@Yrkoon : vous faites allusion à mon système de redondance évoqué un peu plus haut, et non au système de numéros attribués en début de session (système de Vincent) ?

Si c’est bien ça, j’ai bien peur que vous vous égariez un peu. Dans mon système, il n’y a pas de tiers de confiance (pas d’autorité de certification ou de serveur de clés, par exemple). D’ailleurs, il n’y a pas de chiffrement, ni d’authentification (outre le contrôle de la carte d’électeur à l’entrée du bureau de vote).

Pour ce qui est du mécanisme de saisie, je ne me suis pas étendu là-dessus, mais effectivement il pourrait être source de faille... sauf si c’est un dispositif mécanique tout bête : un levier par choix possible, chaque levier actionnant un bouton par machine à voter redondante. Rien de plus transparent. Rustique et efficace. Ensuite ce qu’il y a après le bouton dans la machine à voter, à la rigueur cela ne nous regarde plus (à condition que les machines aient été choisies de manière indépendante... et s’il y a une faille dans ma proposition, elle ne peut-être qu’à ce niveau !).

L’afficheur md5 ne permet pas de retrouver qui vote quoi (bon en réalité si, vu que md5 a été craqué, alors disons plutôt sha1, mais peu importe !). À condition bien sûr que toutes les machines soient initialisées avec un même nombre magique, afin que les observateurs ne puisse pas à chaque étape tenter tous les choix jusqu’à trouver celui qui donne le bon md5 à l’étape suivante. Car en effet, pour cela, il faut déjà savoir comment le md5 de l’étape n-1 a été obtenu. Donc si à l’étape zéro le md5 est calculé à partir de l’état « O vote » et de ce fameux nombre magique inconnu à l’extérieur, c’est impossible.

Comment initialiser avec ce nombre magique sans qu’il soit connu par quelqu’un d’autre que les machines ? Il suffirait d’établir un genre de protocole d’échange de clés entre les machines (une variante de Diffie-Hellmann ferait l’affaire). Et chaque machine participerait à la création de la clé pour que le résultat ne dépende pas uniquement du choix d’un des constructeurs.

Voilà pour le md5.

Cela dit, on pourrait faire bien plus simple : au lieu d’afficher le md5, on affiche le nombres de votes modulo N fixé. Là il est évident qu’on ne peut pas savoir ce que la personne a voté, et pourtant on sait que le vote a été pris en compte. Seul inconvénient, minime : on ne peut pas savoir en temps réel si l’une des machines est déjà en désaccord avec les autres. L’important, c’est tout de même qu’on le sache lors du dépouillement !