Comments 38
Что такое "открытый ключ маскируется"? Нет ли здесь потенциального бэкдора, т.е. возможности "снять маску" на стороне сервера, выдающего бюллетень?
Новая система настолько продвинута, что ещё исходный код не успели выложить, а уже проводят голосование.
Не, на бумаге на 85% действительно безопасно, но на одной вере без исходников (особенно серверов) и грамотной реализации далеко не уедешь. Мне вот больше нравиться голосовать в багажнике на УИК 838))
Частично исходники лежат на гитхабе Центральная избирательная комиссия Российской Федерации · GitHub
Свежие выложат в начале сентября
Ну и в серверных исходниках в федеральной системе смотреть особо не на что, практически всё реализовано на клиентской сторон — сервер делает проверку гражданина по ЕСИА, слепую подпись его ключа, выдаёт бюллетень, потом принимает этот бюллетень уже заполненный и зашифрованный и кладёт в блокчкейн. В московской системе, где ради отложенного голосования прикрутили аж два блокчейна, сложнее — там появилась логика перекладывания из блокчейна в блокчейн, которая отбрасывает дублирующиеся голоса; её обещали в ближайшем будущем (до выборов) показать.
Ну есть у вас исходники, тогда вам нужен доступ на сервер системы голосования с правами чтения для сверки контрольных сумм конечных файлов собранных из исходников, иначе и исходникам грош. Ну либо в онлайне отображать работу системы мониторинга их контрольной суммы да и там можно намухлевать.
Если кратко, то не верится.
Если полно, то докажите картинки.
Большая часть того, что на картинках, в момент выборов выполняется прямо на устройстве пользователя в браузере.
До реального голосования потыкать в это можно будет на публичном тестировании 7-9 сентября, плюс, мы надеемся (это в ЦИК РФ сейчас в обсуждении), в начале сентября систему откроют для желающих её похакать в специальном режиме (обсуждалась, например, серия коротких голосований, по 4-6 часов, вместо одного многодневного) на недельку.
Каким образом заэтим голосованием возможно наблюдать?
При бумажном голосовании мы можем следить за тем, чтобы голоса, отданные за Иванова не зачислили Петрову, чтобы бюллетени за Иванова не выкинули в мусорку и не отметили как испорченные, что не привезли пачку бюллетеней за Сидорова, которые вбросили в урну. А здесь что? Вот radiobutton, испортить бюллетень нельзя, каждое голосование — через аутентификацию, возможно ровно раз. Что наблюдать? Что система верно сложила A1+А2+… Аn по участкам?
kdma
А номера РФ за границей уже блокировать что-ли начали?
Вы полагаете, что у каждого гражданина РФ, постоянно проживающего за границей, есть российская симка? На кой она ему? У него и паспорта внутреннего нет.
— Вообще, замечательно. Поступь прогресса; дай бог, цифровизация будет только шириться, и староверы «мы верим только бумаге» останутся маргиналами (в это слово не вложено никакого негативного смысла — прим.)
При бумажном голосовании мы можем следить за тем, чтобы голоса, отданные за Иванова не зачислили Петрову, чтобы бюллетени за Иванова не выкинули в мусорку и не отметили как испорченные, что не привезли пачку бюллетеней за Сидорова, которые вбросили в урну
Да, но нет. То есть теоретически вы следить можете — но практически это звучит примерно как «исправить ошибки в программе можно очень просто — возьмите её исходный код, прочитайте и исправьте все ошибки».
В России примерно 97 тысяч УИКов, чтобы наблюдение реально работало — надо хотя бы на 80 % из них подготовить наблюдателей от 5-6 партий на каждый. Наблюдатели должны знать свои права и обязанности, знать порядок проведения выборов и подсчёта голосов, уметь правильно оформлять свои замечания, не состоять в родстве или подчинённости с председателем УИК, не состоять в сговоре друг с другом...
В общем, это нереально. Это надо минимум полмиллиона подготовленных и проверенных людей на Россию. Даже парламентские партии такое не вытянут, не говоря уже про второй эшелон.
В результате наблюдение за «бумагой» работает в крупных городах, в первую очередь в Москве, а начиная с областных центров творятся истинные чудеса (десятки процентов испорченных бюллетеней, УИКи, где бюллетеней получено ровно столько, сколько выдано, и так далее). Политтехнологи оценивают, что чисто региональным творчеством где-то 10 % можно пририсовать даже на больших выборах.
И что вообще предлагается пронаблюдать?
Три этапа:
до выборов — оценка архитектуры системы, возможных слабых мест и уязвимостей, вообще формирование понимания, как она работает и чем именно обеспечивается целостность процесса (сегодня выложим про это обзорную статью на примере федеральной системы)
в процессе голосования — контроль непрерывности работы системы, выгрузка промежуточных результатов (в федеральной системе текущие транзакции показываются на морде портала наблюдения, в московской ещё и каждые полчаса формируется CSV-файл с ними)
по окончании — сверка промежуточных результатов с финальными (совпадение транзакций), самостоятельная расшифровка и подсчёт голосов в финальной выгрузке, изучение статистики выдачи и приёма бюллетеней по времени (она посекундная), изучение жалоб избирателей.
На ближайших выборах у федеральной системы будет выделенный ТИК ДЭГ (это больше дань формальности, там сидит комиссия, которая официально удостоверяет результат выборов), группа технического наблюдения в Общественной палате РФ (с прямым доступом к ноде блокчейна), плюс на внешнем портале наблюдения текущие транзакции блокчейна будет видно. У московской системы — observer.mos.ru, там текущие транзакции и выгрузки блокчейна в CSV.
Плюс к этому могут подключиться обычные наблюдатели на участках, выборочным обзвоном контролирующие, что открепившиеся на ДЭГ избиратели действительно это сделали сами и действительно проголосовали в ДЭГ.
Вообще, по наблюдению «из дома» напишем статью, наверное, в начале сентября. По фактической работе ТИК ДЭГ и ГТН ОП РФ можем после выборов сделать обзор, у нас и там, и там планируются наши люди.
Какой вообще смысл в блокчейне, если у наблюдателей нет возможности поднять независимые ноды? И как проконтролировать возможность государства просто нарегать кучу фейковых аккаунтов и проголосовать с них как им хочется?
Блокчейн сильно упрощает внутренную механику для разработчиков, логика системы делается на смарт-контрактах, защита от модификации данных идёт «из коробки».
И как проконтролировать возможность государства просто нарегать кучу фейковых аккаунтов и проголосовать с них как им хочется?
Во-первых, это не просто «куча фейковых аккаунтов», а «куча верифицированных аккаунтов Госуслуг, сверенных с базами данных МВД и ЦИК России и внесённых в список избирателей». То есть, внезапно заводить толпу несуществующих граждан должны будут сразу несколько ведомств синхронно. Это, скажем так, маловероятное событие — они до сих пор существующие базы друг с другом сопоставить-то до конца не могут.
Во-вторых, нельзя просто вбросить голоса пачкой, это будет видно на графике их поступления, он посекундный. Более того, после расшифровки можно построить посекундную динамику голосов за каждого кандидата.
В-третьих, их ещё и надо будет регистрировать на голосование, потому что при типовой явке в районе 95 % много не вбросишь.
до выборов — оценка архитектуры системы, возможных слабых мест и уязвимостей, вообще формирование понимания, как она работает и чем именно обеспечивается целостность процесса (сегодня выложим про это обзорную статью на примере федеральной системы)
А как мне убедится до выборов мне дали посмотреть на то же самое, что используется во время выборов?
Мы сделаем про наблюдение отдельную статью. В т.ч. про то, что и как можно смотреть, не будучи ни членом ТИК ДЭГ, ни членом группы технического наблюдения ОП РФ.
Хм, подождите, а как же бесплатный эстонский SmartID? Почему он не упоминается?
На официальном сайте нет, где почитать? Или оно на выборах не применяется.
Для электронного голосования необходимы ID-карта или mobiil-ID и компьютер. На смарт-устройствах электронное голосование невозможно. Более подробное описание можно найти в разделе «Требования к избирателю и компьютеру»
Озадачили, пойду искать, а то выборы на носу
Официально пока ничего не описывается о системе SmartID. Если вы хотите чуть побольше почитать по поводу SmartID, то вам следует посмотреть тут и тут, так как всеми операциями с ключами и подписями занимается SK Solutions и Департамент Государственной Инфо-системы.
А вообще изучая вопрос о том, как государство решает с вопросом о единой аутентификации, заметил кое что интересное. За последний год-два государство начало связывать разные сервисы под единую систему аутентификации (Riigi Autentimisteenus) под кодовым названием Tara. Как гражданин Эстонии, использующий разные дигитальные услуги государства, скажу, что они перевели большую часть уже на эту единую систему. И так как эта "Тара" поддерживает новый SmartID, то я уверен, что систему электронного голосования тоже свяжут с данным сервисом, иначе это будет накладно и неэффективно для государства.
Странно, что автор не упомянул систему Smart-ID, которая популярнее mobil-id. Это приложение на телефон позволяющие условно зарегистрировать свою ID карту в телефон. После можно пользоваться практический всеми услугами с помощью телефона, где нужно себя индетефицировать. Никаких карт, считывателей, сим карт за 1 евро.
Наверное, потому что через Smart-ID пока нельзя голосовать.
https://www.valimised.ee/ru/elektronnoe-golosovanie
Для электронного голосования необходимы ID-карта или mobiil-ID и компьютер. На смарт-устройствах электронное голосование невозможно.
Как выше написал @maxgo1: если к выборам прикрутят "Tara", то да, через Smart-ID тоже можно будет.
А зачем в российской системе вообще блокчейн, если все ноды контролируются одной стороной? Ведь, я так понимаю, никто посторонний не может поднять свою ноду и принять участие в этом блокчейне? Чем такой подход отличается от просто использования какого-то центрального сервера с закрытым кодом?
Если бы это был настоящий блокчейн, то по идее была бы гарантия того, что код, выполняющийся на серверах избирательной коммиссии (или кто там ими заведует?), соответствует тому открытому коду, который выложен в общий доступ - т.к. если он не соответствует, то начали бы вылезать несовпадения с нодами, запущеными сторонними наблюдателями.
Как любой голосовавший может проверить не как сохранился его голос, а как он был учтён? Есть такой механизм?
Почему до сих пор голосование тайное? Что такого, чтобы голосование было именным?
Почему до сих пор не реализован механизм голосования на основе блокчейна?
Как я понимаю, после сохранения голоса в цепочке его изменить уже нельзя?
В московской системе голоса расшифровываются, можно в финальной выгрузке блокчейна а) найти свой голос и б) посчитать самостоятельно сумму голосов за каждого кандидата. В федеральной системе всё сложнее, там бюллетени не расшифровываются, проверка основана на математических доказательствах — напишем об этом механизме подробнее в одной из следующих статей, а на тестах системы в начале сентября можно будет попробовать.
Чтобы вас не уволили за неправильно сделанный выбор.
Во всех российских системах ДЭГ, от государственных до коммерческих (Polys Касперского) используется блокчейн.
на выдающий бюллетень сервер, где подписывается публичным ключом голосования.
Далее уже заполненный избирателем бюллетень подписывается созданным на его устройстве ключом (секретным), шифруется публичным ключом системы голосования, к нему прилагается сделанная ранее слепая подпись публичного ключа избирателя ...
Можно сохранить подпись замаскированного ключа и ФИО на сервисе авторизации и сверить эту подпись с той, что гражданин прикрепил к бюллетеню на сервере голосования. Таким образом тайна голосования будет нарушена.
P.S. tele2 конечно славно придумали за пользование сим-картой евро в месяц брать. "А если б каждый из сограждан дал мне по рублю..."
Вроде уже неоднократно обсуждалась достаточность проверок и прозрачности. В итоге в РФ требуют городить систему, скорее всего невозможную по организационным причинам, а в США никого долгое время не напрягало, что на избирательном участке документы показывать не надо.
Непонятно как осуществляется анонимность. И если голоса можно проверить, то откуда анонимность или проверить все-таки нельзя?
Во вторых непонятно кто может эту систему проверить на то, что все равботает как заявлено, а не иначе?
И есть ли у кого-то особый доступ к изменению голосов в системе или каких-то вбросов?
Что будет, если вдруг окажется, что система имеет дыру и некий хакер ее эксплуатировал, об этом стало известно в процессе голосования. Что тогда? Отмена электронного голосования или кто-то воспользуется своими админ правами и все исправит по быстрому как посчитает нужным? Например отменив чьи-то голоса как фальшивые? Или еще как-нибудь?
Про тайну голосования и проверку голоса подробнее: Протокол, который невозможен: как на самом деле в ДЭГ обеспечивают тайну голосования / Хабр (habr.com)
Что будет, если вдруг окажется, что система имеет дыру и некий хакер ее эксплуатировал, об этом стало известно в процессе голосования. Что тогда?
Отмена результатов ДЭГ.
Например отменив чьи-то голоса как фальшивые?
Это невозможно сделать незаметно.
Россия vs Эстония: сравнение электронных голосований