Делегирование права голоса


  • Freeland

    делегирование права голоса добавлю к модели голосований.



  • От чего уходили, к тому и возвращаемся.


  • Freeland

    @spanch я их писанину проигнорирую. просто сообщил, что сделаю делегирование права голоса. это пригодится при использовании API новой модели голосований вне основного сервиса.



  • @sagleft ну в принципе оставление права голоса по важному вопросу доверенному лицу, не обязательно выборному, хорошая идея. Но вот этот вот аппарат органов власти, меня лично бесит.


  • Freeland

    @nikitazhdanov Согласен с Никитой. Эксперимент который провел Ваге показывает что КУС дырявый и один физический человек может иметь 2 и больше подтвержденных аккаунта гражданина Фриленда. Не говоря уже о ВНЖ которых вообще любой желающий может наклепать себе сотнями. Возможность иметь несколько валидных аккаунтов компрометирует саму идею Фриленда. Не возможно доказать что решение принято сообществом людей, а не двумя мошенниками создавшими 1000 аккаунтов каждый. Таким решениям нельзя доверять внутри сообщества. И никто извне решения такого сообщества не будет принимать всерьез.

    Сейчас мы принимаем и верим нашим голосованиям потому что нас мало и решения ни на что по сути не влияют (поэтому нет смысла их фальсифицировать), никто не потеряет 1кк$ в результате принятого решения, поэтому всем всеравно. Но когда нас будет много и от решения будет РЕАЛЬНО зависеть чья то судьба, успешность какого нибудь бизнеса… тогда вопрос доверия к результатам голосования встанет остро.

    Уже сейчас понимание этого приводит к необходимости разных костылей - вариантов обхода этой уязвимости. Это было одной из причин почему ВНЖ потеряли право голоса. Это Ахиллесова пята любой системы голосования во Фриленде.

    Для борьбы с мультиаккаунтами есть 2 принципиальных подхода:

    • 100% идентифицировать всех на входе
    • Усложнить/удорожить процесс получения права голоса
      Если пойти вторым путем придется каждый раз придумывать костыль когда речь пойдет о настоящести участников проекта. Первый подход дает возможность решить проблему на корню.

    Пришла в голову следующая идея: если идентифицировать участников Фриленда по отпечатках пальцев?
    Создать приложеньку которая использует сканер отпечатков пальцев на вашем телефоне. Входите в приложение через ЛК Фриленда. Оно просит вас отсканировать все 10 пальцев(чтоб нельзя было зарегистрировать по аккаунту на каждый палец. Возможно будет достаточно 6 пальцев или только двух больших). Но на сервер отправляется не скан-картинка ваших отпечатков, а хеш от картинки каждого пальца. Таким образом у вас в ЛК будет записано 6-10 уникальных хешей(по 1 на каждый палец) и именно комбинация всех 6-ти делает ваш аккаунт уникальным. Если при верификации другого аккаунта появится хотя бы 1 хеш из вашего набора - верификация аккаунта не подтверждается. Вам же чтобы подтвердить подлинность прав на аккаунт достаточно отсканировать 1( возможно максимум 2) палец. Если хеш скана пальца совпадает с одним из записанных в ЛК верификация проходит успешно. Вход в ЛК можно оставить по паролю. А скан пальца нужен только для голосования, его также можно сделать как дополнительная защита ЛК. Вход в ЛК по паролю + скан пальца (скан пальца для входа в ЛК опционально по желанию)

    Отпечатки пальцев уникальны для каждого человека.
    Хеш также уникален причем не существует набора операций проделав которые с хешем можно получить зашифрованное им изображение. То есть вы остаетесь анонимным при этом доказав что именно вы являетесь живым(не бот), подлинным владельцем аккаунта, а также это гарантирует что у вас нет других аккаунтов верифицированных в этой системе. Как по мне то уже этого достаточно для гражданства.
    Если все же нужно раскрытие личности оставляем КУС.

    Кто то скажет не у всех есть сканер отпечатка пальца. Все новые смартфоны имеют эту функцию, все айфоны начиная с 6 модели имеют эту функцию. Уже за 4-5 тысяч рублей можно купить смартфон с этой функцией. + пока(и если) это приложение появиться пройдет еще минимум полгода. При желании за это время можно решить проблему отсутствия устройства с сканером отпечатка пальцев.

    Ну и самый главный вопрос кто будет это реализовывать? Мне кажется это под силу только создателям @greenmoon2 .
    Прошу ответить на этот пост. считает ли вы ето нужным, целесообразным,реализуемим. Планируете ли вы реализовывать этот подход или имеете другие идеи. Если “да” отлично проблема решена, движемся дальше, если нет придумываем другие варианты решения проблемы мультиаккаунтов.



  • @kongresan можно сделать идентификацию как в Nimses что бы действующие лица подтверждали других, можно сделать несколько этапов идентификации. Я хз, если KYC дырявое это вообще беда. Нужно приобретать паспорт фриленда там наверно дырок нет.


  • Freeland

    @spanch да КУС дирявый. Я проводил експеремент ищо прошлым летом, Ваге гдето месяц тому оба раза удалось зарегестрировать второй аккаунт гражданина(оба раза имеются пруфы).
    как в Nimses? Я готов подтвердить разве что Ветьюс, Саглефт, теплотраса, сереолюбовь, ЕлитВ, Ваге ну наверно ищо несколько людей, а остальные 300 граждан. кто их подтвердит?
    приобретение бумажного паспорта может помочь, но надо посчитать что дешевле/целесообразнее выдать всем гражданам бумажаный пасспорт почти за даром(дороже его никто не возьмет) или написать софтинку для скана отпечатков пальцев.


  • Freeland

    @spanch не kyc дырявый, а дырявой была политика "резидентов можно настругать сколько угодно и им надо дать право голоса!" за которую топил ваге, а не как говорит Микола, мол, он был против этого.

    @kongresan нет, бумажный паспорт сейчас не подойдет для этого, он дорогой. вот ID карты уже подойдут.


  • Freeland

    @sagleft КУС таки дырявый, Ваге имеет 2 полноценных аккаунта гражданина Фриленда. Я свой експеремент проводил в кооперации с @Sergio и прошел КУС второй раз и мог получит второй аккаунт. понятно что ето не правильно и @Sergio не стал его подтверждать. поетому мы с @Sergio просто констатировали факт дырявости КУС. (имеется переписка в ТГ).


  • Freeland

    @kongresan нет ничего идеального.
    2 случая для меня - просто статистическое отклонение.
    да хоть 10 леваков создайте, но если станете их применять - это под вашу ответственность.
    лично мне не интересно какие дыры вы нашли в Sum & Sub, если вы хотите, чтобы их залатали - обратитесь к их разработчикам, может получите что с bug bounty.
    Но если вы этого не делаете - тогда это уже другая история.

    альтернативы предлагаете? нет.
    желаете, чтобы уязвимость исправили? я не заметил такого от вас


  • Freeland

    @sagleft

    2 случая для меня - просто статистическое отклонение

    Что за чушь? Бутерброд с маслом статистически может упасть маслом вверх, а получение гражданства это программа/алгоритм который всегда стопроцентно выполняется так как он написан и тут нет места случайности. Если вышло получить 2 аккаунта гражданина то это не уникальное везение, а возможность которая всегда была там, прописана в коде/алгоритме получения гражданства. Прописана специально или по ошибке не важно. Важно то что любой может просто взять и получить несколько аккаунтов гражданина.
    Любой у кого есть свободные 10к МФС может создать себе 100 действительных аккаунтов гражданина и единолично принимать все решения/голосования в Фриленде.

    лично мне не интересно какие дыры вы нашли в Sum & Sub, если вы хотите, чтобы их залатали - обратитесь к их разработчикам, может получите что с bug bounty.

    Создатели вкурсе этой проблемы. Они разговаривали с Sum & Sub. Проблема должна была быть решенной но увы.

    альтернативы предлагаете? Нет.

    Несколько постов назад Я предлагал идентификацию через отпечатки пальцев или много букв не стал читать?

    желаете, чтобы уязвимость исправили? я не заметил такого от вас

    Повторюсь мы сообщали создателям об уязвимости.


  • Freeland

    @kongresan серьезно?) отпечатки пальцев? во Фриленде?)

    Повторюсь мы сообщали создателям об уязвимости.

    а я этого как-то не помню. да и они не упоминали.
    тогда другое дело, просто это надо было писать крупным шрифтом черным по белому.
    тогда повторяю, что предлагаете? кроме замены KYC на другой, т.к. sum & sub все же не наобум выбрали и сервис у них не плохой. а залатывание дыр - это только вопрос времени.



  • @sagleft said in Делегирование права голоса:

    @kongresan серьезно?) отпечатки пальцев? во Фриленде?)

    А почему бы и нет? Я тоже об этом думал

    @Sergio а можешь, пожалуйста, подсказать действительно ли ИД карты решат проблему идентификации личности и их лишь нужно подождать? Или все таки стоит что-то придумать?

    Свою идею касательно усовершенствования KYC описал тут: https://freeland-ideas.com/auth/project/8d5abc5c-21de-4ba5-81bd-16df09ceedac


  • Freeland

    @sagleft если ты не читал пост об отпечатках вот екстракт/суть:
    Создать приложеньку которая использует сканер отпечатков пальцев на вашем телефоне. Входите в приложение через ЛК Фриленда. Оно просит вас отсканировать все 10 пальцев(чтоб нельзя было зарегистрировать по аккаунту на каждый палец. Возможно будет достаточно 6 пальцев или только двух больших). Но на сервер отправляется не скан-картинка ваших отпечатков, а хеш от картинки каждого пальца. Таким образом у вас в ЛК будет записано 6-10 уникальных хешей(по 1 на каждый палец) и именно комбинация всех 6-ти делает ваш аккаунт уникальным. Если при верификации другого аккаунта появится хотя бы 1 хеш из вашего набора - верификация аккаунта не подтверждается. Вам же чтобы подтвердить подлинность прав на аккаунт достаточно отсканировать 1( возможно максимум 2) палец. Если хеш скана пальца совпадает с одним из записанных в ЛК верификация проходит успешно.

    Отпечатки пальцев уникальны для каждого человека.
    Хеш также уникален причем не существует набора операций проделав которые с хешем можно получить зашифрованное им изображение. То есть вы остаетесь анонимным при этом доказав что именно вы являетесь живым(не бот), подлинным владельцем аккаунта, а также это гарантирует что у вас нет других аккаунтов верифицированных в этой системе. Как по мне то уже этого достаточно для гражданства.
    Если все же нужно раскрытие личности оставляем КУС.



  • @kongresan я понял что ты имеешь ввиду, наверное, это скорее должен быть не хеш картинки, а некий цифровой идентификатор, возникающий в результате работы алгоритма Machine Learning, который будет обучен отличать отпечатки пальцев друг от друга на основе присланных данных сканера отпечатков и наоборот с двух разных сканов отпечатков одного пальца сумеет распознать, что это один и тот же палец. На основе этих идентификаторов нельзя будет восстановить отпечатки пальцев (по аналогии с ассиметричной криптографией: невозможно на основе публичного ключа восстановить закрытый ключ), но это даст возможность однозначно идентифицировать человека.
    Главное чтобы этот механизм ещё смог отличить палец руки человека, от пальца ноги или от пальца обезьяны или отпечатка уха, чтобы не было возможности этим воспользоваться :)



  • @sagleft

    "резидентов можно настругать сколько угодно и им надо дать право голоса!"

    Откуда эта цитата от Ваге-пруф пожалуйста, и он должен полностью соответствовать тому,что якобы утверждал Ваге.

    желаете, чтобы уязвимость исправили? я не заметил такого от вас

    Сообщение о найденной уязвимости напрямую Павлу и Сергио не подразумевает,что мы хотим устранения этого?

    а я этого как-то не помню. да и они не упоминали.

    Если что-то не помнишь -это не значит,что такого не было.Не упоминали,потому что ты не интересовался,не смотря на то что я тебе лично предлагал это сделать не один раз.

    тогда другое дело, просто это надо было писать крупным шрифтом черным по белому.

    Многие сообщения о нашей находке в чате,прямое упоминание в посте на форуме,обращение к 2 основателям итд это не черным по белому?

    тогда повторяю, что предлагаете? кроме замены KYC на другой, т.к. sum & sub все же не наобум выбрали и сервис у них не плохой. а залатывание дыр - это только вопрос времени.

    Уже говорил,что мы не обладаем достаточными техническими навыками,чтобы сделать конкретное предложение. В общих же чертах уже есть кое-что от Миколы выше.



  • @nikitazhdanov said in Делегирование права голоса:

    Вместо того чтобы закладываться на несовершенную систему верификации личности...

    Не понял здесь тебя...
    Если ты имеешь в виду то,что нужно проблему с уязвимостью в kyc решить сначала,а потом вводить систему с делегированием голосов,то мы с этим совершенно согласны. Относительно вопроса делегирования голосов,замечу,что сейчас мы только собираем предложения и оформляем это в теории



  • @elitw said in Делегирование права голоса:

    Если ты имеешь в виду то,что нужно проблему с уязвимостью в kyc решить сначала,а потом вводить систему с делегированием голосов

    именно это я и имел ввиду