Комментарии 143
К сожалению, проблему вбросов вы тоже не решаете. Почти никогда в голосовании не голосует 100% потенциальных избирателей. Поэтому вариант со сравнением количества голосов с населением государства в принципе ничего не может дать в этом смысле.
Кроме того, у вас так-же как и у других, отсутствует какая-либо защита от подделки голоса на любом этапе. Пирожок и 15 минут в этом смысле так-же абсолютно ничего не решают. Все изменения можно внести в базу непосредственно перед расчетом результата.
Кроме того, у вас так-же как и у других, отсутствует какая-либо защита от подделки голоса на любом этапе. Пирожок и 15 минут в этом смысле так-же абсолютно ничего не решают. Все изменения можно внести в базу непосредственно перед расчетом результата.
Подделка голоса всегда возможна, смотря где находится БД, но она будет видна после окончательного голосвания, так как вы можете верифицировать свой голос завтра в окончательной таблице. Тем более модель можно усложнить, устраняя подделки на различных уровнях, но проблема будет в любом решении.
Проблема вбросов решается как раз групповыми атрибутами, например, количество голосовавших на участке. Для этого, конечно, должны быть независимые наблюдатели на каждом участке.
В принципе, система проста, мы должно точно знать сколько людей проголосовало и каждый (!) должен проверить, что в окончательной таблице его голос учтен правильно.
Проблема вбросов решается как раз групповыми атрибутами, например, количество голосовавших на участке. Для этого, конечно, должны быть независимые наблюдатели на каждом участке.
В принципе, система проста, мы должно точно знать сколько людей проголосовало и каждый (!) должен проверить, что в окончательной таблице его голос учтен правильно.
Криптография делает невозможной подделку голоса. Так что в этом вы не правы.
Проблема с «групповыми аттрибутами» в том, что их невозможно проверить. «злоумышленник — организатор выборов» может легко предоставить любые вымышленные значения этих аттрибутов.
Проблема с «групповыми аттрибутами» в том, что их невозможно проверить. «злоумышленник — организатор выборов» может легко предоставить любые вымышленные значения этих аттрибутов.
В чем принципиальная разница от удаления голоса и добавления fake, от подделки голоса. Да вы можете опубликовать публичный ключ и подписать свой голос, но это автоматически деанимизирует вас.
Если анонимность не интересна, тогда просто создаем публичную базу всего населения и каждый вносит туда свой публичный ключ. В момент голосования все публикуют свой голос, подписанный приватным ключом.
Если анонимность не интересна, тогда просто создаем публичную базу всего населения и каждый вносит туда свой публичный ключ. В момент голосования все публикуют свой голос, подписанный приватным ключом.
Согласен с вами в том, что наличие единой базы — это тоже уязвимость системы голосований. Поэтому в нашем проекте вся информация о голосовании распространяется через распределенную p2p сеть. При этом невозможно из нее убрать какие-либо голоса.
Да — здесь есть проблема с «вбросами». Однако, у нас есть техническое решение для прослеживания при необходимости обратного пути всех голосов (зашифрованных — при этом НЕ происходит раскрытия голоса) и выявления нарушителей.
Да — здесь есть проблема с «вбросами». Однако, у нас есть техническое решение для прослеживания при необходимости обратного пути всех голосов (зашифрованных — при этом НЕ происходит раскрытия голоса) и выявления нарушителей.
Пока проблема «коррекции результатов» решается только полной открытостью системы голосования и неусыпным общественным контролем за ее работой.
Вообще, даже базу снифить не нужно (несекьюрно всеж), а, думаю, надо сертифицировать конфигурацию системы (закрыты ли порты, контрольные суммы ПО и т.д.) и выкладывать в реальном времени журналы работы. Тогда любое проникновение в ПО будет видно сразу.
Ну и камеры в датацентре нацелить на эти стойки и тоже выводить в онлайн. Все дешевле, чем на каждом участке мониторить…
Вообще, даже базу снифить не нужно (несекьюрно всеж), а, думаю, надо сертифицировать конфигурацию системы (закрыты ли порты, контрольные суммы ПО и т.д.) и выкладывать в реальном времени журналы работы. Тогда любое проникновение в ПО будет видно сразу.
Ну и камеры в датацентре нацелить на эти стойки и тоже выводить в онлайн. Все дешевле, чем на каждом участке мониторить…
Станислав, давайте я вам пришлю какое-то сообщение, подписанное своей ЭЦП, а вы попробуете сделать другое сообщение с моей ЭЦП.
Я не понимаю почему вы игнорируете возможность использования криптографии? А если не игнорируете, то почему считаете что при ее использовании можно что-то подделать?
Я не понимаю почему вы игнорируете возможность использования криптографии? А если не игнорируете, то почему считаете что при ее использовании можно что-то подделать?
Давайте мне, только чур ваш закрытый ключ буду генерировать я, как это сделано во многих госсистемах (да и не только гос) с использованием ЭЦП — пару ключей эмитирует центр сертификации и, естественно, знает кому он их выдаёт.
А применительно к выборам использование ЭЦП в классическом виде неприемлемо — возможно нарушать тайну голосования. Как минимум у ЦИКа должен быть ваш как минимум открытый ключ для проверки подписи и он должен знать кому он принадлежит, чтобы исключить возможность многократного голосования одним человеком. Или я что-то упускаю и вы можете рассказать принцип действия системы с ЭЦП, которая гарантирует правильность подписи, но не раскрывает кто конкретно подписал? Естественно этой системе доверять мы не можем.
А применительно к выборам использование ЭЦП в классическом виде неприемлемо — возможно нарушать тайну голосования. Как минимум у ЦИКа должен быть ваш как минимум открытый ключ для проверки подписи и он должен знать кому он принадлежит, чтобы исключить возможность многократного голосования одним человеком. Или я что-то упускаю и вы можете рассказать принцип действия системы с ЭЦП, которая гарантирует правильность подписи, но не раскрывает кто конкретно подписал? Естественно этой системе доверять мы не можем.
«как это сделано во многих госсистемах»
Да, рассмешили. :) Конечно, это просто огромная дыра именно в «гос. системах». Такой дурацкий способ генерации ключа мы в принципе не рассматриваем как бессмысленный.
Да, рассмешили. :) Конечно, это просто огромная дыра именно в «гос. системах». Такой дурацкий способ генерации ключа мы в принципе не рассматриваем как бессмысленный.
Далеко не только в гос. Вон, недавно получали SSL-сертификат — полностью сгенерирован удостоверяющим центром.
Да ну? Я вот всегда ключи к такому сертификату сам генерирую. И никогда еще удостоверяющий центр у меня не требовал предоставить закрытый ключ для этой процедуры.
Ну да. Если УЦ предлагает мне скачать мой сертификат в браузере для установки в нём же, разве он не знает моего закрытого ключа?
С какой стати? Ваш закрытый ключ нужен только на этапе формирования вами запроса на сертификат. Дальше вы отправляете запрос и УЦ подписывает его своим ключем. Ваш закрытый ключ при этом нигде в УЦ не фигурирует. Вы его ставите в настройках своего HTTP сервера вместе с сертификатом.
Я про клиентские.
Ааа! Ну, это другое дело. В данном случае вы все верно написали. Тем не менее, я настаиваю на том что это неправильный способ работы с закрытыми ключами. И не имеет значения насколько он часто встречается на практике.
Неправильный — да, но очень часто встречается, в том числе и для серверов. Обусловлено, имхо, тем что с правильным сложно работать, а user friendly софт для работы с ними будет для подавляющего большинства пользователей таким же чёрным ящиком как сгенерированный самим УЦ, пускай даже у ящика открытый исходный код и/или сертификат ФСБ.
«а user friendly софт для работы с ними будет для подавляющего большинства пользователей таким же чёрным ящиком как сгенерированный самим УЦ»
Неверно. Софт будет подписываться экспертами. Кому из экспертов доверять, будет выбирать сам пользователь.
Неверно. Софт будет подписываться экспертами. Кому из экспертов доверять, будет выбирать сам пользователь.
Ну а если тот же эксперт подпишется под сертификатом УЦ что изменится?
«принцип действия системы с ЭЦП, которая гарантирует правильность подписи, но не раскрывает кто конкретно подписал»
Наша система не может препятствовать вбросу липовых закрытых голосов. Но она позволяет постфактум отследить источники этих голосов. Без раскрытия тайны голоса.
Думаю, если уж не абсолютная надежность, то контролируемость голосований — это тоже неплохое их свойство. Когда можно определить что произошел вброс и принять меры по избежанию этого в дальнейшем.
Наша система не может препятствовать вбросу липовых закрытых голосов. Но она позволяет постфактум отследить источники этих голосов. Без раскрытия тайны голоса.
Думаю, если уж не абсолютная надежность, то контролируемость голосований — это тоже неплохое их свойство. Когда можно определить что произошел вброс и принять меры по избежанию этого в дальнейшем.
Как это отследить источники, не раскрывая ьайны голоса?
Как минимум тем, что все голоса передаются в систему в зашифрованном виде. До признания того, что голосование состоялось, никакие голоса не раскрываются.
Отслеживание-же источника голосов в случае признания что было существенное количество вбросов — по цепочкам распространения голосов при согласии на то владельцев узлов, через которые эти голоса шли в распределенной сети голосования. Т.е. владелец узла может сам проанализировать результаты голосования, сам понять что вбросов действительно много и предоставить информацию о прохождении пакетов, относящихся к данному голосованию.
Отмечу еще раз — при этом все голоса остаются зашифрованными.
Отслеживание-же источника голосов в случае признания что было существенное количество вбросов — по цепочкам распространения голосов при согласии на то владельцев узлов, через которые эти голоса шли в распределенной сети голосования. Т.е. владелец узла может сам проанализировать результаты голосования, сам понять что вбросов действительно много и предоставить информацию о прохождении пакетов, относящихся к данному голосованию.
Отмечу еще раз — при этом все голоса остаются зашифрованными.
«в случае признания», «при условии согласия» как-то не очень убедительно выглядит.
Критерии свершившегося голосования будут вполне формальными. Которые сможет проверить любой.
А вот «при согласии» — вполне убедительно. Т.к. только сообщество в целом сможет решить открывать-ли пути прохождения ключей. Вполне нормальная защита от злоупотреблений. Никто не дает никаких гарантий, конечно. Однако, как я уже писал, подразумевается что участники системы заинтересованы в честных голосованиях и выявлении мошенников. Поэтому они будут содействовать попыткам очистить сеть от злоумышленников.
А вот «при согласии» — вполне убедительно. Т.к. только сообщество в целом сможет решить открывать-ли пути прохождения ключей. Вполне нормальная защита от злоупотреблений. Никто не дает никаких гарантий, конечно. Однако, как я уже писал, подразумевается что участники системы заинтересованы в честных голосованиях и выявлении мошенников. Поэтому они будут содействовать попыткам очистить сеть от злоумышленников.
А известная система «голосуешь за кого нужно, тогда будет премия» при такой схеме оказывается еще тривиальнее.
А как с этим в принципе можно бороться?
В принципе, с этим бороться можно только усложняя проверку для «заказчика» как проголосовал тот, кто под давлением. Подкуп и давление вживую, в данном случае не рассматриваем, т.к. с ними бороться просто невозможно. По крайней мере, не средствами IT.
В предложенной мной модели, берешь любое число из опубликованной таблицы и говоришь, что это твой голос. Обязательное условие, что число знаешь только ты и можешь его сразу уничтожить. Главное, не попасть в подготовленный список голосов «заказчика».
Хотя ситуация кажется несколько странной: голос заказали, а исполнитель решил делать по своему.
Хотя ситуация кажется несколько странной: голос заказали, а исполнитель решил делать по своему.
Если-бы было все так просто…
Такое возможно только когда голоса открываются сразу после голосования. Но это неправильная практика. Голоса должны раскрываться только по окончанию срока голосования. Если принуждающий тебя к голосованию потребует дать ему идентификатор твоего голоса сразу после голосования — ты никак не отвертишся.
Такое возможно только когда голоса открываются сразу после голосования. Но это неправильная практика. Голоса должны раскрываться только по окончанию срока голосования. Если принуждающий тебя к голосованию потребует дать ему идентификатор твоего голоса сразу после голосования — ты никак не отвертишся.
Так от чего вы тогда защищаетесь?
От возможности подделки, удаления и вбросов голосов. В какой-то степени от DDoS.
Для этого нужно сделать голосование явным — все вопросы сразу решатся
Невозможно открытое голосование при распределении ресурсов. Т.к. получится так, что ресурсы достанутся только тем, кто голосовал за выигравшего кандидата.
Открытое голосование хорошо для идеального общества. Для реального оно не всегда подходит.
Открытое голосование хорошо для идеального общества. Для реального оно не всегда подходит.
То что вы описываете — для реального тоже не подходит. К сожалению.
Т.е. вы утверждаете, что голосования в принципе невозможны? Ну и какой в этом конструктив? Что остается если признать такое? Подчиниться «хозяину»?
Да, в итоге, может оказаться что вы правы. Но я это признаю только в том случае если это случится после того, как я приложу все усилия для доказательства обратного.
А просто так утверждать можно все что угодно. Опыт весомее любых теоритизирований.
Да, в итоге, может оказаться что вы правы. Но я это признаю только в том случае если это случится после того, как я приложу все усилия для доказательства обратного.
А просто так утверждать можно все что угодно. Опыт весомее любых теоритизирований.
Достоверное тайное голосование возможно, по-моему, только при полном доверии процессу голосования и подсчёта голосов. Или при полном контроле. В малых группах это реально, в крупных — дико сомневаюсь: или на каком-то этапе процесс выйдет из под контроля избирателей, оставляя только возможность доверять, или необходимо личное присутствие всех, кто не доверяет от начала голосования до объявления результатов.
«Достоверное тайное голосование возможно, по-моему, только при полном доверии процессу голосования и подсчёта голосов.»
Вы немного не так сформулировали. Вероятно, вы хотело написать «при полном доверии к людям, осуществляющим процесс голосования и подсчета голосов». И в этом принципиальное отличие наших позиций. Мы не собираемся от кого-либо требовать к кому-то доверия. По крайне мере, мы стараемся максимально от этого уйти.
Вы немного не так сформулировали. Вероятно, вы хотело написать «при полном доверии к людям, осуществляющим процесс голосования и подсчета голосов». И в этом принципиальное отличие наших позиций. Мы не собираемся от кого-либо требовать к кому-то доверия. По крайне мере, мы стараемся максимально от этого уйти.
К системе, а не людям. Состоит система только из людей, только из железа и софта или, что более вероятно, из тех и другого — не суть.
Ну, может я не так понял. В нашей системе реализуется распределенное доверие. Не доверие кому-то одному, кто может им злоупотребить, а доверие методике голосования, доверие экспертам, которые буду подписывать коды программ и т.д. Главное что у человека есть выбор в этой системе кому доверять, а кому нет. Мы не заставляем его верить 10-и людям в ЦИК или автору программы голосований.
В случае конфликта всё равно придётся выбрать кому доверять.
Да, но решать это будет сам пользователь, а не кто-то за него. У пользователя не будет выбор «доверять и голосовать» или «не доверять и не голосовать». У него будет выбор «доверять кому-то и голосовать». При этом кому доверять, он будет выбирать сам.
Тут ещё вопрос кому будет доверять тот, кто подпишет официальные результаты голосования.
А официальных результатов не будет как таковых. Все результаты будут рассчитываться каждым голосующим самостоятельно.
Если нужны какие-то результаты для публикации — их может предоставить любой голосовавший или, что надежнее — сам журналист может их рассчитать через систему голосований.
Не будет такого маразма с итоговыми протоколами голосований как есть сейчас — они просто не будут нужны.
Если нужны какие-то результаты для публикации — их может предоставить любой голосовавший или, что надежнее — сам журналист может их рассчитать через систему голосований.
Не будет такого маразма с итоговыми протоколами голосований как есть сейчас — они просто не будут нужны.
Голосуют обычно не просто так, чтобы мнение народа узнать, а чтобы принять официальное решение.
«Официальные» нужны правительствам что-бы оправдать свои решения. Которые якобы, принимаются представителями, якобы избранными из народы. Может быть где-то и когда-то это было и так. Плохо только что у народа нет способа это проконтролировать и высказать свое мнение по поводу этих решений. Мы хотим создать механизм, который позволит это сделать. В первую очередь, что-бы народ смог сам выяснить чего сам хочет. А не через СМИ, которые убеждают народ что он хочет того, что выгодно правительству.
При наличии честного распределенного голосования сама необходимость в «официальных решениях» просто отпадет. Решения будут приниматься как состоявшиеся только тем, что определенное голосование по этому решению чисто формально будет признано состоявшимся (на основе ряда формальных правил, составляющих само условие голосования). Согласен, что это очень необычный способ работы с голосованиями если сравнивать с тем что практикуется в мире сейчас. Но, я лично считаю, что это — наиболее правильный способ.
При наличии честного распределенного голосования сама необходимость в «официальных решениях» просто отпадет. Решения будут приниматься как состоявшиеся только тем, что определенное голосование по этому решению чисто формально будет признано состоявшимся (на основе ряда формальных правил, составляющих само условие голосования). Согласен, что это очень необычный способ работы с голосованиями если сравнивать с тем что практикуется в мире сейчас. Но, я лично считаю, что это — наиболее правильный способ.
Я не говорю, что голосование невозможны. Невозможны честные и свободные голосования, проводимые системой, от которой Вы хотите защитится (и которая хочет подавить Ваши права)
Я уж молчу о том, что 1человек=1 голос — система в корне неверная (Вы когда нибудь видели, чтоб хоть одна компания голосованием всех рабочих управлялась?!)
Я уж молчу о том, что 1человек=1 голос — система в корне неверная (Вы когда нибудь видели, чтоб хоть одна компания голосованием всех рабочих управлялась?!)
Видел и не раз :) Правда со временем происходит перераспределение голосов, или де-юре, или де-факто.
«Невозможны честные и свободные голосования, проводимые системой, от которой Вы хотите защитится»
Как обычно. Мы говорим об одном и том-же только разными словами. :) Мы создаем свою систему голосований снизу — от народа. Мы вообще никак не предполагаем связываться с властями или кем-то аналогичным. Поэтому, одним из основных требований в системе и является «отсутствие особых людей».
Как обычно. Мы говорим об одном и том-же только разными словами. :) Мы создаем свою систему голосований снизу — от народа. Мы вообще никак не предполагаем связываться с властями или кем-то аналогичным. Поэтому, одним из основных требований в системе и является «отсутствие особых людей».
Легко. Каждый должен платить все налоги за себя сам. То есть, вам выплачивают на руки всю вашу зарплату (а это раза в полтора больше). То есть, если вы получаете вбелую на руки 50 000 р./мес, то предприятие начисляет вам: +13% подоходный налог (6500), +30% в пенсионный фонд (15 000), + 5,4% обязательное медстрахование: (2700 р).
Всего вам начисляется примерно 900 000 в год. Так вот, получив все это на руки, в конце года вы сами оплачиваете 6500х12 = 78000 р подоходного налога, покупаете себе медстраховку (2700х12 = 32400) и откладываете 180 000 р. себе на старость.
Заплатив так почти 300 000 р из 900 000 заработанных, вы и на выборы придете, и власть будете контролировать и не допустите, чтобы кто-то голоса свои продавал, методами вплоть до физического убеждения.
PS А теперь сравните, сколько «за вас» платят за медстрахование и цены на страховки добровольного медицинского страхования. Суммы одного порядка. А сервис?
PPS. И сравните, какой процент по вкладу в банке вы будете получать через 10 лет, откладывая эти самые 300 000, а не отдавая их в ПФР. Кстати, ПФР, по закону, имеет право тратить до 30% (!!!!!!!!) наших денег на свои нужды.
Всего вам начисляется примерно 900 000 в год. Так вот, получив все это на руки, в конце года вы сами оплачиваете 6500х12 = 78000 р подоходного налога, покупаете себе медстраховку (2700х12 = 32400) и откладываете 180 000 р. себе на старость.
Заплатив так почти 300 000 р из 900 000 заработанных, вы и на выборы придете, и власть будете контролировать и не допустите, чтобы кто-то голоса свои продавал, методами вплоть до физического убеждения.
PS А теперь сравните, сколько «за вас» платят за медстрахование и цены на страховки добровольного медицинского страхования. Суммы одного порядка. А сервис?
PPS. И сравните, какой процент по вкладу в банке вы будете получать через 10 лет, откладывая эти самые 300 000, а не отдавая их в ПФР. Кстати, ПФР, по закону, имеет право тратить до 30% (!!!!!!!!) наших денег на свои нужды.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
У нас в проекте идентификатор именно так и формируется. Ссылка длинная, поэтому просто скопирую описание:
«Хэш формируется по алгоритму SHA512 в рекурсивном цикле уровня 128 по символьному его представлению в 16-ричном виде в верхнем регистре. Идентифицирующий хэш должен формироваться из соединения нескольких строк:
— Дата рождения в формате YYYYMMDD (Y — год, M — месяц, D — день. Считается с начала Нашей Эры).
— Номер свидетельства о рождении. Серия и номер пишутся вместе. Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре.
— Идентификационный социальный номер в стране гражданства (страна рождения или первая по алфавиту в написании латиницей страна гражданства). Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре. Номер СНИЛС в России или SSN в США.»
«Хэш формируется по алгоритму SHA512 в рекурсивном цикле уровня 128 по символьному его представлению в 16-ричном виде в верхнем регистре. Идентифицирующий хэш должен формироваться из соединения нескольких строк:
— Дата рождения в формате YYYYMMDD (Y — год, M — месяц, D — день. Считается с начала Нашей Эры).
— Номер свидетельства о рождении. Серия и номер пишутся вместе. Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре.
— Идентификационный социальный номер в стране гражданства (страна рождения или первая по алфавиту в написании латиницей страна гражданства). Все незначащие разделительные знаки опускаются. Если присутствуют буквы — вводятся в кодировке UTF-8 в верхнем регистре. Номер СНИЛС в России или SSN в США.»
Имея базу ПДн можно заранее просчитать хэши и по приходу хэша идентифицировать субъекта. Кроме того, необходима защита от ввода случайной строки в качестве хэша, чтобы исключить накрутки (многократное голосование). А если мы введём в хэшируемую строку известные только голосущему данные (пароль), то ЦИК не может гарантировать что нет ни накруток, ни поддельных подписей.
Максимум чего можно добиться при такой схеме — возможность проверить, что твой голос не подделали и не проигнорировали, а также голоса тех, кто тебе доверяет настолько, что раскроет используемые в хэше ПДн и пароль.
Максимум чего можно добиться при такой схеме — возможность проверить, что твой голос не подделали и не проигнорировали, а также голоса тех, кто тебе доверяет настолько, что раскроет используемые в хэше ПДн и пароль.
«Имея базу ПДн можно заранее просчитать хэши и по приходу хэша идентифицировать субъекта.»
Разумное замечание. Пока мы не знаем как с этим бороться. К сожалению, введение в идентифицирующий хэш информации известной только владельцу не позволит независимо проверять его правильность. А создание специального центра для этого противоречит принципу отсутствия особых людей и серверов.
Разумное замечание. Пока мы не знаем как с этим бороться. К сожалению, введение в идентифицирующий хэш информации известной только владельцу не позволит независимо проверять его правильность. А создание специального центра для этого противоречит принципу отсутствия особых людей и серверов.
Однако, основная цель введения идентифицирующего хэша, все-таки не скрытие персональных данных, а создание «удобного» персонального идентификатора, который не будет входить в противоречение с законом о ПД.
Знаю точно, что в Эстонии система анонимного электронного голосования работает с 2006-го или 2007-го года. И работает очень успешно. Безопасность и анонимность обеспечивается путём двойной аутентификации и двойного шифрования. Как мне объясняли их спецы: представьте два конверта — «внутренний» это ваш зашифрованный бюллетень с голосом без подписи, «наружный» — идентифицирует вас как личность и также шифруется. Аутентификация в системе проходит по электронному паспорту с применением одного пин-кода для авторизации и другого для подписи «наружного» конверта с бюллетенем. «Принимающая» сторона распаковывает «наружные конверты», пишет в БД, что от вас пришёл голос, потом собирает в кучу «внутренние конверты» и ждёт момента подсчёта голосов. Процесс голосования в такой форме длится неделю и в любой момент вы можете отправить свой новый голос, при этом при подсчёте будет учитывается только ваш последний бюллетень. В момент подведения итогов «внутренние конверты» вскрываются (расшифровываются) и в считанные секунды-минуты результаты оглашаются народу.
В моих знаниях могут быть неточности, т.к. рассказывали нам об этой системе два года назад. Поэтому прошу эстонских коллег поправить, если что не так.
В моих знаниях могут быть неточности, т.к. рассказывали нам об этой системе два года назад. Поэтому прошу эстонских коллег поправить, если что не так.
Оглашается только результат или «вывешивается» список голосов? Если только первое — бессмысленная система.
А что Вы имеете ввиду под «списком голосов» и «результатом»?
Любой список, по которому голосовавший может проверить правильность учета своего голоса и самостоятельно посчитать общий результат голосования.
habrahabr.ru/post/156153/#comment_5335019
вот здесь привёл ссылку на описание системы.
вот здесь привёл ссылку на описание системы.
Нет — это неправильный вариант. Голосующий не может проверить как учелся его голос (именно кандидата, за которого он голосовал) и самостоятельно посчитать общий результат.
Проверка голоса, привязанная к логину и персональным данным, как я уже неоднократно писал, не имеет никакого смысла. Т.к. при этом нет никаких доказательств что он таким образом учелся в общем результате.
Проверка голоса, привязанная к логину и персональным данным, как я уже неоднократно писал, не имеет никакого смысла. Т.к. при этом нет никаких доказательств что он таким образом учелся в общем результате.
Как это не может проверить? Он знает за кого проголосовал (а если не знает — то грош цена такому избирателю), хеш голоса виден у всех журналах и если он где то меняется — значит нарушается целостность.
Кроме того, программа контроля имеет возможность проверять журналы на полноту содержащейся информации: LOG2 и LOG3 вместе должны соответствовать содержимому LOG1; LOG4 и LOG5 вместе должны соответствовать содержимому LOG3.
Он не может проверить свой голос в общем протоколе голосования и посчитать на его основе полный результат. В этом проблема. То, что его голос не был «модифицирован» на самом деле ничего не значит. Т.к. он не может на его основе проверить общие результаты.
В таком случае, если КАЖДЫЙ избератель захочет пересчитать самостоятельно голоса — не будет ли это массовой DDOS-атакой на вичислительние возможности системи подщёта голосов?
Ладно, если таких людей будет 100, а если 100000? А если голосов 50 000 000, и каждій нужно разшифровать и подсуммировать к общему результату? И что делать, если двое изберателей в один момент начнут перещитывать результат?
Как по мне такая возможность не целесообразна изза большых потребностей вычислительних мощьностей.
П.С.
П.П.С. Прочтите документ полностю, у Вас исчезнет очень много вопросов.
Ладно, если таких людей будет 100, а если 100000? А если голосов 50 000 000, и каждій нужно разшифровать и подсуммировать к общему результату? И что делать, если двое изберателей в один момент начнут перещитывать результат?
Как по мне такая возможность не целесообразна изза большых потребностей вычислительних мощьностей.
П.С.
Существует требование, что должна существовать возможность пересчета голосов. Это обеспечивает надежность в случае сбоев работы технического обеспечения компьютера ППГ, делает возможным проверить подсчеты на другом компьютере и т.д.
П.П.С. Прочтите документ полностю, у Вас исчезнет очень много вопросов.
«В таком случае, если КАЖДЫЙ избератель захочет пересчитать самостоятельно голоса — не будет ли это массовой DDOS-атакой на вичислительние возможности системи подщёта голосов?»
Публикация статичного списка голосов — это разве большая нагрузка на систему? Это вообще, самое простое что можно сделать. Формируется текстовый файл, сжимается, подписывается ЭЦП ИК и выкладывается на любые ресурсы, которые могут выдержать большой наплыв скачивающих. Вот уж не аргумент.
Естественно, если избиратели захотят проверить результат на существующей системе — они ее уронят. Это еще одно подтверждение моей правоты — это неправильная система.
«Прочтите документ полностю, у Вас исчезнет очень много вопросов.»
Возможность независимой проверки результатов голосования — это минимальная база правильной системы голосования. Любая система голосования, которая не удовлетворяет этому требованию — профанация.
Кстати, персонифицированная проверка результатов — так-же профанация. Т.к. ничего не доказывает. Так что результаты должны выкладываться именно в общий доступ.
Публикация статичного списка голосов — это разве большая нагрузка на систему? Это вообще, самое простое что можно сделать. Формируется текстовый файл, сжимается, подписывается ЭЦП ИК и выкладывается на любые ресурсы, которые могут выдержать большой наплыв скачивающих. Вот уж не аргумент.
Естественно, если избиратели захотят проверить результат на существующей системе — они ее уронят. Это еще одно подтверждение моей правоты — это неправильная система.
«Прочтите документ полностю, у Вас исчезнет очень много вопросов.»
Возможность независимой проверки результатов голосования — это минимальная база правильной системы голосования. Любая система голосования, которая не удовлетворяет этому требованию — профанация.
Кстати, персонифицированная проверка результатов — так-же профанация. Т.к. ничего не доказывает. Так что результаты должны выкладываться именно в общий доступ.
Если система голоссования предназначена для выборов в органы власти, то она должна отвечать требованиям закона. У Вашем варианте что делать с обеспечением анонимности голоса изберателя? Или Вы предлагаете отказатся от анонимности во благо прозрачности процесса? Я понимаю что это было бы приемлимо в странах, где есть культура выборов, но не в России или Украине.
Или Вы верите что, припустим, Ваши разные политические взгляды с начальством не приведут к увольнению, если оно (начальство) увидит Ваш публичный голос? (Хорошо когда начальство не интересует Ваша политическая позиция, но такое далеко не везде бывает, особенно в госструктурах)
Или Вы верите что, припустим, Ваши разные политические взгляды с начальством не приведут к увольнению, если оно (начальство) увидит Ваш публичный голос? (Хорошо когда начальство не интересует Ваша политическая позиция, но такое далеко не везде бывает, особенно в госструктурах)
А почему вы решили что при этой системе как-то нарушается тайна голоса? Абстрактные коды, привязанные к голосу будут иметь смысл только для его владельца. По нему он может проверить свой голос и по всему списку посчитать общий результат. Голос станет открытым только когда сам голосовавший его откроет. А это, в принципе, его право.
Знания Ваши верны, но причем здесь анонимность? В «эстонской» модели электроголосования есть возможность установить однозначное соответствие между голосом и конвертом, в момент получения голоса из конверта. То есть это совершенно неанонимное голосование.
mexnap.info/articles.php?article_id=291
Вот нашел детальное описание работы их системы. Процытирую момент дабы не пересказывать сказки:
Тоесть, невозможно установить кто оддал голос, т.к. голоса и подписи разделены. Возможно только по хешу проследить что произошло с вашим голосом по логах системы.
Вот нашел детальное описание работы их системы. Процытирую момент дабы не пересказывать сказки:
Причина для создания хэша из зашифрованного номера кандидата и случайного числа (все вместе – «голос») проста: невозможно вывести исходный голос из хэша, в то время как свойство алгоритма хэш, заключающееся в свободе от конфликтов, обеспечивает его уникальность. Таким образом, для аудитора хэш (голос) является уникальной единицей, так что голоса могут быть отделены друг от друга, но при этом аудитор не может восстановить действительное значение голоса (даже с помощью секретного ключа системы).
Программа контроля позволяет определить, что произошло с голосом, отмеченным определенным ЛИК. Возможны следующие варианты:
голос принят – запись в LOG1;
голос аннулирован, т.к. избиратель проголосовал на избирательном участке в течение предварительных выборов – запись в LOG2;
голос аннулирован, т.к. избиратель проголосовал в день выборов – запись в LOG2;
голос аннулирован, т.к. кандидат, чей номер был отмечен в бюллетене, не баллотировался в данном избирательном округе – запись в LOG3, и дополнительно соответствующий хэш (голос) записывается в LOG4;
голос засчитан – запись в LOG3 и соответствующий хэш (голос) записан в LOG5.
К программе контроля в основном прибегают при рассмотрении жалоб. Однако, в принципе, возможно предложить избирателю сетевое приложение, где он, после удостоверения своей личности с помощью идентификационной карты, может быть уведомлен о статусе поданного им голоса.
Кроме того, программа контроля имеет возможность проверять журналы на полноту содержащейся информации: LOG2 и LOG3 вместе должны соответствовать содержимому LOG1; LOG4 и LOG5 вместе должны соответствовать содержимому LOG3.
Тоесть, невозможно установить кто оддал голос, т.к. голоса и подписи разделены. Возможно только по хешу проследить что произошло с вашим голосом по логах системы.
Могу ошибаться, но по-моему подобные схемы возможны только при условии доверия к программно-аппаратному комплексу, занимающимся всем этим. Как его можно обеспечить в наших условиях я не представляю.
Полной открытостью кода и распределенным вариантом системы голосований.
В коде, утрируя, на брэйнфаке лично я никогда не разберусь. А системы типа биткоин, насколько я знаю, имеют существенную уязвимость — решение о валидности «документа» принимается типа голосованием узлов. Если фэйковых узлов больше, то фэйковый документ будет считаться валидным, а валидный — нет.
«В коде, утрируя, на брэйнфаке лично я никогда не разберусь.»
Конечно. Есть множество людей, которые не разберутся в коде. Для этого у нас предусмотрен способ распространения установочных пакетов, подписанных персональными ключами экспертов, которые поручаются за то, что в данном экземпляре установщика нет закладок и он работает правильно. При этом у пользователя будет выбор из множества вариантов и он сам будет решать кому из экспертов доверять. В случае обнаружения проблем в подписанном коде, соответствующая рекция обратной связи мгновенно следует через систему взаимного доверия. И больше данной группе экспертов никто не будет доверять.
Конечно. Есть множество людей, которые не разберутся в коде. Для этого у нас предусмотрен способ распространения установочных пакетов, подписанных персональными ключами экспертов, которые поручаются за то, что в данном экземпляре установщика нет закладок и он работает правильно. При этом у пользователя будет выбор из множества вариантов и он сам будет решать кому из экспертов доверять. В случае обнаружения проблем в подписанном коде, соответствующая рекция обратной связи мгновенно следует через систему взаимного доверия. И больше данной группе экспертов никто не будет доверять.
«решение о валидности «документа» принимается типа голосованием узлов»
Решение о валидности документа проверяется по ЭЦП этого документа и принадлежности этой ЭЦП валидному пользователю. Сделать это может любой участник системы.
Решение о валидности документа проверяется по ЭЦП этого документа и принадлежности этой ЭЦП валидному пользователю. Сделать это может любой участник системы.
Проблема в том, что варификация голоса, и полная анонимность и неманипулироемость — вещи впринципе несовместимые.
Почему? Да потому что, если я могу проверить свой голос по своей воле, меня также могут заставить (уговорить, за деньги, например) проверить голос. Теми же самыми методами. И мы ведь все понимаем, что «ой, а я потерял хеш» — может и не сработать.
Таким образом вам нужно выбирать всегда, между варифицируемостью и анонимностью.
И самое главное, мы все знаем, что между тем, что выведет система проверки вашего голоса, и за кого действительно пошёл Ваш голос, и засчитался ли он вообще — есть боольшая разница.
Так что наши рассуждения сводятся к «Если правительство играет по правилам — то… ненужно ничего менять» и «если правительство будет играть не по правилам — мы ничего изменить не сможем»
Почему? Да потому что, если я могу проверить свой голос по своей воле, меня также могут заставить (уговорить, за деньги, например) проверить голос. Теми же самыми методами. И мы ведь все понимаем, что «ой, а я потерял хеш» — может и не сработать.
Таким образом вам нужно выбирать всегда, между варифицируемостью и анонимностью.
И самое главное, мы все знаем, что между тем, что выведет система проверки вашего голоса, и за кого действительно пошёл Ваш голос, и засчитался ли он вообще — есть боольшая разница.
Так что наши рассуждения сводятся к «Если правительство играет по правилам — то… ненужно ничего менять» и «если правительство будет играть не по правилам — мы ничего изменить не сможем»
«Проблема в том, что варификация голоса, и полная анонимность и неманипулироемость — вещи впринципе несовместимые.»
Они совместимы, но имеют между собой обратную зависимость. Нельзя добиться абсолютного соблюдения для каждой из них. Но можно постараться увеличить их значения до возможного максимума.
Они совместимы, но имеют между собой обратную зависимость. Нельзя добиться абсолютного соблюдения для каждой из них. Но можно постараться увеличить их значения до возможного максимума.
Я привёл аргументы, почему они не могут быть совместимы впринципе. более того, парой комментариев выше, вы с этим соглашались. В чём тогда вопрос?
Я склоняюсь к тому, что вы неправильно поняли то, что я написал «парой комментариев выше».
На счет ваших критериев — они полностью субъективны. И, к счастью, не имеют отношения к реальности. Эти критерии не могут быть несовместимыми, т.к. они уже каким-то образом совмещаются в проводимых голосованиях.
На счет ваших критериев — они полностью субъективны. И, к счастью, не имеют отношения к реальности. Эти критерии не могут быть несовместимыми, т.к. они уже каким-то образом совмещаются в проводимых голосованиях.
Если принуждающий тебя к голосованию потребует дать ему идентификатор твоего голоса сразу после голосования — ты никак не отвертишся.
Да?
Знаете что такое терморектальный способ взлома криптографических ключей?
думаю вопрос риторический. Но ещё есть варианты куда проще — угроза увольнением, подкуп
Я уже писал, подкуп — это тоже вариант выбора пользователя. Его никто не принуждает к такому варианту. Он самостоятельно его выбрал. Так что это — вполне «законный» метод голосования.
При угрозе увольнения, если начальник не стоит за спиной когда вы голосуете (что должно быть юридически наказуемо), вы в любом случае можете придумать способ его обмануть. Будете-ли вы это делать — это тоже ваш осознанный выбор.
При угрозе увольнения, если начальник не стоит за спиной когда вы голосуете (что должно быть юридически наказуемо), вы в любом случае можете придумать способ его обмануть. Будете-ли вы это делать — это тоже ваш осознанный выбор.
Вброс белютений — юридически наказуемо. Подкуп изберателей — кстати тоже. И прочие «нечестные» способы игры.
Ваши аргументы из серии — Вот этот замок на дипломат защитит ваши документы. — А если прорежут стенки? — А это порча имущества, и юридически наказуемо
Ваши аргументы из серии — Вот этот замок на дипломат защитит ваши документы. — А если прорежут стенки? — А это порча имущества, и юридически наказуемо
«Ваши аргументы из серии — Вот этот замок на дипломат защитит ваши документы. — А если прорежут стенки? — А это порча имущества, и юридически наказуемо „
Да нет. Это ваш аргумент из серии диалога с производителем дипломатов: “А вот если порежут стенки? — Давайте сделаем металлическими. — А если мне по голове стукнут и руку отрежут?». Что может предложить производитель дипломатов на такой аргумент? Вот и мы не собираемся «делать мир во всем мире», а собираемся сделать только то, с чем в принципе способны справиться.
Да нет. Это ваш аргумент из серии диалога с производителем дипломатов: “А вот если порежут стенки? — Давайте сделаем металлическими. — А если мне по голове стукнут и руку отрежут?». Что может предложить производитель дипломатов на такой аргумент? Вот и мы не собираемся «делать мир во всем мире», а собираемся сделать только то, с чем в принципе способны справиться.
Возникает вопрос какой из них максимизировать за счёт остальных.
Среднее значение.
Мое личное мнение, можно пренебречь анонимностью больше чем аутентификацией и независимостью результатов от подтасовок. Если защита от подтасовок слаба, то всё остальное практически не имеет значения. Вторая в очереди на минимизацию — аутентификация ( но с фиксацией коллизий и использование дополнительных факторов в их случае) — пускай даже власть кто-то проголосует за за тех, кто решил не голосовать (имхо, сейчас основной источник искажений), но чтобы не было возможности исказить реальное «нажатие кнопки».
«Так что наши рассуждения сводятся к «Если правительство играет по правилам — то… ненужно ничего менять» и «если правительство будет играть не по правилам — мы ничего изменить не сможем» „
Мы придумываем систему, которая не должна зависеть от того, по правилам или не по правилам “играет правительство». Т.к. наша система на него почти никак не завязана (только способы идентификации пользователей привязаны к официальным документам).
Мы придумываем систему, которая не должна зависеть от того, по правилам или не по правилам “играет правительство». Т.к. наша система на него почти никак не завязана (только способы идентификации пользователей привязаны к официальным документам).
ага
А если серьёзно, то проблему «неидентификации» под давлением/подкупе Вы так и не решили
А мы ее не собираемся решать. Это проблема другого уровня — юридического.
Тогда — вы ничего не меняете. Если бы всё было идиально и без подкупов/давления — то менять ничего и не нужно. Подброс голосов — между прочим тоже юридическая проблема.
Да нет — меняем. Мы в своей системе стараемся сильно усложнить технически те способы мошенничества, на которые мы можем повлиять. На «давление» и «подкуп» мы повлиять в принципе не можем, т.к. эти действия происходят вне контекста IT системы. А «там, где ты не на что не способен, ты не должен ничего хотеть». Мы признаем эту проблему, но так-же признаем что на своем уровне мы не можем на нее повлиять.
Тем не менее, это не означает что ничего не надо делать. Мы стараемся решить те проблемы, которые, по нашему мнению, мы можем решить.
Тем не менее, это не означает что ничего не надо делать. Мы стараемся решить те проблемы, которые, по нашему мнению, мы можем решить.
И какой процент проблем, по вашим подсчетам Вы сможете исправить? Будут ли возможные вмешательства ничтожно малы?
По нашим оценкам, возможность подделать результаты тайного голосования будут ничтожно малы. Их можно будет сорвать. С риском разоблачения тех, кто это сделал. Но и только.
Как проводились Ваши оценки?
Субъективно. На основе возможностей взломать криптографические ключи.
Субьективно — равно «с потолка». И главное — не считайте, что ломать будут в лоб. Очень часто, проще купить сисадмина, чем ломать сайт (я образно)
Максимум что сможет сделать сисадмин в системе голосований, основанном на одном сайте — удалить голоса пользователей. Что мгновенно будет замечено и доказано (если отправку голоса сочетать с его подписыванием со стороны ЦИК). Если подпись не придет, можно «поднять вой» еще до окончания голосования.
А вот подделать сисадмин ничего не сможет. Сможет «вбросить» голоса виртуалов. Но это обнаруживается другими средствами.
И, по большому счету, вариант сервера с админом — уязвим изначально. Поэтому, в нашем проекте он не предусмотрен. Предусмотрен лишь вариант распределенной системы.
А вот подделать сисадмин ничего не сможет. Сможет «вбросить» голоса виртуалов. Но это обнаруживается другими средствами.
И, по большому счету, вариант сервера с админом — уязвим изначально. Поэтому, в нашем проекте он не предусмотрен. Предусмотрен лишь вариант распределенной системы.
Подкуп/давление на избирателей лежит как бы вне системы голосования. Её основная задача гарантировать чтобы выбор избирателя был правильно учтён в результатах, включая выбор не участвовать в выборах. А также чтобы в результаты не попали избиратели заведомо несуществующие. А как сделан выбор — путём подкупа, давления начальства, подкаблучности, бросанием монетки, харизмой кандидата, анализом его программы и т. п. — не суть для системы.
Верно, но в этом случае, система неанонимного голосования — просто великолепна, согласитесь
Я бы предпочёл, чтобы в России выборы не были тайными. Если народ польстился на подкуп или испугался угроз (не важно, государственного уровня, местечкового или жены/мужа), значит это выбор народа, значит сиюминутные блага для него важнее будущего страны и своей совести. Тут повод задуматься стоит ли себя идентифицировать с этим народом, если его выбор с твоим не совпадает. А принимать такое решение в условиях неопределенности несколько опрометчиво, имхо.
Кстати, насчёт опасений «а что, если начальник узнает, что я голосовал не за...» — знаю кучу случаев, когда студенты голосовали за одного кандидата — явно (ходили в символике, ездили на митинги), а преподаватели — агитировали за других. И преподаватели ВЫНУЖДЕННЫ были ставить хорошие оценки — т.к. «Я ему сейчас 3 поставлю, а он будет на меня жалобу катать, что по политическим мотивам». Это конечно тоже, не идиальная ситуация, но всё же.
НЛО прилетело и опубликовало эту надпись здесь
Тоже думал над таким вариантом. Что-бы не было проблемы с итоговым списком, можно на каждый голос формировать три строки в бюллетене — два голоса правильных и один противоположный. Однако, злоумышленник, зная об этом методе, будет требовать у голосовавшего доказательств другим способом. Так что не думаю, что такие слабые уловки смогут существенно помочь.
И тогда будут требовать 2(3, 7, 10) проверок хешей.
Если говорить о «Проблеме честностных выборов» с точки зрения IT, то сразу видно, что проблема не Процедурного уровня, а Архитектурного. Я бы ее охарактеризовал как «Проблему Единной Базы Данных, состояние данных в которой администрацией БД Директивно Обьявляются истинной в последней инстанции, и реальное состояние которой целиком подконтрольно только администрации этой БД».
Соответственно, если говорить о «доказательствах и прочих логических доводах», я Вам могу выдвинуть следующий «Тезис»: в рамках поставленной задачи (прозрачное, честное, анонимное) не существует набора «процедурных мер», способных решить эту «архитектурную проблему» (А проблема это — Централизованная БД ЦИКа, которой «Приказано Доверять», но целиком невозможно проверить.).
Поэтому всякие «15 минут на пирожок», «жалобы в компетентные органы» это всего лишь очередные 100500й и 100501й способы для избирателя «проверить/оспорить честность своего маленького кусочка этой БД», при этом «в подводная часть айсберга этой БД» остается в принципе недосигаемой и непроверяемой ни для кого — ни для избирателя ни для кандидатов. Администратор БД нарисует в этой «темной стороне» что угодно без возможности реальной проверки.
Да, кстати, данная «Архитектурная Проблема» имеет четкое отражение «на плоскость нашего мира»: Результаты выборов от этого «брызгания слюнями», так и останутся Директивными (решения ЦИКа) а не Консенсуальными (согласованное совместное решение всех участников выборов). ЦИК, посчитав что-то в своей БД просто Директивно обьявляет результаты выборов и также Директивно обьявляет выборы состоявшимися, и дальше кандидаты и отдельные избиратели могут «хоть до усрачки» оспаривать результаты (удасться токазать явную фальсификацию «маленького кусочка», например отдельного избирательного участка — ну пересчитают этот «маленький кусочек», ни на что не влияющий, lol).
Существуют ли способы сделать Архитектуру выборов не Директивной, а Консенсуальной? Математически — Да, Реально! Достаточно «БД выборов» организовать в виде суммы «БД кандидатов+БД ЦИКа+БД избирателей». «Запись-голос» избирателя «размазывается по конкурирующим БД» где лежит в виде подписанного ЦИКом+Кандидатом вслепую некого «куска криптосвертки» (т.е. запись можно «валидировать», но нельзя по «куску» сказать кто голосовал и за кого). Т.е. соответственно сразу автоматически отметается ситуация когда одна партия говорит об одной явке избирателей, а другая о другой, и одновременно исключается возможность «локальной деанонимизации» (деанонимизация записи возможна лишь «глобальная», т.е. когда все кандидаты+ЦИК примут решение на деанон конкретной записи, например по запросу прокуратуры). Короче, Криптографические Хеши + Подпись Вслепую + Распределенные БД + Немногоуличной Магии = Имеем Результат выборов в виде Консенсуса. Это в теории.
Однако Практически (при сегодняшнем уровне «технизации») — Слишком Проблематично, т.к. слишком много «телодвижений» в «темной для обывателя области» — криптографии. Попробуйте «бабушкам у подьезда» рассписать, что для того, чтобы проголосовать надо: получить со всех кандидатов по набору токенов, проверить их на наличие ЭЦП ЦИКа, взять от каждого кандидата Открытый Ключ, проверить его на наличие ЭЦП, выбрать из этих токенов поднабор отражающий ваш выбор, поставить на своем выборе свою «криптометку», взяв от нее Хеш, подписать вслепую этот Хеш ЦИКом, отметиться в БД ЦИКа, как проголосовавший, заодно и проверив по хешу, что никто за вас не голосовал, получив при этом набор токенов-вариантов, и поставив также свою ЭЦП на своем выборе, сохранить локально, сгенерить рандомный ключ, хеш от него подписав в ЦИКе и у кандидатов и, получить свертку между выбранным токеном от ЦИКа, выполнить разбиение на куски, добавить в каждыйхлеб-сольхеш&соль, закриптовать полученные куски открытыми ключами Кандидатов, отправить в ЦИК, после окончания выборов, выгрузить себе БД всех кандидатов, сделать поиск по нашему хешу, если запись нашли, то все ok, то вычисляем хеши от данных копий БД кандидатов, подписываем их своей ЭЦП и посылаем тот сохраненный рандомный ключ, закриптованный Открытыми Ключами Кандидатов+ЦИКа в ЦИК и БД Кандидатов и наконец-то идем с друзьями праздновать по-настоящему честные выборы (а если по хешу записи нет все материлы с нашей ЭЦП идут в прокуратуру). В прочем, вышеприведенную схему можно «упростить» за счет повышения некоторого риска «деанонимизации».
Соответственно, если говорить о «доказательствах и прочих логических доводах», я Вам могу выдвинуть следующий «Тезис»: в рамках поставленной задачи (прозрачное, честное, анонимное) не существует набора «процедурных мер», способных решить эту «архитектурную проблему» (А проблема это — Централизованная БД ЦИКа, которой «Приказано Доверять», но целиком невозможно проверить.).
Поэтому всякие «15 минут на пирожок», «жалобы в компетентные органы» это всего лишь очередные 100500й и 100501й способы для избирателя «проверить/оспорить честность своего маленького кусочка этой БД», при этом «в подводная часть айсберга этой БД» остается в принципе недосигаемой и непроверяемой ни для кого — ни для избирателя ни для кандидатов. Администратор БД нарисует в этой «темной стороне» что угодно без возможности реальной проверки.
Да, кстати, данная «Архитектурная Проблема» имеет четкое отражение «на плоскость нашего мира»: Результаты выборов от этого «брызгания слюнями», так и останутся Директивными (решения ЦИКа) а не Консенсуальными (согласованное совместное решение всех участников выборов). ЦИК, посчитав что-то в своей БД просто Директивно обьявляет результаты выборов и также Директивно обьявляет выборы состоявшимися, и дальше кандидаты и отдельные избиратели могут «хоть до усрачки» оспаривать результаты (удасться токазать явную фальсификацию «маленького кусочка», например отдельного избирательного участка — ну пересчитают этот «маленький кусочек», ни на что не влияющий, lol).
Существуют ли способы сделать Архитектуру выборов не Директивной, а Консенсуальной? Математически — Да, Реально! Достаточно «БД выборов» организовать в виде суммы «БД кандидатов+БД ЦИКа+БД избирателей». «Запись-голос» избирателя «размазывается по конкурирующим БД» где лежит в виде подписанного ЦИКом+Кандидатом вслепую некого «куска криптосвертки» (т.е. запись можно «валидировать», но нельзя по «куску» сказать кто голосовал и за кого). Т.е. соответственно сразу автоматически отметается ситуация когда одна партия говорит об одной явке избирателей, а другая о другой, и одновременно исключается возможность «локальной деанонимизации» (деанонимизация записи возможна лишь «глобальная», т.е. когда все кандидаты+ЦИК примут решение на деанон конкретной записи, например по запросу прокуратуры). Короче, Криптографические Хеши + Подпись Вслепую + Распределенные БД + Немного
Однако Практически (при сегодняшнем уровне «технизации») — Слишком Проблематично, т.к. слишком много «телодвижений» в «темной для обывателя области» — криптографии. Попробуйте «бабушкам у подьезда» рассписать, что для того, чтобы проголосовать надо: получить со всех кандидатов по набору токенов, проверить их на наличие ЭЦП ЦИКа, взять от каждого кандидата Открытый Ключ, проверить его на наличие ЭЦП, выбрать из этих токенов поднабор отражающий ваш выбор, поставить на своем выборе свою «криптометку», взяв от нее Хеш, подписать вслепую этот Хеш ЦИКом, отметиться в БД ЦИКа, как проголосовавший, заодно и проверив по хешу, что никто за вас не голосовал, получив при этом набор токенов-вариантов, и поставив также свою ЭЦП на своем выборе, сохранить локально, сгенерить рандомный ключ, хеш от него подписав в ЦИКе и у кандидатов и, получить свертку между выбранным токеном от ЦИКа, выполнить разбиение на куски, добавить в каждый
Респект :)
В какой-то степени вы правы. Единая база данных системы голосования — это уже огромная дыра во всей системе. Поэтому от нее банально нужно отказаться. В пользу распределенной системы передачи и хранения данных.
На счет «темной для обывателя области» — тоже обоснованно. Вот только наша задача как разработчиков, упростить для обычных пользователей работу с «токенами криптования» до уровня работы с ключами и замком квартиры. И я лично не считаю эту задачу невыполнимой.
На счет «темной для обывателя области» — тоже обоснованно. Вот только наша задача как разработчиков, упростить для обычных пользователей работу с «токенами криптования» до уровня работы с ключами и замком квартиры. И я лично не считаю эту задачу невыполнимой.
Вы ищите проблемы в системе голосования совсем не там где они есть. Существующая система выборов достаточно хороша. Проблема не в ней, проблема в безнакананности тех кто обманывает эту систему. Подтасовки, вбросы, прямое изменение цифр в ЦИК — это всё было и за это никто не сел.
Какую бы вы не придумали систему, по телевизору объявят какие захотят результаты, а «компетентные органы» выбросят ваши заявления в урну и сделают вид что ничего не было.
Ничего не изменится пока фальсификаторов не станут массово сажать.
Какую бы вы не придумали систему, по телевизору объявят какие захотят результаты, а «компетентные органы» выбросят ваши заявления в урну и сделают вид что ничего не было.
Ничего не изменится пока фальсификаторов не станут массово сажать.
Если система позволяет себя обманывать, то это плохая система. Назовете вы хорошим, например, код публичного сайта, в котором без проблем проходят самые простые sql инъекции?
Обманывают не систему, обманывают ЛЮДЕЙ. Почему-то ИТшники наивно хотят решить социально-политические проблемы техническими методами. Нет, господа, это утопия и фантастика.
Люди являются неотъемлемой частью практически любой современной ИС. И, зачастую, самой уязвимой.
Вот с людей и надо начинать. Каждый кто виноват в нарушениях на выборах должен быть наказан, начиная с рядового работяги-карусельщика и заканчивая главным волшебником. Хотите изменить мир к лучшему — проведите расследование в своем регионе, найдите конкретных виновных и опубликуйте список вместе со всеми координатами и контактами, чтобы каждый кому не безразлично — мог с них спросить. Если планомерно искоренять безнаказанность, следующие выборы будут честнее.
В идеальном обществе должно быть именно так. Но наше общество не идеально, и по лично моим субъективным оценкам, сейчас в нем это невозможно. :(
Тем более это невозможно когда используется такая система голосований, которая не может постфактум доказать что что-то было подделано или свою честность. Я не помню ни одного случая в современной истории выборов в России, что-бы производился пересчет бюллетеней. По-моему, очень показательно относительно того, насколько власть заинтересована в доказательстве честности этих выборов.
Тем более это невозможно когда используется такая система голосований, которая не может постфактум доказать что что-то было подделано или свою честность. Я не помню ни одного случая в современной истории выборов в России, что-бы производился пересчет бюллетеней. По-моему, очень показательно относительно того, насколько власть заинтересована в доказательстве честности этих выборов.
Вы протеворечите сами себе. То что не делался пересчёт бюллетеней — это не минус системе голосования. Это минус правительству.
И если Вы не измените правительство, то у Вашей супер системы будут теряться базы данных, случаться ДДоС атаки, она не будет проходить сертификацию и так далее.
Это всё равно что сказать, что на улице полно грабителей с ножами, давайте с ними договоримся, чтоб вместо ножей они ходили с детскими тупыми ножницами.
И если Вы не измените правительство, то у Вашей супер системы будут теряться базы данных, случаться ДДоС атаки, она не будет проходить сертификацию и так далее.
Это всё равно что сказать, что на улице полно грабителей с ножами, давайте с ними договоримся, чтоб вместо ножей они ходили с детскими тупыми ножницами.
Повторю в сотый раз — мы НЕ делаем систему для правительства. У этой системы будет распределенная база данных, которая может потеряться лишь в случае ядерной бомбардировки или глобального падения интернета. DDoS — это проблема, но решаемая. Сертификация нам не нужна в принципе, т.к. мы НЕ делаем систему для правительства или любой другой организации.
На счет пересчета… Не будем ударяться в политику. У меня есть что возразить, но эта тема достаточно далека от топика.
На счет пересчета… Не будем ударяться в политику. У меня есть что возразить, но эта тема достаточно далека от топика.
В том-то и дело, что голосования — чисто техническая проблема. И портят ее именно тем, что организацией голосований занимаются политики. Когда политиков уберут из этой сферы, голосования станут, как минимум, более честными и правильными.
Если люди в независимых голосованиях узнают, что оказывается 99% голосовало против Путина, то эту власть просто сметут в один момент. И никакая армия или полиция ей не поможет. Т.к. и в армии и в полиции работают такие-же нормальные люди как и остальные.
Эх, мечты мечты.
Во-первых никто не даст взбаламутить массы, будут приняты совсем нетехнические меры. Во-вторых люди верят в то что хотят верить, это всех касается (хомячки Навального отличаются от ЕРовских только тем что жрут из другого корыта). Лишь жалкие единицы способны приложить какие-то усилия чтобы выяснить правду, и еще меньше способно эту правду принять, коль она окажется далека от родных предубеждений. В-третьих, пока люди могут как-то выживать, они не пойдут на баррикады, основные потребности человека сейчас удовлетворяются в достаточно мере и никто в здравом уме не будет рисковать своей жизнью чтобы сменить одних жуликов и воров на других. В четвертых, несмотря на все нарушения люди голосовали на Путина. Имея предубеждение это сложно принять, но это так.
Во-первых никто не даст взбаламутить массы, будут приняты совсем нетехнические меры. Во-вторых люди верят в то что хотят верить, это всех касается (хомячки Навального отличаются от ЕРовских только тем что жрут из другого корыта). Лишь жалкие единицы способны приложить какие-то усилия чтобы выяснить правду, и еще меньше способно эту правду принять, коль она окажется далека от родных предубеждений. В-третьих, пока люди могут как-то выживать, они не пойдут на баррикады, основные потребности человека сейчас удовлетворяются в достаточно мере и никто в здравом уме не будет рисковать своей жизнью чтобы сменить одних жуликов и воров на других. В четвертых, несмотря на все нарушения люди голосовали на Путина. Имея предубеждение это сложно принять, но это так.
Последнее в данный момент, имхо, самое главное.
«В четвертых, несмотря на все нарушения люди голосовали на Путина. Имея предубеждение это сложно принять, но это так.»
В том-то и дело, что лично я не знаю — было так или не было. То, что были подтасовки на выборах — вполне вероятно. И нашу систему голосований я лично делаю для того, что-бы узнать мнение большинства. Если большинству действительно нравится Путин, для меня это не будет представлять проблему. Я не буду ругать власть или ходить на митинги — я просто уеду из страны. И многие из оппозиции, уверен, тоже успокоились-бы если-бы увидели что народ их не поддерживает.
Так что честные голосования, в конечном итоге, выгодны всем политикам.
В том-то и дело, что лично я не знаю — было так или не было. То, что были подтасовки на выборах — вполне вероятно. И нашу систему голосований я лично делаю для того, что-бы узнать мнение большинства. Если большинству действительно нравится Путин, для меня это не будет представлять проблему. Я не буду ругать власть или ходить на митинги — я просто уеду из страны. И многие из оппозиции, уверен, тоже успокоились-бы если-бы увидели что народ их не поддерживает.
Так что честные голосования, в конечном итоге, выгодны всем политикам.
А как вы планируете узнать мнение людей, у которых нет интернета и т. п.?
Вы сейчас можете найти человека, у которого нет мобильника? Думаю, можно, но с трудом. К тому времени, как такой способ станет существенным, интернет будет у всех.
Что самое интересное, наш способ допускает использование НЕ личного компьютера для голосований. Причем, весь функционал обратной связи сети доверия сохраняется.
Что самое интересное, наш способ допускает использование НЕ личного компьютера для голосований. Причем, весь функционал обратной связи сети доверия сохраняется.
У моего отца (62 года) нет, у моей бабушки (88 лет) нет. Оба довольствуются обычным домашним и активно против покупки им мобильного.
И что из этого следует?
Из этого следует то, о чем мы тоже говорим — будут те люди, которые будут работать в этой системе, будут те, которые не захотят. Мы никого не принуждаем. Но возможность должна быть у всех. То, что ваш отец и бабушка не хотят пользоваться мобильным или интернетом — это их выбор. Возможность им будет предоставлена. Если они посчитают что это слишком сложно для них и не захотят использовать чью-то помощь — зачем их заставлять? Нежелание участвовать в системе — тоже вариант выбора.
Из этого следует то, о чем мы тоже говорим — будут те люди, которые будут работать в этой системе, будут те, которые не захотят. Мы никого не принуждаем. Но возможность должна быть у всех. То, что ваш отец и бабушка не хотят пользоваться мобильным или интернетом — это их выбор. Возможность им будет предоставлена. Если они посчитают что это слишком сложно для них и не захотят использовать чью-то помощь — зачем их заставлять? Нежелание участвовать в системе — тоже вариант выбора.
Вы считаете, у людей нет рта и ушей? Никто не может тихонько на кухне спросить другого — «ты, за кого голосовал?» И если 100 Ваших друзей не голосовали за эту власть, и 100 друзей каждого друга — тоже были против — что Вам мешает поднятся на революцию?
Нет, интернет просто уберёт эту революцию в интернет сферу. Будет куча срачей, но пройдёт время, и они утихнут.
Нет, интернет просто уберёт эту революцию в интернет сферу. Будет куча срачей, но пройдёт время, и они утихнут.
«И если 100 Ваших друзей не голосовали за эту власть, и 100 друзей каждого друга — тоже были против — что Вам мешает поднятся на революцию?»
Знаете почему этого сейчас не происходит? Потому, что оппозиционеры — это тоже «грязные политики» склонные лгать и мошенничать. Поэтому, верить нельзя никому из политиков. И, даже учитывая что никто из моих друзей и знакомых не голосовал за действующую власть, я допускаю, что где-то в России ситуация может быть другой. НО Я НЕ МОГУ ЭТОГО ДОКАЗАТЬ!!! Я могу лишь попытаться создать неподконтрольную никому систему голосований, что-бы попытаться это выяснить.
Знаете почему этого сейчас не происходит? Потому, что оппозиционеры — это тоже «грязные политики» склонные лгать и мошенничать. Поэтому, верить нельзя никому из политиков. И, даже учитывая что никто из моих друзей и знакомых не голосовал за действующую власть, я допускаю, что где-то в России ситуация может быть другой. НО Я НЕ МОГУ ЭТОГО ДОКАЗАТЬ!!! Я могу лишь попытаться создать неподконтрольную никому систему голосований, что-бы попытаться это выяснить.
А зачем Вам это доказывать? Если где то в глубинке голосуют за текущую власть — Вам от этого станет легче жить?
Если Вы считаете, что в стране что-то не правильно, если угнетают Ваши права — вставайте на их защиту. Боитесь за свою (и своих близких) жизнь — просто меняйте страну. Как многие и делают.
А теперь главное. Не будучи основной системой голосования — Ваша система ничего не доказывает. Т.к. Вы опять таки не докажете, что голосование было идентичным (вспомните — результаты екзит-полов довольно часто расходятся с официальными результатами).
P.S. А если все политики одинаковы — то какая разница, за кого голосовать?
Если Вы считаете, что в стране что-то не правильно, если угнетают Ваши права — вставайте на их защиту. Боитесь за свою (и своих близких) жизнь — просто меняйте страну. Как многие и делают.
А теперь главное. Не будучи основной системой голосования — Ваша система ничего не доказывает. Т.к. Вы опять таки не докажете, что голосование было идентичным (вспомните — результаты екзит-полов довольно часто расходятся с официальными результатами).
P.S. А если все политики одинаковы — то какая разница, за кого голосовать?
«Вам от этого станет легче жить?»
Представьте себе — да. Доказательство я имел ввиду прежде всего для самого себя. Мне легче жить когда я понимаю что происходит в обществе и у меня есть об этом достоверная информация.
«просто меняйте страну»
Я не признаю революцию как способ изменения страны. А сейчас возможен только такой способ, к сожалению. Вот я и ищу другие способы.
«Не будучи основной системой голосования — Ваша система ничего не доказывает.»
Эта система ничего не докажет правительству. Но она отлично способна что-то доказать ее участникам. И не в силу доверия какому-то дяде. А в силу логики и криптографии. И в конечном итоге, она будет способна влиять и на правительство. Т.к. государство состоит из народа. И правительство не сможет игнорировать объединенный народ.
«вспомните — результаты екзит-полов»
Ну, вы еще социологические опросы упомяните. :) Нас не интересует официальное признание результатов голосований через нашу систему. Нам достаточно того, что-бы участники голосований через нашу систему признавали эти результаты. И только.
«А если все политики одинаковы — то какая разница, за кого голосовать?»
Никакой. Поэтому у нас не «система выборов», а «система голосований». И поддержка прямой демократии. :)
Представьте себе — да. Доказательство я имел ввиду прежде всего для самого себя. Мне легче жить когда я понимаю что происходит в обществе и у меня есть об этом достоверная информация.
«просто меняйте страну»
Я не признаю революцию как способ изменения страны. А сейчас возможен только такой способ, к сожалению. Вот я и ищу другие способы.
«Не будучи основной системой голосования — Ваша система ничего не доказывает.»
Эта система ничего не докажет правительству. Но она отлично способна что-то доказать ее участникам. И не в силу доверия какому-то дяде. А в силу логики и криптографии. И в конечном итоге, она будет способна влиять и на правительство. Т.к. государство состоит из народа. И правительство не сможет игнорировать объединенный народ.
«вспомните — результаты екзит-полов»
Ну, вы еще социологические опросы упомяните. :) Нас не интересует официальное признание результатов голосований через нашу систему. Нам достаточно того, что-бы участники голосований через нашу систему признавали эти результаты. И только.
«А если все политики одинаковы — то какая разница, за кого голосовать?»
Никакой. Поэтому у нас не «система выборов», а «система голосований». И поддержка прямой демократии. :)
> Никто не может тихонько на кухне спросить другого — «ты, за кого голосовал?» И если 100 Ваших друзей не голосовали за эту власть, и 100 друзей каждого друга — тоже были против — что Вам мешает поднятся на революцию?
Замечательно. Получим классическую «нерепрезентативную выборку» (так это называется по-науке). Из того, что я сам не голосовал за партию власти, и из того что «три с половиной» опрошенных мною человека тоже утверждают, что не голосовали за партию власти, я с достоверной вероятностью не могу сделать никакие выводы о том за кого голосовало остальное множество голосовавших, да и голосовало ли вообще. (Кстати, особо обращаю Ваше внимание, на то, что Вы в принципе не можете сделать даже более-менее достоверную верхнюю и нижнюю оценку мощности множества людей, реально принявших участия в выборах. И если ЦИКовские «волшебники» обьявят что «явка избирателей составила 1046%», вы можете только подозревать что «что-то тут нечисто» проверить все равно не можете — увы, это ФУНДАМЕНТАЛЬНАЯ архитектурная особенность «by design».). А «срачи» это все только продукт (выход на поверхность) личных бездоказательных домыслов и подозрений.
Конечно, можно и «поднятся на революцию», но, проблема в том, чтобы это сделать «с чистой совестью» вам придется (всего-то навсего ;) ) как минимум получить «нотариально заверенные» показания у количества россиян минимум превышающих половину официальных граждан Российской Федерации. Неслабо, да? Тогда просто просто продолжайте жить со своими подозрениями. Sad, как говориться, but true, /b/ro!
Так что, как я уже писал, могу еще раз повторить, «Проблема честных выборов» она в принципе НЕ ПРОЦЕДУРНОГО характера, А АРХИТЕКТУРНОГО!!! В нынешней «архитектуре» выборов, «у руля» всегда в принципе будет оказываться тот, на кого укажет ЦИК, а все «несогласные» будут просто тихонько жить со своими подозрениями, которые невозможно ни достоверно подтвердить, ни достоверно опровергнуть!
Замечательно. Получим классическую «нерепрезентативную выборку» (так это называется по-науке). Из того, что я сам не голосовал за партию власти, и из того что «три с половиной» опрошенных мною человека тоже утверждают, что не голосовали за партию власти, я с достоверной вероятностью не могу сделать никакие выводы о том за кого голосовало остальное множество голосовавших, да и голосовало ли вообще. (Кстати, особо обращаю Ваше внимание, на то, что Вы в принципе не можете сделать даже более-менее достоверную верхнюю и нижнюю оценку мощности множества людей, реально принявших участия в выборах. И если ЦИКовские «волшебники» обьявят что «явка избирателей составила 1046%», вы можете только подозревать что «что-то тут нечисто» проверить все равно не можете — увы, это ФУНДАМЕНТАЛЬНАЯ архитектурная особенность «by design».). А «срачи» это все только продукт (выход на поверхность) личных бездоказательных домыслов и подозрений.
Конечно, можно и «поднятся на революцию», но, проблема в том, чтобы это сделать «с чистой совестью» вам придется (всего-то навсего ;) ) как минимум получить «нотариально заверенные» показания у количества россиян минимум превышающих половину официальных граждан Российской Федерации. Неслабо, да? Тогда просто просто продолжайте жить со своими подозрениями. Sad, как говориться, but true, /b/ro!
Так что, как я уже писал, могу еще раз повторить, «Проблема честных выборов» она в принципе НЕ ПРОЦЕДУРНОГО характера, А АРХИТЕКТУРНОГО!!! В нынешней «архитектуре» выборов, «у руля» всегда в принципе будет оказываться тот, на кого укажет ЦИК, а все «несогласные» будут просто тихонько жить со своими подозрениями, которые невозможно ни достоверно подтвердить, ни достоверно опровергнуть!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Открытое электронное голосование (доказательство от противного)