(Март 2011)
Случилось так, что тема электронных выборов вообще, а в особенности дистанционных э-выборов через интернет и по телефону, стала для госвластей своеобразной проверкой на честность намерений. Демонстрируют это и продолжения двух разных, но в чем-то очень похожих историй – в Эстонии и в Индии.
Ни для кого не секрет, что властям очень многих государств чрезвычайно нравится идея заменить традиционные выборы с бумажными бюллетенями и урнами для голосования на что-нибудь более современное и подобающее веку цифровых инфотехнологий. Вроде специальных компьютеров «прямой записи» для электронной регистрации голосов на избирательных участках, или же – еще лучше – систем дистанционного голосования на основе интернета, собственных компьютеров или сотовых телефонов самих избирателей.
Приниципиально важным препятствием для реализации этих прогрессивных идей является то, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.
Столь сильное заявление, естественно, является не личным мнением обозревателя, а результатом многолетних исследований наиболее авторитетных в мире специалистов по защите информации и системам электронного голосования. Тех специалистов, которые тщательно изучали все доступные системы такого рода, применяемые в самых разных государствах, и при этом не нашли среди них ни одной, способной противостоять злоупотреблениям и тайным манипуляциям с результатами выборов.
Государственные власти тех стран, где экспериментируют или уже массово используют электронные системы голосования, реагируют на итоги подобных анализов весьма разнообразно. Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины (от Direct Recording Electronics, т. е. Электроника прямой записи), по здравом размышлении над свидетельствами экспертов полностью отказались от технологии как от ненадежной и чреватой злоупотреблениями.
О том, насколько неадекватно (можно даже сказать позорно) отреагировали в Индии на прошлогоднее исследование независимых специалистов, продемонстрировавших вопиющие слабости в массово применяемой здесь «машине голосования», будет рассказано ближе к финалу.
Ну а сейчас самое время перейти к итогам мартовских (2011) выборов в Эстонии, коль скоро эта европейская страна не без оснований считается одним из главных в мире передовиков по внедрению «самых прогрессивных технологий голосования» – через интернет и сети мобильной связи (общую информацию на этот счет можно найти в материале «Сдвиг по фазе»).
Нынешний год в Эстонии стал особо примечательным, поскольку на очередных выборах в национальный парламент, Рийгикогу, избиратели имели возможность голосовать за кандидатов не только со своих домашних компьютеров, но и – впервые – с помощью мобильных телефонов. Относительно мобильников, правда, российские СМИ довольно сильно напутали в деталях, поэтому для начала необходимо дать разъяснения по существу.
С подачи РИА Новости технологические избирательные новации балтийской республики были представлены таким образом: «Эстония в 2011 году станет первой страной в мире, где избиратели смогут голосовать на выборах по мобильному телефону. <…> При голосовании с помощью мобильного телефона роль идентификационной карты будет играть SIM-карта телефона, а считывающим устройством будет служить сам телефон. Согласно проведенному специалистами анализу безопасности, использование SIM-карты так же безопасно, как использование идентификационной карты».
На основании этих фраз практически все наши СМИ, пересказавшие новость своими словами, представили дело так, будто эстонцы теперь избирают парламент простым нажатием кнопок на своем телефоне. В действительности все обстоит существенно иначе.
Уже применявшаяся в Эстонии и прежде система голосования через интернет в своей основе имеет идентификационную чип-карту, обязательную для каждого взрослого гражданина страны и имеющую встроенную криптографию цифровой подписи. Поэтому для того, чтобы людям можно было на выборах проголосовать дистанционно через подключенный к сети компьютер, тот должен быть оснащен устройством-ридером, считывающим информацию с идентификационной карты и таким образом позволяющим надежно подтвердить личность избирателя.
Новация же с мобильными телефонами теперь позволила голосовать и с тех сетевых компьютеров, которые не имеют считывателя чип-карт. Иначе говоря, вместо ID-карты, подтверждающей личность избирателя, теперь может выступать и телефонная SIM-карта. Но для того, чтобы это стало возможным, избиратели должны сначала «активизировать функцию мобильной идентификации» на сайте Департамента полиции и погранохраны Эстонии…
Поскольку подробности этих манипуляций с сотовыми телефонами окутаны туманом неясности, анализировать суть данной «активации безопасной идентификации» без описания работы системы вряд ли имеет смысл. Тем более, что в конечном итоге все опять-таки сводится к голосованию через компьютер, куда с сайта избиркома загружается специальное «приложение избирателя».
И раз уж конкретно это приложение все любопытствующие вполне могут поковырять и пощупать, именно на нем целесообразно сфокусироваться. Тем более, что уже известны и результаты такого «прощупывания».
Накануне парламентских выборов этой программой заинтересовался студент-программист Тартусского университета Пааво Пихельгас (Paavo Pihelgas). Побудительным толчком для исследований Пихельгаса стала передача по национальному телевидению ETV, в которой «отец» эстонской системы интернет-голосования Тарви Мартенс (Tarvi Martens) заявил, что электронные выборы более безопасны, нежели старомодное голосование с бумажными бюллетенями.
Практически все люди, реально занимающиеся или просто интересующиеся данной темой, должны по идее знать, что пока еще нигде и никому не удалось продемонстрировать честную и прозрачную систему электронного голосования, более надежную и безопасную, чем традиционные бюллетени-урны. А все закрытые изготовителями и властями электронные системы, когда их вскрывали, оказывались заведомо слабее и хуже.
Эстонские власти – что вряд ли удивительно – тоже не стали делать свою систему прозрачной и общедоступной для анализа. Но коль скоро программное «приложение избирателя» должно работать на компьютерах конечных пользователей, его заблаговременно предоставили для скачивания и предварительного тестирования публикой. Скачал себе эту программу для изучения и Пааво Пихельгас. Однако то, что там обнаружилось, совершенно ему не понравилось.
Впоследствии, уже сам выступая по эстонскому телевидению, Пихельгас рассказал, что ему понадобилось 4 или 5 дней, чтобы найти в программе фатальную дыру. Причем дыру такую, о которой, по его убеждению, заведомо должны были знать и сами разработчики данной системы.
Технические подробности данной уязвимости исследователь пока раскрывать не стал, но продемонстрировал на практике суть дефекта. Пихельгас написал и подсадил в компьютер вирус, который способен блокировать голоса, отданные избирателями за определенных кандидатов из списка, одновременно создавая видимость того, будто голос на самом деле отдан и отправлен в избирательную комиссию.
Иначе говоря, программист на реальном примере собственного «избирательного компьютера» и с привлечением нескольких избирателей-добровольцев показал совершенно реалистичный механизм для манипуляции результатами выборов. Проголосовавшие люди уверены, что отдали свои голоса за выбранного кандидата, программа подтвердила их выбор, однако на самом деле голоса избиркомом не учтены.
Причем вся система электронного голосования устроена в Эстонии так, что реально проверить, за кого именно был отдан их голос и учтен ли он вообще, избиратели возможности не имеют (хотя в принципе технические решения для этого известны).
К чести эстонских властей, сигналы тревоги от социально активного и сильно встревоженного студента-программиста были вполне своевременно услышаны. Технический руководитель проекта Тарви Мартенс лично встречался с Пихельгасом 28 февраля, то есть еще до дня основных «бумажных» выборов 6 марта (электронные выборы в Эстонии проходят заранее).
После этой встречи Мартенсу пришлось честно признать, что оконечные персональные компьютеры – это самое слабое звено в их системе: «То, что состояние компьютеров пользователей не может быть проверено – это фундаментальная проблема. Но что мы можем сделать и что мы реально делаем, так это выявляем подобные аномалии»…
Вся прочая масса слов из реакции Мартенса, к сожалению, по смыслу сводилась к защите созданной ими технологии электронного голосования и к явному нежеланию от нее отказываться. Причем аргументы использовались совершенно демагогические.
Начав с того, что лично он «не впечатлен» программной уязвимостью, обнаруженной тартусским студентом, Мартенс напомнил, что строго доказать безопасность какой-либо ИТ-системы невозможно в принципе. А потому, вполне признавая, что любая – в том числе и их – система является несовершенной, Мартенс не видит никаких причин, почему программу онлайнового голосования не следовало бы продолжать использовать и дальше.
В ответ же на провокационный вопрос, почему уникальная эстонская модель интернет-голосования не используется на национальных выборах в других странах мира, Мартенс сказал, что мало какие из государств имеют ныне столь устоявшиеся и высококачественные карты электронной идентификации, необходимые для подтверждения личности голосующего. По мнению Мартенса, самое главное – это всеобщее согласие на ИТ-новации: «Собственно технология безопасна, однако требуется достичь политического консенсуса»…
Из аргументации этого специалиста как бы само собой следовало, что в Эстонии столь нужный политический консенсус уже достигнут. Однако последующие события наглядно продемонстрировали, насколько это не так и сколь далек от своего разрешения вопрос о безопасности электронных выборов.
Так как Пааво Пихельгас остался совершенно не удовлетворен тем, что избирком по сути проигнорировал указанные им слабости в технологии э-голосования, он написал жалобу в Верховный суд страны, требуя аннулировать результаты электронных выборов в парламент из-за угрозы их легкой подделки. Верховный суд подошел к рассмотрению этого требования следующим – весьма показательным – образом.
Как было отвечено истцу, согласно закону, Верховный суд может аннулировать результаты выборов в том случае, если установлен факт нарушения прав голосующих, который имел или мог иметь существенный эффект на итоги выборов. Основываясь на том, что Пихельгас принимал участие в своих тестах добровольно, Верховный суд не нашел свидетельств, что его права как избирателя были ущемлены – коль скоро он осознанно сам поставил себя в ситуацию, когда его голос не достиг веб-сервера избирательной комиссии…
То есть налицо знакомая как мир картина, когда у госвластей нет никакого интереса к активной социальной позиции человека, пытающегося сделать свое государство чуть более честным и справедливым. В большинстве случаев подобные коллизии на столь унылой ноте обычно и заканчиваются. Однако в данной ситуации к конфликту тут же решила подключиться одна из крупнейших в Эстонии политических сил, Центристская партия, пытающаяся разыгрывать «русскую карту» и по результатам последних выборов опять оказавшаяся в оппозиции.
25 марта руководство Центристской партии направило в Государственный суд Эстонии иск с требованием признать недействительными результаты парламентских выборов. По словам генерального секретаря Прийта Тообала, решение обратиться в суд их партия приняла после того, как был отклонен иск Пааво Пихельгаса, который сумел наглядно показать, что электронным голосованием можно манипулировать, причем об этом не узнают ни избиратель, ни Республиканская избирательная комиссия. Иначе говоря, по мнению партии, проведение электронного голосования в Эстонии не контролируется, а соответствующая процедура никоим образом не соответствует той, что наблюдается на избирательных участках…
Чем закончится эта атака на электронные выборы в Эстонии, пока прогнозировать рано. Хотя и очевидно, что собственно с надежностью технологии дела там – как впрочем и везде – обстоят довольно неважно. Но если в других странах Европы на подобные сигналы власти обычно реагируют конструктивно (отказываясь от системы, заведомо чреватой манипуляциями), то в других регионах планеты, вроде Азии, реакция может быть и в корне иной.
В Индии, скажем, после того, как интернациональная группа исследователей в пух и прах развеяла миф о декларировавшейся госчиновниками неуязвимости их машин для электронного голосования, с участниками этой аналитической работы стали происходить очень некрасивые вещи.
Собственно историю о тотальной компрометации индийских машин голосования EVM весной 2010 года можно прочесть в материале «Голос недоверия», а здесь – в двух словах – будет лишь рассказ о том, что после этого учинили индийские власти против исследователей.
Главный участник от индийской стороны, инженер-компьютерщик Хари Прасад (Hari K. Prasad), в августе 2010 был арестован полицией по очевидно сфабрикованному обвинению в «краже» той машины голосования, которую он с коллегами исследовал на предмет уязвимости. Этот аппарат команде Прасада на несколько дней был неофициально предоставлен знакомыми с одного из складов, поскольку по официальным каналам госструктуры Индии предоставить машину для независимого анализа так и не решились.
Когда же систему удалось-таки проанализировать, безрадостные результаты исследования до того не понравились властям, что Прасада решили наказать – арестовав и продержав за решеткой около 8 дней. Потом, правда, инженера все же пришлось отпустить на волю под залог, однако о прекращении «дела о хищении» официально не сообщалось.
Другой участник исследования, Алекс Хэлдерман (Alex Halderman), известный американский хакер и профессор информатики в Мичиганском университете, столкнулся с откровенной неприязнью со стороны индийских госвластей в декабре 2010, когда прилетел для участия в технической конференции в Гуджарате. Дальше международного аэропорта им. Индиры Ганди, однако, ученого не пустили. Не предоставив никаких объяснений своим действиям, индийские чиновники просто депортировали Хэлдермана прочь из страны…
Короче говоря, остается надеяться, что Эстония это не Индия. И если эстонскую систему электронного интернет-голосования не отменят сами власти, то раньше или позже ее все равно необратимо скомпрометируют компьютерные умельцы. Потому что любые разговоры о безопасности подобных систем – это или некомпетентность, или обман.
Либо то и другое разом.
kiwi arXiv 