Protocole d'audit

Cette page est destinée au Govern, aux journalistes et aux chercheurs indépendants qui veulent vérifier la légitimité des signatures sans dépendre de l'organisateur.

1. Récupérer le snapshot

Téléchargez le CSV du jour à vérifier depuis le dépôt d'archives. Chaque CSV a une Merkle root associée. Reconstruisez la root localement et comparez-la avec celle publiée pour vérifier l'intégrité.

2. Vérifier l'intégrité (Merkle)

python3 audit/verify_merkle.py snapshots/2026-05-15.csv

3. Audit gouvernemental

Cette étape requiert l'accès à la liste officielle des NIA des citoyens andorrans, que seul le Govern possède. Le script tourne air-gapped (sans connexion réseau) et produit un rapport reproductible.

# Charger le conteneur air-gapped sur la machine sécurisée du Govern
docker load < referendum-ja-audit.tar
docker run --network=none --rm -v $PWD:/work referendum-ja-audit \
  /work/nia-official.csv /work/snapshot-2026-05-15.csv

Le script produit :

• Le nombre de signatures valides (commitments correspondant à un NIA andorran réel).
• Le nombre de signatures invalides (commitments sans correspondance, par exemple NIA d'étrangers résidents ou erreurs de format).
• Une sortie signable que le Govern peut publier, sans révéler aucune correspondance individuelle.

Code et téléchargements

• Code source (AGPL-3.0)
• Version scellée et signée GPG
• Archive des snapshots

Vecteurs de référence

Les vecteurs cryptographiques de référence sont publiés dans packages/crypto/tests/fixtures/commitment_vectors.json. Toute implémentation indépendante doit produire exactement ces valeurs pour être considérée comme compatible.