Too obscure

[xaionaro]

Здравствуйте, коллеги.

Проблема в том, что репозиторий очень сырой, и для простого гражданина провести какую-то быструю проверку стоит слишком дорого. Нет фактически никакой документации (какие алгоритмы, как используются; как запускать, как проверять, как генерировались файлы и т.п.), нет никаких готовых скриптов, Dockerfile-ов, тестов или чего-либо, чтобы иметь возможность быстро запустить. Когда пробуешь тупо проследовать smart-contracts/readme.md, то сталкиваешься сначала с отсутствуем yarn (так как про него ничего не сказано в readme.md), потом с ошибкой:

npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! smart-contracts@0.0.0 compile: `truffle compile && find ./build -name '*.json' -exec ./etc/filter_json.sh {} \;`
npm ERR! Exit status 1

Но что ещё важнее, когда пробуешь узнать что это за ключи (и почему закрытый ключ такой короткий, в то время, как публичный ключ такой длинный), и:

• grep-ом не удаётся найти ни одного упоминания private-key.json (чтобы посмотреть как эти данные применяются в реальном коде).
• в самих закрытых ключах (как и во всём остальном файле с ключами) тоже нет подсказок о том, что это за алгоритм используется (как, например, в ssh-ключах, а-ля: grep -v '\---' somekeyfile | base64 -d | grep -oaE '[a-z0-9\-]{4,}'), просто какой-то набор из 38 байт:

  jq -r '.privateKeys | .[0]' < private-key.json | perl -pe 's/([0-9a-f]{2})/chr hex $1/gie'
  1�g4 5��cYI&fX�XrrC(rH8A4��6

• Опять же, никакой технической документации на тему того, что, лежит в файлах в encryption-keys/.

И вроде бы хотелось потратить несколько минуток на то, чтобы быстренько глянуть/проверить ту часть, что касается криптографии (выбор алгоритмов, выбор реализаций выбранных алгоритмов, выбор длины ключей, генерация случайных чисел и т.п.), но в результате всё выливается в необходимость разбираться во всём проекте. Конечно же, можно закопаться и разобраться, но люди, обычно, занятые и не всегда имеют возможности тратить столько времени на такие задачи (за бесплатно). По моему мнению, в вопросах криптографии всё должно быть настолько явно/ясно, насколько возможно (и чем более проект obscure, тем больше ошибок он скроет).

Спасибо вам за ваш труд, и это очень радует, что Москва желает шагать в ногу со временем. Однако обидно, что не нашлось времени подготовить более полноценный проект. И я был бы благодарен, если бы у вас всё-таки нашлось время причесать проект до выборов/голосования.

P.S.: Да и вообще, в публичных blockchain-ах есть смысл только тогда, когда, грубо говоря, кто угодно может свободно запустить ноду и без проблем разобраться с том, как она работает.

[monich]

С одной стороны, было бы интересно посмотреть на архитектурную блок-диаграмму, чтобы понять как, предполагается, это вообще должно работать. И по-хорошему, с этого и надо было начинать. А с другой стороны, какой теперь смысл обсуждать архитектуру, когда код уже написан, бюджет освоен, акты приёма-передачи подписаны и сданы в бухгалтерию. Даже закон под это дело принят.

Честно говоря, мне вообще не очень понятно, зачем эти огрызки кода выложены в открытый доступ. Создаётся впечатление, что чисто для галочки. Например, в одном из актов было "часть кода выложена в открытый доступ на платформе GitHub". Вот вам код. Получите и распишитесь. Работы выполнены в срок, акт подписан, все довольны. Если так оно и есть, то очень жаль.

А наши комментарии зачтут за обсуждение с программистским сообществом. Тоже для галочки. А обсуждать-то в общем, нечего :(

[xaionaro]

@monich:

А с другой стороны, какой теперь смысл обсуждать архитектуру, когда код уже написан, бюджет освоен, акты приёма-передачи подписаны и сданы в бухгалтерию. Даже закон под это дело принят.

Я сам более 10 лет проработал в госучреждении (в Москве). И с моей точки зрения, бывают очень разные люди (как среди исполнителей, так и среди руководителей).

А наши комментарии зачтут за обсуждение с программистским сообществом. Тоже для галочки. А обсуждать-то в общем, нечего :(

Хуже от этого не станет. Ну зачтут и зачтут :)

Электронное голосование -- это хорошее начинание, как ни крути. И то, что хотя бы какие-то кусочки кода выложили на GitHub -- это тоже позитивно. Да, всё это выглядит сильно не так, как лично в моих мечтах, но... всё равно это шаг в позитивную сторону.

Единственные три плохие вещи, которые могут произойти:

• Дискредитируют идею электронного голосования неудачной реализацией. Сомневаюсь, что инициатива уйдёт по данному направлению.
• Электронное голосование будет эксплуатироваться, чтобы выписывать бюллетени за людей, которые не пришли голосовать (чтобы накрутить голоса "нужным" кандидатам). В случае с кабинками, хотя бы записи нарушений есть, а тут вообще не очень понятно как это будет отслеживаться. Хотя задача решается просто публикацией списка граждан, которые оставили свой голос (без указания того, какой именно голос).
• Зря израсходуют бюджетные средства.

[monich]

Ну хорошо, давайте будем оптимистами, ждём документ с описанием архитектуры и алгоритмов. Особенно интересует вопрос - как авторы собираются математически гарантировать отсутствие вбросов.

[spl-token]

Все самое главное - от верификации включения в список избирателей до реализации голосования (и подсчета итога) - не тут. Этих кодов тут нет вообще.

[kabus1917]

Основная цель тут видится одна - манипулирование выборами. Продолжайте работать на мудаков..