Protocolo de auditoría

Esta página está destinada al Govern, a los periodistas y a los investigadores independientes que quieren verificar la legitimidad de las firmas sin depender del organizador.

1. Recuperar el snapshot

Descarga el CSV del día que quieres verificar desde el repositorio de archivos. Cada CSV tiene una Merkle root asociada. Reconstruye la root localmente y compárala con la publicada para verificar la integridad.

2. Verificar la integridad (Merkle)

python3 audit/verify_merkle.py snapshots/2026-05-15.csv

3. Auditoría gubernamental

Este paso requiere acceso a la lista oficial de los NIA de los ciudadanos andorranos, que solo el Govern posee. El script funciona air-gapped (sin conexión de red) y produce un informe reproducible.

# Cargar el contenedor air-gapped en la máquina segura del Govern
docker load < referendum-ja-audit.tar
docker run --network=none --rm -v $PWD:/work referendum-ja-audit \
  /work/nia-official.csv /work/snapshot-2026-05-15.csv

El script produce:

• El número de firmas válidas (compromisos correspondientes a un NIA andorrano real).
• El número de firmas inválidas (compromisos sin correspondencia, p. ej. NIA de extranjeros residentes o errores de formato).
• Una salida firmable que el Govern puede publicar, sin revelar ninguna correspondencia individual.

Código y descargas

• Código fuente (AGPL-3.0)
• Versión sellada y firmada GPG
• Archivo de snapshots

Vectores de referencia

Los vectores criptográficos de referencia se publican en packages/crypto/tests/fixtures/commitment_vectors.json. Cualquier implementación independiente debe producir exactamente esos valores para ser considerada compatible.