За честные Э-выборы

(Март 2012)

Идею о том, чтобы заменить традиционное голосование с урнами и бумажными бюллетенями на нечто более современное и подобающее веку цифровых инфотехнологий, пытаются воплотить в жизнь довольно давно. Однако лишь теперь появляются возможности сделать это действительно по-честному.

real-ballot

E2E вместо DRE

На протяжении предыдущих полутора-двух десятков лет, примерно, компьютерные новации самых разных стран в области модернизации избирательных участков сводились, главным образом, к массовому внедрению безбумажных, так называемых DRE-технологий.

Эта аббревиатура расшифровывается как Direct Recording Electronic, то есть «Электроника прямой записи», а означает специализированный компьютер-терминал, заточенный под быстрый и автоматизированный подсчет отдаваемых на выборах голосов – на основе нажимаемых избирателями кнопок и без всякой опоры на «архаичные» бумажные бюллетени.

Однако быстрый и удобный подсчет голосов избирателей – это, как известно, далеко не все и отнюдь не самое главное, что требуется от безусловно важной для демократии процедуры тайного голосования. Куда более существенными здесь принято считать такие аспекты, как обеспечение прозрачности выборов и полное доверие общества к избирательным технологиям. Но вот именно этого DRE-машинам продемонстрировать так и не удалось.

Хуже того, после многих лет тщательного изучения всех доступных для анализа технологий электронного голосования, реально применяемых во многих государствах, эксперты по защите информации не нашли среди них ни одной системы, действительно способной противостоять злоупотреблениям и тайным манипуляциям результатами выборов.

Иначе говоря, было констатировано, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.

Государственные власти тех стран, где электронные системы голосования уже массово применяются или же лишь опробываются в экспериментальном порядке, реагируют на итоги подобных анализов весьма разнообразно.

Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины, по здравом размышлении над свидетельствами экспертов, полностью отказались от технологии – как от ненадежной и чреватой злоупотреблениями. В США примерно то же самое сделали местные власти нескольких штатов.

В Бразилии же, напротив, для укрепления пошатнувшегося доверия к массово распространенным в этой стране машинам голосования, власти устроили нечто типа открытого конкурса на «лучший хакинг» технологии. А вот в Индии («самой крупномасштабной демократии на планете», как там любят говорить) независимых компьютерных исследователей, продемонстрировавших вопиющие слабости в массово применяемой электронике голосования, подвергли самым настоящим репрессиям.

Местного индийского активиста-электронщика арестовали, обвинив в «краже» избирательной машины (по знакомству неофициально полученной им на несколько дней для анализа), а его американского коллегу власти депортировали из страны, не утруждая себя объяснениями для столь недружелюбных действий…

За всеми этими – порой весьма драматичными – событиями вокруг DRE-машин, впрочем, оказывается как-то менее заметен совсем другой, ныне все более отчетливо проступающий элемент общей картины.

В принципе, нет ни малейших сомнений, что компьютерные системы голосования при желании можно весьма эффективно затачивать под тайные манипуляции. Однако, есть и другой научно доказанный факт. Как и любой другой инструмент двойного назначения, компьютерные технологии для выборов можно заточить и совсем иначе – под полную прозрачность и проверяемость результатов от начала до конца.

За такого рода подходом к выборам ныне уже устойчиво закрепилось название  E2E. Означает данное сочетание символов «end-to-end audit», что можно перевести как «сквозная проверяемость». Именно об этом направлении новейших разработок в области систем электронного голосования и имеет смысл говорить подробнее.

Scantegrity II

Для всех, кто в общих чертах знаком с принципами тайного голосования, представляется очевидной парадоксальная самопротиворечивость всей этой процедуры. С одной стороны, голоса отдаются тайно и анонимно, чтобы даже сами избиратели не могли доказать третьему лицу (за деньги или под принуждением), за кого именно отдали свой голос. А с другой стороны, процедура выборов должна быть прозрачной и проверяемо исключающей жульничество с итоговыми результатами.

Со времен изобретения голосования и вплоть до недавнего времени считалось, что ничего лучшего, чем урны и бюллетени, для уравновешивания этих противоречивых требований придумать невозможно. Однако на рубеже XX и XXI веков сразу несколько известных криптографов-математиков сумели продемонстрировать, что  на самом деле общая процедура тайного голосования может быть очень существенно улучшена.

Так что в конечном итоге – благодаря компьютерам и алгоритмам криптографии – буквально каждый из избирателей теперь имеет возможность не только отдать свой голос совершенно анонимно, но еще и лично убедиться по окончании выборов, что именно его голос не только был учтен в итоговых результатах, но и учтен правильно.

Иными словами, к настоящему времени уже не только разработаны, но несколько раз проверены на реальных выборах такие схемы тайного голосования, где проверить честность и правильность всех процедур учета голосов может практически любой желающий. И при этом остается строго соблюденной тайна голосования – благодаря остроумному применению таких известных в криптографии технологий, как цифровая подпись, цифровые наличные, разделение секрета и заблаговременные цифровые обязательства.

Один из наиболее отработанных на сегодня примеров E2E-технологий для голосования дает процедура под названием  Scantegrity II, которую в США и Канаде создала довольно большая интернациональная группа ученых, с участием таких авторитетных криптографов как Рон Райвест (соавтор RSA) и Дэвид Чом (один из отцов «цифровых наличных»).

Одна из главных и особо привлекательных особенностей системы  Scantegrity II в том, что она специально создана для усовершенствования уже существующих процедур голосования и работает как бы «поверх» них. То есть, если конкретный избиратель не хочет вникать в новации и воспользоваться новыми замечательными возможностями системы, он просто может проголосовать с тем же самым бюллетенем  «по-старому».

В основу Scantegrity II положена система голосования с оптическим сканированием бюллетеней –  на сегодняшний день ставшая доминирующей технологией в США.

В своей традиционной форме эта система обычно требует, чтобы избиратель заполнял окошки-кружки, напечатанные на бюллетене рядом с именами кандидатов. По заполнении избиратель с помощью специального компьютера сам сканирует свой бюллетень и затем бросает его в урну. Таким образом одновременно обеспечивается и быстрый подсчет голосов, и «бумажный след», необходимый для перепроверки компьютерных подсчетов.

А вот как работает E2E-надстройка, реализованная в Scantegrity II.

Здесь избиратель вместо обычной ручки использует особый фломастер, который проявляет уникальный код, напечатанный внутри кружка невидимыми чернилами. Когда этот бюллетень пропускается через обычный оптический сканер, тот просто определяет, какой именно из кружков против кандидатов был закрашен – то есть все как раньше.

Но кроме того, благодаря данной системе, теперь всякий избиратель, желающий проверить, что его голос учтен и подсчитан правильно, при выборах записывает тот код, который был проявлен в кружке бюллетеня, в сочетании с уникальным серийным номером бюллетеня. И забирает эту информацию домой.

Позднее избиратель может проверить свой серийный номер на веб-сайте избирательной комиссии и убедиться, что он поставлен в соответствие тому коду, который был внутри помеченного им кружка. Хотя он и вывешен на веб-сайте для всеобщего обозрения, здесь этот код уже никак не привязан к имени кандидата, за которого был отдан голос.

Вся система выстроена и математически рассчитана таким образом, что если всего лишь 2 процента избирателей проверят и подтвердят свои коды, то статистически оказывается практически невозможным, чтобы подделка результатов голосования прошла невыявленной.

* * *

BallotПример избирательного бюллетеня Scantegrity II.

Слева: образец исходного бюллетеня, в котором невидимые области условно помечены цветом (розовый и желтый). В середине: Напечатанный бумажный бюллетень. Коды подтверждения, напечатанные специальными чернилами, поначалу невидимы.  Справа: Отмеченный избирателем бюллетень и его корешок. Помечивание кружка фломастером-декодером делает код подтверждения видимым, а на отрывном корешке этот код записывается, чтобы унести его с собой для последующей проверки.