технологии удаленного голосования российская и зарубежная практика
Электронное голосование: технологии на выборах в разных странах
Современные избирательные технологии разнообразны: от привычных бумажных бюллетеней до онлайн-выборов. В начале 2000-х люди не задумывались о том, как голосовать, но с тех пор ситуация кардинально изменилась. Когда избиратели начнут голосовать в интернете, не выходя из дома?
Современные избирательные технологии разнообразны: от привычных бумажных бюллетеней до онлайн-выборов. В начале 2000-х люди не задумывались о том, как голосовать, но с тех пор ситуация кардинально изменилась. Когда избиратели начнут голосовать в интернете, не выходя из дома?
От перфокарт к сканерам
Вся история избирательных технологий неразрывно связано с разработками в области обработки информации. Если в XIX веке бумажные бюллетени были единственным способом голосования, то сегодня бюллетени подсчитывают с помощью компьютерных технологий.
Одним из первых опытов их применения стали выборы в штате Флорида в 2000 году: тогда бюллетени напечатали с перфокартами, но их дизайн добавил властям много проблем — машины неправильно считывали голоса. Перфокарты были заменены на электронные машины. Это нововведение вызвало бурную дискуссию о том, можно ли доверять компьютерам подсчитывать голоса избирателей. Этот спор не прекращается до сих пор: он привел к сокращению использования электронных устройств в избирательных кампаниях по всему миру.
В разное время на выборах в США использовали пять способов подсчета: ручной подсчет, электронные устройства прямой записи голосов, машины с механическим рычагом, перфокарты, отсканированные бумажные бюллетени. Отсканированные бумажные бюллетени впервые были использованы в 1960-х годах. Технология была скопирована с системы проведения стандартизированных тестов. Сканер считывает бюллетень, в конце дня члены избирательной комиссии распечатывают итоговые данные о количестве голосов.
Цифровые технологии на выборах: за и против
Главной темой дискуссий о технологиях голосования с 2000-х годов остается роль компьютеров в регистрации и подсчете голосов. Особенно спорно положение о полностью электронной регистрации голоса, без какой-либо бумажной резервной записи. Например, среди лидеров противников электронного голосования — профессор Дэвид Лилл из Стенфордского университета. Он утверждает, что сегодня самые значимые проблемы выборных технологий — это возможность злоумышленникам перехватывать голоса, поданные удаленно, а также хакерские атаки на саму систему голосования.
Онлайновые базы данных значительно облегчают задачу создания и управления актуальными списками избирателей. В менее развитых странах граждане зачастую не имеют надежных удостоверяющих личность документов. Биометрические технологии помогают идентифицировать избирателей и тем самым предотвратить мошенничество через многократное голосование. Электронные машины для голосования значительно облегчили выборы для людей с ограниченными физическими возможностями. В США избиратели с ослабленным зрением могут использовать аудиоинтерфейс, люди с парализованными конечностями могу выбирать кандидатов с экрана при помощи движения головой.
В электронном голосовании начинают применять блокчейн. ЦИК России совместно с «Ростелекомом» объявили о разработке системы голосования с применением новой технологии. Ее используют 13 сентября 2020 года на дополнительных выборах депутатов Государственной думы в Курской и Ярославской областях. Первое техническое тестирование системы дистанционного электронного голосования (ДЭГ) прошло 7 августа, 31 августа состоится публичное тестирование системы. При этом российская ДЭГ не заменит полностью традиционное голосование по бюллетеням: избиратель сможет выбрать, какой способ ему удобнее. Для этого он может заранее подать заявление на дистанционное голосование через портал госуслуг. «Ростелеком» назвал преимущества системы: безопасность доступа, надежность обработки информации, гарантированную конфиденциальность и возможность контроля над процедурой голосования, включая наблюдателей.
Однако кроме преимуществ у цифровых технологий в голосовании есть и негативные аспекты. Нематериальная природа цифровых процессов затрудняет обнаружение фальсификаций — это иллюстрирует опыт латиноамериканских и азиатских стран. Большинство европейских стран сегодня пользуются проверенными бумажными бюллетенями.
Цифровые технологии не могут помочь, когда избирательные органы коррумпированы или проявляют халатность. На выборах 2017 года в Венесуэле явка избирателей была завышена как минимум на один миллион голосов (при населении страны в 32 миллиона человек). На парламентских выборах в России в 2011 году применялось видеонаблюдение на избирательных участках. Камеры зафиксировали многочисленные вбросы бюллетеней в урну в пользу правящей партии «Единая Россия». Электронное манипулирование невидимыми цифровыми процессами гораздо сложнее обнаружить, если отсутствует резервная система, фиксирующая голосование на бумаге.
Также цифровые технологии могут добавить проблем с проверкой результатов. Избиратели зачастую не понимают, как работают машины для голосования, и поэтому не могут узнать, правильно ли был учтен их голос. В 2009 году этот аргумент стал решающим для Конституционного суда ФРГ: страна вернулась к использованию бумажных бюллетеней. Резервная бумажная система позволяет избирателям знать, что в случае оспаривания результатов выборов есть документ, подтверждающий учтенный голос.
Нерешенные проблемы привели к тому, что в 2006 году правительство Ирландии отказалось от проекта электронного голосования, несмотря на то, что потратило на оборудование более 50 миллионов евро. В следующем, 2007 году Нидерланды вернулись к бумажным бюллетеням после десяти лет использования электронных машин для голосования. Несмотря на это, применение цифровых технологий на выборах могут стать выгодным вложением для развивающихся стран. Биометрия обеспечивает признание результатов голосования и снижает риски насилия после выборов.
Списки избирателей: биометрия и хакерские атаки
Почти во всех странах создание и ведение списков избирателей, а также передача и подсчет результатов голосования происходят в цифровом формате. Однако электронное подведение итогов выборов менее распространено: чаще всего это происходит в странах с подтасовками результатов. Цифровые технологии не идеальны: ошибки случаются даже при биометрической идентификации избирателей.
После введения в Венесуэле цифровой проверки отпечатков пальцев на выборах в 11% случаев система не смогла сопоставить отпечатки пальцев избирателей с записями в избирательном списке. Пакистан в 2018 году отказался от сканирования, несмотря на то, что с помощью технологии были выявлены тысячи сфальсифицированных голосов. В Кении в 2017 году во время передачи данных произошел системный сбой, который привел к задержке публикации результатов. В конечном итоге кенийские власти отменили результаты выборов.
Опыт большинства стран ЕС показателен: для составления списков избирателей на выборах данные извлекают из реестров населения. В странах, где списки формируются с нуля, например, в Австралии, избиратели самостоятельно регистрируются с помощью онлайн-формы. В Танзании граждане заполняют машиночитаемый бумажный бланк, который затем копируется сканером. Однако сложность обновления и перекрестной проверки бумажных избирательных списков повышает риски фальсификаций. В списки могут включить умерших избирателей или сделать несколько записей одного и того же лица. Цифровые реестры оказываются более управляемы: они применяются в Норвегии, Монголии и 17 других странах мира.
Создание точных списков в онлайне затруднено в странах, где граждане не имеют документов, удостоверяющих личность. Отсутствие надежного метода проверки личности позволяет людям регистрироваться несколько раз: например, на выборах 2011 года в Конго более 700 тысяч человек (1% от общей численности населения) смогли зарегистрироваться дважды. Для предотвращения фальсификаций в 45 странах (в основном африканских) используют сканирование отпечатков пальцев. В Сомали в качестве метода проверки ввели сканирование радужной оболочки глаза.
Чтобы решить проблему идентификации, некоторые страны выдают при регистрации на выборах специальное удостоверение личности, которое граждане используют для идентификации на избирательных участках. Так поступили в Гвинее, Конго и Либерии. В Кении, Гане и Нигерии удостоверение личности включает отпечаток пальца, которое сканируется для проверки личности владельца карты.
Серьезная проблема на выборах — это многократное голосование, например, в России, где эта практика известна под названием «карусели». Чтобы предотвратить повторное голосование, страны отмечают пальца избирателей чернилами, которая, однако, не является полностью несмываемой. Иногда такой метод становится опасным: в 2014 году некоторым афганским избирателям отрубили пальцы за то, что они не выполнили призыва талибов бойкотировать выборы. По сравнению с чернилами биометрическая идентификация — более безопасный и незаметный метод борьбы с многократным голосованием.
Еще одно препятствие при подсчете голосов — неграмотность. Избиратели не могут прочитать бюллетени или инструкции по их заполнению. В Индии, где 31% взрослого населения неграмотно, большинство недействительных голосов отбраковываются из-за таких ошибок: в бюллетене может отсутствовать отметка в нужном месте. Электронные машины для голосования, введенные в 2003 году, устранили эту проблему. Теперь индийские избиратели активируют кнопку рядом с логотипом соответствующей партии или кандидата. В системах приема бумажных бюллетеней сканер программируют таким образом, что он принимает только корректно заполненные бюллетени.
Электронные системы голосования уязвимы для внешних атак. Во время президентских выборов в США 2016 года была отмечена хакерская атака предположительно из России на компьютеры для голосования в 20 штатах США. В 2006 году в Дании участники движения We do not trust voting computers («Мы не доверяем компьютерам для голосования») перепрограммировали компьютеры на избирательных участках для игр в шахматы. В 2010 году в Индии хакерам удалось получить доступ и перепрограммировать машину для голосования с помощью мобильного телефона. Низкое качество программного обеспечения электронного голосования делает систему уязвимой для подобных атак.
Интернет-голосование
Следующий этап развития выборных технологий — интернет-голосование. Он оказался еще более спорным. С одной стороны, гражданам не нужно посещать избирательные участки — и решается проблема явки избирателей на выборах. С другой стороны, современные технологии не позволяют полностью обезопасить системы электронного голосования от хакеров. Растущее число кибератак на системы электронного голосования подтверждают опасения экспертов.
Интернет-голосование является удобным решением для избирателей, которые физически не могут добраться до избирательных участков. Некоторые штаты США позволяют военнослужащим и избирателям, проживающим за рубежом, голосовать в интернете. Австралийский штат Новый Южный Уэльс разрешает этот вариант избирателям, которые находятся за пределами штата в день голосования, а также определенным категориям инвалидов и тем, кто живет более чем в 20 километрах от ближайшего избирательного участка.
Сегодня только Эстония предоставляет всем избирателям возможность онлайн-голосования на национальных выборах. В 2017 году доля проголосовавших онлайн составила 32%. Эстонским избирателям поставляются ID-карты с чипом и кардридером, что делает их пригодными для аутентификации в интернете. В 2007 году национальная избирательная комиссия Эстонии оценила расходы на разработку и внедрение интернет-голосования. За четыре года расходы составили 400 тысяч евро. По оценкам комиссии, в 2017 году интернет-голосование позволило сэкономить 11 тысяч рабочих дней.
Хотя нет никаких доказательств того, что интернет-голосование в Эстонии было скомпрометировано, эта технология — очевидная мишень для хакеров. Поэтому в 2014 году эксперты по кибербезопасности рекомендовали Эстонии прекратить интернет-голосование, аргументируя это тем, что такой способ может быть небезопасным. Например, избирательные органы Австралии исключили интернет-голосование на федеральных выборах, поскольку это может «катастрофически подорвать прозрачность голосования». Чтобы исправить этот недостаток онлайн-выборов, с 2013 года эстонцы могут проверить свой голос, используя технологию E2EVV. Проверка избирателей не может предотвратить мошенничество, но может, по крайней мере, помочь в его выявлении.
Интернет-голосование потенциально компрометирует тайну голосования, так как невозможно гарантировать, что никто не будет наблюдать за избирателями, когда они подают свои бюллетени. Таким образом, повышается риск принуждения избирателей или даже покупки голосов. Чтобы исключить эту возможность, Эстония позволяет гражданам пересдавать свои голоса неограниченное количество раз в течение семидневного периода или, по истечении этого периода, аннулировать свой выбор в интернете, проголосовав лично.
Будущее электронного голосования
Выборы, проводимые с помощью цифровых технологий, должны соответствовать общим принципам, которые изложены в статье 25 Международного пакта ООН о гражданских и политических правах 1966 года. Документ предусматривает всеобщее и равное избирательное право и тайну голосования. Но международных стандартов, касающихся специфических характеристик электронного голосования, пока не существует. Совет Европы выпустил в 2004 году рекомендации по стандартам электронного голосования.
Среди рекомендаций Совета основные:
Разработчики новых систем голосования пытаются разрешить главную проблему любых выборов — это фальсификация результатов. Самым простым способом решения проблемы стала бы публикация выбора каждого избирателя, но это противоречит принципу тайны голосования.
В Массачусетском технологическом институте (MIT) предложили оригинальное решение. Одна из разработок института — система, в которой имена и выбор избирателей заменяют случайно сгенерированными кодами, эти коды выдаются гражданам при желании на избирательном участке после голосования. Избиратель после подсчета всех голосов может сверить свой результат онлайн с помощью выданного кода. Кроме того, любой гражданин может проверить корректность итога выборов по опубликованным результатам.
По словам исследователей, даже если только 2% избирателей воспользуются возможностью проверки своего голоса, этого будет достаточно, чтобы предотвратить попытку фальсификации.
Изобретенную систему в качестве эксперимента применили на выборах в городе Такома Парк, штат Мэриленд. Однако результаты показали, что предложенная система слишком сложная для избирателей и ее необходимо совершенствовать.
Хотите сообщить важную новость? Пишите в Телеграм-бот.
А также подписывайтесь на наш Телеграм-канал.
Обзор системы дистанционного электронного голосования ЦИК РФ
31 августа 2020 состоялся публичный тест системы дистанционного электронного голосования (далее ДЭГ) с применением технологии блокчейн, разрабатываемой по заказу ЦИК РФ.
Для знакомства с новой системой электронного голосования и понимания того, какую роль в ней играет технология блокчейн и какие еще компоненты используются, мы начинаем серию публикаций, посвященных основным техническим решениям, применяемым в системе. Начать предлагаем по порядку — с требований к системе и функциям участников процесса
Требования к системе
Основные требования, которые предъявляются к любой системе для голосования, в целом одинаковы и для традиционного очного голосования, и для дистанционного электронного голосования, и определены Федеральным законом от 12.06.2002 N 67-ФЗ (ред. от 31.07.2020) «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации».
Все эти участники взаимодействуют друг с другом.
Протокол взаимодействия
Рассмотрим процесс голосования на традиционном участке, с урной и бумажными бюллетенями. В общем упрощенном виде он выглядит так: избиратель приходит на участок и предъявляет документ, удостоверяющий личность (паспорт). На участке работает участковая избирательная комиссия, член которой проверяет личность избирателя и наличие его в списке избирателей, который был составлен ранее. Если избиратель найден, член комиссии выдает избирателю бюллетень, а избиратель расписывается в получении бюллетеня. После этого избиратель отправляется в кабинку для голосования, заполняет бюллетень, и опускает его в урну. Чтобы все процедуры соблюдались строго по закону, за всем этим следят наблюдатели (представители кандидатов, общественных институтов наблюдения). После завершения голосования избирательная комиссия в присутствии наблюдателей производит подсчет голосов и устанавливает итоги голосования.
Необходимые для проведения голосования свойства в традиционной системе голосования обеспечиваются организационными мерами и установленным порядком взаимодействия участников: проверкой паспортов избирателей, личной росписью за бюллетени, использованием кабинок для голосования и опечатанных урн для бюллетеней, порядком подсчета голосов и т.д.
Для информационной системы, которой является система дистанционного электронного голосования, этот порядок взаимодействия называется протоколом. Поскольку все взаимодействие у нас становится цифровым, этот протокол может рассматриваться как алгоритм, который реализуют отдельные компоненты системы, и комплекс организационно-технических мероприятий, выполняемых пользователями.
Цифровое взаимодействие накладывает определенные требования к реализуемым алгоритмам. Давайте рассмотрим действия, выполняемые на традиционном участке, в терминах информационных систем и то, как это реализовано в рассматриваемой нами системе ДЭГ.
Сразу скажем – технология блокчейн не является здесь «серебряной пулей», которая решает все вопросы. Для создания подобной системы потребовалось разработать большое количество программных и аппаратных компонентов, отвечающих за разные задачи, и связать их единым процессом и протоколом. Но при этом все эти компоненты взаимодействуют с блокчейн-платформой.
Компоненты системы
С технической точки зрения система ДЭГ представляет из себя программно-технический комплекс (далее ПТК), объединяющий набор компонентов для обеспечения взаимодействия участников избирательного процесса в единой информационной среде.
Схема взаимодействия компонентов и участников системы ПТК ДЭГ приведена ниже на рисунке.
Процесс дистанционного голосования
Теперь подробно рассмотрим процесс дистанционного электронного голосования и его реализацию компонентами ПТК ДЭГ.
Согласно Порядку дистанционного электронного голосования, для включения в список участников дистанционного электронного голосования избирателю необходимо подать заявление на портале Госуслуг. При этом подать такое заявление могут только те пользователи, которые имеют подтвержденную учетную запись и успешно сопоставлены с регистром избирателей, участников референдума системы ГАС «Выборы». После получения заявления данные избирателя еще раз проходят проверку в ЦИК России и загружаются в компонент «Список избирателей» ПТК ДЭГ. Процесс загрузки сопровождается записью уникальных идентификаторов в блокчейн. Доступ к просмотру списка имеют члены избирательной комиссии и наблюдатели с помощью специального АРМ, размещенного в помещении избирательной комиссии.
При визите избирателя на участок происходит его аутентификация (сопоставление с данными паспорта) и идентификация в списке избирателей, а также проверка того, что этот избиратель ранее еще не получал бюллетень. Здесь важный момент – невозможно установить, опустил ли избиратель полученный бюллетень в урну или нет, только факт того, что бюллетень уже выдавался ранее. В случае ПТК ДЭГ визит избирателя представляет собой обращение пользователя на Портал ДЭГ – это сайт, расположенный по адресу vybory.gov.ru Как и на традиционном участке, на сайте размещены информационные материалы о проводимых избирательных кампаниях, сведения о кандидатах и другая информация. Для проведения идентификации и аутентификации используется ЕСИА Портала Госуслуг. Таким образом, сохраняется общая схема идентификации как при подаче заявления, так и при участии в голосовании.
После этого начинается процедура анонимизации – избирателю выдается бюллетень, который не содержит никаких идентификационных отметок: у него нет номера, он никак не связан с избирателем, которому он был выдан. Интересно рассмотреть вариант, когда участок оборудован комплексами электронного голосования – в этом случае анонимизация выполняется следующим образом: вместо бумажного бюллетеня избирателю предлагается выбрать из стопки любую карточку со штрих-кодом, с которой он подойдет к устройству для голосования. На карточке нет никаких данных об избирателе, только код, определяющий, какой бюллетень должен быть предоставлен устройством при предъявлении такой карточки. При полностью цифровом взаимодействии основная задача – реализовать такой алгоритм анонимизации, чтобы, с одной стороны, невозможно было установить никакие идентификационные данные пользователя, а с другой стороны – предоставить возможность голосования только тем пользователем, кто ранее был идентифицирован в списке. Для ее решения в ПТК ДЭГ применяется криптографический алгоритм, известный в профессиональной среде как «слепая электронная подпись». Мы подробно расскажем о нем в следующих публикациях, а также опубликуем исходный код, вы тоже можете собрать дополнительную информацию из публикаций в интернете по ключевым словам – «криптографические протоколы тайного голосования» или «слепая подпись»
Затем избиратель заполняет бюллетень в месте, где невозможно увидеть сделанный выбор (закрытая кабинка) – если в нашей информационной системе избиратель голосует дистанционно, то единственное такое место – это личное устройство пользователя. Для этого пользователь сначала переводится на другой домен – в анонимную зону. Перед переходом можно поднять VPN-соединение и сменить IP-адрес. На этом домене и происходит отображение бюллетеня и обработка выбора пользователя. Исходный код, который исполняется на устройстве пользователя, изначально открыт – его можно увидеть в браузере.
После того как выбор сделан, бюллетень зашифровывается на устройстве пользователя с применением специальной схемы шифрования, отправляется и записывается в компонент «Распределенное хранение и подсчет голосов», построенный на базе блокчейн-платформы.
Одна из важнейших характеристик протокола – это невозможность узнать итоги голосования до его завершения. На традиционном участке это обеспечивается опечатыванием избирательной урны и контролем со стороны наблюдателей. В цифровом взаимодействии лучшим решением является шифрование выбора избирателя. Используемый алгоритм шифрования исключает возможность раскрытия результатов до завершения голосования. Для этого используется схема с двумя ключами: одним (открытым) ключом, который известен всем участникам, производится шифрование голоса. Расшифровать его этим же ключом нельзя, нужен второй (закрытый) ключ. Закрытый же ключ разделен между участниками избирательного процесса (членами избирательных комиссий, общественной палаты, операторами серверов подсчета, и так далее) таким образом, что каждая отдельная часть ключа бесполезна. Приступить к расшифровке можно только после того, как закрытый ключ будет собран. В рассматриваемой системе процедура разделения ключей включает в себя несколько этапов: разделение части ключа внутри системы, разделение ключа вне системы и формирование общего публичного ключа. Мы подробно покажем процесс шифрования и работы с криптографическими ключами в следующих публикациях.
После того как ключ собран и загружен, начинается подсчет итогов для их дальнейшей фиксации в блокчейне и последующего оглашения. Особенностью рассматриваемой системы является использование технологии гомоморфного шифрования. Мы подробно опишем этот алгоритм в следующих публикациях и расскажем о том, почему эта технология широко используется для создания систем голосования. А сейчас отметим ее основную особенность: записанные в систему учета зашифрованные бюллетени можно без расшифрования скомбинировать таким образом, что результатом расшифровки такого комбинированного шифротекста будет суммированное значение по каждому варианту выбора в бюллетенях. При этом в системе, конечно, реализованы математические доказательства корректности такого расчета, которые также записываются в систему учета и могут быть проверены наблюдателями.
Ниже приведена схема процесса голосования.
Блокчейн-платформа
Теперь, когда мы разобрали основные особенности реализации системы дистанционного электронного голосования, ответим на вопрос, с которого начинали – а какую роль в этом играет технология блокчейн и какие задачи она позволяет решить?
В реализованной системе дистанционного голосования технология блокчейн решает определенный круг задач.
Функциональность применяемой блокчейн-платформы обогащена использованием смарт-контрактов. Смарт-контракты проверяют каждую транзакцию с зашифрованными бюллетенями на подлинность электронной и «слепой» подписей, а также проводят базовые проверки корректности заполнения зашифрованного бюллетеня.
При этом в рассматриваемой системе дистанционного электронного голосования компонент «Распределенное хранение и подсчет голосов» не ограничивается только блокчейн-узлами. Для каждого узла может быть развернут отдельный сервер, который реализует основные криптографические функции протокола голосования – серверы подсчета.
Серверы подсчета
Это децентрализованные компоненты, обеспечивающие процедуру распределенной генерации ключа шифрования бюллетеней, а также расшифрование и подсчет итогов голосования. В их задачи входит:
Для придания системе необходимых свойств на различных этапах процесса голосования используются следующие криптографические алгоритмы:
Итоги
Давайте подведем некий промежуточный итог рассмотрения системы дистанционного электронного голосования. Мы кратко описали процесс и основные компоненты, которые его реализуют, а также определи средства достижения необходимых для любой системы голосования свойств: