1. Прибор надо упрощать, а не усложнять. И не только из-за стоимости, но и для простоты контроля.
2. Вы создаёте ситуацию, когда в СМИ нельзя показать, что под чехлом.
3. Может увидим, а может и нет. Так себе защита.
4, Это всё ещё идея (и не очень понятная до сих пор), а не проект.
5. Невозможно проверить даже одну прошивку: см. иной, опробированный, способ верификации
6. Объём работы тот же, поскольку процедуры должны быть гласны и открыты (то есть каждый листик берётся, показывается всем желающим, произносится, что на нём...)
7,8. см. п 5
Для вас копеечный пластиковый чехол — чрезмерное усложнение?
Усложнение в приборе, который вместо простого сканирования должен ещё и сортировать.
Запрещено только публиковать эту информацию до окончания выборов.
Практически любой желающий, придя на участок во время проверки наблюдателями, сможет увидеть, за кого отдают голоса. Если будет работать видеонаблюдение, то как раз и будет происходить публикация предварительных результатов.
Думаю, что нет никаких технических проблем сделать урну и лотки так, что первые бюллетени будут не видны снаружи.
Проект в студию!
Люди будут делать окончательный подсчёт, устраняя любую нечестность машины.
Вообще-то весь смысл КОИБов в том, чтобы не приходилось много пересчитывать руками и точность увеличилась. Сортировке, которую будет делать ваш гипотетический аппарат нельзя верить всё равно, её нужно проверять.Таким образом, все имеющиеся проблемы с недоверием к КОИБам остаются и в вашей схеме. Может быть ручной пересчёт будет немного быстрее. Но в скорости ли ручного пересчёта главная проблема?
Тогда, снимая чехол (что вообще чрезмерное усложнение, на моё взгляд), можно будет примерно понять, какой кандидат набирает больше или меньше. Это, по сути, агитация, гарантирующая неравные права кандидатам. Ну и если смотреть, что под чехлом, после каждого голоса, то будет нарушена тайна голосования первых проголосовавших за каждого из кандидатов на данном участке.
Цель всего этого вашего нововведения — упростить подсчёт голосов вручную. Компромиссы на которые нужно пойти весьма серьёзные. При этом не решается проблема нечестной машины,
Так что, вы предложили плохое решение для проблемы, которой, в общем-то и не существует.
Потому что это нарушает тайну голосования, и большинство людей, которые неправильно заполняют бюллетени, не поймут, что означает эти лампочка и кнопочка.
Как вариант, можно установить в кабинках для голосования прибор, который бы подсказывал, правильно заполнен бюллетень или нет. Но тут тоже будет целый ворох проблем — и с финансами, и с тайной голосования и с наблюдением за этими устройствами во время выборов.
Ошибки при заполнении происходят реже, чем умышленная порча бюллетеня.
КОИБы помечают недействительные бюллетени красной чертой, при этом в ТЗ указано, что шум при печати этой отметки должен быть такой же, как при сканировании обычного бюллетеня.
От выборов к выборам бюллетени отличаются.
Также, запрещено брать бюллетень на одном участке, а голосовать на другом. У каждого УИКа своя печать, которую ставят на бюллетени. КОИБы сейчас умеют проверять печати.
Само по себе подключение этих устройств к сети — дыра в безопасности.
Если это нужно только для контроля числа приходящих на голосование — это совсем не оправдано.
Если выкладывать в сеть зашифрованные голоса типа (12:33 участок№3 голос за МиккиМауса) то как только будут опубликованы ключи, будет де-факто раскрыта и тайна голосования. Так как эти временные отметки вполне можно соотнести с опусканием бюллетеня в урну.
Экзит-полы анонимны, добровольны и позволяют отвечающему соврать.
КОИБов сделано всего 500 штук, судя по заказу, может быть, будет ещё 500. Это не так уж и много.
И всё же да, я думаю, вряд ли там внутри радиомодули есть. Но нельзя сейчас исключить того, что к ним можно подключить и модем и блютус и вафлю.
Результат московских выборов был определён парой десятков тысяч голосов. Каждый голос важен, каждый избиратель должен быть защищён от голосования по принуждению.
Неправильно заполненный бюллетень — по сути, голос против всех. И на него также должна распространяться тайна голосования.
Испорченный бюллетень — просто ошибка, которую можно и нужно исправить до опускания бюллетеня в урну для голосования.
Кстати,
%голосов за кандидата = (количество голосов за кандидата) / (количество бюллетеней в урне).
то есть, испорченные бюллетени ни на что не влияют, а недействительные (неправильно заполненные) каждому кандидату увеличивают знаменатель %голосов, не увеличивая никому числитель
Отвечу одним махом на горстку комментариев вида «как это должно быть».
На выборах нужно защитить и целостность подсчёта и тайну голосования. То есть мало того, чтобы голоса были подсчитаны правильно, нужно ещё и чтобы были гарантии того, что каждый отдельно взятый голос отдан добровольно, без принуждения. Если можно узнать, как конкретный человек проголосовал, нельзя быть уверенным в отсутствии давления на всех избирателей.
Нет никакой возможности определить, работает то или иное ПО на устройстве. Устройство может имитировать компиляцию, проверку ключей, хэшей, получение данных с накопителя, самодиагностику — всё, что угодно.
Все проверки таких устройств производятся только физически. Например, тайну голосования можно обеспечить только зная, что устройство не содержит дополнительных элементов питания, средств связи и ПЗУ больше, чем требуется для протокола. Проверить это возможно только в том случае, если конструкция устройства проста, хорошо известна, прошла независимую экспертизу. Если всё это так, то перед началом голосования общественные контролёры могут убедиться, что конструкция соответствует стандарту. После того, как все желающие в этом удостоверились, устройство должно быть физически опечатано, на печати любой общественный контролёр может поставить подпись. В случае нарушения печати, использовать устройство на выборах нельзя.
При подсчёте голосов, убедиться, что устройство делает всё правильно можно независимо от того, какое ПО используется. Для этого нужно немного изменить обычную процедуру:
— после окончания ввода бюллетеней, печатается предварительный протокол
— после этого устройство переводится в режим простановки отметок на бюллетени
— бюллетени извлекаются и снова скармливаются устройству, на бюллетенях ставятся номера (все бюллетени сейчас хорошо перемешаны, тайна голосования защищена)
— выводится повторный протокол и таблица (№бюллетеня — отметки)
— любой желающий может проверить для произвольного количества бюллетеней, верны ли по ним данные в этой таблице.
— последнюю процедуру можно повторить и в вышестоящем избирательном органе.
Все эти вещи рассмотрены в курсе на Coursera «Securing Digital Democracy».
А я могу написать обобщающий пост, если хабралюдям будет интересно.
если про ГАС Выборы, то пока ничего
вот список всех (вроде) закупок ЦИКа www.cikrf.ru/zakazy/zakfci/konkursy.html
может быть, где-то в них также зарыты исходники
А в суд на них ещё никто не подал? Типа потеря 100500 рекламных рублей/день из-за неправомерных действий (перечисляем через запятую всех от хостера и билайна до роскомнадзора и правительства)
2. Вы создаёте ситуацию, когда в СМИ нельзя показать, что под чехлом.
3. Может увидим, а может и нет. Так себе защита.
4, Это всё ещё идея (и не очень понятная до сих пор), а не проект.
5. Невозможно проверить даже одну прошивку: см. иной, опробированный, способ верификации
6. Объём работы тот же, поскольку процедуры должны быть гласны и открыты (то есть каждый листик берётся, показывается всем желающим, произносится, что на нём...)
7,8. см. п 5
Практически любой желающий, придя на участок во время проверки наблюдателями, сможет увидеть, за кого отдают голоса. Если будет работать видеонаблюдение, то как раз и будет происходить публикация предварительных результатов.
Проект в студию!
Вообще-то весь смысл КОИБов в том, чтобы не приходилось много пересчитывать руками и точность увеличилась. Сортировке, которую будет делать ваш гипотетический аппарат нельзя верить всё равно, её нужно проверять.Таким образом, все имеющиеся проблемы с недоверием к КОИБам остаются и в вашей схеме. Может быть ручной пересчёт будет немного быстрее. Но в скорости ли ручного пересчёта главная проблема?
Цель всего этого вашего нововведения — упростить подсчёт голосов вручную. Компромиссы на которые нужно пойти весьма серьёзные. При этом не решается проблема нечестной машины,
Так что, вы предложили плохое решение для проблемы, которой, в общем-то и не существует.
Как вариант, можно установить в кабинках для голосования прибор, который бы подсказывал, правильно заполнен бюллетень или нет. Но тут тоже будет целый ворох проблем — и с финансами, и с тайной голосования и с наблюдением за этими устройствами во время выборов.
КОИБы помечают недействительные бюллетени красной чертой, при этом в ТЗ указано, что шум при печати этой отметки должен быть такой же, как при сканировании обычного бюллетеня.
Также, запрещено брать бюллетень на одном участке, а голосовать на другом. У каждого УИКа своя печать, которую ставят на бюллетени. КОИБы сейчас умеют проверять печати.
Если это нужно только для контроля числа приходящих на голосование — это совсем не оправдано.
Если выкладывать в сеть зашифрованные голоса типа (12:33 участок№3 голос за МиккиМауса) то как только будут опубликованы ключи, будет де-факто раскрыта и тайна голосования. Так как эти временные отметки вполне можно соотнести с опусканием бюллетеня в урну.
Экзит-полы анонимны, добровольны и позволяют отвечающему соврать.
КОИБов сделано всего 500 штук, судя по заказу, может быть, будет ещё 500. Это не так уж и много.
И всё же да, я думаю, вряд ли там внутри радиомодули есть. Но нельзя сейчас исключить того, что к ним можно подключить и модем и блютус и вафлю.
Испорченный бюллетень — просто ошибка, которую можно и нужно исправить до опускания бюллетеня в урну для голосования.
Кстати,
%голосов за кандидата = (количество голосов за кандидата) / (количество бюллетеней в урне).
то есть, испорченные бюллетени ни на что не влияют, а недействительные (неправильно заполненные) каждому кандидату увеличивают знаменатель %голосов, не увеличивая никому числитель
На выборах нужно защитить и целостность подсчёта и тайну голосования. То есть мало того, чтобы голоса были подсчитаны правильно, нужно ещё и чтобы были гарантии того, что каждый отдельно взятый голос отдан добровольно, без принуждения. Если можно узнать, как конкретный человек проголосовал, нельзя быть уверенным в отсутствии давления на всех избирателей.
Нет никакой возможности определить, работает то или иное ПО на устройстве. Устройство может имитировать компиляцию, проверку ключей, хэшей, получение данных с накопителя, самодиагностику — всё, что угодно.
Все проверки таких устройств производятся только физически. Например, тайну голосования можно обеспечить только зная, что устройство не содержит дополнительных элементов питания, средств связи и ПЗУ больше, чем требуется для протокола. Проверить это возможно только в том случае, если конструкция устройства проста, хорошо известна, прошла независимую экспертизу. Если всё это так, то перед началом голосования общественные контролёры могут убедиться, что конструкция соответствует стандарту. После того, как все желающие в этом удостоверились, устройство должно быть физически опечатано, на печати любой общественный контролёр может поставить подпись. В случае нарушения печати, использовать устройство на выборах нельзя.
При подсчёте голосов, убедиться, что устройство делает всё правильно можно независимо от того, какое ПО используется. Для этого нужно немного изменить обычную процедуру:
— после окончания ввода бюллетеней, печатается предварительный протокол
— после этого устройство переводится в режим простановки отметок на бюллетени
— бюллетени извлекаются и снова скармливаются устройству, на бюллетенях ставятся номера (все бюллетени сейчас хорошо перемешаны, тайна голосования защищена)
— выводится повторный протокол и таблица (№бюллетеня — отметки)
— любой желающий может проверить для произвольного количества бюллетеней, верны ли по ним данные в этой таблице.
— последнюю процедуру можно повторить и в вышестоящем избирательном органе.
Все эти вещи рассмотрены в курсе на Coursera «Securing Digital Democracy».
А я могу написать обобщающий пост, если хабралюдям будет интересно.
вот список всех (вроде) закупок ЦИКа
www.cikrf.ru/zakazy/zakfci/konkursy.html
может быть, где-то в них также зарыты исходники