Дистанционные электронные голосования: архитектура доверенной электоральной системы

    В прошлой нашей публикации — тексте доклада Алексея Щербакова «Уроки электронного голосования в Московскую Городскую Думу 2019 года» на конференции AnalogBytes Conf 2020, проходившей 5 марта — был разобран один из свежих примеров проведения дистанционного электронного голосования (ДЭГ) и показано, почему оснований доверять его результатам не было.

    Материалы цикла:

    1. Алексей Щербаков — «Уроки электронного голосования в Московскую Городскую Думу 2019 года»
    2. Олег Артамонов — «Дистанционные электронные голосования: архитектура доверенной электоральной системы»
    3. Круглый стол «Нажми на кнопку: теория и практика электронных голосований»

    Подчеркнём: то, что оснований доверять системе нет, не означает, что результаты обязательно фальсифицировались. Это означает, что они могли быть фальсифицированы.

    Тема ДЭГ в последние месяцы обрела второе дыхание — в связи с коронавирусом и повсеместными каратинами, при этом сохранились и прежние аргументы, в первую очередь, простота и дешевизна проведения таких голосований. Оффлайновая работа с голосами избирателей стоит настолько дорого, что накладна даже для государства — а для большинства отдельных партий просто невозможна в силу отсутствия ресурсов на её организация.



    Другой вопрос, сугубо технический — можно ли вообще сделать ДЭГ устойчивым к фальсификациям в сравнимой с «бумажным» голосованием степени.

    «Из коробки» классическое бумажное голосование обеспечивает нам, как минимум:

    • тайну голосования (разрыв между аутентификацией избирателя и фиксацией его голоса);
    • аудит списка избирателей (поимённый перечень проголосовавших);
    • аудит результатов голосования (возможность пересчёта бюллетеней);
    • сокрытие результатов до окончания голосования (невозможность определения исхода до окончания голосования).

    Давайте разбираться, можно ли это всё реализовать в ДЭГ (ответ для нетерпеливых: да).

    Тайна голосования


    При классическом старорежимном голосовании тайна голосования обеспечивается физическим разрывом между двумя местами — местом, где избиратель удостоверяет своё право голосовать, и местом, где он отдаёт голос. В первом месте — это столик избирательной комиссии участка — избиратель идентифицируется по паспорту и ему выдаётся анонимизированный бюллетень. Во втором месте — урне для голосования — сам факт наличия бюллетеня является подтверждением права на голосование, личность избирателя уже неважна и, собственно, неизвестна.

    В абсолютном большинстве систем ДЭГ, внедрявшихся как властями, так и оппозицией, как в России, так и за её пределами, этого разрыва нет: аутентификация и голосование проходят на одном и том же сервере, находящемся под контролем одних и тех же людей. Каковые, разумеется, могут иметь собственные политические интересы и, соответственно, быть потенциально нечистоплотными на руку.

    Вместе с тем, принципиальной необходимости строить ДЭГ именно так нет никакой — кроме, разумеется, логики «нам так проще».

    Вот уже три десятилетия специалистами по криптографии разрабатываются и анализируются так называемые «протоколы голосования», позволяющие реализовать тайну голосования «в железе».

    Единственным критичным требованием к реализации является наличие двух серверов, находящихся под управлением независимых друг от друга сил (это могут быть, например, две фракции или два комитета внутри партии, если речь о внутрипартийной системе).

    Сервер аутентификации пользователей проверяет, может ли данный пользователь голосовать, и если да — генерирует две половинки ключа. Одна половинка отправляется на сервер учёта голосов, вторая передаётся избирателю на устройство, с которого он голосует.

    В момент отдачи голоса этот голос подписывается ключом избирателя и отправляется на сервер голосования, который сверяет ключи и учитывает голос. Сам факт наличия у избирателя его половинки ключа является подтверждением его права на голосование; знать личность избирателя сервер учёта голосов не знает и знать не может.

    В случае, если проводится открытое голосование, после получения голоса сервер учёта голосов отправляет информацию о нём на сервер аутентификации пользователей, который сопоставляет ключ с ФИО и публикует эту информацию в списке прошедших аутентификацию избирателей.

    В случае тайного голосования сервер учёта голосов только подтверждает серверу аутентификации факт свершившегося голосования.

    Важным нюансом в реализации такой схемы является учёт возможности атак по косвенным данным, в которые могут входить отпечаток устройства пользователя, IP-адрес пользователя и время голосования. При обеспечении независимости двух используемых серверов здесь критично лишь время голосования — можно сопоставить время аутентификации пользователя и время внесения в базу голоса; поэтому схема взаимодействия серверов и пользователей должна предусматривать разрушение этой связи в явном виде, как минимум, через добавление случайной задержки между аутентификацией и отправкой голоса со стороны устройства, используемого пользователем для голосования.

    В остальном же схема с двумя независимыми серверами — и только она! — позволяет реализовать тайну голосования в электронной форме.

    Схемы, в которых используется единый сервер, доверенными в этом контексте считаться не могут по определению; все заявления их авторов об отсутствии регистрации имён избирателей в связке с отданными ими голосами держатся исключительно на доверии к чистоплотности и аккуратности данных авторов (и все мы помним, что в IT-индустрии — тысячи примеров, когда автор сервиса не имел в виду ничего плохого, просто забыл в релизной сборке отключить отладочное логгирование).

    Корректно реализованная схема с независимыми серверами обеспечивает тайну голосования всегда, если владельцами обоих серверов не были сознательно предприняты меры к её устранению.

    Аутентификация пользователей


    Это — самая простая часть системы. В зависимости от целей и важности голосования, аутентификация может проводиться:

    • Парой логин-пароль или PIN-кодом по SMS (например, соцопросы или решение локальных вопросов городского хозяйства)
    • По номеру партбилета пользователя, включая электронный партбилет на базе NFC/RFID (например, текущие внутрипайртийные голосования)
    • По аутентификации в ЕСИА (внутрипартийные праймериз, внепартийные голосования, включая общегосударственные выборы и референдумы)

    (ЕСИА — Единая система идентификации и аутентификации — это система авторизации в «Госуслугах»; партиям недавно разрешили использовать её для праймериз и сбора подписей)

    Отметим, что биометрические датчики смартфонов (датчик отпечатка глаза, радужки глаза и т.п.) использоваться для аутентификации в электоральных системах не могут, т.к. не отдают наружу собственно биометрические данные, а лишь подтверждают, что данное лицо является владельцем данного смартфона. Владелец пяти смартфонов, соответственно, сможет аутентифицироваться пять раз. Эти датчики могут использоваться лишь для подтверждения доступа к приложению, используемому для голосования, чтобы посторонний человек, получивший доступ к смартфону, не отдал голос за его владельца.

    Использование биометрических данных для аутентификации в системе голосования потенциально возможно, но лишь в случае добровольного предоставления их пользователями и обработки со стороны сервера аутентификации пользователей — например, по фотографии лица.

    Аудит хода голосования


    Одним из способов фальсификации результатов голосования являются вбросы «лишних» бюллетеней и так называемые «карусели».

    Влияние внешних сил в данной схеме может быть исключено проработкой системы аутентификации пользователей.

    Вместе с тем, даже при очень высокой надёжности системы аутентификации пользователей владельцы сервера аутентификации могут начать генерировать «виртуалов», выдавая им ключи и отправляя их на сервер учёта голосов для голосования за нужный владельцам этих серверов пункт.

    Предотвратить это можно несколькими способами:

    • выгрузкой с сервера аутентификации пользователей поимённого списка зарегистрировавшихся и проголосовавших избирателей, аналогичного бумажным спискам избирательной комиссии (ИК), на устройства наблюдателей и членов ИК;
    • анализом со стороны сервера учёта голосов аномалий в поведении пользователей (большое число пользователей с однотипных устройств, одинаковых IP-адресов, ненормальное распределение пользователей по времени голосования);
    • отсутствием возможности для наблюдателей или владельцев сервера аутентификации узнать текущее распределение голосов до окончания голосования.

    Здесь мы впервые сталкиваемся с понятием «наблюдатель» — на дистанционных голосованиях наблюдатели также нужны, и нужны с той же целью, что на и голосованиях бумажных. Однако, в данном случае они контролируют происходящее не очно, а по выгрузке данных на их устройства с серверов аутентификации и учёта голосов.

    Аудит результатов голосования


    Наиболее важна роль наблюдателей в аудите результатов голосования. Очевидно, что владельцы сервера учёта голосов потенциально могут просто подменить числа перед их публикацией.

    Чтобы не допустить этого, в течение всего хода голосования на устройства наблюдателей регулярно реплицируется текущая база данных голосов (при желании как раз сюда можно прикрутить блокчейн — но в общем не обязательно). Чтобы не допустить утечек результатов раньше окончания голосования, база криптографически защищается.

    В момент окончания голосования и публикации его результатов ключ от базы рассылается наблюдателям, так что они могут самостоятельно подсчитать результат голосования и сравнить его с опубликованным — это сделает невозможной подмену результата.

    Кроме того, наблюдатели могут сверить число голосов, зарегистрированных сервером учёта голосов, с числом избирателей, зарегистрированных сервером аутентификации, чтобы исключить вариант вброса анонимных голосов владельцами сервера учёта голосов (тем более, что потенциально они являются единственными людьми, способными отслеживать результаты голосования в реальном времени, и потому могут аккуратно подбрасывать голоса в нужную сторону так, чтобы это не было заметно).

    В этой же системе может решаться и задача недопущения подмены голосов реальных пользователей — возможна реализация так называемой аудируемой системы голосования, в которой пользователь может, использую индивидуальный криптографический ключ, проверить, за кого был засчитан его голос, при этом не раскрывая свою личность и не имея возможности проверить голоса других избирателей. Подчеркнём, что во многих статьях такой проверкой возможности аудита исчерпываются — это неверно, т.к. личная проверка не исключает возможности вброса «мёртвых душ» или подмены итоговых результатов.

    Голосование под давлением


    Типичной проблемой дистанционных, да и очных голосований является голосование под давлением — в ситуации, когда руководитель (например, директор предприятия) предписывает сотрудникам голосовать за конкретного кандидата, отчитываясь фотографиями бюллетеней.

    Что интересно, в случае с дистанционными голосованиями эта угроза может быть нивелирована возможностью изменения голоса в течение всего хода голосования. То есть, пользуясь выданным ему ключом, избиратель может проголосовать несколько раз — и учтён будет только последний отданный ему голос, что позволит продемонстрировать начальнику «правильное» голосование, а далее отдать голос уже за реально желаемого кандидата.

    Кроме того, постфактумное обнаружение массовых переголосований (база данных фиксирует все голоса, последний отданный учитывается уже при подсчёте) может указывать на наличие явной проблемы и повод для начала расследования.

    Заключение


    Таким образом, вопреки заявлениям некоторых экспертов, политиков и политологов, построение доверенной и надёжной системы дистанционного электронного голосования возможно.

    Такая система будет обеспечивать уровень защиты от фальсификаций не ниже, а в некоторых случаях выше, чем классическое очное тайное голосование, при этом существенно снизит сложность и стоимость организации волеизъявления граждан (жителей страны, города, членов политических партий и общественных организаций, etc.). Что особенно важно, доверие к системе обеспечивается в значительной степени технологическими решениями, а не доверием к её эксплуатантам.

    В силу технологичности решения большинства возможных проблем для рядовых избирателей надёжность и нефальсифицируемость системы может подтверждаться открытым мнением экспертов, в том числе сторонних и независимых, оснований для недоверия к которым у пользователей не будет.

    Распределённый характер системы (независимая работа двух серверов, устройств наблюдателей и устройств пользователей) обеспечивает защиту от таких примтивных и типовых приёмов, как подмена кода или запуск сторонних приложений, модифицирующих работу системы, уже после проверки её экспертами — попытки вмешательства лишь в один из компонентов системы могут нарушить его работу, но не могут незаметно для экплуатантов остальных компонентов системы фальсифицировать данные.

    При модульном построении системы она позволит проводить голосования с разными способами аутентификации, тайные и открытые, с разным уровнем доверия — в зависимости от решаемых вопросов.

    P.S. Будут ли такие системы кем-либо внедряться на практике — вопрос открытый. Но технологическая возможность их разработки, внедрения и использования есть.

    Автор текста — Олег Артамонов (olartamonov), руководитель службы научно-технической экспертизы Партии прямой демократии.

    Дополнительные материалы:


    P.S. Завтра в эфире: пока ДИТ Москвы всё обещает, мы уже собираем за одним столом юристов, пиратов, политтехнологов, математиков и хакеров с Хабра.
    AnalogBytes Conference
    Компания

    Комментарии 66

      +1
      Можно ещё добавить возможность постконтроля самими голосующими — вместе с выбором при голосовании передаётся текстовый пароль. Пароль вводится пользователем и шифруется его закрытым ключом. После окончания голосования избиратель может зайти на сервер голосований, получить список паролей за его выбор, расшифровать его весь своим открытым ключом и поискать свой пароль, как подтверждение.

      Как наверняка помнит ув. olartamonov, такая система использовалась в Fidonet. Разве что, пароли не шифровали ;)
        0

        А что если отказаться от тайны голосования и тайны сбора голосов? Риалтайм видно кто за кого проголосовал и какие сейчас соотношния. Это позволило бы голосовать весь год, менять свой голос, а подводить итог на определëнную дату. Так выборы можно было бы проводить чаще, а потерявших доверие избранных, оперативно смещать.


        А почему собственно нет? «Политическое преследование» — ответит большинство. Но — что это значит?


        По мне так это означает простор для фальсификации. Автор статьи в итоге пишет, что честное голосование с сокрытием данных возможно, но лукавит. Выше по тексту баг — приходится доверять тому, что админы двух серверов не договорятся. Разве такой системе можно доверять?

          0
          Без тайны голосования — на местных выборах красота будет просто неописуемая.

          «Политическое преследование» там будет принимать формы весьма конкретные: например, на заводе, директор которого дружит с нынешним губером, после голосования против губера вы можете переставать надеяться на повышение не то что в должности, а в зарплате в принципе когда-либо.

          А крупный завод в городе, например, один.
            0

            Оно и так есть. Логичнее призывать к ответственности таких директоров и прочих махинаторов. Настаиваю на том, что прозрачность — в приоритете.

              0
              А как? Доказать, что Иванова И.И. прессуют на работе, потому что он голосовал не за того, а не потому что у него руки кривые, практически нереально. Есть же масса методов дисциплинарного воздействия на сотрудников, только отделу кадров волю дай.
                0

                БОД здесь был бы очень кстати.


                То, что вы описываете — это общая проблема и тайна голосования лишь один из факторов.


                А вот если выборы открытые и частые, то подобная практика, в не единичных случаях, приведёт к огласке и падению рейтинга у друга хозяина завода. На месте избранника, я бы попросил — так сильно не подставлять. Ведь результаты выборов которые обновляются риалтайм дают возможность следить за тем как изменяется уровень доверия к избраннику и если оно [доверие] упало ниже плинтуса — инициировать новые выборы.


                Собственно день выборов лишь повод для подведения итогов. А вот отдавать\менять свой голос человек может в любое время. И вообще так люди могли бы голосовать друг за друга даже если они не находятся в списке изберкома (которому в принципе оснований доверять тоже нет), так формировались бы списки для на следующих выборах.


                Формат, который существует сейчас, мне кажется страдает от того, что избранник назначается на определённый срок и получает картбланш на свои действия, в который может помогать своим друзьям хозяевам заводов за услуги прессования рабочих. А выберут ли на следующий срок — скорее бонус, ведь у него есть уверенность в том, что до конца срока он в шоколаде и этот шоколад нужно успеть съесть.

                  0
                  А вот если выборы открытые и частые, то подобная практика, в не единичных случаях, приведёт к огласке и падению рейтинга у друга хозяина завода


                  И — при дальнейшем отсутствии способов доказать — будет использоваться как элемент политической войны против соперников на выборах.

                  Потому что в недоказуемой ситуации будет классическое «кто громче заявит, тот и победил».

                  Собственно день выборов лишь повод для подведения итогов. А вот отдавать\менять свой голос человек может в любое время. И вообще так люди могли бы голосовать друг за друга даже если они не находятся в списке изберкома (которому в принципе оснований доверять тоже нет), так формировались бы списки для на следующих выборах


                  Тут уже вылезает другая интересная история: непрерывный учёт голосов и, например, отзыв чиновников, у которых рейтинг упал ниже плинтуса либо иной психологически значимой отметки.

                  Но это уже вопрос не столько технический, сколько политический, он, например, у партии в программе заявлен применительно к депутатам-одномандатникам.
                    0

                    По вашей логике выходит, что тот кто громче кричит, того и выберут. (и кстати эта логика не лишена смысла)


                    Я признаю, что у обоих подходов есть плюсы и минусы, но в случае с открытыми данными ПМЛМ плюсов не только больше, но всё больше и больше, с каждым годом накопления данных.

                      0
                      Ну у нас в общем и в партии есть люди, выступающие за отмену тайны голосования на выборах — Тимофей Шевяков, например.

                      Но пока что риски явно перевешивают профит.
                        0

                        О чьих именно рисках идёт речь‽ — вопрос риторический

                          +1
                          Вообще в первую очередь о рисках людей, которых будут прессовать.

                          Если вы живёте в условной Москве и работаете в условном Яндексе — вы не очень представляете себе, что такое риск потерять работу на заводе в моногороде.
                            –1

                            Хорошо. БОД нереальная штука как и то, что я сейчас предлагаю. О рисках обладателей чёрного ящика говорить не станем.


                            Но тянуть в будущее архаичности и не обращать внимания на технический прогресс — с вашей стороны, странно. Выж программист, а рассуждаете с позиции околобандитской расправы.


                            Мыслите шире! Представьте, что такая система будет введена не послезавтра, а лет через сорок, когда машины смогут обеспечивать базовые потребности всех людей на земле. Думать об этом нужно уже сегодня.

                              0
                              Мы в общем ещё полгода назад думали, что не через сорок, но минимум года через четыре.

                              А оказалось, что уже послезавтра.
                                0

                                Окей. Тогда двигайтесь в направлении децентрализации и открытости пожалуйста. На сколько можете.

                                0
                                Выж программист, а рассуждаете с позиции околобандитской расправы.

                                Вообще если в нашей стране журналисту могут подбросить наркотики, то почему не могут подбросить программисту?

                                Технология — это инструмент для решения задач. А вот как её применит отдельный человек… Это совсем другой вопрос.
                +1

                Так может явное голосование и изменит эту ситуацию. Прятать свое мнение под угрозой репрессий это ненормально. Потеря достоинства и самоуважения в итоге и приводит к тому, что директор позволяет себе что-то там требовать за рамками служебных обязанностей.

                  0
                  Бросьте. Большинству людей в значительной степени всё равно, кого там выберут, и не всё равно, сколько им будут платить. Соответственно, проголосовать «за кого надо» — это не вопрос самоуважения.

                  Это даже не в укор людям, это просто факт, как «вода — мокрая».
                    0

                    Тогда зачем вообще нужны эти голосования? Отменить и сэкономить денег. [/конец иронии]

                      0
                      А это уже третий вопрос, не технический и не политический — как вовлекать людей в политику хотя бы минимальном уровне через объяснение, что ты можешь не заниматься политикой, но тогда она займётся тобой.

                      Как можно заметить, даже на Хабре идёт туго — у многих позиция «да забанить их тут всех и делать вид, что их не существует».
                0
                Кроме того у предложенной в статье системы пропадает самое главное качество «бумажных» выборов. А именно простота и прозрачность — тебе не нужно доверять двум чёрным ящикам и что они не работают заодно, теоретически можно следить за пополнением урны и потом вручную посчитать бюллетени. А в электронной системе тебе нужно разбираться в шифровании и/или как работает то устройство на экране которого ты наблюдаешь результаты, чтобы понять не обманывают ли тебя как наблюдателя. Т.е. одно доступно практически для каждого, т.е. как минимум для 90% способных голосовать. Второе лишь для 0,001% голосующих.
                А давление на людей можно легко оказывать, например, многие пенсионеры беззащитны и если им на внутриподъездную почту придёт письмо «Голосуй за Х, иначе *угроза*». И пенсионеру ничего не останется кроме как подчиниться, ведь голоса можно проверить. Многие ведь посчитают, что государство не сможет уберечь их от угрожающих. И среди таких уязвимых людей не только пенсионеры, но и одинокие матери, инвалиды и т.п. Поэтому тайна голосования важна.
                  0

                  Вот, что-то не уверен я в прозрачности и простоте бумажных выборов. На чём она основывается? Никто вам бюллетени не даст и вы посчитать их не сможете. Какая тут прозрачность лично для вас — не ясно.
                  Надежда на добровольцев которые следят за ходом выборов? Отпадает. Их репорты уходят в /dev/null и всё тут.

                    –1
                    Прозрачность в том, что я, Вы и бабушка Клава, можем стать наблюдателями, если у нас есть подозрения и проверить итоги на участке без каких-либо технических знаний. Поэтому это гораздо прозрачнее любых электронных выборов.
                    Но, конечно, Вы правы — открытые выборы гораздо прозрачнее, можно публиковать в интернете списки и вывешивать на главных площадях списки с фамилиями и результатами. Проблема открытых выборов известна: беспринципные и богатые кандидаты получают большее, чем обычно преимущество: можно манипулировать — подкупая или запугивая людей (это и сейчас возможно, но обойти это проще, а проверить дороже), в то же самое время проводить в сми кампанию против своего соперника — мол именно он этим занимается. Если бы у нас все люди были бы без страха и упрёка, модель отрытых выборов была бы идеальна.
                      +1

                      Я сам не был наблюдателем, но знаю таких лично. Отзывы от них — удручающие


                      Плюсы и минусы есть и тут и там, я не говорю о том, что система с открытыми выборами — идеальное решение. Но думаю лучшее чем то которое есть сейчас.


                      Менять, что-то страшно — вдруг станет хуже?
                      Но от стагнации — точно не станет хорошо.

                        0
                        У нас в региональных отделениях партии много людей, работавших наблюдателями. В принципе интересная мысль кого-нибудь из них завтра на круглый стол позвать, сейчас подумаем её (там просто и так уже 10 человек, не считая ведущего).
                    0
                    На бумажных выборах избиратели не допущены ни к вскрытию урн и подсчёту бюллетеней, ни даже к спискам голосующих — они доверяют наблюдателям, выдвинутым различными партиями.

                    Точно так же и с электронными — будут наблюдатели, следящие за ходом, будут эксперты, делающие аудит архитектуры и реализации системы. Избиратели же мнению этих людей доверяют, потому что они независимы от организаторов выборов.

                    Собственно, про экспертов наглядный пример прямо тут — вот если б не Исавнин и Щербаков, мы бы с вами откуда узнали, какой там адочек у ДИТ Москвы в прошлом году творился внутри системы?
                      0

                      В этом и есть смысл открытых выборов. Любой сможет устроить своё собственное расследование.

                        0
                        Каждый — не сможет, квалификации нет.
                          0

                          Каждый — у кого есть способности — сможет. Чувствуете разницу?

                            0
                            Это число людей, в общем сравнимое с числом наблюдателей на нынешних выборах.

                            И да, каждая партия этих наблюдателей обучает, проводит для них предварительные семинары по поведению на участках и т.п.
                              0

                              Наблюдатели не имеют физической возможности целиком всё проверить. То ли дело скрипты.


                              А вы кстати программист?

                                0
                                А вы кстати программист?


                                De jure — нет.
                          0
                          Вы знаете, я совершенно случайно со всем этим начал разбираться. Совпало с временем отпуска и оставалось время. А так техническим специалистам как правило безразличны «выборы без выбора». Когда у вас зарплата выше чем у 90%-95% населения России какой смысл участвовать в этом цирке?
                          Поэтому и многие вещи начинают злить уже по факту их свершения.
                          Как например ситуация, когда ты даже в роли добропорядочного пользователя системы не можешь ей воспользоваться. Активируешь временный пропуск за 3 часа до прохода в метро, после чего тебя пропускает в метро БЕСПЛАТНО охранник, потому что в систему до сих пор пропуск не попал. 21 век, Hi-Load это не про ДИТ :-)
                    +2
                    Корректно реализованная схема с независимыми серверами обеспечивает тайну голосования всегда, если владельцами обоих серверов не были сознательно предприняты меры к её устранению.

                    Ваш сервер регистрирует всех, кого попало. Он доверяет некой гос.системе. Я (работая в госах соответствующим начальником) пишу бота, который голосует за всё население. Корректно реализованный сервис избирает меня президентом. Круто.

                    И так по всем пунктам, где может поучаствовать заинтересованное лицо. Начиная сразу с «корректности реализации», которая нужна совсем не тем, кто будет реализовывать эту корректность.

                    Все технические ухищрения ничто, если у всех нет полной информации. Но кто-то вот до сих пор верит, что если всё скрывать, то можно… А что можно? Получить денег за разработку? Это да, точно можно. А что потом? Ну написать блог, ладно. А потом те, кто заказывал музыку, приказывают установить приложение для выписывания штрафов (и это только начало).
                      +1
                      Если не говорить о необходимости контроля за каждым узлом такой архитектуры, то самое интересное будет с бюджетниками и другими подневольными: если сейчас они фоткают бюллетени и шлют по вотсапу (а потом некоторые портят и испорченные кладут в урны), то в случае реализации такой системы будет просто сбор ключей для контроля голосования :)

                      Такие системы имеет смысл строить только когда обычное оффлайн-голосование, наблюдение и подсчет работает нормально. Да и то возникнет куча вопросов. А в нашей реальности на каком-то из этапов какой-нибудь специально созданный отдел по контролю за честностью выборов в какой-нибудь специальной службе возьмет под контроль всю инфраструктуру и будут ее «защищать» от иностранного вмешательства, ведь это вопрос государственной важности.
                        0
                        Ключ с личного смартфона так просто не отнимешь, а собирать всех в одно помещение, чтобы они на глазах у контролёра регистрировались и голосовали — во-первых, как раз доказуемо, во-вторых, технически можно сделать возможность повторного прохождения аутентификации с другого устройства.
                          0
                          Технологии делают авторитарные режимы более авторитарными. И в нашем случае на смартфоне не то, что ключ спрятать не удастся, а голосовать будем с помощью госприложения, которое в свободное от голосования время будет использоваться по модели «казах-посередине».
                          Не стоит в России заигрывать с ДЭГ. Лучше сначала обычные выборы привести в порядок.
                            +1
                            Если в России не заигрывать с ДЭГ — то просто силами ДИТ Москвы их чудо-система будет развёрнута на всю страну, потому что «других предложений не поступило».

                            Более того, политические партии внутри себя сейчас также ринутся внедрять ДЭГ (см. Единую Россию, которая полтора года просто так чесала язык про блокчейн, а сейчас вжух — и у них уже праймериз через ЕСИА), причём большинство даже примерно не понимает, как это делать. Когда это всё обсуждалось вживую, тезис «да прикрутить голосовалку на сайт, позвать пару экспертов этих ваших, чтобы они код посмотрели и сказали, что всё норм, денег им даже заплатить можно» звучал неоднократно. А уж если там ещё и блокчейн будет…
                              0
                              O sancta simplicitas!
                              Как будто-то бы наличие других предложений не позволит ДИТу или чему-то похожему внедрить свое непрозрачное голосование.

                              Даже если на первых порах вас послушают, то за период рассмотрения закона или написания регламентов вы поймете, что лучший вариант для этого закона оказывается, чтобы этого в принципе не было. Так заканчивалось значительное количество благородных инициатив в индустрии от игроков, которые видя во что превращается их инициатива, начинали давать заднюю, потому что в таком виде это нельзя принимать.
                                0
                                У нас в предыдущих постах тему «всё равно ничего не поможет, поэтому просто закройте глаза и ничего не делайте» уже проходили, не повторяйтесь.
                                  0
                                  Да почему же ничего не делать, надо наоборот пояснять, что ДЭГ в современной России это зло и всячески противостоять этому.
                                    –2
                                    Вы понимаете, что во внедрении ДЭГ заинтересовано абсолютное большинство сил? Государство, партии, движения (все, включая оппозиционные), сами избиратели.

                                    Вы будете выглядеть луддитом и просто повторите путь Юнемана — он выпустил доклад, издал пару требований навсегда отказаться от ДЭГ, все пожали плечами, после чего он распустил свою «рабочую группу» и сел писать новую Конституцию (кажется, с тем же успехом).

                                    А меж тем, принцип «не можешь победить — возглавь» не теряет своей верности.
                                      0
                                      Кроме текущей власти в его внедрении не заинтересован похоже никто. Если, конечно, вы не считаете, что целью избирателей и политических партий является создание технологической основы для фальсификаций.

                                      Да, «путь луддита» — это хорошо, вслед за Юнеманом, Chaos Computer Club, Конституционными судами Германии, комиссиями по кибербезопасности Финляндии и Франции. Уж лучше так, чем самому себе сшить цифровой ошейник.
                                        0
                                        Кроме текущей власти в его внедрении не заинтересован похоже никто


                                        Да? А зачем тогда Координационный совет российской оппозиции проводил выборы в формате ДЭГ ещё в 2012-м?

                                        Или, думаете, сейчас какие-либо партии по размеру и бюджетам меньше, чем парламентская четвёрка, рады, что в случае необходимости сбора подписей на участие в выборах в ГД РФ в оффлайне у них на это тупо и незамысловато нет денег?
                                          0
                                          Не подменяйте понятия. Координационный совет оппозиции это была частная инициатива людей. В своих частных организациях каждый может внедрять что угодно и законы не должны этому противоречить (как сейчас с НКО). Вы же топите за электронное голосование на уровне государства. Сбор подписей — это одно, а голосование это другое.
                                            0
                                            Нет, мы топим за электронное голосование вообще. Более того, в тексте прямо и недвусмысленно написано о том, что оно может проводиться на разных уровнях и с разными целями.

                                            Или вы думаете, что праймериз в политической партии — это какой-то такой неважный междусобойчик, в котором можно в телеге опросик замутить, а все это проглотят?
                                              +1
                                              А это дело уже членов партии, что им глотать и чему доверять. Внутри организации вполне возможно сделать электронное голосование с уровнем ИБ, стоимость взлома которого значительно превышает стоимость эффекта от взлома. Как это например делалось при выборах КС в 12м. На уровне государства невозможно такое же провернуть, просто потому что никто вас не допустит до контроля за правильным подсчетом и учетом. Поэтому топите, конечно, своими же руками себе цифровой ошейник шьете.
                        +1

                        А вот ещё интересная схема: проводить два полностью независимых голосования (любым способом), организованные враждующими политическими партиями. И считать выборы состоявшимися, только если результаты обоих совпадают с точностью до незначительной погрешности (скажем, расхождение десятикратно меньше разницы голосов у победившего кандидата).


                        Круто ведь, да?


                        В таком случае остаётся только сговор противников, что маловероятно. Или организация внешней стороной флешмоба для срыва голосования, когда для разных партий люди специально будут голосовать по разному, чтобы увеличить расхождение. Но сам факт такого флешмоба, что столько людей пытаются сорвать голосование, делает эти выборы не легитимными.


                        Проблему тут вижу только одну — если одна из сторон будет сознательно срывать выборы, фальсифицируя неверный результат со своей стороны. Как с этим бороться, надо подумать. Может через три попытки считать выборы несостоявшимися, а обе партии расформировывать с запретом этим кандидатам на повторные участия. Или проводить расследование, какая стороны фальсифицирует (вот тут поможет технологическая сторона, блокчейны, вот это все).


                        Для удобства выборы делаются из единого приложения/интерфейса, разумеется. Просто данные отправляются на сервера каждой партии, а они там у себя пусть считают как хотят.

                          0
                          А также партий у нас больше двух, и мелким заведомо непроходным будет выгодно как раз сорвать голосование. Более того, появится новая политтехнология — заведение мелкой партии ради срыва выборов (если вы сейчас посмотрите в список партий Минюста — там их 50+ штук, и часть сделана тупо под выборы какого-нибудь регионального кандидата в его родном городе, чтобы он не один в поле воин, а как бы от лица всероссийской партии выступал).
                            0

                            По расходящимся голосам спрашивать у самих людей, за кого они проголосовали. Через вызов суд под присягой, например. В рамках последующего расследования, если голосование оказалось сорвано. Фальсификация незаконна, ее в любом случае нужно расследовать и наказать виновных. Тут конечно возникает вопрос неподкупности нашей милиции и судей, фальсификация может перетечь в подделку протоколов и заседаний. Но заседания могут контролировать наблюдатели от противоборствующей партии. По крайней мере, такая схема даёт возможность выявить фальсификацию и как следует наказать сфальсифицировшую партию.


                            Заметьте, что это позволяет устранить давление. Спокойно голосуйте как от вас требует начальник (его партия знает, что вы проголосовали за нее, так как они сами считают голоса), а за другую партию голосуйте как хотите. Если это расхождение превысит пределы погрешности, способной повлиять на результат, то потом в суде сообщите, что так проголосовали под давлением. Та-дам! Все официально зафиксировано, машина закрутилась и заодно начальник будет наказан. Сплошные плюсы.


                            В системе хранится только идентификатор человека, чтобы его потом можно было вызвать, если его голос у разных партий записан за разных кандидатов. Каждая партия знает голос человека, который он отправил ей. Но не знает, какой голос он отправил другим партиям. Так сохраняется настоящая тайна голосования.


                            Гм… Тут ещё возможна автоматическая рассылка от имени тех кто вообще не голосовал. Вирусами, скриптами со стороны госуслуг и т.д. Как это обойти пока не знаю, наверно надо копать в сторону возможности проверки самими партиями. Чтобы они имели право выборочно обзванивать с вопросом "вы голосовали?" Да или нет, без указания за кого. Так устранятся вбросы. Тем более что каждая партия знает кто проголосовал против нее (они ведь сами подсчитывают голоса), а значит сможет выявлять такие вбросы достаточно эффективно, так как своих проверять не надо.

                              –1
                              Ваша схема разрушит тайну голосования.
                                +1

                                Нет, не разрушит. Если вы проголосовали против, то эта партия действительно будет знать, что вы проголосовали против.


                                Но зачем вообще нужна тайна голосования? Чтобы начальник не мог оказать давление. Но если на вас оказывается давление, то в этой схеме голосуйте "за", как требует начальник. А за другую партию как хотите. Если ваш случай уложился в погрешность, все останется как есть. Начальник доволен, ваша совесть чиста. Если таких случаев в стране много, но вас не вызвали при расследовании, опять все остаётся как есть. А если вызвали, то у вас есть шанс наказать начальника. Или соврать, что это та другая партия фальсифицирует. В общем, выкрутитесь. Ваша тайна за кого вы реально голосовали осталась с вами (но вы стали соучастником преступления по фальсификации выборов, если не сдали начальника).


                                Но главное — выборы сорваны, фальсификация (как хотел ваш начальник) не прошла. А это и есть цель выборов. Сфальсифицированные выборы это не выборы.

                                  +1
                                  Вы не поверите, сколько есть случаев, в которых люди хотят сохранить тайну своего голоса.

                                  В некоторых семьях за разных кандидатов голосуют.

                                  Начать давить на то, что ради своей политической позиции ты, избиратель, должен пожертвовать мирными отношениями с женой, соседом, начальником — это очень сильно.
                                    0

                                    Пожалуй, соглашусь. Не нужно мириться с компромиссами, даже если они решают часть проблем. Голосование должно быть по настоящему анонимным, без полумер. Надо разрабатывать идеальную систему, а не бороться путем ввода костылей. Это была идея дать возможность контролировать выборы заинтересованным сторонам (противникам). Сейчас она уже не кажется такой уж хорошей.


                                    В варианте с двумя серверами, описанном в статье, каждая сторона все ещё зависит от действий другой. Поэтому у них обоих остаются возможности жульничать.

                                      0
                                      Глобальных вопросов, в общем, три:

                                      1) Как свести возможности жульничества к минимуму?
                                      2) Будет ли оставшийся минимум давать больше или меньше возможностей для проведения жульничества и для его сокрытия, чем бумажные голосования?
                                      3) Будут ли иметься преимущества над бумажными голосованиями?
                                        +1

                                        Насколько я понимаю, на эти вопросы пока не смогли ответить и лучшие математические умы. Тут либо доверенное голосование, и тогда можно голосовать на госуслугах без всякой защиты. Либо никому нельзя доверять, и тогда это что-то из теории игр.


                                        Вот еще интересная схема для двух противников: пусть подсчетом голосов всегда занимается проигравшая сторона на прошлых выборах. Они могут спокойно фальсифицировать выборы и тем самым выигрывать.


                                        Лучше ли такая система текущей? Я считаю, что да. В худшем случае, когда обе стороны всегда мошенничают, мы имеет гарантированную смену власти. А собственно, все эти пляски с голосованием и демократией как раз и призваны устранять пожизненных диктаторов. Так как история показала, что от долгих сроков не бывает ничего хорошего.


                                        В лучшем случае, когда одна сторона решила играть честно, то даже оставив честную победу противникам, в следующем раунде они остаются проигравшими и могут без проблем победить путем фальсификации. Этим будет устраняться тот случай, когда победители нашли очередной баг в мышлении людей, и сделали так, что их каждый раз честно выбирают большинством людей (пропаганда, культ личности и т.д.).


                                        Самое интересное — прервется ли когда-нибудь этот порочный круг фальсификаций? Я думаю, что да. Честных людей все же много. Кто-то изнутри победившей партии может сдать правосудию своих мошенников (и тогда будут устранены конкретные преступники, занимавшиеся фальсификацией). Кроме того, на следующем раунде гарантированно победят их соперники, поэтому от текущей фальшпобеды толку не очень много. В долгосрочной перспективе выгоднее добиться того, чтобы обе стороны играли честно и побеждать каждый раз настоящим большинством. При этом если вторая сторона будет реально сильно недовольна действиями правящей партии, то легко прервет эту серию (см. выше про культ личности).


                                        Плюс сама сменяемость власти в долгосрочной перспективе должна привести к улучшению уровня жизни людей, и честных политиков будет становиться все больше.


                                        Сразу скажу, что не смотря на элегантность теории, в реальности это не будет работать. При многопартийной системе если давать право подсчета голосов второй по силе партии, то они скооперируются с первой и будут сменять друг друга по очереди. А если последней по популярности, то будут создаваться мелкие фейковые партии чисто для победы. Если же искусственно ограничить систему двумя партиями, то они опять скооперируются и это будет одна правящая партия с ручной "системной" оппозицией, а реальная оппозиция просто не будет допущена к голосованию. Как легко заметить, так или иначе все эти комбинации мы уже наблюдали на выборах в нашей стране, поэтому это не гипотетические угрозы, а свершившийся доказанный факт. Так что, увы… Возвращаемся к тому, что эту задачу не смогли решить даже лучшие умы человечества по всем мире.

                          0
                          Глупый вопрос: если силами небезразличных IT-специалистов реализовать, выложить в опенсорс, развернуть на своих серверах, в общем, довести до состояния «бери и пользуйся», есть ли какое-то обоснование, почему государство должно воспользоваться? Я не в смысле «всё равно ничего не поможет», а хотел бы услышать комментарий юриста, например, можно ли будет считать разработку своей системы ДЭГ ДИТом или ёщё кем нецелевым расходованием средств, или ещё как-то прицепиться.
                            0
                            Нет, юридических — никаких.

                            Но государство — неоднородная структура, в нём есть разные силы (пресловутые «башни Кремля», но в реальности, конечно, всё сложнее), и если есть, что предложить — вполне можно работать с одними силами против других. Если нечего — ну, соответственно, нет.
                            0
                            схема с двумя независимыми серверами — и только она!

                            По аутентификации в ЕСИА (внутрипартийные праймериз, внепартийные голосования, включая общегосударственные выборы и референдумы)
                            Хм, но не суть. ЕСИА — отдельный независимый сервер аутентификации? Или я что-то путаю?
                              0
                              ЕСИА здесь не играет роли, отличной от SMS'ки (которая, в общем, тоже идёт через независимый сервер сотового оператора), она не аутентифицирует и не авторизует пользователя как участника голосования, а только предоставляет данные, позволяющие это сделать.
                                0
                                ЕИСА можно использовать разным способом, и как базу идентификации, и как сторону аутентификации. Собственно, если она способна к аутентификации, т.е. выдаче временных обезличенных SAML токенов доступа, то зачем огород городить?
                                  0
                                  Никто не говорит, что это невозможно.

                                  Но, например, законодательная реализация голосований для внутрипартийной работы будет проще, а уровень доверия во многих случаях выше, если партии просто пустят в ЕСИА в обычно порядке, а дальше они сами.

                                  Плюс, возможность менять схему аутентификации в зависимости от статуса голосования (ну нафига на соцопросе ЕСИА?) весьма ценна.
                                0

                                Ничто не мешает ЕСИА автоматически рассылать от имени неактивных пользователей что нужно и куда нужно. Как обеспечить реальную независимость того же ЕСИА?


                                Добавлено: если ЕСИА используется только как источник общих данных, его владельцы все равно могут насоздавать мертвые души, которые потом будут голосовать за кого нужно.

                                  0
                                  А откуда ЕСИА до окончания голосования знает, кто активный, а кто нет?
                                    0

                                    Может просто насоздавать фейковые аккаунты.

                                      0
                                      В ЕСИА? На это столько разных сервисов, людей и ведомств завязано, что потянет на очередную теорию заговора — а как известо, «два человека могут хранить тайну, только если один из них мёртв».

                                      Ну вот налоговая вам этим аккаунтам ИНН присвоит? А ПФР — СНИЛС?
                                0
                                У вас там на картинке «пользовотели»…

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое