata vincitori.Viste le finalità e le richieste in termini di pro-tezione e sicurezza, si utilizza il protocolloHTTPS.Di pari importanza è l’autenticazione di tuttigli utenti: solo gli Uffici Concorsi delle sin-gole Università sono autorizzati all’accesso.Infatti, il sito consente l’accesso solo aibrowser che utilizzano il certificato crit-tografico contenuto nelle apposite smart cardche il CINECA ha distribuito agli Ateneicoinvolti.L’identificazione univoca dell’utente è il datoprimario su cui si basano tutte le inter-rogazioni ai database associati, permettendoquindi alle varie procedure del sito di visualiz-zare i soli dati di competenza del singoloAteneo e consentendo al monitoraggio internodel CINECA di aver traccia precisa su chi haattuato una qualsiasi transazione.

Gli strumentiper le Universitàe per il pubblicodi Luca Postpischl

notizie dal CINECA

6

Grazie a tutte le specifiche di sicurezza e iden-tificazione dell’utenza, il sito, pur sfruttandocanali Internet pubblici, implementa mecca-nismi di accesso controllato e sicuro degliAtenei abilitati. Dal punto di vista tecnico, ilcontrollo totale su chi accede al sito ha permes-so al CINECA di stabilire i requisiti precisi deibrowser da utilizzare, e di sviluppare paginedinamiche con funzionalità avanzate compati-bili con i browser ufficialmente supportati.L’aver implementato la validazione dei datisul browser rende più snello il lavoro delserver, che si trova a dover gestire le soletransazioni corrette/finali: in questo modovengono garantite le massime prestazioni.L’intero set di procedure che vengonodescritte nel seguito dell’articolo sono imple-mentate in linguaggio PERL, utilizzandolibrerie ‘CGI’ e ‘DBI’ che servono rispettiva-mente per l’importazione dei dati dai formHTML e per l’accesso alle tabelle ospitate indatabase Oracle.Nel sito riservato sono accessibili diverse areefunzionali qui di seguito elencate.

Bandi di Concorso

Questa funzionalità supporta la costruzionedell’archivio dei bandi raccogliendo tutte le

informazioni relative a quelli emessi e pubbli-cati sulla Gazzetta Ufficiale entro i termini fis-sati dal calendario definito in accordo fraMinistero dell’Università e Conferenza deiRettori. Alla scadenza dei termini per la pre-sentazione dei bandi di ogni sessione, ciascunUfficio Concorsi dovrà certificare la cor-rispondenza dell’elenco finale delle Valuta-zioni comparative registrate con quanto pub-blicato sulle varie Gazzette Ufficiali.

Domande dei candidati

In questa sezione del sito è possibile inserirenei database i nominativi dei candidati che lesingole Università hanno acquisito su modulicartacei.Alcune Università hanno richiesto la predi-sposizione di un modulo informatizzato con ilquale i singoli candidati possano inserire ipropri dati autonomamente. Dalla prima ses-sione 2000 tale modulo è a disposizione sulsito pubblico ‘reclutamento.murst.it’ tramiteuna icona che compare a fianco dei concorsiindetti dagli Atenei che hanno attivato questafunzionalità.In entrambe le versioni, le procedure assistonogli utenti nell’individuazione di dati errati, adesempio verificano il codice fiscale rispetto ai

Il sito riservato

7

notizie dal CINECA

dati anagrafici, controllano la compatibilitàcronologica delle varie date obbligatorie, etc.Esistono poi procedure di controllo e verificadei dati registrati che danno indicazioni anchesullo stato di ciascun candidato rispetto adaltre domande presentate (verifica del rispettodel limite di partecipazione a sole cinqueValutazioni comparative nell’arco di un annosolare).Sia la procedura di inserimento dati che quel-la di verifica prevedono una modalità diimportazione/esportazione di file di testo perpermettere la completa integrazione con i si-stemi informatici locali dei singoli Atenei.

Membro designato

Questa sezione ha per obiettivo la compo-sizione dell’elettorato attivo e passivo perogni Valutazione comparativa bandita.Selezionando settore disciplinare e qualifica,l’Ateneo ottiene l’elenco completo di tutti inominativi atti a ricoprire il ruolo di membrodesignato della Commissione secondo lenorme vigenti.Le norme prevedono che, completando laselezione di un nominativo, questo non sia piùdisponibile per svolgere tale ruolo in altri con-corsi. La situazione, visibile da ogni altroAteneo, risulta automaticamente aggiornata intempo reale.La circolazione della situazione aggiornataper ciascun settore disciplinare senza l’uso diquesti strumenti richiederebbe tempi dell'or-dine di qualche settimana, portando facil-mente ad enormi ritardi.

Elettorato

Consente agli Uffici Concorsi di visualizzare oprelevare gli elenchi degli elettorati attivi epassivi (sia provvisori che definitivi) di ogniValutazione comparativa bandita dalla propriaUniversità e di tutte le Valutazioni comparativenelle quali sono comunque coinvolti i docentie ricercatori dell’Ateneo di appartenenza.Per prelevare tali elettorati viene fornito undocumento in formato PDF, più adatto allastampa, per venire incontro all’esigenza delleUniversità di affiggere pubblicamente gli elet-torati nelle loro sedi (informazioni accessibili

anche tramite il sito pubblico ‘reclutamen-to.murst.it’).

Commissioni

Questa area gestisce e mantiene tutti i dati deicommissari. Essa consente alle Università diselezionare i docenti secondo le graduatorierisultanti dagli scrutini delle procedure di vototelematico. In questa fase il sistema tieneconto di eventuali partecipazioni dei candidatiselezionati nelle Commissioni di Valutazionecomparativa di sessioni precedenti.Inoltre in questa sezione si trovano vari stru-menti per attuare sostituzioni di docenti rinun-ciatari, cambiati di ruolo (ad esempio da asso-ciato ad ordinario) o deceduti e per inseriretutti i dati relativi a decreti e riferimenti inGazzetta Ufficiale.Ciascuna Valutazione comparativa segue iterprecisi durante le fasi di costituzione dellacommissione, i cui tempi sono definiti dalledate di pubblicazione dei relativi bandi inGazzetta Ufficiale. È questa la sezione del sitodove avvengono più accessi concorrenti aglistessi dati da parte degli Atenei, dal punto divista tecnico sono queste le procedure piùcomplesse, ma anche quelle che garantisconola maggiore semplificazione del lavoro degliUffici Concorsi. Essi possono immediata-mente accedere alle situazioni aggiornatesenza doversi più occupare di comunicare leloro scelte telefonicamente o via fax agli altriAtenei coinvolti.

Scrutini

Qui sono visualizzabili i risultati dalle proce-dure di scrutinio del sistema di voto telemati-co. Durante il trasferimento vengono indivi-duate eventuali Valutazioni comparative per lequali la graduatoria ottenuta dallo scrutiniorisulta incompleta: questi concorsi subirannoun iter diverso perché per essi sarà necessariovotare nuovamente nella sessione successiva.

Idonei e vincitori

Terminati i lavori della Commissione,l’Ufficio Concorsi può selezionare i candidatiprescelti, andando a creare l’albo dei vincitori

La situazioneconcorsualevisibile da ogniAteneo, risultaautomaticamenteaggiornatain tempo reale

e degli idonei. Potrà anche chiamare eventual-mente candidati risultati idonei in Valutazionicomparative bandite da altre Università.Abbiamo già citato gli enormi vantaggiderivanti dalla condivisione dei dati in temporeale tra i vari Uffici Concorsi dei singoliAtenei: nel caso degli idonei e vincitori, questivantaggi si trasferiscono anche alle relazionicon il pubblico, infatti sul sito ‘reclutamen-to.murst.it’ sono accessibili i risultati delleValutazioni.

Procedure gestionali interne

Sono stati predisposti vari strumenti softwareper la revisione, il controllo e la correzione deidati registrati nei database, al fine di permet-tere al personale CINECA addetto al supportotelefonico degli utenti di fornire risposte esoluzioni in tempo reale.

Il sito web pubblico

Il sito rappresenta il canale informativo uffi-ciale del Ministero per tutto quanto riguardale procedure di Valutazione comparativa econtiene tutti gli strumenti di ricerca sugliarchivi gestiti ed aggiornati dagli UfficiConcorsi d’Ateneo tramite il sito riservato.A differenza di quest’ultimo, ‘reclutamen-to.murst.it’ è stato progettato cercando digarantire la massima compatibilità con tutti i

browser nelle loro varie versioni per i diver-si sistemi operativi, e di renderlo veloceanche sotto carichi di traffico considerevoli,quali quelli che si verificano nelle giornatedi pubblicazione dei risultati degli scrutini.Come già accennato, alcuni Atenei hannopreferito demandare la registrazione dei can-didati ai candidati stessi, sgravando così ipropri Uffici di un considerevole caricolavorativo: questa rimane la sua unica fun-zione di invio dati.Per il resto il sito è suddiviso in aree te-matiche che hanno una corrispondenza unoad uno con quelle del sito riservato (adeccezione della sezione membro designato),ma, nel sito pubblico, i form di ricerca ge-nerano solo pagine statiche, forniscono cioèinformazioni, e non permettono mai diinserire o aggiornare i dati.Per ciascuna Valutazione comparativa gliutenti trovano anche un’icona tramite laquale accedere ad ulteriori informazionicontenute sul sito dell’Ateneo che l’ha ban-dita.Il sito comprende anche una sezione di sup-porto dove chi deve andare a votare trovainformazioni logistiche su orari e locazionedei seggi, l’elenco dei concorsi per i quali hadiritto ad esprimere una preferenza (a secon-da dal settore disciplinare di appartenenza),ed infine una simulazione pienamente fun-zionante, realizzata in Java, della appli-

notizie dal CINECA

8

home page del sito pubblico: http://reclutamento.murst.it/

9

notizie dal CINECA

Form per la ricercanei risultati degli scrutini

Tabellone degli scrutinidurante il loro svolgimento

cazione con cui si troverà ad interagireall’interno del seggio telematico.I risultati degli scrutini vengono pubblicaticontemporaneamente sia sul sito pubblicoche sul sito riservato; le pagine pubblichecontengono però informazioni meno det-tagliate riguardo ai singoli docenti presentinella graduatoria, e risultano perciò più ra-pidamente visualizzabili da parte di chi sicollega.Nella giornata degli scrutini il form di ricer-ca interattiva che di solito dà accesso allegraduatorie viene sostituito da un tabellonegrafico più adatto a seguire l’evoluzionetemporale degli scrutini delle singoleUniversità.

Alcuni dati possono illustrare le potenzialitàdel sistema di gestione dei concorsi con vototelematico: dalle ore 9:00 alle ore 12:40 del27/10/2000 (II sessione di voto 2000) sonostati effettuati gli scrutini e pubblicati i risul-tati di 1.546 valutazioni comparative, per untotale di 65.308 voti scrutinati. I docenticoinvolti nelle graduatorie sono stati 18.724.Durante la mattina il sito che pubblicava intempo reale i risultati degli scrutini ha rice-vuto 133.200 richieste. All’indirizzo‘reclutamento.murst.it/tabella_animata.htm’è visibile una simulazione dell’evoluzionetemporale degli scrutini realizzatafotografando ad intervalli di un minuto lostato del tabellone grafico riepilogativo.

notizie dal CINECA

10

Uno deglielementi che

caratterizzanol’architettura

è la presenza didue distinti

server centrali,l’UEC e l’UC,

separatie gestibili da

entitàamministrative

diverse

Dopo l’introduzione normativa e ladescrizione dei siti Internet che consentono loscambio di informazioni, esaminiamo ora lecomponenti del sistema più strettamentelegate alle operazioni di voto.

Componenti

Le componenti fondamentali del sistema divoto telematico sono:

• La Public Key Certification Authority(CA);

• L’Ufficio Elettorale Centrale (UEC);• L’Urna Centrale (UC);• I seggi

Uno degli elementi che caratterizzano l’architet-tura è la presenza di due distinti server cen-trali, l’UEC e l’UC, separati e gestibili daentità amministrative diverse. Ciò consente ditenere disgiunta l’identità dell’elettore dai votiche ha espresso, ed impedisce che la corre-lazione sia in alcun modo rintracciabile.Eventuali collusioni fra i gestori di UEC e UCnon consentirebbero comunque di ricavarealcuna informazione relativa al rapporto fravoto e votante, essendo ignota ad entrambi iserver la chiave di decodifica dei voti.

La Public KeyCertification Authority

L’autorità di certificazione (CertificationAuthority, CA) genera le identità digitali (cer-tificati) degli attori del sistema, che sono iResponsabili dei Procedimenti di reclutamen-

to degli Atenei e le Postazioni di Voto.Il Ministero dell’Università e della RicercaScientifica e Tecnologica, nel suo ruolo digarante della correttezza nello svolgimentodelle elezioni, su incarico della Conferenzadei Rettori delle Università Italiane provvedea generare una smart card per ciascuna dellesuddette entità (Responsabili dei Procedi-menti e Postazioni di Voto) contenente unacoppia di chiavi RSA a 1024 bit (chiave pub-blica e chiave privata). Compito della CA ècertificare l’associazione fra la chiave pubbli-ca e l’entità che la possiede. Tale certifi-cazione avviene creando un certificato in for-mato X.509v3, che viene firmato dalla CA ecaricato sulla smart card medesima. Tra i compiti assegnati alla CA, rientra anchela gestione delle Liste di Revoca deiCertificati, per consentire di annullare un cer-tificato anche prima della sua naturale scaden-za nel caso questi sia compromesso.La CA opera in modalità off-line, ovverosenza connessioni in rete, ed interviene nelprocesso di voto telematico solo nella faseiniziale di emissione dei certificati ed even-tualmente delle Liste di Revoca.

L’Ufficio Elettorale Centrale

Compito dell’Ufficio Elettorale Centrale(UEC) è quello di conservare i dati delleelezioni in corso durante tutta la durata delleoperazioni. In particolare, per ciascunaelezione l’UEC gestisce la lista degli aventidiritto al voto (elettorato attivo), degli eleggi-bili (elettorato passivo) e dello stato di ciascunelettore attivo per quanto riguarda le preferen-

Architetturadel sistema di votodi Pierluigi Bonetti, Simone Piergallini, Stefano Ravaioli

11

notizie dal CINECA

Il protocolloapplicativospecifica lerelazioni fra leentità del sistemadi voto telematicoed ha lo scopodi garantirei requisiti dilegittimità,integrità,segretezzae anonimatodel voto

ze già espresse e quelle ancora da esprimere.Emette le autorizzazioni al voto e tiene tracciadel loro utilizzo dialogando con l’UrnaCentrale. Conserva inoltre una copia dei certi-ficati X.509 di tutte le entità coinvolte nelleoperazioni.Le uniche informazioni non gestite dall’UECsono quelle che riguardano il contenuto deivoti espressi.

L’Urna Centrale

L’Urna Centrale (UC) è l’insieme dei conteni-tori dei voti espressi per tutte le elezioni incorso. Non dispone di alcuna nozione sull’i-dentità degli elettori, ma è in grado diriconoscere ed accettare i voti validi graziealle autorizzazioni al voto comunicatedall’Ufficio Elettorale Centrale. Le autoriz-zazioni al voto non contengono alcun riferi-mento all’elettore al quale sono state rilasciate.I voti vengono ricevuti e immagazzinati informa cifrata e l’UC non dispone delle chiavidi decodifica. In fase di scrutinio, i voti cifratiper una determinata elezione vengono estrattie inviati alla postazione di scrutinio, presso laquale avverrà la decodifica.L’UC deve operare su un ambiente separatorispetto all’Ufficio Elettorale Centrale, tantoche potrebbe essere gestita da una diversaentità amministrativa. Gli unici rapporti fraUC e UEC sono quelli previsti dal protocolloapplicativo per la comunicazione delle auto-rizzazioni di voto e delle loro variazioni distato.

I seggi

I seggi distribuiti sul territorio costituiscono leinterfacce verso i servizi centrali. Ogni seggio

è presidiato da una commissione elettorale cheha il compito di identificare fisicamente glielettori. Nelle Postazioni di Voto (PdV) viene carica-to un programma che consente all’elettore dieseguire le operazioni necessarie all’espres-sione del proprio voto (scelta delle votazionida effettuare, delle preferenze da esprimere,ecc.). Tale software dialoga sia con l’UfficioElettorale Centrale per ottenere le autoriz-zazioni, sia con l’Urna Centrale per inviare leespressioni di voto. Le Postazioni di Votonon conservano localmente nessuna infor-mazione di stato e dipendono quindi total-mente dai server centrali, presso i quali siautenticano grazie alle smart card. In questomodo, sulle Postazioni di Voto non vienetenuta alcuna traccia delle scelte effettuate.Inoltre, tutti i dati relativi alla sessione divoto effettuata da un elettore vengono total-mente eliminati alla conclusione della ses-sione stessa. Una stampante produce intempo reale il verbale delle operazioni delseggio, riportando i nominativi dei votanti,gli eventi significativi (quali attivazione edisattivazione delle Postazioni di Voto) e iriepiloghi periodici sulle affluenze.

Il protocollo applicativo

Il protocollo applicativo specifica le relazionifra le entità del sistema di voto telematico edha lo scopo di garantire i requisiti di legitti-mità, integrità, segretezza e anonimato delvoto (vedi tabella).Tutte le comunicazioni avvengono in formacifrata col protocollo SSLv3 (Secure SocketLayer) con chiavi RSA a 1024 bit. Il client edil server si identificano reciprocamente adogni operazione tramite certificati X.509v3.

Legittimità: deve poter votare solo chi ne ha diritto ed una volta soltanto.

Integrità: il voto non deve poter essere modificabile una volta che è stato espresso.

Segretezza: il contenuto della preferenza non deve poter essere visibile prima dello scrutinio.

Anonimato: deve essere impossibile associare un voto all’identità dell’elettore che lo ha espresso.

notizie dal CINECA

12

Figura 1Schema dei flussi

informativi durantela fase di voto

La fase di voto

La legittimità viene garantita dall’UfficioElettorale Centrale, che autorizza al voto glielettori una volta soltanto.La firma apposta su ciascun voto dallaPostazione di Voto garantisce l’integrità delvoto stesso.L’autorizzazione al voto consiste in unasequenza casuale ed univoca di bit generataautomaticamente dall’UEC, sequenza che hala caratteristica di essere difficile da indo-vinare. Viene utilizzata dall’Urna Centrale perdecidere se un voto sia valido e non viene con-servata una volta che abbia assolto la propriafunzione.I voti immagazzinati nell’Urna Centrale sonocifrati ciascuno con la chiave pubblica delResponsabile del Procedimento che ha bandi-to l’elezione alla quale si riferiscono, oltre adessere firmati con la chiave privata dellaPostazione di Voto dalla quale provengono. Lacifratura risponde ad esigenze di segretezza edimpedisce di conoscere i risultati parzialiprima della fine delle operazioni di voto.

Inoltre rende inutile un eventuale incrocio deidati fra Ufficio Elettorale Centrale e UrnaCentrale, il che comunque è impedito dal pro-tocollo.L’anonimato è ottenuto congiuntamente dacifratura, separazione di Ufficio ElettoraleCentrale e Urna Centrale, assenza di dati iden-tificativi dell’elettore nell’autorizzazione alvoto e non conservazione di tale autoriz-zazione da parte dell’Urna Centrale (vedifigura 1 e tabella 1).

La fase di scrutinio

Al termine delle operazioni di voto, l’UfficioElettorale Centrale autorizza le operazioni discrutinio che, per ciascuna elezione, vengonoeffettuate a cura del Responsabile delProcedimento dell’Ateneo che ha bandito ilconcorso. Il Responsabile del Procedimentoutilizza una delle Postazioni di Voto già usateper la fase precedente.I voti vengono estratti dall’Urna Centrale einviati alla postazione che li ha richiesti. Lecomunicazioni fra Urna Centrale e Postazionedi Voto sono protette tramite SSL. Si osserviche il ruolo dell’Urna Centrale è solo quello diconservare temporaneamente i voti cifrati, perpoi inviarli in fase di scrutinio alla postazionepresso la quale si trova il Responsabile delProcedimento dell’elezione alla quale i voti siriferiscono. Lo scrutinio avviene presso un’u-nica sede anche se i voti in esso espressiprovengono da tutto il territorio nazionale(vedi figura 2 e tabella 2).

L’infrastruttura di sicurezza

Compito dell’infrastruttura di sicurezza delsistema è quello di garantire la legittimità, lasegretezza, l’anonimato e l’integrità dei voti.La legittimità del voto deve valere all’attodella sua espressione, mentre la segretezza el’integrità del voto devono durare fino allo

UfficioElettoraleCentrale

UrnaCentrale

Seggio

Elettore

Autorizzazioni al voto emesse

Autorizzazioni al voto utilizzate o scadute

Autorizzazioni al voto

+ Lista eleggibili

+ Chiave pubblica di cifratura

Identificazione elettore

Autor

izzaz

ioni al v

oto

+ Vo

to cifr

ato

+ Firm

a po

staz

ione

Conferm

a av

venu

ta ri

cezio

ne

notizie dal CINECA

13

scrutinio, quando il voto viene conteggiato.Infine l’identità dell’elettore che lo ha espres-so non deve essere mai ricostruibile neppure aposteriori. Per garantire questi requisiti si falargo uso di algoritmi crittografici in tutte lefasi del processo.La figura 3 illustra sinteticamente il percorsoseguito da ciascun voto, evidenziando in par-ticolare le operazioni di cifratura alle qualiviene sottoposto.Presso l’Urna Centrale non c’è alcuna infor-mazione che consenta di decifrare i voti, né di

risalire all’elettore che ha espresso un certovoto, ma solo la firma della postazione dallaquale quel voto proviene. Scopo della firma èquello di consentire la verifica che i voti pre-senti nell’Urna Centrale sono stati effettiva-mente generati da una Postazione di Votoautorizzata.

Le smart card

L’infrastruttura di sicurezza è basata su smartcard con capacità elaborativa che implemen-

Attore Azione Destinatario Stato elettore

PdV Si autentica tramite la smart card della Postazione di Voto UEC

PdV Invia codici di identificazione dell’elettore UEC

UEC Verifica le credenziali dell’elettore Sessione aperta

UEC Invia elenco elezioni attive per quell’elettore PdV

PdV Seleziona un’elezione per la quale votare UEC

UEC Emette un’autorizzazione al voto associata all’elettore e all’elezione

UEC Invia elettorato passivo + autorizzazione al voto + chiave pubblicadel RdP per l’elezione PdV Voto in corso

UEC Invia copia dell’autorizzazione al voto UC

PdV Cifra la preferenza espressa dall’elettore utilizzandola chiave pubblica del RdP e la firma utilizzando la propria chiaveprivata presente sulla smart card

PdV Invia preferenza cifrata e firmata + autorizzazione al voto UC

UC Verifica che l’autorizzazione al voto sia una di quelle comunicatedall’UEC e che non sia ancora scaduta.In tal caso accetta il voto cifrato

UC Comunica che l’autorizzazione al voto è stata utilizzata UEC

UEC Registra che l’elettore ha votato Ha votato

UC Conferma avvenuta ricezione del voto PdV

UC Comunica l’eventuale scadenza di autorizzazionial voto non utilizzate entro un tempo prefissato UEC

UEC Registra l’avvenuta scadenza delle autorizzazioni segnalate dall’UC Time out autorizzazione

Tabella 1Il protocollo applicativo:fase di voto

notizie dal CINECA

14

tano RSA. Non è consentita in alcun modol’estrazione della chiave privata dalla smartcard, ed il suo uso è protetto tramite PIN. Lacarta si blocca dopo un numero predefinito difallimenti nell’immissione del codice. Le smart card delle Postazioni di Voto sonoassociate ad un particolare seggio: l’UfficioElettorale Centrale non accetta connessionicon postazioni che presentino una smart cardal di fuori dalla sede prevista. Il funzionamen-to delle smart card è descritto nell’articolo dipagina 19.

Identificazionedelle Postazioni di Voto

I server centrali conoscono la configurazionedi ciascun seggio e prima di interagire con lepostazioni remote pretendono che:• la connessione ISDN provenga dal numero

chiamante atteso (la presenza all’internodel gruppo chiuso di utenza è garantitadalla compagnia telefonica);

• i router presentino le necessarie credenzialial server di autenticazione;

• l’hardware delle postazioni sia quello atte-so: solo a queste sarà consentito l’avvio delprogramma di voto.

• ciascuna Postazione di Voto presenti un cer-tificato X.509 valido per il seggio nel qualesi trova. Il certificato, presente sulla smartcard, consente la client authentication conSSL. Se la smart card viene estratta oavvengono eventi che interferiscono con ilsuo regolare colloquio con la Postazione diVoto (quali distacco o spegnimento del let-tore) l’applicazione si blocca e può essereriattivata solo inserendo nuovamente lasmart card o, in caso di interferenza, con il

UfficioElettoraleCentrale

UrnaCentrale

Seggio

Responsabiledel procedimento

Autorizza operazione

Verifica credenziali

Iden

tificaz

ione

Voti

cifra

ti

Attore Azione Destinatario Stato scrutinio

PdV Si autentica tramite la smart card del RdP UC

UC Richiede elenco elezioni scrutinabili UEC

UEC Invia elenco elezioni scrutinabili UC

UC Invia elenco elezioni scrutinabili PdV

PdV Richiede i voti cifrati per un’elezione UC

UC Invia i voti cifrati per l’elezione richiesta PdV In corso

PdV Tramite la smart card decifra i voti,determina il risultato e lo firmacon la chiave privata del RdP

PdV Invia il risultato firmato UEC

UEC Acquisisce e pubblica il risultato Terminato

Figura 2Schema delle operazioni

di scrutinio

Tabella 2Il protocollo applicativo:

fase di scrutinio

15

notizie dal CINECA

I membridella Commissionedi esperti nominatadal MURST

Figura 3Processo di cifraturadei voti

riavvio completo della stazione di voto;• le operazioni di voto e di scrutinio abbiano

luogo negli orari impostati nei server cen-trali. Al di fuori dei periodi ammessi leoperazioni sono comunque disabilitate. La funzione di scrutinio è possibile solo sela fase di voto è già stata completata in tuttii seggi. Il riferimento temporale assolutoper l’intero sistema è ottenuto via satellitegrazie ad un’antenna GPS.

Certificazione del sistema

L’architettura descritta e la sua realizzazionesono state sottoposte al vaglio di una

Commissione di esperti nominata dalMURST, quale garante del corretto svolgi-mento del processo elettorale nei confrontidell’intera comunità accademica italiana.Compito della Commissione, svolto sotto ilcoordinamento del dott. Giorgio BrunoCivello, direttore del Servizio centrale per gliaffari generali e per il sistema informativo estatistico del MURST, è stato quello di esami-nare gli aspetti di sicurezza del sistema edeterminare se questi fossero sufficienti agarantire il rispetto dei requisiti richiesti.Al termine dei propri lavori, la Commissioneha certificato che il sistema rispetta tali requi-siti e ne ha pertanto sancito l’utilizzabilità.

Prof. Lucio DELCARO Rettore dell’Università designato dal Presidente della Conferenzadi Trieste dei Rettori delle Università Italiane

Prof. Gianfranco SCORRANO Ordinario dell’Università designato dal Presidente del Consigliodi Padova Universitario Nazionale

Ing. Stefano ISGRO’ Componente dell’organo designato dal Presidente dell’Autoritàcollegiale dell’AIPA per l’Informatica nella Pubblica Amministrazione

Prof. Marco MEZZALAMA Ordinario del Politecnico Esperto nominato dal MURSTdi Torino

Prof. Aldo ROVERI Ordinario dell’Università Esperto nominato dal MURSTLa Sapienza di Roma

Componenti del seggio

notizie dal CINECA

16

Presso un seggio telematico vengono identifi-cati gli elettori, si effettuano le operazioni divoto e le operazioni di scrutinio. Nell’immagine sono rappresentate le compo-nenti minime di un seggio telematico:

1 - borchia ISDN BRI in gruppo chiuso2 - router ISDN con HUB integrato3 - network computer4 - lettore di smart card5 - stampante ad aghi6 - print server7 - telefono ISDN8 - Commissione elettorale9 - certificati elettorali nominativi

Vediamo ora in dettaglio quali attività ven-

gono svolte in un seggio telematico e qualisono le modalità di voto.

L’identificazione degli elettori

L’accertamento dell’identità degli elettoriavviene a cura del presidente di seggio, che siavvale di normali documenti di riconoscimen-to muniti di foto. All’elettore identificato vieneconsegnato un certificato elettorale personalesigillato, con il quale può accedere allapostazione di voto. Il certificato vale esclusi-vamente per la sessione di voto per la qualeviene emesso. L’elettore che sapesse di trovar-si fuori sede durante il periodo delle elezioniche lo coinvolgono può recarsi pressol’Ufficio Elettorale del proprio Ateneo prima

Come si votain un seggio telematicodi Pierluigi Bonetti, Simone Piergallini, Stefano Ravaioli

17

notizie dal CINECA

Il seggio dell’Istituto diArchitettura di Venezia

della data di inizio delle votazioni e chiederel’autorizzazione a votare fuori sede e, se giàdisponibile, ritirare il proprio certificato elet-torale.

Svolgimento delle operazionidi voto

L’elettore accede alla postazione di voto, apreil proprio certificato elettorale e digita i codicidi identificazione per accreditarsi presso il si-stema. Quindi, l’interfaccia mostra all’elettorei suoi dati (nome, ruolo, e settore disciplinare)chiedendone conferma.Dopo che l’elettore ha inserito la chiave diidentificazione, richiesta a ulteriore conferma

della sua identità, l’interfaccia gli presenta lalista delle elezioni per le quali l’elettore puòesprimere una preferenza e, per ciascuna diesse, chiede se intenda o meno votare.Se l’elettore decide di votare, ottiene la listadegli eleggibili e seguendo le istruzioni indi-cate sullo schermo, può fare la propria sceltadi voto.

Come nelle elezioni tradizionali, è possibilevotare senza esprimere alcuna preferenza,selezionando l’opzione “scheda bianca”: siache intenda votare per un candidato, sia chedecida di votare scheda bianca, all’elettoreviene chiesta la conferma della scelta fatta.

Dopo l’avvenuta conferma, il voto vienecifrato e inviato all’Urna Centrale, che a suavolta emette una ricevuta: a questo punto lapreferenza non è più modificabile né revoca-bile.Se l’elettore ha diritto di voto per più elezioni,l’interfaccia gli presenterà le schermate rela-tive alla successiva votazione. Anche se ciascun voto viene immediatamenteinviato all’Urna Centrale, per ragioni disicurezza non è possibile interrompere le pro-prie operazioni di voto e poi riprenderle in unsecondo tempo.In caso di problemi tecnici, quali blocco delcalcolatore, della rete, ecc., sarà possibileripetere l’operazione dal punto in cui era statainterrotta. Quando l’elettore ha terminato le proprie ope-razioni, la stampante del seggio stampa unavoce del verbale che riporta la data, l’ora, ilnumero della postazione, il cognome e nomedell’elettore e la dicitura “ha votato”.Il funzionamento della postazione di voto èsubordinato alla presenza nel lettore dellasmart card abilitante, che viene inseritaall’apertura dal presidente di seggio. Ogniinserimento ed estrazione della smart card

viene riportato sul verbale prodotto dalla stam-pante del seggio. L’orario di tutti gli apparatidel sistema è sincronizzato con quello fornitoda un ricevitore GPS, con un errore massimodell’ordine di alcuni millisecondi.

Svolgimento delle operazionidi scrutinio

Lo scrutinio dei voti relativi ad un’elezionepuò essere effettuato solo dal Responsabile diProcedimento nominato da ciascun Ateneo cheha bandito il concorso, e può avvenire solodopo la chiusura delle operazioni di voto,chiusura decretata a livello nazionale con cir-colare del Ministero.Ciascun Responsabile dispone di una smartcard personale contenente la chiave privata perla decodifica dei voti che sono stati cifrati conla sua corrispondente pubblica.Per effettuare lo scrutinio può essere utilizzatauna qualunque delle postazioni usate per ilvoto. Il Responsabile inserisce la propria smartcard nel lettore e digita il PIN. Il software discrutinio può ricevere i voti cifrati dall’UrnaCentrale solo dopo la chiusura dell’elezione esu autorizzazione dell’Ufficio ElettoraleCentrale. La smart card decifra i voti ricevutied i risultati vengono visualizzati e stampati.Una copia dei risultati, firmati dalla stessasmart card, viene anche inviata all’UfficioElettorale Centrale, che effettua la pubbli-cazione su web in tempo reale.Le immagini che commentano la spiegazionedi una sessione di voto sono tratte dalla simu-lazione accessibile presso il sito ‘reclutamen-to.murst.it’. Una simulazione che mostra tuttele fasi di voto, e che consente a chi ha pocadimestichezza con il mezzo informatico difamiliarizzare con l’interfaccia.

Il seggio dell’Universitàdi Messina

notizie dal CINECA

18

19

notizie dal CINECA

Le smart carddi Pierluigi Bonetti, Simone Piergallini, Stefano Ravaioli

Obiettivi

Per garantire la correttezza delle operazioninel sistema di voto telematico è fondamentaleidentificare con certezza le entità coinvolte. Si deve essere sicuri che chi interagisce conl’Ufficio Elettorale Centrale e invia votiall’Urna Centrale sia effettivamente unapostazione autorizzata, installata presso unseggio elettorale, e non una postazione fasulla. L’infrastruttura di rete, con la configurazione agruppo chiuso di utenza, fornisce già una certagaranzia (vedi articolo di pagina 25), che peròda sola non è sufficiente.Oltre al riconoscimento delle postazioni divoto autorizzate, infatti, è importante identifi-care correttamente sia gli elettori che il per-sonale dei seggi, i primi per fare in modo chevoti solo chi ne ha diritto, il secondo perché èil solo autorizzato ad operare sui seggi.Per raggiungere questo risultato i Responsabilidei Procedimenti ed ogni Postazione di Votosono dotati di una smartcard.• Le smart card dei Responsabili del

Procedimento consentono di aprire l’urna afine votazione ed effettuare lo scrutinio deivoti,

• Le smart card delle Postazioni di Voto sonoutilizzate per identificare le postazioni efirmare i voti espressi da ciascuna di esse.

Le smart card vengono consegnate, al perso-nale responsabile delle relative operazioni, discrutinio piuttosto che di controllo del seggio,da parte del MURST. Utilizzare in modoillecito tali dispositivi diventa alquanto com-plesso poiché, oltre al possesso delle carte edei relativi PIN (Personal IdentificationNumber), occorre avere accesso a sistemi con-nessi ai server centrali, cioè ai seggi, che sonopresidiati da commissioni elettorali.Attualmente le smart card non vengono usateper l’accesso dell’elettore alla Postazione diVoto. Viene invece utilizzato un certificatoelettorale cartaceo (contenente i codici di iden-tificazione) consegnato all’elettore all’atto delvoto dopo l’accertamento dell’identità da partedalla Commissione. In futuro, si prevede diutilizzare una smart card personale consegnataall’elettore da un ufficio preposto ed utilizzatasul sistema di voto sotto il controllo dellecommissioni dei seggi.In sostanza l’identificazione di ogni attore delsistema è basata sul possesso fisico di un di-spositivo di sicurezza, sulla conoscenza del re-lativo PIN e sul controllo dell’identità dell’u-tilizzatore da parte delle commissioni elet-torali.L’obiettivo perseguito è la certezza che chi sipresenta ai server centrali sia in possesso ditutti questi requisiti. Un eventuale intruso

notizie dal CINECA

20

La smart cardè un dispositivo

delle dimensionidi una carta

di creditocontenente

un apparatoelettronico

in gradodi memorizzare

ed elaborareinformazioni

dovrebbe venire in possesso sia dell’oggettoche del codice segreto e comunque dovrebbeimpiegarli in uno dei seggi abilitati e pre-sidiati.

Caratteristiche generali

La smart card è un dispositivo delle dimen-sioni di una carta di credito contenente unapparato elettronico in grado di memorizzareed elaborare informazioni. Esistono vari tipidi smart card: da quelle più semplici di solamemoria, che sono in grado di immagaz-zinare delle informazioni e di renderle leggi-bili tramite la digitazione di un PIN, a quellepiù complesse, che contengono al loro internoun vero e proprio elaboratore. Le smart carddi quest’ultima categoria sono in grado diaccettare input dall’esterno, effettuare delleelaborazioni tramite il software interno erestituire dei risultati. L’elaborazione può faruso di dati presenti sulla carta, senza chequesti debbano essere portati all’esterno. Inparticolare, nel caso di smart card crittogra-fiche, è normalmente possibile fare eseguireloro operazioni crittografiche con algoritmiasimmetrici senza che le chiavi segrete deglialgoritmi stessi siano leggibili dall’esterno.L’inaccessibilità dei meccanismi di crit-tografia, abbinata al fatto che è possibile farein modo che la coppia di chiavi venga gene-rata direttamente all’interno della carta, e chele tecnologie costruttive di tali carte pro-teggono le informazioni in esse contenute damanomissioni fisiche, implica una importanteconseguenza pratica: se non è possibile leg-gere la chiave segreta presente all’interno diuna carta, quella carta non potrà essereclonata.Le smart card risultano inoltre immuni daifenomeni di smagnetizzazione cui sono

soggette le carte che memorizzano le infor-mazioni su banda magnetica. Per poter utiliz-zare la carta occorre fornire un PIN. Un mec-canismo di sicurezza interno alla carta tieneconto degli eventuali fallimenti nella digi-tazione del PIN e dopo un numero prefissatodi errati tentativi provvede all’auto-disabili-tazione della carta. In tale evenienza si dovràfar uso di un secondo codice di sicurezza(PUK, Personal Unblocking Key) per poterriattivare la carta. Anche per il codice PUK lacarta tiene conto dei tentativi falliti: se lasoglia viene superata, si bloccherà in manieradefinitiva e dovrà essere sostituita.

Le carte per il voto telematico

Tutte le smart card utilizzate nell’ambito delsistema di voto telematico hanno capacitàelaborativa, contengono al loro interno il soft-ware crittografico RSA e non permettonol’estrazione della chiave segreta.Su ciascuna carta è contenuta una coppia dichiavi RSA da 1024 bit (che risponde ai re-quisiti richiesti dall’AIPA – Autorità perl’Informatica nella Pubblica Amministra-zione) e un certificato X.509v3 firmato dallaCertification Authority, che associa la chiavepubblica al titolare della carta.Sia il software di voto che quello di scrutinio,infatti, richiedono la costante presenza di unasmart card abilitata per poter operare: l’e-strazione della carta provoca l’immediatoblocco dell’applicazione e l’annotazione del-l’evento sul verbale prodotto dalla stampantedel seggio. Ciò consente al Presidente di seg-gio di abilitare e disabilitare le postazioni divoto, con la sicurezza che da una postazionesenza smart card non sarà mai possibile com-piere alcuna operazione sul sistema di vototelematico.

21

notizie dal CINECA

Le smart carddelle postazioni di voto

I compiti della smart card di una postazione divoto sono fondamentalmente due: autenticarela postazione nel dialogo SSL/TLS con i servercentrali e firmare ciascun voto espresso.Entrambe le operazioni si concretizzano nellafirma digitale di stringhe di caratteri. Il processo è il seguente:1 il software sulla postazione di voto invia

alla smart card la stringa da firmare;2 la smart card applica su tale stringa gli

algoritmi di hash MD5 ed SHA-1 e con-catena i due risultati, ottenendo così l’im-pronta della stringa (hash SSL);

3 l’impronta viene cifrata tramite la chiavesegreta della smart card;

4 la firma così ottenuta viene restituitaall’applicazione.

La firma apposta dalla postazione su ciascunvoto prima che questo sia inviato all’UrnaCentrale ha lo scopo di garantire l’inalterabi-lità del voto durante tutto il processo.

Le smart card dei Responsabilidel Procedimento

Oltre ad autenticare il titolare nelle interazioniSSL/TLS con l’Urna Centrale, la smart carddel Responsabile del Procedimento ha il com-pito di decifrare i voti in fase di scrutinio.Ciascun voto, infatti, era stato cifrato, almomento della sua espressione presso lapostazione di voto, con la chiave pubblica delResponsabile del Procedimento preposto alloscrutinio. Pertanto solo la corrispondente chiaveprivata, e quindi solo la smart card che la con-tiene, è in grado di decifrarlo. La decodifica avviene come segue:1. l’applicazione di scrutinio riceve dall’Urna

Centrale i voti cifrati e li invia alla smartcard;

2. la carta, utilizzando la propria chiave se-greta, decifra i voti e li restituisce all’appli-cazione;

3. l’applicazione conta i voti e forma la gra-duatoria.

La medesima smart card ha anche il compito difirmare la graduatoria completa per autorizzarela sua pubblicazione sul sito web pubblico.La sicurezza nel sistema di voto telematico ègarantita da tecniche di crittografia asimmetri-ca: da una parte si fa uso della cifratura pergarantire segretezza e non tracciabilità deivoti, dall’altra si utilizza la firma digitale perottenere l’identificazione degli elettori e la nonalterabilità dei voti espressi. Il compito dellesmart card è quello di fornire i suddetti servizidi crittografia senza dare accesso alle chiavisegrete di cifratura.

notizie dal CINECA

22

Illustrazione degli apparatiinstallati e delle loro

interconnessioni

L’architettura del sistema di voto telematicoprevede che i server centrali siano in grado disvolgere le seguenti attività:• fornire alle postazioni presso i seggi tutte

le risorse necessarie per il loro avvio;• accettare richieste provenienti dai seggi ed

elaborare le relative risposte;• conservare i dati relativi alle operazioni di

voto, tenendo separati i dati di naturaamministrativa dai voti espressi in formacifrata;

• emettere e gestire i certificati digitali.Poiché ognuna di tali attività presenta dellepeculiarità specifiche ed è ben distinguibiledalle altre, si è scelto di far corrispondere adognuna di esse un gruppo di server dedicati inmodo da poter implementare le soluzionistrutturali più idonee in base al tipo diservizio. Si hanno quindi:• Server di avvio dei seggi;• Server di front-end;

• Server per l’Ufficio Elettorale Centrale;• Server per l’Urna Centrale;• Server per Registration Authority e

Certification Authority.Tali attività sono critiche sia dal punto di vistadella continuità ed affidabilità del servizio, siadal punto di vista della riservatezza edintegrità dei dati trattati. Il blocco di una qual-siasi di esse porterebbe all’interruzione dellesessioni di voto a livello nazionale, quindi,nella realizzazione dell’infrastruttura del si-stema ed in particolare dei server centrali, èstato posto l’accento su due aspetti fondamen-tali: alta affidabilità e sicurezza.

Affidabilità

Per garantire il funzionamento del sistema divoto durante tutto lo svolgimento di una tor-nata elettorale, grande importanza è stata dataall’alta affidabilità dei sistemi ricorrendo

I server centralidi Valerio Corazza

23

notizie dal CINECA

I sistemi di votoed i canalidi comunicazionedevono esserepreservatida eventualiattacchi esternie da tentatividi intrusione

soprattutto alla ridondanza dei dati e delleapparecchiature. Oltre alle misure specificheper ogni singolo gruppo di server centrali,descritte nel seguito dell’articolo, sono stateadottate ulteriori misure di carattere generale:• ogni disco viene mirrorato in modalità

RAID 0 in modo da garantire la ridondan-za dei dati: la stessa informazione vienememorizzata su due differenti dispositivifisici in modo da poter sopportare un gua-sto ad un disco senza perdita di infor-mazione né interruzione del servizio inquanto il sistema utilizzerebbe la copiarimasta integra;

• il sistema di voto telematico è servito da unsistema automatico di backup;

• ogni server possiede una doppia interfac-cia verso ogni rete locale alla quale è con-nesso: in questo modo viene mantenuta laconnettività anche a seguito della rottura diun’interfaccia;

• le linee elettriche sono ridondate e suppor-tate da gruppi di continuità: sono infattipresenti due linee elettriche, e i server sonodistribuiti tra esse in modo da garantire lasopravvivenza di tutte le funzioni al caderedi una linea.

• l’orologio interno di tutti gli elaboratori èsincronizzato con un ricevitore GPS.Questo permette da una parte di avere uncalendario di voto inconfutabile, dall’altradi mantenere la sincronizzazione fra glielaboratori.

Sicurezza

I sistemi di voto ed i canali di comunicazionedevono essere preservati da eventuali attacchiesterni e da tentativi di intrusione. Per ottenerequesto risultato, tutto il sistema di voto è statointerconnesso tramite una LAN privata, fisica-mente disconnessa da Internet. Inoltre, i siste-mi sono dedicati esclusivamente ai servizi divoto e la loro attività è costantemente moni-torata. L’accesso ai sistemi centrali è protettoda ulteriori meccanismi di autenticazione etutti gli accessi, o i tentativi di accesso, ven-gono monitorati e registrati. L’accesso ai server centrali dall’esterno è pos-sibile solo dalle stazioni di voto ed è limitatoai server di avvio e ai server di front-end; lacomunicazione fra questi e i server di back-end

avviene infatti su una rete locale differente,sulla quale sono attestati esclusivamente iserver di front-end, l’Ufficio ElettoraleCentrale e l’Urna Centrale.Non essendoci routing fra le due reti, i serverdi back-end risultano completamente separatidai seggi, garantendo così un ulteriore livellodi protezione per i dati sensibili. La sicurezza fisica delle macchine centrali ègarantita da un presidio presente al CINECA24 ore al giorno, sette giorni su sette.Vediamo ora nel dettaglio ciascun gruppo diserver, evidenziando per ognuno di essi lecaratteristiche specifiche.

Server di avvio dei seggi

Le postazioni di voto sono state implementatefacendo uso di network computer, i qualinecessitano della disponibilità a livello cen-trale di un certo numero di servizi per garan-tirne l’avvio ed il funzionamento.Tra questi i più importanti sono:• la configurazione remota dei parametri di

rete (DHCP);• il caricamento remoto del software di voto

nelle postazioni dei seggi;• l’autenticazione delle chiamate remote

provenienti dai router dei seggi.Questi servizi vengono erogati da due serverdedicati ognuno dei quali è in grado da solo disupportare l’intero servizio. Nel funzionamen-to normale, il carico viene bilanciato sui dueelaboratori.

Server di front-end

Il software di voto caricato nelle postazionipresso i seggi dialoga con i server di front-end,i quali hanno il compito di validare tutte lerichieste, elaborarle e generare la relativarisposta, eventualmente interrogando l’UfficioElettorale Centrale e l’Urna Centrale peracquisire i dati necessari.I server di front-end sono costituiti da calcola-tori di media potenza, replicati per garantirel’affidabilità del servizio e per bilanciare ilcarico che giunge dalla periferia. Essi sono fradi loro equivalenti: nel software di voto è statoimplementato un sistema automatico di bilan-ciamento di carico in grado di distribuire uni-formemente gli accessi e di deviare su di

notizie dal CINECA

24

I modellidi server

prescelti sonointrinsecamente

in gradodi sopravvivere

a guasti di partedelle loro

componenti

un’altra CPU le connessioni nel caso di irrag-giungibilità di uno di essi. La funzionalità ègarantita anche dalla sopravvivenza di un soloserver.Poiché i front-end non archiviano infor-mazioni localmente, non si pongono problemidi sincronizzazione dei dati.

Ufficio elettorale centralee Urna centrale

Queste due funzioni dei server centrali con-servano i dati essenziali per il funzionamentodel sistema: è indispensabile che tali dati sianocontinuamente disponibili, affidabili e consi-stenti e consentano il recupero dello statoanche in caso di guasti. Per certi versi tali re-quisiti possono sembrare contraddittori: adesempio la semplice replica della funzione supiù server non sarebbe in grado di soddisfarecon certezza il requisito di coerenza dei dati. Per ottemperare a questi requisiti, più restrit-tivi di quelli richiesti per i server di front-end,si è scelto di fare uso di un motore RDBMS ingrado di funzionare in modalità parallela suistanze distribuite su due server, configurati incluster fra loro. In questo modo:• in caso di normale funzionamento di tutte

le componenti la logica di funzionamentodel cluster e del motore RDBMS parallelogarantisce la coerenza dei dati, in modoche il cluster venga visto dall’esterno comeuna unico sistema virtuale, con prestazionisuperiori a quelle ottenibili da un soloserver.

• in caso di fallimento di una istanza o di unserver, il servizio continua ad essere garan-tito dalla sua controparte, in manieratrasparente per il software di voto neiseggi; al momento del recupero del guastoesistono delle procedure che consentono ilripristino del cluster.

I modelli di server prescelti sono intrinseca-mente in grado di sopravvivere a guasti diparte delle loro componenti: per tale scoposono dotati di alimentatori, schede cpu/memo-ria e schede di input/output ridondati e la loroarchitettura ne consente la sostituzione senza

dover fermare il sistema che continua a fun-zionare regolarmente. I dischi rigidi sono collocati in due boxesterni fisicamente connessi ad entrambe glielaboratori del cluster. Anche per essi è pos-sibile operare sostituzioni “a caldo” in casodi guasto.I cluster così configurati, chiamati server diback-end, sono due: il primo ospita il databasedell’Ufficio Elettorale Centrale, mentre nelsecondo risiede il database dell’UrnaCentrale. Essi sono separati e indipendenti, siaa livello software che a livello hardware ecomunicano tra loro solo attraverso il proto-collo di scambio delle autorizzazioni di voto.Per questo motivo i due cluster potrebberorisiedere in locazioni geografiche distanti fraloro, purché collegati in rete.

Registration Authoritye Certification Authority

L’attività di emissione e gestione dei certificatidigitali viene svolta da due server multiproces-sore dedicati: l’uno è dedicato alle operazionipreliminari di identificazione, autenticazione eraccolta dei dati relativi ai richiedenti i certifi-cati (Registration Authority), l’altro genera efirma i certificati digitali (CertificationAuthority). Queste attività vengono svolte solo in occa-sione del rilascio di nuove smart card e dinuovi certificati elettorali, e non richiedonointerazioni con gli altri server. Per questo i dueelaboratori sono attestati in una rete isolata.Risulta evidente come l’elemento di criticitàda soddisfare riguardi in questo caso essen-zialmente l’integrità e la riservatezza dei dati. I server che costituiscono il cuore del sistemadi voto telematico devono erogare il servizioper tutta la durata delle sessioni di voto edevono essere protetti da accessi non autoriz-zati. Il venir meno di anche una sola di questecondizioni provocherebbe conseguenze tali darendere questa circostanza non accettabile.L’infrastruttura installata e qui descritta si èdimostrata adeguata a rispondere ai requisitiprevisti.

25

notizie dal CINECA

L’architetturaa due livelliassicura un elevatostandarddi sicurezzaper i dati sensibilimantenutinei serverdi back-end,rafforzatodai meccanismidi autenticazioneimplementatisui serverdi front-end

Dal punto di vista dell’infrastruttura di rete, lecomponenti del sistema di voto telematicosono tre:1 La rete locale (LAN) dei seggi 2 La rete locale (LAN) dei server centrali

presso il CINECA3 La rete di comunicazione dati geografica

(WAN) fra i singoli seggi ed il CINECAL’architettura di rete risponde ai seguenti requi-siti:• Affidabilità: il funzionamento del sistema

di voto nel suo insieme deve essere garan-tito durante una tornata elettorale.

• Sicurezza: i sistemi di voto e i canali dicomunicazione devono essere preservatida eventuali attacchi esterni e da tentatividi intrusione.

• Garanzia del servizio: si deve garantirel’esecuzione delle operazioni di voto.

LAN dei Seggi

Ogni seggio è costituito da un numero diPostazioni di Voto, una stampante e un printserver.La rete locale è stata implementata intercon-nettendo le varie componenti con uno o piùhub a seconda del numero di postazioni pre-senti. Tale LAN è del tutto svincolata dallarete dell’Ateneo: questo consente di averegaranzie di sicurezza a livello locale. L’accesso ai locali del seggio, inoltre, è rego-lato dai responsabili del seggio stesso, preser-vando così la LAN da accessi non autorizzati.Tutte le postazioni del seggio sono state regi-

strate sul database centrale al CINECA, iden-tificate da un MAC address univoco (cablatoin maniera irreversibile all’interno di ognistazione), e gestite centralmente.

LAN presso il CINECA

Il sistema dei server centrali del CINECA èorganizzato su due livelli: • Front-end: tutti i server che implementano

servizi fruiti dalle postazioni presso iseggi, i server per i servizi di rete e quelliche eseguono l’autenticazione per l’acces-so ai sistemi centrali.

• Back-end: i server che implementanoservizi non direttamente accessibili dallePostazioni di Voto remote.

A livello di interconnessione di rete locale sisono implementate due distinte LAN switcheda 100 Mb/s e ridondate, una per il back-end eduna per il front-end. La comunicazione fra i server del front-end edi server del back-end viene garantita dal fattoche i primi hanno delle interfacce di rete sup-plementari che consentono loro di interagirecon i secondi sulla rete di back-end. Non vi èpertanto passaggio diretto di pacchetti fra ledue reti. Questa architettura a due livelli assicura unelevato standard di sicurezza per i dati sensi-bili mantenuti nei server di back-end, raf-forzato dai meccanismi di autenticazioneimplementati sui server di front-end.A livello di infrastruttura di comunicazionelocale, come evidenziato precedentemente,

L’infrastrutturadi rete di Franca Fiumana

notizie dal CINECA

26

ogni singolo collegamento è fisicamenteridondante; per ogni destinazione esistonocioè due distinti percorsi che preservano laconnettività nel caso di fallimento di un appa-rato di rete.

Infrastruttura Geografica

L’infrastruttura di connessione geografica èuna rete privata con topologia a stella. Questaconfigurazione è stata scelta perchè rispondeprecisamente ai requisiti di comunicazionerichiesti dal sistema di voto.Fra i singoli seggi e i server centrali alCINECA sono infatti necessarie esclusiva-mente comunicazioni punto a punto, ed ilConsorzio trova la sua naturale collocazione alcentro di tale stella.Le peculiarità del traffico di dati generato dalsistema di voto ha invece determinato la tec-nologia utilizzata per implementare questarete privata. È stato riscontrato che un’operazione di votocomporta un traffico dell’ordine della decinadi Kb/s; solo nella fase di accensione dellepostazioni di un seggio è richiesta una bandadell’ordine delle centinaia di Kb/s. L’uso diquesti canali di comunicazione è inoltre limi-tato alla durata delle tornate elettorali e allesingole operazioni di voto e scrutinio. L’infrastruttura dial-up è basata sulla tecnolo-gia ISDN: tutti i seggi si connettono alCINECA (unico punto di accesso).La tecnologia ISDN risponde ai requisiti del-l’infrastruttura in termini di banda; un singolocanale ISDN ha capacità di 64 Kb/s e, in casodi sovrautilizzo del collegamento oltre un livel-lo di soglia prefissato, è possibile negoziare uncanale aggiuntivo e fornire una capacità com-plessiva di 128 Kb/s (multilink); entrambi icanali possono essere attivati contemporanea-mente all’occorrenza. Presso ogni seggio è stata quindi installata unaborchia ISDN BRI (ovvero dotata di duecanali), che consente l’accesso al CINECA.La LAN del seggio è integrata con un router diaccesso ISDN sul quale è collegata la lineaBRI; ogni router è controllabile centralmente

dal CINECA. Il router gestisce il cosiddettodial-on-demand e la negoziazione del multi-link.Presso il sito centrale sono stati impiegatifasci ISDN primari PRI (un PRI gestisce 30canali ISDN contemporaneamente); in parti-colare, sono stati approntati 4 fasci PRI, chegarantiscono 120 canali di accesso contempo-ranei, perfettamente adeguati alle esigenze dei79 seggi attualmente attivi.Essi garantiscono inoltre una ridondanza a livel-lo fisico dei canali di accesso; tali canali pri-mari sono stati infatti distribuiti su 2 distintiNetwork Access Server (NAS) configurati inmodalità multichassis e multilink: in questomodo anche i punti di accesso sono ridondatiin modo consistente.L’affidabilità dell’infrastruttura è quindigarantita sia dalla ridondanza delle apparec-chiature presso il Consorzio, sia dalla tecnolo-gia ISDN, che offre un elevato grado di affi-dabilità. La sicurezza dell’infrastruttura è stata poi raf-forzata configurando tutte le linee ISDN delvoto telematico all’interno di un gruppo chiu-so di utenza (CUG). Un CUG è caratterizzatodal fatto che sono possibili chiamate soloall’interno del CUG stesso; non sono perciòpossibili comunicazioni da e per l’esterno. Larete di comunicazione quindi è una vera e pro-pria “rete privata”.L’accesso dai seggi ai sistemi centrali alCINECA è protetto da un meccanismo di auten-ticazione con password, che è stato implemen-tato mediante un server RADIUS sul qualevengono gestiti tutti i punti e definite lepolitiche di accesso. Il sistema è stato inoltre configurato inmaniera tale da scongiurare anche eventualiintromissioni dall’interno del sistema stesso:tutti i server e gli apparati di rete sono protettida password e gestiti mediante canali crit-tografati.I sistemi gestiscono solo i servizi strettamentenecessari al sistema di voto, e ogni attività ècostantemente monitorata. Le password deisistemi sono in possesso solo del personaleaddetto al sistema di voto al CINECA.

L’affidabilitàdell’infrastruttura

è garantitadalla ridondanza

delleapparecchiature

presso il Consorzioe dalla tecnologia

ISDN, che offreun elevato grado

di affidabilità

27

notizie dal CINECA

Schema dell’architetturadella rete nel suo insieme:una intranet del tuttosconnessa dal mondo esternoche garantisce un alto livellodi sicurezza.

Conclusioni - Futuri Sviluppi

L’infrastruttura di rete adottata per il sistemadi voto telematico è stata testata in manierasperimentale e validata durante le sessioni divoto: è stato confermato che ha risposto a tuttii requisiti richiesti in termini di affidabilità,sicurezza e garanzia del servizio. Una possibile evoluzione dell’infrastruttura alivello geografico, che ottempera ai requisitidi comunicazione fra i seggi remoti ed ilCINECA, potrebbe essere la creazione di unaRete Privata Virtuale (VPN), ovvero uninsieme di circuiti virtuali criptati che con-sentono di modellare una rete privata basandosisu un’infrastruttura pubblica preesistente.Attualmente, infatti, sia le Università italianecoinvolte nelle operazioni di voto che ilCINECA stesso afferiscono alla rete accade-mica italiana (GARR). Una soluzione di questo tipo, tuttavia, intro-durrebbe un numero di variabili nel sistema divoto non direttamente controllabili dalCINECA, come la continuità di funzionamen-

to della rete, sia per i collegamenti sulla retelocale degli Atenei, sia per le connessioni inambito geografico. La natura sperimentale ed altamente innovati-va del progetto ha portato ad adottare unatteggiamento conservativo. Si è preferitoperciò ridurre al minimo le variabili in gioco emantenere il controllo su tutti gli elementi delsistema e di rete; si è quindi scelto di nonimplementare una soluzione basata su VPN,ma di ricorrere ad una rete privata, utilizzandola soluzione su descritta. In futuro si potrebbe tuttavia pensare di farconvergere l’infrastruttura di rete utilizzataper il sistema di voto telematico sull’infra-struttura di rete accademica, mediante unaVPN opportunamente configurata.

notizie dal CINECA

28

Alcuni dati relativiall’utilizzo del sistemadi Pierluigi Bonetti, Simone Piergallini, Stefano Ravaioli

Le prime sessioni di voto

Il sistema di voto telematico è entrato inservizio per la prima volta in occasione dellaprima sessione di voto del 1999, che si è svol-ta dal 21 giugno al 9 luglio 1999. Gli Ateneicoinvolti sono stati 71 (su 73 totali). Sono statiinstallati 79 seggi con un numero di postazioniper seggio variabile fra 2 e 8, per un totale di203 postazioni.I concorsi banditi, e quindi il numero dielezioni gestite, sono stati 1.969; gli elettoricoinvolti 42.494. Ciascun elettore è statochiamato a votare per un numero variabile dielezioni, a seconda del settore scientifico-disciplinare di appartenenza e della propriaqualifica. In media un elettore doveva votareper 6 elezioni.I votanti sono stati in totale 26.873, pari al63% degli aventi diritto ed i voti espressi sonostati 163.645.La tabella a fondo pagina riporta i dati delleaffluenze suddivisi per qualifica del votante,mentre il grafico della pagina seguente mostrala distribuzione oraria dei votanti calcolatasull’intero periodo di voto, con evidenziato ilpicco massimo di affluenza.Il sistema di voto telematico si rivela utileanche ai fini statistici. Il fatto di monitorare

costantemente l’andamento delle elezioni,consente di ottenere in tempi molto brevi datiqualitativi oltre che quantitativi: per esempio,dall’esame dei dati della tabella risulta imme-diatamente evidente una stretta correlazionefra la percentuale dei votanti e la loro qualifica. Il tempo medio impiegato da un elettore pervotare è stato di circa cinque minuti, meno diun minuto per ogni singolo voto. Questo datoconferma che l’approccio alla “informatiz-zazione” delle operazioni di voto non si è ri-velato faticoso, grazie alla semplicità dell’in-terfaccia. Il tempo trascorso dall’inizio delleoperazioni di scrutinio alla pubblicazione deirisultati finali su web dipende dal numero dipreferenze da decifrare: in media è stato dicirca un minuto. La velocità di elaborazionedei dati consente non solo di vedere pubblicatii risultati in tempi brevissimi, ma semplifica inmodo consistente le operazioni di scrutinio,eliminando, inoltre, le possibilità di errore.Alla prima sessione di voto è seguita una ses-sione suppletiva, prevista dalla legge perquelle elezioni aventi un numero di elettiinsufficiente a formare una Commissionecompleta. La sessione suppletiva si è svoltanei giorni 28 e 29 settembre 1999.In seguito il sistema è stato utilizzato per laseconda sessione di voto 1999 (che si è svoltanel mese di dicembre), per tutte le sessioni divoto dell’anno 2000 e per la prima sessionedel 2001, che si è conclusa da poco. Ad oggi ilnumero di voti che sono stati complessiva-mente gestiti è di circa 1,5 milioni.Grazie allo scambio dei dati tra i seggi ed ilCINECA, è stato possibile verificare costante-mente lo “status” delle singole postazioni: lafigura di pagina 30 rappresenta una istantaneadel sistema di voto durante una giornata divoto. Per ogni seggio è indicato lo stato nelquale si trova: disabilitato, abilitato, pronto

Elettori Votanti %

Professori Ordinari 12167 10545 86.7

Professori Associati 16790 10493 62.5

Ricercatori 13537 5835 43.1

Totale 42494 26873 63.2

Affluenza ai seggi nella prima sessione di voto

Il tempo trascorsodall’inizio

delle operazionidi scrutinio

alla pubblicazionedei risultati finali

su web dipendedal numero

di preferenzeda decifrare:

in media è statodi circa un minuto

29

notizie dal CINECAnotizie dal CINECA

3500

3000

2500

2000

1500

1000

500

08 9 10 11 12 13 14 15 16 17 18 19

210

2499

2792 27922970

2178

1841 18091664

666

1997

Vota

nti

Ora

(cioè con almeno una postazione accesa) ocon voto in corso.

Altre elezioniin ambito accademico

Visto il buon funzionamento del sistema ed ilgradimento che ha ottenuto nell’ambienteaccademico, alcuni Atenei hanno scelto di uti-lizzarlo per lo svolgimento di elezioni a carat-tere locale. Nel giugno 2000 le Università diPisa, Firenze e Ca’ Foscari di Venezia hannoeletto i loro Rettori utilizzando il sistema divoto telematico, opportunamente modificatoper tener conto dei rispettivi regolamenti estatuti. Nel novembre 2000 l’Università Ca’Foscari di Venezia ha eletto tramite il vototelematico anche il proprio Senato Accade-mico.

Alcune testimonianze

Il sistema di voto telematico ha un notevoleimpatto sull’attività degli Uffici amministra-tivi preposti all’organizzazione di consul-tazioni elettorali. Abbiamo chiesto al Direttoredella sezione Affari Generali dell’UniversitàCa’ Foscari di Venezia, funzionario ammini-strativo Maria Pedone responsabile dell’orga-nizzazione delle recenti elezioni locali con il

voto telematico, di raccontarci la sua espe-rienza.“Per le votazioni svoltesi nell’anno 2000 pres-so l’Università Ca’ Foscari relative all’elezio-ne del Rettore ed al rinnovo delle rappresen-tanze del personale nel Senato Accademico,desidero manifestare la piena soddisfazioneper il sistema adottato dal CINECA, che con-tempera sia esigenze di tempestività, regola-rità ed efficienza, sia esigenze strettamenteamministrative che hanno senz’altro snellito esemplificato le procedure adottate precedente-mente in forma cartacea.”Ma gli elettori, come hanno accolto questainnovazione? Anche a loro lo abbiamo chiestodirettamente.William Cavazza, professore associatodell’Università della Basilicata, dipartimentodi Scienze Geologiche, ritiene che l’uso delsistema di voto telematico abbia enormementesemplificato il processo di elezione delleCommissioni di Valutazione comparativa.Non ha avuto nessuna difficoltà con l’inter-faccia di voto, grazie anche ai tasti personaliz-zati che la rendono semplice da usare, ed hatrovato utili le informazioni sugli elettoratifornite dal sito web: ‘reclutamento.murst.it’.Marcello Monaldi, ricercatore presso la facoltàdi Scienze della Formazione dell’Universitàdegli Studi di Trieste, ha dichiarato: “Pur non

Distribuzione orariadei votanti

notizie dal CINECA

30

Una istantanea del sistemadi monitoraggio dei seggi

in una giornata di voto

essendo un campione telematico, ho trovatoabbastanza semplice l’interfaccia di voto: laprocedura utilizzata mi sembra più che com-prensibile. So che è disponibile una simu-lazione sul sito web: credo che una consul-tazione preventiva renderebbe il voto ancorapiù semplice. Infine, è innegabile che lo stru-mento elettronico abbia notevolmente velo-cizzato le procedure di voto, permettendoinoltre a chiunque di verificare i risultati delle

votazioni in tempi rapidissimi. Un bel passo inavanti”.Le commissioni elettorali, poi, hanno verifica-to “sul campo” sia le innovazioni operativeintrodotte dalle nuove modalità di voto, che lereazioni dei votanti. La descrizione di alcuniepisodi significativi legati all’introduzione delsistema di voto telematico dal punto di vistadel presidente di un seggio, ci vienedall’Università “La Sapienza”.

31

notizie dal CINECA

Notizie dal seggio:cronaca di una tornata elettorale.

Più che soffermarmi sugli aspetti tecnologici egiuridici, vorrei raccontare i problemi, organiz-zativi e non, con i quali ci siamo confrontati inqueste tornate elettorali.Nella fase di preparazione della prima tornata,le problematiche da affrontare erano molteplici:l’ubicazione dei seggi; la regolamentazione deicalendari dei votanti; il supporto informativo alvoto.Per ciò che riguarda l’ubicazione abbiamo opta-to per una zona neutra: il Palazzo del Rettoratosi trova al centro della città Universitaria, inquesto modo è stato possibile anche garantireun controllo tecnico ed una supervisione che, incaso di necessità, non si sarebbe potuta con-cretizzare in tempi brevi, non disponendo di“tecnici volanti”. Il secondo problema è stato quello connessoalla calendarizzazione dell’afflusso al voto.Qualunque criterio analizzassimo portava consé comunque un corollario negativo, considera-to che ci si aspettava richieste di deroghe moti-vate da assenze per missioni, corsi, convegnietc. Ci siamo affidati quindi al buon senso (eall’ultimo ritrovato tecnologico: “un bel amule-to rosso appeso all’uscio”), lasciando liberi idocenti di accedere al voto in tutto il periodoutile garantendo l’apertura del seggio conorario continuato. A ciò si è affiancato,comunque, un costante invito a non ricor-darsene negli ultimi giorni utili. Restava da risolvere il problema dell’iniziazioneal voto telematico. Ci siamo preoccupati diaddestrare alcune unità di personale affinché siaffiancassero ai votanti ed illustrassero loro lemodalità di voto attraverso una serie di com-puter che avevamo allocato presso il seggio, esui quali era disponibile la simulazione di voto.Riconosco che è stato un lavoro stressanteripetere ad ognuno tutte le informazioni neces-sarie ma avevamo ben presente che, se ancheper noi era la centesima ripetizione, colui che ciascoltava si avvicinava per la prima volta alvoto. A ciò abbiamo affiancato la possibilità diconsultare le banche dati ministeriali onlinedirettamente dal seggio. Questo per fornireinformazioni complete, ma anche per distrarrechi necessitava, per poter votare, di tempi diattesa lunghi. A dire il vero i colleghi al seggioaggiunsero un tocco di classe: una bella ciotoladi caramelline che riscossero un notevole suc-cesso. E fu così che, incrociando le dita, venne ilgiorno fatidico.Le richieste di informazioni che abbiamo ricevu-to sono state le più disparate: da quelle sullasegretezza del voto a quelle sul voto “rateizza-to”. C’era, infatti, chi voleva farsi un po’ divotazioni al giorno fino a quando non avesseavuto le idee chiare su tutte le procedure che lo

interessavano. C’è stato anche chi è entrato nelseggio inveendo contro la tecnologia tiranna edun misterioso grande fratello che vigilava suivoti!!! C’è stato chi ha osservato con cura tuttol’impianto tecnologico e chi invece si è arresoprima ancora di entrare nella cabina di votochiedendo assistenza. Da precisare che perevitare tentazioni, gli utenti avevano a dispo-sizione solo monitor e tastiera mentre tutte leapparecchiature erano celate dietro un pannellodi legno. L’aneddotica è molto vasta, ma vi riporto soloqualche episodio tra i più eclatanti. In primis lascoperta che il gratta e vinci aveva più proselitidi quanto immaginassimo. Non potete imma-ginare quanti (fatta eccezione per i cortesi ope-ratori del call center) hanno grattato i certificatielettorali. Ma la parte più divertente era l’im-barazzo col quale uscivano dalla cabina di votoe, con tono da moti carbonari, chiedevanocome mai il codice non fosse leggibile.Abbiamo avuto anche il votante mistico: per-sone che sono rimaste per un tempo lunghissi-mo nel seggio. Abbiamo poi scoperto che, nonavendo ben capito come funzionava la procedu-ra, aspettavano l’ispirazione divina piuttostoche chiedere al personale presente. Molto cari-na è stata anche una professoressa prossimaalla pensione che trattava la procedura come unvideogioco, godendo di fragorose risate ad ognivoto espresso e commentando ogni proposta dicommissione di voto come l’ennesimo miraco-lo tecnologico. Il top, che ha fatto vincere il pre-mio Camomilla Super al presidente di seggio, loabbiamo raggiunto con un ricercatore che, purdotato di un cellulare di ultima generazione e dicomputer portatile, voleva votare con le clas-siche “scheda e matita” perché nessuna leggelo obbligava a conoscere l’utilizzo del computer.Dopo aver ascoltato lungamente le sue filip-piche, l’abbiamo convinto a seguire la simu-lazione in uno dei computer appositamente pre-disposti nel seggio: dopo di che la votazione èstata effettuata con successo.Tanti altri episodi si sono a questi aggiunti elungo sarebbe ricordarli tutti. Va invece ricorda-to e sottolineato il prezioso e paziente assisten-tato offertoci dallo staff del CINECA cui va ilnostro grazie. Ed un grazie a tutti quanti hannolavorato affinché, per quanto in loro potere erapossibile fare, si evitassero problemi.Fondamentalmente ci siamo sempre sforzati dinon perdere mai di vista quello che è stato ilnostro motto: “fa più notizia e crea più proble-mi un solo votante scontento che quattromilache hanno votato senza problemi”. Motivo percui calma e savoir faire prima di tutto.

Carlo D’Addio: presidente del seggiodell’Università degli Studi di Roma“La Sapienza”

notizie dal CINECA

32

Il sistema di voto telematico nasce per gestirela nomina delle Commissioni di Valutazionecomparativa secondo la legge n. 210 del 3luglio 1998 ed a causa di questa sua origine èintrinsecamente legato, nelle sue prime edi-zioni, alla complessa normativa di cui devegarantire il rispetto.Tale legame non è, tuttavia, strutturale ed èstato infatti possibile utilizzare il sistema divoto per svolgere votazioni governate daregolamenti diversi, come quelle dei Rettoridelle Università di Firenze, Pisa e Venezia edel Senato Accademico di quest’ultima.L’attuale sistema non gestisce tutte le possibiliforme di voto: sono state previste solo quellenecessarie allo svolgimento delle votazioni diValutazione comparativa (ed ovviamente ditutti i casi analoghi).L’introduzione del sistema di voto telematicoha consentito di ridurre la quantità di cartanecessaria a svolgere tali votazioni, eliminan-do l’uso delle schede cartacee, ma non ancoradi abolirla completamente a causa dellamodalità di identificazione degli elettori basa-ta su certificato elettorale cartaceo.Il certificato elettorale cartaceo è, inoltre,l’elemento che limita la circolarità degli elet-tori sul territorio e lega l’elettore ad un benpreciso seggio.

Date queste premesse si possono facilmentededurre le principali linee di sviluppo del vototelematico:• estendere il sistema perché possa gestire

altre tipologie di votazione• superare il certificato elettorale cartaceo

con forme di autenticazione (smart cardpersonale per docenti e ricercatori) che,senza nulla togliere alla sicurezza ed allegaranzie per l’elettore, diano maggior ver-satilità al sistema e consentano agli elettoridi votare presso un seggio qualsiasiriducendo la burocrazia tipicamente asso-ciata al voto fuori sede.

Altre linee di sviluppo riguardano settori eservizi che non sono direttamente connessi alsistema di voto telematico ma che possonotrarre ampio giovamento dall’accesso all’in-frastruttura costruita per il suo funzionamento,in particolar modo le basi di dati e laCertification Authority.

Estensione ad altre tipologiedi votazione

Il caso delle votazioni di Valutazione compa-rativa è relativamente semplice dal punto divista della gestione delle preferenze, si trattainfatti di votazioni nelle quali è consentito

Futuri sviluppidel Sistema di vototelematicodi Pierluigi Bonetti, Simone Piergallini, Stefano Ravaioli

È stato possibileutilizzareil sistema

di voto per svolgerevotazioni governate

da regolamentidiversi,

come quelledei Rettori

delle Universitàdi Firenze, Pisa

e Veneziae del SenatoAccademico

di quest’ultima

33

notizie dal CINECA

esprimere una singola preferenza.La casistica possibile è ben più vasta: pos-siamo votare, ad esempio, su schede di votoche consentono la preferenza multipla, oppurepossiamo esprimere il voto di lista con pre-ferenza che potrebbe essere implicita (tipica-mente al capolista) o meno, congiunta o di-sgiunta, singola o multipla, la validità dellavotazione può essere soggetta al raggiungi-mento di un quorum, i voti possono averepeso diverso a seconda della classe dell’elet-tore che li esprime, ecc.Attualmente sono in fase di realizzazione leestensioni necessarie a gestire tutti questi tipidi schede di voto, con le consuete garanzie disicurezza e segretezza: il risultato finale saràun ambiente agevolmente configurabile secon-do le caratteristiche di ogni singola votazione.Un altro aspetto strettamente legato allediverse tipologie di votazione è il regolamen-to cui sono sottoposte, che consente di sta-bilire chi abbia diritto di voto ed in qualivotazioni.Anche questa parte del sistema è in fase direvisione per consentire una più semplice ge-stione dei regolamenti ed anche nel caso in cuici si trovi a dover gestire un corpo elettoraledinamico, situazione ipotizzabile in alcuni deicontesti esaminati.Potenzialmente, queste evoluzioni ci consenti-ranno di gestire votazioni di qualsiasi tipo, inparticolar modo quelle studentesche, configu-rando opportunamente le caratteristiche diogni votazione e del relativo regolamento.

Smart card personaliper docenti e ricercatori

Il metodo di identificazione degli elettori ori-ginariamente previsto nel progetto del sistemadi voto telematico, si fondava sulla di-stribuzione a docenti e ricercatori di smartcard personali, contenenti le informazioninecessarie al sistema per identificare corretta-mente ogni elettore.Nella prima realizzazione del sistema si èscelto di ridurre la complessità e partire conuna soluzione basata, temporaneamente, suicertificati elettorali cartacei. La smart card personale, che visto il buon fun-zionamento del sistema sta per essereintrodotta, ha le stesse caratteristiche di quellegià impiegate dai Responsabili del Procedi-mento per effettuare le operazioni di scrutinio

e dalle postazioni di voto per identificarsi ecomunicare in maniera sicura con i server cen-trali dell’Ufficio Elettorale e dell’Urna.In sintesi, si tratta di carte a microprocessorecon capacità crittografiche, in grado di effet-tuare operazioni RSA con generazione internadelle chiavi, supporto per certificati X.509v3 eprotocollo SSL il cui utilizzo è condizionatodalla conoscenza di un PIN che viene disabi-litato dopo un certo numero di tentativi errati.Tali dispositivi rappresenteranno il documen-to di identificazione dell’elettore nell’ambitodel sistema di voto telematico. La possibilitàdi esprimere un voto sarà in tal modo con-dizionata dal possesso della smart card e dallaconoscenza del relativo PIN, condizioni chepotrebbero essere ulteriormente rafforzate sesi mantiene la verifica dell’identità dell’elet-tore da parte della commissione del seggio.La smart card, che ha le stesse dimensionifisiche di una carta di credito ed è quindicomoda da portare con sé, costituirà un si-stema di identificazione più forte dell’attuale,basato sulle stesse tecnologie, algoritmi e pro-tocolli previsti dalla normativa vigente sullafirma digitale, verrà distribuita “una-tantum”con validità di uno o più anni, evitando così laproduzione dei certificati elettorali cartacei ela loro distribuzione presso i seggi.L’elettore che si trovasse fuori sede per lunghiperiodi non dovrà più preoccuparsi di ritirareanticipatamente il proprio certificato elet-torale per poter votare presso il seggiodell’Università più vicina.

Accesso a servizi personalizzatiper i rapporti col MURST

La smart card personale non servirà solo pervotare, ma consentirà di aumentare e miglio-rare i servizi che il MURST mette a dispo-sizione del mondo accademico attraversoInternet.Essa, infatti, può essere impiegata dai browserpiù diffusi (Netscape ed Internet Explorer) perautenticare l’utente nei confronti di un sitoweb sicuro, e stabilire fra i due un canale dicomunicazione cifrato che garantisce la riser-vatezza della comunicazione.Da marzo 2000, questo tipo di soluzione è giàstata adottata per l’accesso al sito riservato daparte degli Uffici Concorsi delle Universitàcon diversi vantaggi:• identificazione più sicura degli utenti

Attualmentesono in fasedi realizzazionele estensioninecessarie a gestirealtri tipidi schede di voto,con le consuetegaranziedi sicurezzae segretezza

notizie dal CINECA

34

rispetto alla classica soluzione basata suusername e password

• assenza di password facili preda di personenon autorizzate (il PIN da solo non serve anulla senza la smart card)

• comunicazione riservata: l’autenticazionereciproca fra client e server in SSL la pro-tegge da occhi indiscreti

• impossibilità per più persone, magari di-stanti, di condividere contemporaneamentela stessa utenza (identità)

Anche in questo contesto la smart card per-sonale svolgerà il ruolo di Carta di Identità didocenti e ricercatori nei confronti dei serviziweb offerti dal MURST.Ogni servizio sarà in grado di identificarel’utenza con un maggior livello di sicurezzae l’utente potrà contare sulla riservatezzadelle comunicazioni, sull’impossibilità chequalcuno si spacci per lui semplicementeperché lo ha visto digitare una password esull’avere un’unica forma di autenticazionesu tutti i servizi invece di uno username eduna password diversi per ognuno.La maggior sicurezza e l’uniformità del meto-do di identificazione semplificheranno ancheil compito di chi offre i servizi, che potràottimizzare diversi aspetti del controllo degliaccessi ed incrementare la disponibilità diservizi web nell’ambito dei rapporti diretti frai singoli docenti e ricercatori ed il MURST.

Creazione di una directory deidocenti e dei ricercatori italiani

La creazione dell’infrastruttura del sistema divoto telematico offre l’opportunità di realiz-zare, quasi come sottoprodotto, un indirizzariogenerale della comunità accademica italiana,accessibile mediante protocollo LDAP daibrowser e da numerosi programmi di postaelettronica. Tale indirizzario, o directory, puòcontenente gli indirizzi di posta elettronica, icertificati X.509v3 ed altri attributi che i tito-lari decidessero di pubblicare in questo modo.La creazione di una tale risorsa ad uso esclusi-vo del MURST è sicuramente utile per snellirele comunicazioni con quei docenti e ricerca-tori che utilizzino regolarmente i servizi diposta elettronica; l’apertura di un servizioanalogo pubblicamente accessibile potrebberivelarsi utile a tutto il mondo accademicotrattandosi di una sorta di elenco telefonicoglobale che, per la sua origine amministrativa,

può contare su un aggiornamento costantedelle informazioni.Il risultato sarebbe una lista facilmente con-sultabile da tutto il mondo accademico me-diante il quale reperire l’indirizzo di postaelettronica di un collega, la sua chiave pubbli-ca o altre informazioni che si rendesserodisponibili con tale strumento.

Nuove funzionalitàper i seggi

Nell’ottica delle evoluzioni fin qui descritte,che propongono un ampio uso della smartcard personale, è naturale pensare agli stru-menti necessari per utilizzare la smart cardstessa: il personal computer ed il lettore.Anche se è vero che i personal computer sonosempre più diffusi ed i lettori di smart cardhanno costi limitati e sono ormai disponibilicon interfacce che ne semplificano la condivi-sione fra più computer (il pensiero va imme-diatamente ai modelli dotati di interfacciaUSB), non si può comunque dare per scontatoche chiunque abbia accesso a tali risorse.Per questo motivo, considerato che in diversiAtenei i seggi del sistema di voto telematicohanno una sede stabile e dedicata, si potrebbepensare di utilizzare le postazioni di votoanche come “totem” per l’accesso ai serviziMURST quando i seggi non siano impegnatinelle operazioni di voto.Si tratterebbe di una funzione utile a tutti co-loro che non dispongano delle necessarierisorse ed anche a chi, fuori sede, non abbia adisposizione il proprio PC.

Conclusioni

Il sistema di voto telematico ha indotto lacreazione di infrastrutture e l’introduzione ditecnologie che, oltre a risolvere tecnicamentelo specifico problema delle votazioni per leCommissioni di Valutazione comparativa,hanno gettato le basi per una interazione sem-pre più snella e diretta fra docenti, ricercatorie MURST.

Per ulteriori informazioni:evote@cineca.it

Ogni serviziosarà in grado

di identificarel’utenza conun maggior

livello di sicurezzae l’utente potrà

contaresulla riservatezza

dellecomunicazioni

35

notizie dal CINECA

INFRASTRUTTURA DI RETE

APPE

NDIC

E

Dial-up: collegamento dati non permanente effet-tuato tramite rete pubblica. Qualora i sistemicoinvolti siano in grado di attivare o disattivareautomaticamente tale collegamento secondonecessità esso viene pure detto Dial-on-demand.Hub: dispositivo di rete utilizzato per collegaretra loro altri dispositivi di rete o host ad essa col-legati. Normalmente si presenta con diverseprese di rete alle quali effettuare i collegamenti.La caratteristica di funzionamento dell’hubprevede che ogni messaggio (pacchetto) prove-niente da una di tali porte viene restituito a tuttele altre porte in esso presenti. In questo modoperò si ottiene un certo spreco di capacità dellarete, perché l’hub non si preoccupa della effetti-va presenza del destinatario del messaggio edella sua collocazione tra le porte presenti.ISDN (Integrated Services Digital Network): èuna tipologia di rete telefonica basata su tec-nologia digitale che la rende più veloce rispettoalle linee telefoniche analogiche tradizionali nel-l’invio di dati. Esistono almeno due varianti dilinea ISDN:Accesso BRI: o Basic Rate Interface, è la tipolo-gia di linea ISDN normalmente installata pressol’utente finale, e consente fino a due collega-menti contemporanei in fonia (oppure collega-menti dati a 64 Kb/s). Nell’ambito del progettodi voto telematico viene impiegata presso iseggi.Accesso PRI: o Primary Rate Interface, puòessere vista come una aggregazione di linee deltipo precedente. Consente di avere fino a 30 col-legamenti contemporanei fonia o dati su di ununico cavo. Viene impiegata presso i server cen-trali del progetto.I collegamenti dati effettuati tramite accessibase ISDN possono essere effettuati sia usandoun singolo canale a 64 Kb/s, sia aggregandoentrambi i canali disponibili in un unico canalevirtuale da 128 Kb/s; la tecnologia che consentequesta aggregazione di canali è detta multilink.MAC address: indirizzo hardware che identificaunivocamente ogni nodo di una rete locale in

standard IEEE 802, quali ad esempio schede direte in una LAN Ethernet.Print server: dispositivo che consente di colle-gare una stampante ad una rete locale.Trasforma di fatto una stampante tradizionale inuna stampante di rete, convertendo un collega-mento seriale o parallelo in un collegamentoEthernet.Router: dispositivo per mettere in comunicazionetra loro diverse reti informatiche. Costituiscel’ossatura di Internet. Nell’ambito del progetto divoto telematico, sono stati impiegati RouterISDN, dotati di un HUB ethernet per poter colle-gare direttamente le interfacce ethernet dellepostazioni di voto e del print server al routerstesso, che pertanto oltre a consentire i collega-menti con i server centrali costituisce di fattol’ossatura anche della rete locale del seggio.Rete Locale: o LAN (Local Area Network) indical’insieme dei dispositivi hardware e software cheinterconnette un gruppo di computer situati inuna collocazione localizzata, quale può essereun edificio. Tra le tipologie di reti locali più notevi sono Ethernet, Token Ring e Appletalk. RetiEthernet vengono usate nel progetto di vototelematico all’interno dei seggi e per intercon-nettere i server centrali tra loro.Rete Geografica: o WAN (Wide Area Network)rete estesa su una area vasta che interconnettetra loro diverse reti locali. Può estendersi sul-l’area di una città (nel caso si usa anche il ter-mine MAN, Metropolitan Area Network) oppuresu distanze maggiori. L’esempio più noto di ReteGeografica è la stessa Internet. La rete ISDNusata nel progetto di voto telematico è un altroesempio di WAN.Switch: dispositivo di rete simile ad un hub maavente la caratteristica di instradare i pacchettiin arrivo dalle stazioni ad esso collegate soloverso la porta dove è presente la stazione desti-nataria, ottimizzando in questo modo le capacitàdella rete. Ad esempio, per ottenere questo risul-tato gli switch Ethernet identificano i dispositiviad essi collegati tramite i loro MAC address.

APPE

NDIC

E

notizie dal CINECA

36

Hash: Algoritmo che, presa in ingresso unastringa di caratteri di dimensione arbitraria,restituisce una stringa di dimensione prefissa-ta, tale che essa rappresenti una sorta di“impronta” del testo originario, ma che allostesso tempo sia difficile da una stringa dihash risalire al testo che l’ha generata.Alcuni fra algoritmi di hash più usati in appli-cazioni crittografiche sono:MD5 inventato nel 1991 da Ron Rivest; generastringhe hash lunghe 128 bit.RIPEMD famiglia di algoritmi di hash disegnatitra il 1988 ed il 1992 da Hans Dobbertin,Antoon Bosselaers e Bart Preneel, all’internodel progetto europeo RIPE (Réseaux IPEuropéens).Derivati originariamente da MD4 (anch’esso diRon Rivest), presentano lunghezze di hash di128 o 160 bit a seconda delle varianti.SHA-1 sviluppato nel 1993 dal NIST (NationalInstitute of Standards and Technology); generastringhe hash lunghe 160 bit.Hash SSL introdotto all’interno dell’omonimoprotocollo crittografico, è composto dall’unionedegli hash MD5 e SHA-1, e produce pertantostringhe di 288 bit.RSA: Algoritmo crittografico inventato nel 1977dai ricercatori Ron Rivest, Adi Shamir e LeonardAdleman. La peculiarità di questo algoritmorispetto alle altre soluzioni disponibili in prece-denza risiede nel fatto che le funzioni di codificae decodifica sono svolte da due chiavi differen-ti. Le proprietà matematiche dell’algoritmo ren-dono estremamente difficoltoso ricavare l’unachiave dalla conoscenza dell’altra. In tal modo,nelle sue tipiche applicazioni, una chiave vienemantenuta segreta, e viene pertanto dettaChiave privata, mentre l’altra viene distribuita,viene infatti detta Chiave pubblica. Questanuova categoria di algoritmi crittografici èconosciuta in letteratura come Crittografia asim-metrica. La robustezza dell’algoritmo rispetto adattacchi esterni dipende dalla dimensione dellechiavi utilizzate: ad esempio dimensioni di chiaviRSA di 512 bit, tipicamente in uso negli annipassati, sono oggi considerate insicure, e sipreferiscono dimensioni di 1024 bit o superiori.

SSL (Secure Socket Layer): protocollo proget-tato originariamente da Netscape Communi-cations nel 1994 e successivamente diventatostandard Internet (con il nome di TLS, TransportLayer Security) per implementare canali di infor-mazione sicuri, ovvero con caratteristiche disegretezza, autenticazione e affidabilità tra leparti coinvolte (client e server).Tale autenticazione è sempre svolta nei con-fronti del server, quindi all’atto della connes-sione tra le parti il server dimostra sempre lapropria identità. È però possibile anche avereautenticazione del client, nel qual caso si parlaesplicitamente di client authentication.SMART CARD: Un dispositivo delle dimensionidi una carta di credito contenente un apparatoelettronico in grado di memorizzare ed elabo-rare informazioni. Si possono identificare trecategorie di smart card:• Carte a memoria: sono in grado di memoriz-

zare dati al loro interno, eventualmente pro-teggendoli con un codice di sicurezza, dettoPIN.

• Carte a microprocessore: oltre a memorizzaredati, possono anche eseguire operazionifacendo uso di software interno.

• Carte crittografiche: sono carte a micro-processore che contengono software crit-tografico

X.509: Formato di certificato digitale standardemanato da ITU (International Telecommuni-cation Union) nel 1988, e successivamenteaggiornato nel 1993 e nel 1995 (X.509v3). Uncertificato digitale X.509v3 può contenere leseguenti informazioni:• versione• serial number• ID dell’algoritmo di firma• Nome dell’Ente che lo ha emesso• Identificatore dell’Ente che lo ha emesso• Periodo di validità• Nome Proprietario del certificato• Identificatore del Proprietario• Chiave pubblica del proprietario• Estensioni•Validazione di questi dati tramite Firma digi-

tale.

CRITTOGRAFIA E SICUREZZA