Сделаем это по-честному

(Февраль 2012)

Горячая тема выборов – это отнюдь не только политика. Имеется здесь и очень мощный технический аспект. Причем новейшие компьютерные инфотехнологии – при грамотном их применении – способны творить с процедурой голосования удивительные вещи. Например, обеспечивать честные и прозрачные выборы даже в условиях такой власти, которая насквозь разъедена коррупцией и воровством.

Scantegrity-Voting-Preparations

БитКойн для чайников

Для начала разговора о новейших достижениях в области технологий голосования, однако, имеет смысл обратиться – несколько парадоксальным образом – к существенно иной теме под названием «пиринговая система цифровых наличных BitCoin».

Уже успевшая получить среди сведущих специалистов титул «золотого стандарта» цифровой валюты, но по сию пору малоизвестная за пределами компьютерно-сетевого мира, эта система взаимных денежных расчетов пусть и не быстро, но вполне определенно проникает ныне в массовое сознание публики и в поп-культуру.

Одним из характерных признаков этого процесса становится появление темы БитКойна в сюжетах телевизионных сериалов. В частности, одна из последних – за январь 2012 – серий популярной американской ТВ-саги «Хорошая жена» (производственно-бытовая драма о нелегкой жизни женщин-юристов, как написали бы в советские времена) вышла под примечательным названием «Bitcoin для чайников».

Название картины никак нельзя назвать притянутым за уши, поскольку собственно BitCoin в данном эпизоде действительно выступает в качестве основы для очередной судебно-следственной интриги.

Нельзя не отметить и отчетливый «воспитательно-идеологический» подтекст послания: то, как именно данная платежная система преподносится конкретно в этом сериале, заведомо не подразумевает формирование у зрителей позитивного отношения к новой интернет-технологии (федеральные агенты разыскивают создателя BitCoin, чтобы надолго засадить его в тюрьму, поскольку самостоятельное «создание валютных систем» является в США государственным преступлением).

В жизни реальной, насколько известно, ничего подобного пока не происходит. Однако в том, что у госвластей (а также банков, сетей кредитных карт и прочих структур, работающих по традиционным принципам корпоративного бизнеса) нет абсолютно никаких резонов любить BitCoin – сомневаться не приходится.

Потому что BitCoin – как пиринговая или одноранговая система с открытым исходным кодом для обеспечения взаимных денежных расчетов на основе цифровых монет-биткойнов – это в концентрированном виде совершенно иная модель функционирования общества.

Для людей, использующих BitCoin, работа механизмов данной системы делает несущественными такие вещи, как банки, финансовое регулирование и правительственное вмешательство в их денежные дела.

По сути дела, обращение монет-биткойнов не может быть объектом контроля и манипулирований со стороны правительств или финансовых институтов, а взаимные денежные расчеты происходят непосредственно между двумя сторонами без всяких посредников.

При этом, поскольку здесь нет никакой центральной базы операций или операторов, функционирование данной системы нельзя остановить в принципе – пока есть люди, желающие продолжения ее работы.

С технической стороны это обеспечено тем, что система BitCoin характеризуется полностью децентрализованной структурой, в которой нет и в принципе не требуется никакого центрального сервера или доверяемых сторон для гарантированного обеспечения честных платежей.

Пользователи системы сами генерируют и держат у себя криптоключи к цифровым кошелькам со своими деньгами, расплачиваясь непосредственно друг с другом через прямые транзакции.

При этом вся сеть прочих пользователей BitCoin обеспечивает честность каждой транзакции, обладая надежными проверочными средствами для недопущения подделки денег и мошенничества с повторным использованием одних и тех же средств.

О подробностях функционирования столь любопытной системы можно прочесть вот тут, ну а сейчас уже явно пора пояснить, наконец, какое отношение все эти вещи имеют к честным выборам и к демократической смене власти, погрязшей в коррупции, воровстве и лжи.

CommitCoin для выборов

На международной криптографической конференции Financial Cryptography 2012 двое канадских ученых, Джереми Кларк и Александр Эссекс, представили свою исследовательскую работу под названием «CommitCoin – ‘углеродная датировка’ обязательств с помощью системы Bitcoin» (CommitCoin: Carbon Dating Commitments with Bitcoin, by Jeremy Clark and Aleksander Essex).

В этой работе исследователи-криптографы теоретически показали (а также уже продемонстрировали на практике реальных выборов), что богатые и общедоступные возможности БитКойна можно использовать, среди прочего, в качестве своеобразной формы «углеродной датировки» для фиксации времени появления практически любой цифровой информации. В конкретном же контексте электронных выборов эта технология оказывается весьма полезным инструментом для гарантированной защиты от жульничества и подделки итогов голосования даже в условиях заведомо нечестного избиркома. Читать «Сделаем это по-честному» далее

За честные Э-выборы

(Март 2012)

Идею о том, чтобы заменить традиционное голосование с урнами и бумажными бюллетенями на нечто более современное и подобающее веку цифровых инфотехнологий, пытаются воплотить в жизнь довольно давно. Однако лишь теперь появляются возможности сделать это действительно по-честному.

real-ballot

E2E вместо DRE

На протяжении предыдущих полутора-двух десятков лет, примерно, компьютерные новации самых разных стран в области модернизации избирательных участков сводились, главным образом, к массовому внедрению безбумажных, так называемых DRE-технологий.

Эта аббревиатура расшифровывается как Direct Recording Electronic, то есть «Электроника прямой записи», а означает специализированный компьютер-терминал, заточенный под быстрый и автоматизированный подсчет отдаваемых на выборах голосов – на основе нажимаемых избирателями кнопок и без всякой опоры на «архаичные» бумажные бюллетени.

Однако быстрый и удобный подсчет голосов избирателей – это, как известно, далеко не все и отнюдь не самое главное, что требуется от безусловно важной для демократии процедуры тайного голосования. Куда более существенными здесь принято считать такие аспекты, как обеспечение прозрачности выборов и полное доверие общества к избирательным технологиям. Но вот именно этого DRE-машинам продемонстрировать так и не удалось.

Хуже того, после многих лет тщательного изучения всех доступных для анализа технологий электронного голосования, реально применяемых во многих государствах, эксперты по защите информации не нашли среди них ни одной системы, действительно способной противостоять злоупотреблениям и тайным манипуляциям результатами выборов.

Иначе говоря, было констатировано, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.

Государственные власти тех стран, где электронные системы голосования уже массово применяются или же лишь опробываются в экспериментальном порядке, реагируют на итоги подобных анализов весьма разнообразно.

Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины, по здравом размышлении над свидетельствами экспертов, полностью отказались от технологии – как от ненадежной и чреватой злоупотреблениями. В США примерно то же самое сделали местные власти нескольких штатов.

В Бразилии же, напротив, для укрепления пошатнувшегося доверия к массово распространенным в этой стране машинам голосования, власти устроили нечто типа открытого конкурса на «лучший хакинг» технологии. А вот в Индии («самой крупномасштабной демократии на планете», как там любят говорить) независимых компьютерных исследователей, продемонстрировавших вопиющие слабости в массово применяемой электронике голосования, подвергли самым настоящим репрессиям.

Местного индийского активиста-электронщика арестовали, обвинив в «краже» избирательной машины (по знакомству неофициально полученной им на несколько дней для анализа), а его американского коллегу власти депортировали из страны, не утруждая себя объяснениями для столь недружелюбных действий…

За всеми этими – порой весьма драматичными – событиями вокруг DRE-машин, впрочем, оказывается как-то менее заметен совсем другой, ныне все более отчетливо проступающий элемент общей картины.

В принципе, нет ни малейших сомнений, что компьютерные системы голосования при желании можно весьма эффективно затачивать под тайные манипуляции. Однако, есть и другой научно доказанный факт. Как и любой другой инструмент двойного назначения, компьютерные технологии для выборов можно заточить и совсем иначе – под полную прозрачность и проверяемость результатов от начала до конца.

За такого рода подходом к выборам ныне уже устойчиво закрепилось название  E2E. Означает данное сочетание символов «end-to-end audit», что можно перевести как «сквозная проверяемость». Именно об этом направлении новейших разработок в области систем электронного голосования и имеет смысл говорить подробнее. Читать «За честные Э-выборы» далее

Сквозная прозрачность

(Ноябрь 2007)

Сильные, но малоизвестные технологии для честных электронных выборов

Ballot

Компьютерные технологии в системах голосования вызывают очень много споров, потому что с их помощью значительно легче подделывать результаты выборов. Но это смотря как к электронике подходить.

Как и любой другой инструмент двойного применения, компьютерные системы голосования можно затачивать под манипуляции, а можно и совсем наоборот – под полную прозрачность и проверяемость результатов от начала до конца (или кратко E2E – входящий ныне моду термин «end-to-end audit»).

Простые решения для сложных проблем

Что обычно принято подразумевать под честными и справедливыми выборами? Ответ на этот вопрос сводят к двум основополагающим принципам.

(1) Избиратели должны делать свое волеизъявление с помощью тайного голосования. Так, чтобы никто не мог узнать, кто как проголосовал (даже если избиратель почему-то захочет сам рассказать). Иначе говоря, чтобы никто не мог подкупить человека или вынудить силой к голосованию нужным образом, а избиратели, соответственно, не могли бы продавать свой голос.

(2) Процесс голосования должен быть точным и проверяемым. Так, чтобы все могли быть уверены, что никто не проголосовал больше одного раза; что никаких голосов не было вброшено, уничтожено или подменено; что голосовали только зарегистрированные избиратели, а все отданные голоса были подсчитаны правильно.

Главная проблема честных выборов в том, что два этих базовых принципа очень трудно совместить друг с другом.

Совсем несложно сделать голосование точным и проверяемым – просто зафиксировав все пары «избиратель-голос» и открыто опубликовав результаты для всеобщей проверки. Но тогда будет также очень просто подкупать голоса и манипулировать избирателями, подрывая основы демократии.

Механизмы же тайного голосования, с другой стороны, по «темной» природе своей дают широчайшее поле для злоупотреблений и махинаций с голосами.

Однако, как это часто бывает в жизни вообще, первоначальное восприятие вроде бы очевидного факта о плохой сочетаемости базовых принципов на самом деле оказывается неверным.

Например, на протяжении многих столетий люди были уверены, что засекреченная связь возможна лишь между теми, кто непременно владеет общим секретом – ключом к шифру.

Столь же прочны были и представления о единственно возможном механизме организации выборов с помощью избирательных комиссий, подсчитывающих конкретное число голосов, отданных за конкурирующих кандидатов.

Но четверть века назад в защите информации произошла великая революция, когда выяснилось, что существуют математически строгие методы засекречивания, позволяющие шифровать связь между абсолютно незнакомыми и никогда не общавшимися людьми – посредством криптографии с открытым ключом.

А попутно ученые установили, что с помощью тех же самых, в сущности, идей можно реализовать и честные выборы, успешно примиряющие взаимно-исключающие принципы. Правда, поначалу лишь в условиях идеализированных теоретических моделей, довольно далеких от реалий жизни.

Эти модели подразумевали избирателей, подающих свои голоса в зашифрованном виде, чтобы никто из счетчиков комиссии не знал содержимое заполненного бюллетеня. При этом специальный метод «доказательства с нулевым знанием» (zero knowledge proof) обеспечивал для счетчиков механизм, подтверждающий правильность учтенных и подсчитанных голосов.

А независимые комиссии наблюдателей, в свою очередь, могли проверять эти доказательства и убеждаться, что счетчики действительно не жульничали. Однако при этом никто не получал информации о том, кто и как за кого проголосовал – это становилось известно лишь на финише, при публикации итогового подсчета голосов.

Главная красота моделей была в том, что здесь не требовалось слепо доверять честности власти, организующей выборы, или программистам, сделавшим систему выборов по заказу правительства, или кому-либо еще. Никто из них просто в принципе не мог сжульничать. Потому что это было математически невозможно – обмануть и при этом не быть пойманным проверяющими (с убедительным доказательством жульничества).

Все, что для этого требовалось – заложить в систему права на верификацию. И тогда любой, в принципе, грамотный человек мог воспользоваться программой-верификатором (или написать собственную) и проверить доказательства честности выборов самостоятельно – согласно стандартным процедурам проверки.

Такого рода модели в теории выглядели совершенно великолепно, но для практического воплощения они были чересчур сложны. Лежавшие же в их основе идеи основаны на нетривиальной математике, доступной для понимания лишь специалистам. А потому убедить обычного среднестатистического избирателя в том, что новая схема выборов намного лучше всех прежних, казалось задачей практически невыполнимой.

Иначе говоря, обеспеченные криптографией подлинно честные выборы многие годы рассматривались как грандиозная, в принципе, идея, но увы, абсолютно неприменимая в реальной жизни.

Подобные взгляды держались довольно долго, но затем – к середине нынешнего десятилетия – сразу несколько умных человек вдруг поняли, что те же самые в сущности идеи можно реализовать совсем просто, безо всякой мудреной математики и понятно даже для детей. Вряд ли должно удивлять, что людьми этими оказались видные и широко известные в мире ученые-криптографы.

Далее будут представлены две наиболее значительные из новых систем, впервые обнародованные – практически одновременно – около года тому назад (в 2006). Читать «Сквозная прозрачность» далее