Архив рубрики: Электронное голосование

Э-выборы в Эст-Индии

(Май 2014)

Как и все прочие компьютеры, электронные системы голосования в высшей степени уязвимы для хакерских атак. Поэтому вопрос доверия к таким системам пытаются переносить из сугубо технической области в сферы «национальной гордости»…

India-Evoting

Казалось бы, что общего может быть между совсем небольшой – с населением менее полутора миллиона человек – балтийской республикой и огромной державой Азии с народонаселением в тысячу раз большим, достигшим уже порядка 1,3 миллиарда?

А общим между ними оказывается то, что Эстония и Индия – это на сегодняшний день две самые (по мнению их властей) «передовые на планете демократии» в деле электронного голосования.

Читать далее Э-выборы в Эст-Индии

Сделаем это по-честному

(Февраль 2012)

Горячая тема выборов – это отнюдь не только политика. Имеется здесь и очень мощный технический аспект. Причем новейшие компьютерные инфотехнологии – при грамотном их применении – способны творить с процедурой голосования удивительные вещи. Например, обеспечивать честные и прозрачные выборы даже в условиях такой власти, которая насквозь разъедена коррупцией и воровством.

Scantegrity-Voting-Preparations

БитКойн для чайников

Для начала разговора о новейших достижениях в области технологий голосования, однако, имеет смысл обратиться – несколько парадоксальным образом – к существенно иной теме под названием «пиринговая система цифровых наличных BitCoin».

Уже успевшая получить среди сведущих специалистов титул «золотого стандарта» цифровой валюты, но по сию пору малоизвестная за пределами компьютерно-сетевого мира, эта система взаимных денежных расчетов пусть и не быстро, но вполне определенно проникает ныне в массовое сознание публики и в поп-культуру.

Одним из характерных признаков этого процесса становится появление темы БитКойна в сюжетах телевизионных сериалов. В частности, одна из последних – за январь 2012 – серий популярной американской ТВ-саги «Хорошая жена» (производственно-бытовая драма о нелегкой жизни женщин-юристов, как написали бы в советские времена) вышла под примечательным названием «Bitcoin для чайников».

Название картины никак нельзя назвать притянутым за уши, поскольку собственно BitCoin в данном эпизоде действительно выступает в качестве основы для очередной судебно-следственной интриги.

Нельзя не отметить и отчетливый «воспитательно-идеологический» подтекст послания: то, как именно данная платежная система преподносится конкретно в этом сериале, заведомо не подразумевает формирование у зрителей позитивного отношения к новой интернет-технологии (федеральные агенты разыскивают создателя BitCoin, чтобы надолго засадить его в тюрьму, поскольку самостоятельное «создание валютных систем» является в США государственным преступлением).

В жизни реальной, насколько известно, ничего подобного пока не происходит. Однако в том, что у госвластей (а также банков, сетей кредитных карт и прочих структур, работающих по традиционным принципам корпоративного бизнеса) нет абсолютно никаких резонов любить BitCoin – сомневаться не приходится.

Потому что BitCoin – как пиринговая или одноранговая система с открытым исходным кодом для обеспечения взаимных денежных расчетов на основе цифровых монет-биткойнов – это в концентрированном виде совершенно иная модель функционирования общества.

Для людей, использующих BitCoin, работа механизмов данной системы делает несущественными такие вещи, как банки, финансовое регулирование и правительственное вмешательство в их денежные дела.

По сути дела, обращение монет-биткойнов не может быть объектом контроля и манипулирований со стороны правительств или финансовых институтов, а взаимные денежные расчеты происходят непосредственно между двумя сторонами без всяких посредников.

При этом, поскольку здесь нет никакой центральной базы операций или операторов, функционирование данной системы нельзя остановить в принципе – пока есть люди, желающие продолжения ее работы.

С технической стороны это обеспечено тем, что система BitCoin характеризуется полностью децентрализованной структурой, в которой нет и в принципе не требуется никакого центрального сервера или доверяемых сторон для гарантированного обеспечения честных платежей.

Пользователи системы сами генерируют и держат у себя криптоключи к цифровым кошелькам со своими деньгами, расплачиваясь непосредственно друг с другом через прямые транзакции.

При этом вся сеть прочих пользователей BitCoin обеспечивает честность каждой транзакции, обладая надежными проверочными средствами для недопущения подделки денег и мошенничества с повторным использованием одних и тех же средств.

О подробностях функционирования столь любопытной системы можно прочесть вот тут, ну а сейчас уже явно пора пояснить, наконец, какое отношение все эти вещи имеют к честным выборам и к демократической смене власти, погрязшей в коррупции, воровстве и лжи.

CommitCoin для выборов

На международной криптографической конференции Financial Cryptography 2012 двое канадских ученых, Джереми Кларк и Александр Эссекс, представили свою исследовательскую работу под названием «CommitCoin – ‘углеродная датировка’ обязательств с помощью системы Bitcoin» (CommitCoin: Carbon Dating Commitments with Bitcoin, by Jeremy Clark and Aleksander Essex).

В этой работе исследователи-криптографы теоретически показали (а также уже продемонстрировали на практике реальных выборов), что богатые и общедоступные возможности БитКойна можно использовать, среди прочего, в качестве своеобразной формы «углеродной датировки» для фиксации времени появления практически любой цифровой информации. В конкретном же контексте электронных выборов эта технология оказывается весьма полезным инструментом для гарантированной защиты от жульничества и подделки итогов голосования даже в условиях заведомо нечестного избиркома. Читать далее Сделаем это по-честному

За честные Э-выборы

(Март 2012)

Идею о том, чтобы заменить традиционное голосование с урнами и бумажными бюллетенями на нечто более современное и подобающее веку цифровых инфотехнологий, пытаются воплотить в жизнь довольно давно. Однако лишь теперь появляются возможности сделать это действительно по-честному.

real-ballot

E2E вместо DRE

На протяжении предыдущих полутора-двух десятков лет, примерно, компьютерные новации самых разных стран в области модернизации избирательных участков сводились, главным образом, к массовому внедрению безбумажных, так называемых DRE-технологий.

Эта аббревиатура расшифровывается как Direct Recording Electronic, то есть «Электроника прямой записи», а означает специализированный компьютер-терминал, заточенный под быстрый и автоматизированный подсчет отдаваемых на выборах голосов – на основе нажимаемых избирателями кнопок и без всякой опоры на «архаичные» бумажные бюллетени.

Однако быстрый и удобный подсчет голосов избирателей – это, как известно, далеко не все и отнюдь не самое главное, что требуется от безусловно важной для демократии процедуры тайного голосования. Куда более существенными здесь принято считать такие аспекты, как обеспечение прозрачности выборов и полное доверие общества к избирательным технологиям. Но вот именно этого DRE-машинам продемонстрировать так и не удалось.

Хуже того, после многих лет тщательного изучения всех доступных для анализа технологий электронного голосования, реально применяемых во многих государствах, эксперты по защите информации не нашли среди них ни одной системы, действительно способной противостоять злоупотреблениям и тайным манипуляциям результатами выборов.

Иначе говоря, было констатировано, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.

Государственные власти тех стран, где электронные системы голосования уже массово применяются или же лишь опробываются в экспериментальном порядке, реагируют на итоги подобных анализов весьма разнообразно.

Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины, по здравом размышлении над свидетельствами экспертов, полностью отказались от технологии – как от ненадежной и чреватой злоупотреблениями. В США примерно то же самое сделали местные власти нескольких штатов.

В Бразилии же, напротив, для укрепления пошатнувшегося доверия к массово распространенным в этой стране машинам голосования, власти устроили нечто типа открытого конкурса на «лучший хакинг» технологии. А вот в Индии («самой крупномасштабной демократии на планете», как там любят говорить) независимых компьютерных исследователей, продемонстрировавших вопиющие слабости в массово применяемой электронике голосования, подвергли самым настоящим репрессиям.

Местного индийского активиста-электронщика арестовали, обвинив в «краже» избирательной машины (по знакомству неофициально полученной им на несколько дней для анализа), а его американского коллегу власти депортировали из страны, не утруждая себя объяснениями для столь недружелюбных действий…

За всеми этими – порой весьма драматичными – событиями вокруг DRE-машин, впрочем, оказывается как-то менее заметен совсем другой, ныне все более отчетливо проступающий элемент общей картины.

В принципе, нет ни малейших сомнений, что компьютерные системы голосования при желании можно весьма эффективно затачивать под тайные манипуляции. Однако, есть и другой научно доказанный факт. Как и любой другой инструмент двойного назначения, компьютерные технологии для выборов можно заточить и совсем иначе – под полную прозрачность и проверяемость результатов от начала до конца.

За такого рода подходом к выборам ныне уже устойчиво закрепилось название  E2E. Означает данное сочетание символов «end-to-end audit», что можно перевести как «сквозная проверяемость». Именно об этом направлении новейших разработок в области систем электронного голосования и имеет смысл говорить подробнее. Читать далее За честные Э-выборы

Сквозная прозрачность

(Ноябрь 2007)

Сильные, но малоизвестные технологии для честных электронных выборов

Ballot

Компьютерные технологии в системах голосования вызывают очень много споров, потому что с их помощью значительно легче подделывать результаты выборов. Но это смотря как к электронике подходить.

Как и любой другой инструмент двойного применения, компьютерные системы голосования можно затачивать под манипуляции, а можно и совсем наоборот – под полную прозрачность и проверяемость результатов от начала до конца (или кратко E2E – входящий ныне моду термин «end-to-end audit»).

Простые решения для сложных проблем

Что обычно принято подразумевать под честными и справедливыми выборами? Ответ на этот вопрос сводят к двум основополагающим принципам.

(1) Избиратели должны делать свое волеизъявление с помощью тайного голосования. Так, чтобы никто не мог узнать, кто как проголосовал (даже если избиратель почему-то захочет сам рассказать). Иначе говоря, чтобы никто не мог подкупить человека или вынудить силой к голосованию нужным образом, а избиратели, соответственно, не могли бы продавать свой голос.

(2) Процесс голосования должен быть точным и проверяемым. Так, чтобы все могли быть уверены, что никто не проголосовал больше одного раза; что никаких голосов не было вброшено, уничтожено или подменено; что голосовали только зарегистрированные избиратели, а все отданные голоса были подсчитаны правильно.

Главная проблема честных выборов в том, что два этих базовых принципа очень трудно совместить друг с другом.

Совсем несложно сделать голосование точным и проверяемым – просто зафиксировав все пары «избиратель-голос» и открыто опубликовав результаты для всеобщей проверки. Но тогда будет также очень просто подкупать голоса и манипулировать избирателями, подрывая основы демократии.

Механизмы же тайного голосования, с другой стороны, по «темной» природе своей дают широчайшее поле для злоупотреблений и махинаций с голосами.

Однако, как это часто бывает в жизни вообще, первоначальное восприятие вроде бы очевидного факта о плохой сочетаемости базовых принципов на самом деле оказывается неверным.

Например, на протяжении многих столетий люди были уверены, что засекреченная связь возможна лишь между теми, кто непременно владеет общим секретом – ключом к шифру.

Столь же прочны были и представления о единственно возможном механизме организации выборов с помощью избирательных комиссий, подсчитывающих конкретное число голосов, отданных за конкурирующих кандидатов.

Но четверть века назад в защите информации произошла великая революция, когда выяснилось, что существуют математически строгие методы засекречивания, позволяющие шифровать связь между абсолютно незнакомыми и никогда не общавшимися людьми – посредством криптографии с открытым ключом.

А попутно ученые установили, что с помощью тех же самых, в сущности, идей можно реализовать и честные выборы, успешно примиряющие взаимно-исключающие принципы. Правда, поначалу лишь в условиях идеализированных теоретических моделей, довольно далеких от реалий жизни.

Эти модели подразумевали избирателей, подающих свои голоса в зашифрованном виде, чтобы никто из счетчиков комиссии не знал содержимое заполненного бюллетеня. При этом специальный метод «доказательства с нулевым знанием» (zero knowledge proof) обеспечивал для счетчиков механизм, подтверждающий правильность учтенных и подсчитанных голосов.

А независимые комиссии наблюдателей, в свою очередь, могли проверять эти доказательства и убеждаться, что счетчики действительно не жульничали. Однако при этом никто не получал информации о том, кто и как за кого проголосовал – это становилось известно лишь на финише, при публикации итогового подсчета голосов.

Главная красота моделей была в том, что здесь не требовалось слепо доверять честности власти, организующей выборы, или программистам, сделавшим систему выборов по заказу правительства, или кому-либо еще. Никто из них просто в принципе не мог сжульничать. Потому что это было математически невозможно – обмануть и при этом не быть пойманным проверяющими (с убедительным доказательством жульничества).

Все, что для этого требовалось – заложить в систему права на верификацию. И тогда любой, в принципе, грамотный человек мог воспользоваться программой-верификатором (или написать собственную) и проверить доказательства честности выборов самостоятельно – согласно стандартным процедурам проверки.

Такого рода модели в теории выглядели совершенно великолепно, но для практического воплощения они были чересчур сложны. Лежавшие же в их основе идеи основаны на нетривиальной математике, доступной для понимания лишь специалистам. А потому убедить обычного среднестатистического избирателя в том, что новая схема выборов намного лучше всех прежних, казалось задачей практически невыполнимой.

Иначе говоря, обеспеченные криптографией подлинно честные выборы многие годы рассматривались как грандиозная, в принципе, идея, но увы, абсолютно неприменимая в реальной жизни.

Подобные взгляды держались довольно долго, но затем – к середине нынешнего десятилетия – сразу несколько умных человек вдруг поняли, что те же самые в сущности идеи можно реализовать совсем просто, безо всякой мудреной математики и понятно даже для детей. Вряд ли должно удивлять, что людьми этими оказались видные и широко известные в мире ученые-криптографы.

Далее будут представлены две наиболее значительные из новых систем, впервые обнародованные – практически одновременно – около года тому назад (в 2006). Читать далее Сквозная прозрачность

Индикатор неискренности

(Март 2011)

Случилось так, что тема электронных выборов вообще, а в особенности дистанционных э-выборов через интернет и по телефону, стала для госвластей своеобразной проверкой на честность намерений. Демонстрируют это и продолжения двух разных, но в чем-то очень похожих историй – в Эстонии и в Индии.

mobile-voting

Ни для кого не секрет, что властям очень многих государств чрезвычайно нравится идея заменить традиционные выборы с бумажными бюллетенями и урнами для голосования на что-нибудь более современное и подобающее веку цифровых инфотехнологий. Вроде специальных компьютеров «прямой записи» для электронной регистрации голосов на избирательных участках, или же – еще лучше – систем дистанционного голосования на основе интернета, собственных компьютеров или сотовых телефонов самих избирателей.

Приниципиально важным препятствием для реализации этих прогрессивных идей является то, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.

Столь сильное заявление, естественно, является не личным мнением обозревателя, а результатом многолетних исследований наиболее авторитетных в мире специалистов по защите информации и системам электронного голосования. Тех специалистов, которые тщательно изучали все доступные системы такого рода, применяемые в самых разных государствах, и при этом не нашли среди них ни одной, способной противостоять злоупотреблениям и тайным манипуляциям с результатами выборов.

Государственные власти тех стран, где экспериментируют или уже массово используют электронные системы голосования, реагируют на итоги подобных анализов весьма разнообразно. Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины (от Direct Recording Electronics, т. е. Электроника прямой записи), по здравом размышлении над свидетельствами экспертов полностью отказались от технологии как от ненадежной и чреватой злоупотреблениями.

О том, насколько неадекватно (можно даже сказать позорно) отреагировали в Индии на прошлогоднее исследование независимых специалистов, продемонстрировавших вопиющие слабости в массово применяемой здесь «машине голосования», будет рассказано ближе к финалу.

Ну а сейчас самое время перейти к итогам мартовских (2011) выборов в Эстонии, коль скоро эта европейская страна не без оснований считается одним из главных в мире передовиков по внедрению «самых прогрессивных технологий голосования» – через интернет и сети мобильной связи (общую информацию на этот счет можно найти в материале «Сдвиг по фазе»).

Нынешний год в Эстонии стал особо примечательным, поскольку на очередных выборах в национальный парламент, Рийгикогу, избиратели имели возможность голосовать за кандидатов не только со своих домашних компьютеров, но и – впервые – с помощью мобильных телефонов. Относительно мобильников, правда, российские СМИ довольно сильно напутали в деталях, поэтому для начала необходимо дать разъяснения по существу. Читать далее Индикатор неискренности

Голос недоверия

(Май 2010)

Очередная весьма поучительная история вокруг электронных систем безбумажного голосования на этот раз непосредственно касается Индии. Или «крупнейшей на данной планете демократии», как не без гордости говорят о своем государстве сами индийцы.

EVM-cracked

Уже многие годы важнейшей особенностью выборов в Индии является то, что в подавляющем своем большинстве голоса избирателей отдаются без бумажных бюллетеней — с помощью машин голосования, работающих по технологии «электроники прямой записи» или кратко DRE (Direct Recording Electronics).

Хотя к настоящему времени избирательные машины типа DRE уже многократно и убедительно дискредитированы в научно-исследовательской литературе по компьютерной безопасности, официальные избирательные органы Индии упорно продолжают настаивать, что их техника — обычно именуемая EVM (от Electronic Voting Machine) —несмотря ни на что продолжает оставаться полностью надежной и безопасной.

В качестве примера «аргументов», которые при этом выдвигаются в защиту технологии, можно привести слова из сравнительно недавнего заявления для прессы, сделанного Избирательной комиссией Индии в августе 2009: «Сегодня Комиссия в очередной раз всецело подтверждает свою веру в непогрешимость аппаратуры EVM. Эти устройства полностью защищены от злоупотреблений, как это было и всегда».

Если же говорить о позиции лично главы нынешнего индийского избиркома, Навина Чавлы (Navin B. Chawla), то он в апреле 2010 в одном из интервью охарактеризовал электронные машины голосования как «совершенные» и не нуждающиеся ни в каких «технологических усовершенствованиях».

Уже по одним лишь этим заявлениям всякому человеку, мало-мальски сведущему в устройстве и работе компьютеров, станет понятно, что аргументы властей вряд ли имеют под собой хоть какую-то техническую основу и гораздо больше похожи на бездоказательные пропагандистские лозунги (ни один из реально применяемых компьютеров не может быть «полностью защищен от злоупотреблений», не говоря уже о «совершенстве»).

Тем не менее, дабы обосновать свои заявления, официальные люди государства обычно напирают на конструктивную простоту аппаратов EVM, которые действительно устроены намного проще, нежели большинство других машин DRE, нашедших применение в Америке, Европе и прочих регионах мира.

Но в то же время — как и всегда с техникой DRE — подробности об устройстве индийских EVM принято утаивать будто строго охраняемый секрет. Так что вплоть до последних месяцев эти машины никогда не подвергались сколь-нибудь тщательному независимому анализу на предмет безопасности.

Ныне, однако, устоявшаяся ситуация радикально изменилась, поскольку интернациональная группа авторитетных экспертов сумела-таки раздобыть индийский аппарат голосования EVM, всесторонне изучила безопасность машины без разрушающих методов анализа и опубликовала весьма нелицеприятную статью об итогах своих изысканий.

Ядро команды аналитиков составили три человека. Индиец Хари Прасад (Hari K. Prasad, на фото в центре) является директором NetIndia, фирмы ИТ-исследований и разработок, которая довольно давно выразила сомнения по поводу безопасности EVM. В 2009 году Центризбирком Индии публично призвал Прасада и его компанию продемонстрировать слабости EVM, однако в самую последнюю минуту власти отказались предоставить специалистам доступ к избирательным машинам.

Другой член нынешней команды, американец Алекс Хэлдерман (Alex Halderman, на фото слева), давно известный в интернет-сообществе как хакер, в свое время очень успешно вскрывавший всевозможные виды защиты аудио- и видеоконтента от копирования, ныне является профессором информатики Мичиганского университета и видным экспертом по безопасности систем электронного голосования.

Третий участник — голландский специалист Роп Гонгрейп (Rop Gonggrijp, на фото справа), был одним из ведущих активистов инициативной группы, которая в итоге добилась официального запрета на применение DRE-машин голосования в Нидерландах.

Кроме этих трех экспертов, в работе исследовательской группы участвовали еще полдюжины аналитиков — студенты Хэлдермана из Мичиганского университета и инженеры Прасада из NetIndia.

В своей итоговой статье авторы работы показывают, что хотя простое устройство EVM действительно делает машину менее уязвимой для целого ряда угроз, стоящих перед прочими и уже исследованными ранее компьютерами DRE, эта же самая особенность — простота — делает EVM весьма уязвимой для другого комплекса чрезвычайно опасных атак. Читать далее Голос недоверия

Сдвиг по фазе

(Февраль 2009)

Достижения и парадоксы в системах дистанционного электронного голосования.

mobile_voting

Последний месяц прошлого (2008) года для сферы электронных систем голосования ознаменовался двумя весьма важными и почти одновременными событиями, которые по парадоксальной сути своей должны, казалось бы, взаимно исключать друг друга.

С одной стороны, парламент Эстонии одобрил закон, согласно которому эта страна стала первым в мире государством, где выборы верховной власти теперь разрешено осуществлять не только через интернет, но и с личного мобильного телефона.

С другой же стороны, Национальный институт стандартов и технологий (НИСТ) США опубликовал большой и обстоятельный отчет по проблемам дистанционного электронного голосования, где вполне однозначно констатируется, что применяемые на сегодняшний день технологии не способны обеспечить надлежащие безопасность и целостность выборов через интернет и телефонные сети.

Все суверенные государства, спору нет, вольны иметь собственное мнение относительно того, как им лучше и удобнее устраивать свои выборы. Однако компьютерные технологии, на основе которых приходится создавать национальные системы электронного голосования, по существу являются одними и теми же абсолютно для всех. А потому имеет смысл разобраться, что же означает эта явно противоречивая ситуация. Читать далее Сдвиг по фазе