(Февраль 2009)
Достижения и парадоксы в системах дистанционного электронного голосования.
Последний месяц прошлого (2008) года для сферы электронных систем голосования ознаменовался двумя весьма важными и почти одновременными событиями, которые по парадоксальной сути своей должны, казалось бы, взаимно исключать друг друга.
С одной стороны, парламент Эстонии одобрил закон, согласно которому эта страна стала первым в мире государством, где выборы верховной власти теперь разрешено осуществлять не только через интернет, но и с личного мобильного телефона.
С другой же стороны, Национальный институт стандартов и технологий (НИСТ) США опубликовал большой и обстоятельный отчет по проблемам дистанционного электронного голосования, где вполне однозначно констатируется, что применяемые на сегодняшний день технологии не способны обеспечить надлежащие безопасность и целостность выборов через интернет и телефонные сети.
Все суверенные государства, спору нет, вольны иметь собственное мнение относительно того, как им лучше и удобнее устраивать свои выборы. Однако компьютерные технологии, на основе которых приходится создавать национальные системы электронного голосования, по существу являются одними и теми же абсолютно для всех. А потому имеет смысл разобраться, что же означает эта явно противоречивая ситуация.
ВПЕРЕДИ ПЛАНЕТЫ ВСЕЙ
Итак, согласно новому закону небольшой, но мощно компьютеризированной страны Эстонии (которую соседи-европейцы в шутку предлагают переименовать в E-stonia), начиная с 2011 года все избиратели получают возможность голосовать на парламентских выборах через собственные мобильные телефоны.
Судя по всему, ничего подобного пока что нет ни в одной другой стране мира, однако нельзя сказать, что для самих эстонцев эта новость стала чем-то неожиданным и ошеломительным.
Система электронного голосования через интернет, к примеру, всерьез разрабатывается и внедряется здесь начиная с 2002 года, т.е. практически одновременно с общенациональным вводом идентификационной смарт-карты (ID-kaart), играющей роль обязательного электронного паспорта для всех граждан старше 15 лет.
В 2005 онлайновая система голосования впервые была использована в реальных условиях – на выборах в муниципальные органы власти. А еще через два года, в 2007, Эстония стала первой в мире страной (так, во всяком случае уверяют официальные национальные источники), где для граждан стало возможным голосовать в онлайне и на парламентских выборах.
Этой возможностью – виртуально опустить свой бюллетень через Сеть – из общего числа 940 000 зарегистрированных эстонских избирателей тогда воспользовались в общей сложности 30 275 человек. Принципиально важным условием для участия в выборах по-новому было наличие подключенного к интернету компьютера, имеющего считыватель смарт-карт.
Вводимая же ныне новая система «мобильного голосования», по свидетельству властей, уже проходит рабочее тестирование. Для всех избирателей, желающих к ней присоединиться, потребуется получить дополнительный бесплатный чип авторизации, встраиваемый в сотовый телефон.
Эти чипы будет выдавать тот же национальный сертификационный центр (SK), что выпускает персональные ID-карты для всех граждан Эстонии. По словам Рауля Каидро (Raul Kaidro), официального представителя SK, данный чип будет верифицировать личность избирателей и санкционировать их участие в работе общенациональной системы электронного голосования.
Объявляя о своих столь новаторских, бесспорно, инициативах, власти Эстонии считают нужным подчеркнуть, что электронное дистанционное голосование по определению предназначено для дополнения, а не для замены традиционных методов подачи голосов на выборах. Основная идея этой системы – предоставить избирателям максимум возможностей для голосования в том месте, где им больше нравится, без необходимости являться на избирательный участок.
Таким образом, на сегодняшний день общую процедуру электронных выборов в Эстонии уже можно считать полностью определенной.
Согласно установленному порядку, электронное голосование происходит во время предварительных выборов (за 4-6 дней до официального дня выборов), а для проверки полномочий избирателей используются либо электронные ID-карты, либо – в ближайшем будущем – модифицированные сотовые телефоны. Собственно процесс голосования для случая ID-карты состоит из следующих этапов.
(1) Избиратель вставляет свою ID-карту в терминал-считыватель, подсоединенный к компьютеру, и идет на веб-страницу голосования.
(2) Избиратель подтверждает свою личность вводом пин-кода идентификации к ID-карте (PIN1).
(3) Сервер проверяет подлинность личности, сравнивая считанные и введенные данные с информацией из реестра народонаселения.
(4) Избирателю предлагается список кандидатов для соответствующего избирательного округа.
(5) Избиратель делает свой выбор, который перед отправкой зашифровывается.
(6) Избиратель подтверждает свой выбор цифровой подписью (вводом другого пин-кода, PIN2, специально для этого предназначенного, поскольку эстонская ID-карта изначально создавалась со встроенной криптографической функциональностью для электронной цифровой подписи, которая по закону приравнена к подписи рукописной).
(7) При подсчете голосов цифровая подпись избирателя удаляется, и на финальной стадии члены Национального избиркома совместно открывают анонимные электронные бюллетени и подсчитывают отданные голоса.
Одна из специфических особенностей описанной процедуры заключается в том, что при электронном методе у граждан Эстонии имеются возможности переголосования. То есть избиратель может через онлайн отдать свой голос еще раз, а предыдущий голос будет автоматически аннулирован. (Считается, что этим сделана подстраховка от случаев голосования под принуждением).
Кроме того, за традиционными методами голосования с бумажным бюллетенем оставлен безусловный приоритет. Если избиратель лично придет на участок в период предварительного голосования и отдаст там свой голос через материальный бумажный бюллетень, то его или ее электронный голос, поданный ранее, подлежит аннулированию. Однако в официальный день выборов уже зарегистрированные электронные голоса нельзя ни изменить, ни аннулировать.
После того, как электронные выборы и предварительные выборы на участках заканчиваются (за 3 дня до официального дня выборов), все избиратели, проголосовавшие через онлайн, объединяются в общий список, который рассылается по избирательным участкам.
Там в списках избирателей делают отметку против тех лиц, которые уже проголосовали электронным образом. Таким путем предотвращаются случаи повторного голосования в день выборов.
Опять-таки привлекая цитаты из недавнего выступления Рауля Каидро, «данная система и обеспечивающее ее работу программное обеспечение уже доказали свою эффективность и надежность в ходе независимой аудиторской проверки».
Все возможные сомнения относительно известных проблем и неясностей вокруг дистанционного электронного голосования г-н Каидро решительно отмел, заявив, что данная система – «это наиболее безопасный способ для установления подлинности цифровых подписей».
Эстонские власти предполагают, что выборы 2011 года станут в своем роде первыми в мире, хотя известно, что соседние Финляндия и Швеция также уже располагают программным обеспечением и техническими возможностями для подобных «сотовых выборов».
Попутно было заявлено, что по мнению эстонского руководства созданная здесь система интернет-голосования в 2007 году уже доказала свою безопасность, несмотря на беспокойства по поводу хакерских атак, подделки личностей и манипуляций с подсчетом голосов избирателей…
ГЛЯДЯ ИЗ АМЕРИКИ
Прежде, чем переходить к сути нынешнего отчета американского НИСТ, изучавшего проблемы дистанционного электронного голосования применительно к условиям выборов в США, уместно сделать несколько предварительных замечаний.
Во-первых, из-за очень большого числа американцев, особенно военных, работающих вдали от дома, заманчивые преимущества онлайнового голосования уже давно и сильно привлекают интерес государственной администрации вообще и Пентагона в особенности.
Во-вторых, поскольку разработки в этом направлении были предприняты в США существенно раньше, чем в Эстонии, уже к началу 2004 года у военных была готова соответствующая система онлайнового голосования SERVE (см. врезку), которая по оценкам Пентагона также расценивалась как вполне надежная и безопасная.
И, наконец, в-третьих, в силу специфики развитого гражданского общества, характерного для США, на финальном этапе внедрения SERVE в реальные выборы была привлечена действительно независимая комиссия специалистов – которые очень компетентно и убедительно разгромили весь этот проект от начала до конца, из-за чего его пришлось тут же и навсегда свернуть, не дожидаясь президентских выборов.
[ВРЕЗКА]
Система SERVE
Разработанный в США по заказу Пентагона проект SERVE (Secure Electronic Registration and Voting Experiment – Эксперимент с безопасными электронной регистрацией и голосованием) в 2004 году почти что сделал реальностью удобное онлайновое голосование через интернет для тех граждан США, что находятся за рубежом.
Дабы убедить общественность в безопасности и надежности этой системы, министерство обороны пригласило группу из 10 независимых экспертов, чтобы они объективно и непредвзято оценили SERVE.
Итог этой экспертизы оказался для Пентагона абсолютно не тем, который ожидался. В большом многостраничном отчете комиссии был сделан вывод, что и новая система SERVE, и вообще голосование через Интернет «предоставляют для злоумышленников чересчур много возможностей вмешиваться в процесс честного и аккуратного голосования, причем такими способами, которые потенциально невозможно выявить… Подобные манипуляции способны изменить результаты выборов, особенно в условиях острой конкуренции и примерно равных шансов кандидатов на победу».
По итоговому заключению экспертов, эта система оказывается уязвимой для всевозможных атак и злоупотреблений в такой мере, когда ее разработку следует свернуть в принципе: «Поскольку опасность успешных широкомасштабных атак столь велика, мы вынуждены рекомендовать прекратить разработку SERVE и не пытаться делать ничего подобного в будущем – до тех пор, пока и интернет, и мировая инфраструктура домашних компьютеров не будут фундаментально переделаны, или пока не появится какой-то иной, еще не предвидимый, прорыв в системах безопасности».
Особо опасной при организации онлайнового голосования была сочтена атака типа отказ в обслуживании, способная избирательно блокировать работу компьютеров в Сети. Другие виды атак позволяют дистанционно размещать ложный веб-сайт между голосующим и сервером аутентификации (известная атака «человек посередине»), или использовать вирусы, способные изменять выбор избирателя до того, как он будет отправлен по зашифрованному каналу связи.
Кроме того, как и во всех прочих безбумажных системах голосования, нет никакого способа удостовериться, что голос, зарегистрированный внутри системы – тот же самый, что и отданный избирателем.
Общее же перечисление всевозможных слабостей и серьезных уязвимостей системы SERVE заняло в отчете 34 страницы. Которых оказалось вполне достаточно для того, чтобы примерно через 2 недели после публикации – в феврале 2004 – руководство Пентагона объявило о полном сворачивании данного проекта.
[КОНЕЦ ВРЕЗКИ]
Столь неожиданный поворот событий, впрочем, ничуть не остановил горячих сторонников электронных систем голосования от запуска новых подобных инициатив.
По этой причине трое из авторов знаменитого ныне отчета, зарубившего SERVE, – Ави Рубин (Aviel Rubin) из университета Джонса Хопкинса, Дэвид Джефферсон (David Jefferson) из Ливерморских национальных лабораторий им. Лоуренса и независимый консультант Барбара Саймонс (Barbara Simons), прежде возглавлявшая IBM Research и компьютерную ассоциацию ACM – в 2007 году сочли необходимым еще раз выступить с серьезнейшим предупреждением, предостерегающим от неразумных инициатив в обозначенном направлении.
Следующая ниже длинная цитата передает суть этого предупреждения.
«Обе нынешние архитектуры – как ПК, так и интернета – являются в столь высокой степени небезопасными платформами, что на их основе в принципе невозможно разработать безопасную систему для выборов в сколько-нибудь серьезные органы власти.
Время от времени тот или иной человек или компания объявляют, что им удалось ‘решить’ проблемы безопасности для выборов на основе интернета. Такие решения в типичных случаях имеют дело лишь с наиболее простыми вопросами (аутентификация избирателя, безопасная пересылка бюллетеней), применяя к ним разного рода механизмы шифрования.
Но неизменно всегда одно – наиболее серьезные уязвимости системы при этом игнорируются, всячески преуменьшаются или обходятся заведомо неэффективными мерами.
Такие уязвимости включают в себя трудно или вообще невыявляемые атаки инсайдеров самого разного рода, фишинг-атаки, DNS-атаки, спуфинг-атаки, атаки вирусами и троянцами-бэкдорами, распределенные атаки типа отказ в обслуживании, не говоря уже об автоматизированных схемах по скупке и перепродаже голосов избирателей.
В подавляющем своем большинстве проблемы с безопасностью интернет-голосования являются изначально присущими для любого приложения, работающего в условиях ПК и интернета, и потому они на фундаментальном уровне не имеют никаких эффективных решений.
Именно по этой причине основная часть электронной почты, пересылаемой сейчас через интернет, – это спам. А примерно 50%, по грубым оценкам, всех ПК, подсоединенных к интернету, заражены вредоносными программами. И это несмотря на более чем десятилетие напряженных усилий и огромных инвестиций со стороны ведущих хайтек-компаний мира, пытающихся решить эти проблемы.
Дело тут не просто в том, что решения для проблем интернет-голосования пока что не придумано. Реальная проблема заключается в том, что фундаментальное решение здесь невозможно в принципе – если речь идет о нынешних интернет-протоколах и нынешних программно-аппаратных платформах персональных компьютеров.
И пока что на горизонте совершенно не видно никаких существенных перемен в интернет- и ПК-платформах, необходимых для поддержки безопасных онлайновых выборов».
Завершая столь развернутое цитирование доводов из документа, представляющего хотя и компетентное, но сугубо личное мнение видных специалистов, необходимо подчеркнуть, что их позиция пока что весьма далека от взглядов, доминирующих во властных структурах американского государства.
Где по сию пору предпочитают считать, что электронное онлайновое голосование – это ближайшее будущее, реально воплотить которое мешают лишь несколько технических препятствий, победа над которыми все время задерживается из-за каких-то досадных, но вполне преодолимых причин.
Именно поэтому особый интерес представляет новый отчет НИСТ США, официального правительственного органа, диктующего технологические стандарты государства.
Эксперты этого института по заказу EAC, национальной Комиссии по содействию выборам, провели большое общее исследование не только онлайновых и телефонных, а вообще всех ранее предлагавшихся методов дистанционного голосования, включая электронную почту и факсимильную связь.
Основной вывод этого исследования формулируется примерно так.
Избирательные бюллетени вполне возможно безопасно доставлять электронными методами всем гражданам, находящимся за рубежом, однако доставить назад отданные ими голоса столь же безопасным образом представляется весьма проблематичным.
В частности, очень сложно одновременно гарантировать, что электронный бюллетень пришел именно от зарегистрированного избирателя и не был изменен на этапе доставки, и при этом надежно защищать тайну голосования.
В отчете НИСТ достаточно подробно разобраны трудно преодолимые проблемы, связанные с дистанционным голосованием по проводным телефонам, факсу и электронной почте, однако для данной статьи наибольший интерес представляют выводы относительно голосования через интернет по общепринятым web-протоколам.
Всякое голосование через веб-страницу, говорится в отчете, означает «очень большую долю доверия, которое должно возлагаться на программное обеспечение, управляющее работой избирательного сервера для строгой и точной регистрации голосов, поскольку здесь для избирателей не будет никакой возможности непосредственно удостовериться, что их бюллетени зарегистрированы правильно».
Кроме того, как и система голосования по электронной почте, онлайновая система на основе веб-страниц требует опоры на компьютерные системы, находящиеся вне контроля сотрудников избирательной комиссии. «Атаки на подобные системы, в частности, на компьютеры избирателей, могут существенно угрожать целостности избирательного процесса или возможностям избирателей отдать свои голоса», добавляет отчет.
Не менее важно, что избирателей можно обманом вынудить к раскрытию своих избирательных полномочий. В отчете отмечается, что такие (фишинг-) атаки являются общераспространенными в банковской индустрии и надежно защититься от них чрезвычайно сложно. «В этой индустрии, добавляет НИСТ, были и остаются весьма существенные проблемы. Технологии, которые применяются сегодня повсеместно, не способны уменьшить многие из угроз, существующих для безопасной подачи избирательных бюллетеней через Web».
Иначе говоря, в чуть более округлых и дипломатичных формулировках новый отчет НИСТ подтвердил практически все те выводы о небезопасности онлайнового голосования, что в куда более острой форме ранее выдвинули Рубин-Джефферсон-Саймонс…
ГЛЯДЯ ИЗ ЕВРОПЫ
Смелые новации Эстонии с выборами через интернет и мобильные телефоны вызывают безусловный интерес в соседних странах Европы. Тем более, что в организационной структуре Евросовета с некоторых пор работает специальная Подкомиссия электронного голосования, уже успевшая принять документ о необходимости внедрения и продвижения новых методов дистанционного голосования на основе интернета.
Наибольшее, возможно, внимание к инициативам эстонцев проявляют самые близкие соседи в Финляндии. Где ныне также пытаются экспериментировать с электронными системами голосования. Правда, пока что не на основе собственных ПК или телефонов избирателей, а через специализированные компьютеры на избирательных участках.
Однако на последних выборах применение машин голосования обеспечило не столько успех мероприятия, сколько потерю весьма ощутимого количества голосов. Эта история получила в Финляндии значительный резонанс и сейчас досконально разбирается судебными инстанциями.
Но в целом финские сторонники электронных систем голосования то и дело норовят кивать на опыт Эстонии – как на пример работоспособной системы электронных выборов. Если, мол, у них получается, то почему мы не можем?
Довольно своеобразный ответ на этот вопрос нашел один из финских специалистов по компьютерной безопасности (Sami Liedes). Он долго и пристально изучал материалы об эстонской системе голосования по сообщениям множества источников мейнстрим-прессы, и не мог не обратить внимания, что все они поразительно молчаливы о хорошо известных проблемах, присущих любым системам онлайнового голосования.
Создается такое впечатление, заключает Лиедес, что в Эстонии это практически никого не волнует.
Пока не волнует…
kiwi arXiv 