В августе 2019 года, за несколько недель до выборов в Московскую городскую думу, Пьерик Годри из исследовательского института INRIA опубликовал результаты анализа кода московской системы дистанционного электронного голосования. Вывод был однозначным: параметры шифрования слабы настолько, что расшифровать голоса избирателей в режиме реального времени можно было за двадцать минут на стандартном ноутбуке с помощью общедоступного программного обеспечения Gaudry, Golovnev, 2019. Не взломал — математически решил задачу, которую разработчики системы, судя по всему, считали нерешаемой за разумное время. Ключ шифрования был построен на 256-битных параметрах ElGamal: при таком размере задача дискретного логарифма решается за минуты на обычном ноутбуке.

Годри опубликовал результат, уведомил разработчиков и указал на конкретное исправление: перейти на параметры не менее 2048 бит, или, лучше, на эллиптические кривые с эквивалентной стойкостью при меньшем размере ключа. Уязвимость закрыли за несколько часов. Но сам факт её существования говорит не об ошибке одного инженера — параметры, которые опытный криптограф определяет как слабые с первого взгляда, прошли через все стадии проектирования, разработки и предзапускового тестирования системы национального масштаба. Ни на одном этапе разработки и согласования не было звена, которое проверило бы это независимо от команды разработчиков. Оба изъяна нашли внешние исследователи — по собственной инициативе, до начала голосования.

Контекст, в котором это происходит очень важен. Edelman Trust Barometer фиксирует одну и ту же динамику последнее десятилетие: доверие к государственным институтам, особенно к политикам и чиновникам, снижается почти во всех регионах мира — в демократиях и авторитарных режимах одновременно. В 2025 году правительства остаются наименее доверяемым из четырёх ключевых институтов, уступая бизнесу, НКО и медиа. В ряде стран с выборами доверие к власти падает особенно сильно, создавая ощущение, что политические институты — от парламентов до правящих партий — не отражают интересов граждан. Именно в таком фоне и возникает вопрос, который формулирует блокчейн: а что, если сделать архитектуру подсчёта, прозрачной, безопаснйо и в определённой степени независимой от оператора?

За 2018–2021 годы восемь государств развернули системы блокчейн-голосования или провели с ними публичные эксперименты. К 2024 году ни одна из них не достигла уровня национальных парламентских выборов с независимой математической верификацией. Разбирая, почему каждая остановилась там, где остановилась, обнаруживается структура: в восьми совершенно разных контекстах провалы происходят на одном из трёх уровней — технического фундамента, институциональных условий и политической готовности. Три уровня — технический, институциональный и политический — прослеживаются во всех восьми случаях, в разных комбинациях и с разными последствиями.

За 10 лет доверие к правительству стагнирует на уровне 51% (±2%), в то время как тревога о результатах выборов выросла с 45% до 64%. Пик тревоги пришелся на 2024 год (массовые выборы в 13 странах), при этом доверие к власти не выросло ни в одной из них. Edelman Special Report: Brands and Politics (2024)
За 10 лет доверие к правительству стагнирует на уровне 51% (±2%), в то время как тревога о результатах выборов выросла с 45% до 64%. Пик тревоги пришелся на 2024 год (массовые выборы в 13 странах), при этом доверие к власти не выросло ни в одной из них. Edelman Special Report: Brands and Politics (2024)

Криптографический фундамент

Демократическое голосование требует одновременного выполнения двух свойств, которые в классической архитектуре баз данных взаимно исключают друг друга.

Тайна голоса — в демократическом прочтении этого принципа — это не просто конфиденциальность. Принципиально важно, чтобы сам избиратель не мог доказать третьей стороне, как он проголосовал. Это свойство называется receipt-freeness — отсутствием квитанции. Система без него уязвима к принуждению. поэтому и используются физические кабины, которые защищают не потому, что надёжно охраняются, а потому, что структурно устраняют саму возможность зафиксировать выбор.

Верификация требует обратного: каждый голос должен быть проверяемым. Избиратель должен убедиться, что его голос попал в итоговый подсчёт. Любой наблюдатель должен суметь воспроизвести итог самостоятельно — без доступа к содержимому отдельных голосов.

Жан-Жак Руссо настаивал, что суверенная воля народа не делегируется никому — она должна выражаться прямо. Три века спустя сам акт подсчёта делегируется серверам и организациям, правильность работы которых гражданин не может ни проверить, ни криптографически оспорить. Филип Петтит в теории республиканского недоминирования определял свободу через структуру: свободен тот, кто не подчинён произвольной власти — той, что может быть применена, даже если сейчас не применяется. Государство, которое технически может изменить результат голосования, уже обладает этой властью — вне зависимости от того, воспользуется ли оно ею.

Математическое решение парадокса появилось задолго до блокчейна. В 1981 году Дэвид Чом опубликовал работу «Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms», где ввёл определение:

«Цифровой псевдоним — это публичный ключ для верификации подписей анонимного владельца соответствующего приватного ключа. Реестр таких псевдонимов формируется авторитетной инстанцией, решающей, чьи заявки утвердить, но сама инстанция не способна отследить псевдонимы в итоговом списке»

Уже в следующем, 1982-м, он довёл идею до практического механизма в работе «Blind Signatures for Untraceable Payments», объяснив принцип работы «слепой подписи» точной аналогией: «Это как нотариус, удостоверяющий подпись на закрытом конверте, не зная его содержимого» — то есть подписывающий видит лишь математический хэш, но не само сообщение. Этот тандем двух работ — цифровые псевдонимы плюс слепые подписи — и стал криптографическим фундаментом всей последующей анонимной электроники: от DigiCash до end-to-end верифицируемых систем голосования Punchscan и Scantegrity, где избиратель получает подтверждение учёта голоса, не раскрывая своего выбора.

Современные реализации опираются на два инструмента:

Zero-Knowledge Proof (ZKP). Доказательство знания без раскрытия: избиратель доказывает, что его зашифрованный голос содержит корректное значение (0 или 1), не раскрывая какое именно. Представьте: вы хотите доказать избирательной комиссии, что поставили ровно один голос — не ноль, не два — но не раскрывая, за кого именно. ZKP позволяет предъявить математическое доказательство корректности: «в этом зашифрованном бюллетене ровно один выбор». Система принимает доказательство и засчитывает голос. Кто именно за кого проголосовал — не раскрывается ни одной из сторон.

Гомоморфное шифрование ElGamal. Представьте: у каждого избирателя — запечатанный конверт с числом внутри: 1 за одного кандидата, 0 за другого. Схема ElGamal, 1985 позволяет сложить числа во всех конвертах в одно финальное число, так и не вскрыв ни одного конверта по отдельности. Все видят итог — 847 голосов за А, 653 за Б. Ни чей конкретный выбор при этом не раскрыт. Именно эта математика лежит в основе верифицируемого тайного голосования. И именно она рассыпается при неверно выбранных параметрах: Годри показал, что при 256-битном ключе «вскрыть» каждый конверт занимает двадцать минут на стандартном ноутбуке.

Блокчейн в этой архитектуре выполняет одну функцию: служит публичным реестром, в который невозможно что-либо добавить или изменить после закрытия голосования. Дописать голоса задним числом — классический вектор атаки на централизованные системы. Академические Helios и Belenios решали эту задачу через доверенный сервер. Блокчейн убирает само понятие «доверенного»: правила ведения реестра зашиты в протокол, а не в добросовестность оператора.

От Цуга до ДЭГ: глобальный опыт

Уровень первый: технический фундамент

Москва ДЭГ. Система дистанционного электронного голосования, запущенная к выборам в Московскую городскую думу 2019 года, изначально решала прагматичную задачу: снизить нагрузку на избирательные участки и дать возможность проголосовать тем, кто не может прийти лично. Блокчейн был выбран частного типа — закрытая сеть под государственным управлением, участвовать в которой как независимый узел было невозможно. Код системы, однако, за несколько недель до выборов опубликовали на GitHub: любой желающий мог проверить реализацию и получить вознаграждение за найденные уязвимости. Именно через этот публичный репозиторий Годри и получил доступ к коду.

Схема ElGamal была предложена Тахером Эль-Гамалем в 1985 году под вычислительные возможности того времени. К 2019-му параметры, которые специалисты считали допустимыми сорок лет назад, давно признаны недостаточными: NIST рекомендует минимум 2048 бит для дискретно-логарифмических схем. Московская система использовала 256-битные параметры — уровень защиты, который по современным стандартам взламывается за минуты.

Годри сообщил о проблеме и предложил конкретный минимум: не ниже 2048 бит, или переход на эллиптические кривые (Curve25519), где сопоставимая стойкость достигается при меньшем размере ключа. Разработчики подняли параметры до 1024 бит. После чего математик из Гарварда Александр Головнёв обнаружил вторую уязвимость в исправленной версии: из зашифрованных голосов, публиковавшихся в реальном времени, утекал один бит данных, позволявший отслеживать промежуточный счёт по кандидатам. Оба изъяна устранили до начала голосования.

Voatz (Западная Вирджиния / Денвер, 2018–2020). Мобильное приложение для голосования военнослужащих за рубежом. Исследователи MIT обнаружили фундаментальную архитектурную проблему: установить личность проголосовавшего и связать её с конкретным выбором можно было через серверы компании. Верификация личности и регистрация голоса проходили через один узел под управлением Voatz — traceable link между избирателем и его выбором сохранялся. Код приложения до запуска был закрыт. Журналы аудита хранились там же — у оператора. Блокчейн присутствовал, но лишь для хранения хэшей транзакций: он фиксировал факт поступления голосов, а не защищал их содержимое. Криптографической защиты тайны голоса на уровне приложения попросту не было.

Helios (2008 → сегодня). Система Бена Адиды работает в реальных выборах с 2008 года — Католический университет Лёвена, Международная ассоциация криптологических исследований (IACR), ряд университетов по всему миру. Полная реализация ZKP + гомоморфного шифрования: избиратель верифицирует, что его голос попал в публичный бюллетень; любой наблюдатель верифицирует корректность финального суммирования. Но Helios использует доверенный веб-сервер как реестр — не публичный блокчейн. Для малых организаций это приемлемо: ставки невысоки, институциональное доверие к университету достаточно.

Уровень второй: институциональные условия

Agora / Сьерра-Леоне (2018). Компания провела параллельный подсчёт на парламентских выборах без авторизации избиркома. Результаты совпали с официальными и были записаны в блокчейн. Технически — по всей видимости, корректно. Избирком Сьерра-Леоне ответил жёстко: Agora не является авторизованным участником процесса, данные не имеют юридической силы, заявление о «первых выборах на блокчейне» вводит в заблуждение. Технология сработала. Но выборы — это не только правильный подсчёт. Это акт с юридическими последствиями, участниками которого можно стать только по решению соответствующего института. Воспроизвести избирательную процедуру снаружи — значит провести другую процедуру, даже если математика та же самая.

Цукуба, Япония (2018). Первый случай, когда государственная ID-система — японский My Number — использовалась для авторизации в блокчейн-голосовании на вопросах городского развития. Полная институциональная авторизация муниципалитета, существующая правовая рамка. Пилот показал работоспособность интеграции цифровой идентификации и блокчейна. Ограничение, которое немедленно обнаружилось, — не техническое: My Number не охватывал всё население, и часть граждан оказалась структурно исключена из голосования. Решение существует и применяется в других контекстах: поэтапный переход, при котором цифровая система дополняет традиционное голосование для тех, кто в неё включён, не замещая его для всех остальных. Цукуба показал, что интеграция государственной ID-системы с блокчейн-реестром технически работает — вопрос охвата это уже вопрос политики инклюзии, а не возможностей платформы.

Voatz (продолжение). Та же система обнаруживает сбой второго рода: не отсутствие авторизации, а отсутствие независимого аудита как обязательного требования. В США нет единого федерального стандарта дистанционного электронного голосования. Западная Вирджиния дала Voatz доступ к реальному голосованию в 2018-м без предварительной независимой проверки. Анализ MIT стал возможен только в 2020-м — не по требованию регулятора, а по запросу общественности. На примере Voatz можно убедиться в том, что технический и институциональный уровни не заменяют друг друга: наличие формальной авторизации не защищает от архитектурной уязвимости, а даже корректная архитектура не компенсирует отсутствия обязательного аудита. Оба нарушения независимы — и каждого из них достаточно для компрометации системы.

Уровень третий: политическая готовность

Цуг, Швейцария (2018). Кантон с традицией прямой демократии и консультативных голосований на уровне общины. Первое голосование на публичном блокчейне Ethereum было не технологическим экспериментом поверх существующей практики — оно было её продолжением. Смарт-контракт развёрнут в публичной сети: правила контракта после публикации не изменяет никто, включая кантон. Добавить голос после закрытия урны невозможно по протоколу сети. Цуг — единственный случай, где все три уровня выполнены хотя бы на муниципальном масштабе: корректная криптография, полная институциональная авторизация и политическая готовность принять результат.

Сеул, S-Coin (2019). Платформа для гражданского участия в распределении районного бюджета. Блокчейн для прозрачного учёта голосов по вопросам городского развития. Система работает по сей день — именно потому, что ставки управляемы и заранее определён институциональный коридор: S-Coin не претендует на замену представительных выборов. Там, где политические последствия предсказуемы и ограничены, принять нескорректированный результат значительно проще.

Три уровня: дизайн устойчивой системы

Восемь кейсов описывают одну и ту же структуру с разных сторон. Из неё вырисовывается общая архитектура:

Технический фундамент — это конкретные инженерные решения, проверяемые независимо до запуска.

Криптографический минимум: ZKP для валидации каждого голоса без раскрытия содержания; аддитивно гомоморфное шифрование для подсчёта без дешифровки; параметры, соответствующие актуальным стандартам стойкости. Рекомендация Годри конкретна: для классического ElGamal — не менее 2048 бит; для современных реализаций — эллиптические кривые (Curve25519, P-256), где 256 бит дают достаточную стойкость при значительно меньшем вычислительном весе.

Архитектурный минимум: верификация личности избирателя и шифрование его голоса — два независимых шага с криптографическим разрывом между ними. Связь между конкретным человеком и конкретным голосом не должна существовать ни в каком узле системы после того, как голос зашифрован. Voatz нарушал этот принцип — и именно это делало возможной деанонимизацию.

Открытость кода и параметров до развёртывания — не сигнал прозрачности для PR, а условие независимой верификации. Закрытый код при открытом блокчейне создаёт иллюзию проверяемости.

Институциональные условия — это структура, делающая независимую проверку обязательной, а не возможной.

Правовая авторизация системы как официального инструмента голосования — необходимое условие юридической значимости результата. Agora показала это от противного: математически верный результат без авторизации не существует как избирательный акт.

Обязательный независимый аудит до запуска — проводимый структурой без финансовой или институциональной связи с оператором — является системным требованием, а не опцией. Именно его отсутствие в цепочке согласований позволило 256-битному параметру пройти все стадии разработки. Если такой аудит не обязателен по регуляторной рамке, он не будет проводиться — это демонстрируют оба кейса с критическими уязвимостями.

Публичный блокчейн, а не приватный под контролем оператора: правила консенсуса независимы от любого единственного участника. Это принципиальный выбор — не технической архитектуры, а цели. Приватный блокчейн под государственным управлением решает задачу защиты от внешних атак. Он не решает задачу независимой верификации — потому что оператор по-прежнему контролирует правила.

Политическая готовность — уровень, который нельзя спроектировать технически.

Цуг работает не только потому, что у него правильная криптография. Он работает потому, что кантональная политическая культура — традиция прямой демократии, консультативных референдумов, горизонтального самоуправления — создала среду, в которой принять нескорректированный результат является нормой, а не жертвой. S-Coin в Сеуле устойчив потому, что работает в заранее ограниченном пространстве: ставки управляемы, и политической воли достаточно для этого масштаба.

Матрица показывает: ни одна из восьми систем не завершила все три уровня одновременно для национальных или крупных региональных выборов. Цуг ближе всего — но на муниципальном масштабе с добровольным участием.
Матрица показывает: ни одна из восьми систем не завершила все три уровня одновременно для национальных или крупных региональных выборов. Цуг ближе всего — но на муниципальном масштабе с добровольным участием.

Из чего собирается работающая система и почему её ещё нет

Матрица показывает не только где каждая система остановилась — она показывает, где каждая из них была ближе всего к решению. Цуг выполнил политический и институциональный уровни, но оперирует муниципальным масштабом. Helios и Belenios закрыли криптографический уровень и доказали его работоспособность в реальных выборах. Цукуба показал, как государственная ID-система может быть интегрирована с блокчейн-реестром на уровне авторизации. S-Coin показал, как масштабировать постепенно, не рискуя сразу ставить высокие политические ставки.

Ни одна из систем не объединила эти блоки — не потому что это архитектурно невозможно, а потому что в каждом случае один из уровней оказывался незакрытым. Московский ДЭГ упёрся в отсутствие независимого аудита: параметры 1985 года прошли все согласования незамеченными. Voatz — в отсутствие и аудита, и корректной архитектуры идентификации. Agora — в отсутствие институционального признания. Все три уровня независимы, и провала на любом из них достаточно.

Гипотетическая система, закрывающая все три уровня, выглядит так. Криптографический стек Helios или Belenios — ZKP плюс аддитивное гомоморфное шифрование с корректными параметрами — развёрнут поверх публичного блокчейна: не приватной государственной сети, а открытого реестра, правила которого независимы от оператора. Верификация личности организована через государственную ID-инфраструктуру по модели Цукубы, с поэтапным включением и параллельным сохранением традиционного голосования для тех, кого цифровая система пока не охватывает. До запуска — обязательный публичный криптоаудит с открытым кодом и параметрами. После — возможность для любого желающего самостоятельно воспроизвести итоговый подсчёт.

Таким образом, внедрение блокчейн‑голосования на национальном, парламентском уровне — это не техническая, а институциональная задача: нужна правовая рамка, публичный аудит и политическая готовность принять результаты, которые нельзя изменить задним числом. Первой ступенью к этому может стать устойчивый муниципальный или региональный пилот по модели Цуга или Helios, где открытая архитектура и проверяемость создают основу для доверия к выборам не как институту, а как процессу.