Вопросы без ответов

(Впервые опубликовано – август 2007)

О слабостях электронных систем голосования

evoting-meltdown

В мире высоких технологий едва ли не самым неоднозначным, давно уже вызывающим острейшие дебаты достижением оказались электронные машины голосования.

С одной стороны, кажется бесспорным, что организация выборов и подсчет голосов с помощью специализированных компьютеров способны значительно упростить и ускорить демократические процедуры народного волеизъявления.

Но с другой стороны, некорректное использование компьютеров открывает столь безграничные просторы для махинаций и жульничества при подсчете голосов, что чуть ли не единственным способом избежать злоупотреблений, по мнению многих, представляется вообще недопущение электронного оборудования в работе избирательных комиссий.

Наглядными иллюстрациями для очень непростой ситуации вокруг электронных систем голосования стали известия, в первых числах августа пришедшие практически одновременно из Великобритании, Флориды и Калифорнии.

В Британии, скажем, Избирательная комиссия Объединенного королевства опубликовала итоговый отчет по результатам пилотных электронных голосований, проводившихся в мае 2007 года. Общий вывод комиссии оказался крайне критическим, если не сказать разгромным, ибо риски безопасности выборов, связанные с применением электронного оборудования, были сочтены «значительными и неприемлемыми».

В своих выводах комиссия выступила против дальнейших испытаний такого рода систем в реальных выборах, пока выявленные проблемы не будут разрешены и устранены. Одну из главных претензий вызвала ненадежная работа оборудования, из-за чего три из шести «электронных» избирательных участков пришлось вообще закрыть, два начали работу с серьезной задержкой, и лишь один отработал нормально. Но и в этом случае серьезными проблемами были названы непрозрачность процесса голосования и неадекватно большая стоимость оборудования.

Что же касается Соединенных Штатов, где электронные машины применяются на выборах с 1990-х годов и ныне распространены повсеместно, то там пакет претензий к оборудованию выглядит существенно иначе.

На посторонний взгляд это может показаться поразительным, но за более чем десятилетний срок использования компьютерных систем при выборах верховной политической власти в одной из наиболее демократических стран мира (номинально, по крайней мере), это оборудование официально никогда не подвергалось по-настоящему всесторонней, независимой и прозрачной аудиторской проверке на безопасность. Точнее, никогда прежде до нынешнего лета.

Ибо в Калифорнии и Флориде народ, устав уже ждать надлежащие телодвижения от федерального правительства, выбрал в местную власть штата таких людей, которые в своей предвыборной программе обещали навести ясность с электронными системами голосования.

Ныне эти обещания сдержаны, а к объективному тестированию и анализу машин голосования привлекли настоящих хакеров в первоначально-некриминальном смысле этого слова. То есть, профессионалов компьютерной безопасности из тех американских университетов, где имеются серьезные и авторитетные лаборатории защиты информации.

Условия для досконального изучения машин были вполне честными, ибо власти штатов, помимо собственно аппаратуры, обязали изготовителей предоставить полную документацию, включая внутренние технические описания и тексты исходных кодов программ. И хотя срок, выделенный на исследования, был ограничен всего тремя неделями, их оказалось вполне достаточно, чтобы продемонстрировать не просто слабую, а вопиюще слабую защиту всех электронных систем голосования против злоупотреблений и манипуляций голосами избирателей.

Справедливости ради надо отметить, что каких-либо намеренно встроенных «черных ходов» для таких манипуляций в кодах ни одной из программ не выявлено. Но в условиях откровенно убогих средств защиты в подобных лазейках и нет никакой необходимости.

Например, когда важные пароли доступа в одной системе вообще не изменяются и зашиты в код программы, а в другой вычисляются по нехитрому алгоритму на основе серийного номера машины, злоумышленнику не требуется никаких черных ходов, коль скоро он может легко зайти через парадный.

Дыры в защите, как показали хакеры, позволяют, например, до начала выборов подменять официальную карту памяти на «левую», заранее запрограммированную перераспределять все отдаваемые голоса в пользу одного из кандидатов, или же просто перебрасывать голоса между кандидатами, если их всего двое.

Либо, скажем, в другом случае показано, что слабость в защите системы позволяет злоумышленнику превратить официальную, уже активированную карту избирателя в такую смарт-карту, которая обеспечивает, грубо говоря, «вбрасывание фальшивых бюллетеней», т.е. добавляет в учет произвольное число нужных голосов.

Подготовленные хакерами отчеты с перечислением всевозможных слабостей машин голосования занимают многие и многие десятки страниц. По итогам этих тестирований одни системы уже лишены выданных прежде сертификатов, дающих допуск к выборам, другие направлены на срочную доработку и пересертифицирование.

Однако, по мнению специалистов в сфере защиты информации, изучавших проблему, все данные машины имеют подсистемы безопасности в качестве дополнительной пристройки, а не фундамента, на котором выстроена архитектура. Поэтому сделать из них реально безопасную конструкцию невозможно в принципе. Ибо, как показывает опыт, всякая новая заплатка-патч всегда несет в себе и потенциальную угрозу новых слабостей, а положить конец этой порочной череде заплат для заплат еще никому не удавалось.

С другой стороны, давно уже разработаны и прекрасно известны криптографам-профессионалам в корне иные технологии электронного голосования. Доказуемо способные обеспечить и анонимность голосующих, и честный подсчет голосов, и проверяемость этих результатов для самих избирателей.

Но — по какой-то темной причине — такого рода системы в реальных машинах голосования не применяются. Почему это так, не знает никто. А если кто-то вдруг и знает, то не говорит.