В США Федеральный закон требует, чтобы на избирательных участках была хотя бы одна электронная машина для голосования. На президентских выборах 2020 года 30 % голосов было отдано с помощью такой машины. Сторонники говорят, что электронные системы голосования могут быть относительно безопасными, улучшать доступность и упрощать голосование и подсчёт голосов. Между тем критики утверждают, что машины для голосования небезопасны и должны использоваться как можно реже.
В последнее время этот ранее нишевый спор был подхвачен хором сторонников теории заговора, которые утверждают, что скомпрометированные машины стоили Дональду Трампу президентства. На фоне этих опасений по поводу технологии выборов разные новаторы ищут решение: простую в использовании машину для голосования, которую значительно сложнее взломать, чем существующие модели.
Профессор информатики Университета Флориды, Хуан Гилберт, после 19 лет исследования и тестирования разработал Prime III — «самую безопасную технологию голосования из когда-либо созданных».
Prime III — это мультимодальная система электронного голосования с открытым исходным кодом, которая обеспечивает безопасность и целостность системы в удобном интерфейсе для пользователя независимо от его способностей. Если человек неграмотен, не может видеть, слышать, или например, если у него артрит, он может проголосовать с помощью Prime III в приватной, безопасной среде без посторонней помощи.
Доктор Гилберт назвал систему Prime III таким образом, потому что она считается устройством для голосования третьего поколения. Голосование первого поколения проводилось с помощью механического оборудования и бумаги (например, рычажных машин, перфокарт и т. д.). Голосование второго поколения использует компьютеры (например, оптическое сканирование, электронную машину для голосования с прямой записью (Direct Recording Electronics, DRE)). Устройства третьего поколения являются мультимодальными (например, AutoMark).
Система с оптическим сканированием
В бюллетенях с маркировкой, также известных как бюллетени с оптическим сканированием, указываются имена кандидатов, напротив которых необходимо закрасить овал, квадрат или круг. После этого избиратели могут отнести свой бюллетень к сканеру, который засчитывает их голос, распознавая тёмную метку. Эта форма голосования не требует сложного обучения и легко реализуемо. Однако проблемы возникают, когда сканер не может правильно распознать тёмную метку, поэтому нет никакой гарантии, что голос будет засчитан правильно. Существует также проблема хранения миллионов бумажных бюллетеней с маркировкой. Кроме того, бумажные бюллетени неудобны для использования инвалидами или неграмотными избирателями.
Электронные машины прямой записи (DRE)
DRE, такие как сенсорные экраны, являются новейшими системами в технологии электронного голосования. Избиратели голосуют, коснувшись имени кандидата из списка на экране. В большинстве DRE голоса подсчитываются самой системой. Сведённые в таблицу голоса хранятся либо в локальной БД, либо в удалённой БД, которая подключена к сети. Существует ряд рисков связанных с DRE; уязвимость от хакеров, злонамеренные работники, ошибочный код, отсутствие возможности пересчёта и человеческий фактор.
Согласно Help American Vote Act (HAVA), все американцы должны иметь равные возможности голосовать. Тем не менее, современные системы оптического сканирования и DRE не могут быть использованы избирателями, которые неграмотны, имеют инвалидность, которая не позволяет им использовать сенсорный экран или ручку с бумагой. Из-за большого количества проблем и отсутствия решений и был разработан проект под названием Prime III, отвечающий требованиям HAVA.
Процесс голосования с Prime III
Чтобы проголосовать с помощью Prime III, избиратель вводит бумагу в принтер и получает доступ к онлайн-системе удалённой оценки бюллетеней по ссылке или QR-коду. Избиратель может проголосовать отвечая на подсказки системы, либо коснувшись экрана или же может использовать аудио-тактильный интерфейс. Prime III также поддерживает телеголосование, что позволяет избирателю голосовать с помощью системы удалённой оценки бюллетеней, будучи подключённым к сотруднику избирательного участка, который в конечном итоге получает и распечатывает бюллетень с пометкой избирателя.
Избиратели, использующие гарнитуру для голосования, получат подсказки об отображаемых в данный момент параметрах бюллетеня. Каждому варианту случайным образом присваивается номер. Например, возьмём двух рандомных избирателей, Джона и Дженис, которые зашли в отдельные кабины для голосования. Если подслушать их, можно услышать, как Джон говорит «пять, семь, три, восемь», а Дженис говорит «два, пять, один, девять». В этом сценарии Джон и Дженис могут голосовать за одних и тех же кандидатов, однако никто этого не узнает, так как каждому избирателю одни и те же кандидаты даются под разными цифрами.
Речевой интерфейс Prime III также реализует взаимодействие, при котором избирателю не нужно озвучивать имя кандидата. Каждый вариант представляется избирателю через гарнитуру в случайном порядке; когда избиратель слышит нужный вариант, он говорит «голосую» или просто дует в прикреплённый микрофон. Когда избиратели не хотят выбирать текущий вариант, они молчат, и система переходит к следующему кандидату. Ниже приведен пример такого взаимодействия:
Prime III: — «Чтобы проголосовать за Республиканскую партию, скажите «голосую».
Молчание.
Prime III: — «Чтобы проголосовать за Демократическую партию, скажите «голосую».
Избиратель: — «Голосую».
Prime III — единственная система голосования, которая использует преимущества речевого интерфейса с помощью автоматического распознавания речи. Во время голосования избирателю требуется дважды подтвердить свой выбор. После этого результат будет сохранён на жёсткий диск, и приложение для голосования закроется. При этом вся сессия будет записана на на видеорегистратор. В реализации не используются видеокамеры. На видео не записывается ни избиратель, ни голос избирателя, только экран и звук Prime III. Личность избирателя остаётся анонимной.
Модель безопасности Prime III
Система Prime III физически не находится в кабине для голосования; она находится в отдельной выделённой зоне под охраной. Удаление системы из кабины для голосования предотвращает вмешательство в систему во время выборов.
Система может работать как в среде Windows, так и в SELinux (Security Enhanced Linux). Помимо ограниченного доступа пользователей, Prime III использует комбинацию папок-импостеров и шифрование для обеспечения безопасности выборов. Папки-импостеры — это папки для голосования, расположенные случайным образом в системе.
Концепция папки-импостера
В корневом каталоге есть несколько папок-импостеров, каждая с разными именами и не идентифицируемыми закономерностями в именах. Каждаясодержит 500 подпапок. Каждая вложенная папка содержит зашифрованные портативные изображения бюллетеней для голосования в формате документа (PDF). Эти бюллетени содержат только выбор избирателя. Каждый бюллетень содержит отметку даты и времени, когда был подан бюллетень. Зашифрованные файлы бюллетеней в формате PDF назначаются в одну из 500 подпапок на момент записи. В то же время несколько других случайно сгенерированные зашифрованные бюллетени записываются случайным образом в другие папки. Есть только одна настоящая папка для голосования, и эта папка определяется ключом ввода, установленным должностным лицом избирательной администрации.
В комплект Prime III входит устройство с сенсорным экраном, гарнитура, принтер и двухкнопочный текстурированный переключатель. Prime III обеспечивает несколько режимов, включая очное голосование, заочное голосование и табулирование голосования. Prime III использует безопасную цветовую схему для дальтоников и включает опции для слабовидящих пользователей, так как только 12 % слепых умеют читать шрифт Брайля.
Машина распечатывает бюллетень, который можно проверить. Одно из давних опасений по поводу этих бумажных следов заключается в том, что избиратели на самом деле не проверяют, соответствует ли то, что напечатано в их бюллетене. Сенсорный экран прозрачен, что позволяет избирателям наблюдать за тем, как машина печатает их бюллетени, в режиме реального времени и замечать любые проблемы.
Вся машина также заключена в полностью прозрачное стекло, что затрудняет вставку, скажем, вредоносного USB-накопителя. А операционная система машины, программное обеспечение, подключение принтера и информация о бюллетенях хранятся на диске Blu-ray, доступном только для чтения. В отличие от обычного жёсткого диска, которым, по словам скептиков технологии голосования, можно манипулировать, чтобы изменить голос человека, диск нельзя перезаписать, модифицировать или каким-либо образом изменить.
Чтобы ещё больше гарантировать, что USB-порты нельзя использовать для загрузки вредоносного кода, машина Гилберта перезагружается после каждого поданного голоса.
Конечной целью систем электронного голосования должна быть единая конструкция, позволяющая каждому голосовать конфиденциально и независимо. Хотя Prime III не реализует эту цель для всех избирателей, он предоставляет механизм, позволяющий многим избирателям с ограниченными возможностями голосовать с большей конфиденциальностью и достоинством, чем большинство используемых в настоящее время систем.
Создание отдельных систем или машин делает их более уязвимыми для взлома, объясняет доктор Гилберт. Но если одна система предназначена для универсального использования всеми людьми, становится легче обнаруживать ошибки и уязвимости.
Prime III был разработан в 2003 году доктором Хуаном Гилбертом как доступная безопасная система голосования. В 2015 году Prime III был выпущен как программное обеспечение с открытым исходным кодом, что позволило любому желающему загрузить программное обеспечение и использовать его. Prime III использовался в Нью-Гэмпшире на избирательных участках в качестве устройства для маркировки бюллетеней под названием One4All. В 2018 году округ Батлер, штат Огайо, начал предлагать Prime III в качестве своей системы удаленной оценки бюллетеней. В 2020 году округ Батлер, штат Огайо, остается единственной юрисдикцией, предлагающей Prime III в качестве системы удаленной оценки бюллетеней для иностранных и военных избирателей, а также для избирателей с ограниченными возможностями. Prime III также сертифицирован для использования в Калифорнии.
В 2020 году Хуан Гилберт призвал ведущих экспертов Америки по кибербезопасности протестировать и взломать Prime III. Система должна пройти тщательную проверку со стороны экспертов по безопасности со всей страны. Целью экспертов по безопасности было взлом машины и изменить подсчёт голосов. Они также должны были сравнить модель безопасности Prime III с моделями безопасности поставщиков систем DRE. Это должно было повысить доверие избирателей к системе.
Но к 2022 году доктор Гилберт так и не получил ответа ни от одного эксперта. По словам профессора: «Они берутся только за то, что могут взломать. Если у них то, что они не могут понять, то они не будут к этому притрагиваться».
