Комментарии 209
Давно занимаюсь проблематикой электронных голосований. Честно говоря, очень удивлен что государственная система электронных голосований такая продвинутая. Надеюсь что все реально так как описано.
Звучит хорошо. Если на второй день голосования не появится историй о том что не проголосовавших бюджетников вызывают к начальнику, то я даже поверю в то что это работает.
По поводу деанонимизации голосовавших по логам: ведь можно получить бюллетень утром первого дня, а проголосовать им вечером третьего дня. Решит ли это проблему?
Так же не упомянута атака "мертвые души". Как с ней бороться?
Под мертвыми душами я понимаю:
реально мертвые души
души, которые обычно не голосуют и, соотвественно, не увидят, что их голос заюзан.
эта атака в электронном виде проще еще тем, что за такие души можно проголосовать за несколько минут до окончания голосования, устранив тем самым возможность обнаружения.
И еще вопрос: список проголосовавших ведь не секретный? Может быть стоит его публиковать в открытом виде (фио, дата рождения, хотя бы) вместе с временем выдачи бюллетеня? Тогда проверяющие граждане смогут выяснить, есть ли в нем мертвые души и за какое время до окончания выборов они получили свой бюллетень?
А по данным времени выдачи бюллетеня все равно ничего не понять - эти данные и так есть у агенства выдачи.
>> список проголосовавших ведь не секретный
Вот тут дискуссионный вопрос. Некоторые дачу предпочитают выборам. Публикация списков может использоваться для того, чтобы принудить бюджетников активнее голосовать. А иногда протест именно в игноре некого голосования.
Списки проголосовавших в бумажном голосовании сейчас и так есть - это журнал выдачи бюллетеней. То есть "те кто надо" и так будут знать кто проголосовал.
Так то да, вопрос дискуссионный. Но честность выборов важнее всего - иначе выборы вообще не имеют смысла.
Подмосковное НИИ обороной направленности. Не на каждые выборы, но бывает, что начальника требуют обзванивать всех подчинённых с вопрос проголосовали ли. Конечно можно и соврать. Но при этом без указания за кого.
множественные сообщения о принуждении бюджетников к регистрации в системе электронного голосования, вплоть до ситуаций "а после сдайте учетки", заставляют усомниться что везде так, как у вас.
Так как сомнений в злонамеренности властей (в намерении обеспечить результат путем электоральных манипуляций; мы это знаем из наблюдения за прочими видами таких манипуляций - массовму недопуску кандидатов, зачисткой информационного поля - от СМИ, НКО, активистов и блогеров, не говоря о 20-ти годах наблюдения таких манипуляций этим же людьми) нет, нулевая гипотеза - считать такие сообщения правдивыми.
Что до сообщений о принуждении бюджетников - вот вам результат 10 (десяти!) секунд гугления:
https://vashvybor.org/complaint/
- список сообщений о принуждениях бюджетников на платформе сбора сообщений о принуждениях, сайте "Ваш выбор", созданной Романом Юнеманом.
В некоторых странах за неявку на выборы без уважительной причины положен штраф. Я считаю, что после появления у нас возможности дистанционного голосования, нужно сделать также. А в случае неоднократного игнорирования выборов (например, 3 или 5 раз) лишать избирательного права пожизненно. Чтобы голосом человека, игнорирующего выборы, никто не мог воспользоваться.
Штраф, кстати, сразу сделает явной подтасовку. Люди, которые проигнорировали выборы и не получили штрафов, будут понимать, что их голоса были использованы.
Штраф, кстати, сразу сделает явной подтасовку. Люди, которые проигнорировали выборы и не получили штрафов, будут понимать, что их голоса были использованы.
И что, пойдут жаловаться и требовать назначить им штраф?
Или наоборот, постараются сделать, чтобы о случившейся подтасовке никто не узнал?
Поймут, что их используют и, возможно, следующий раз пойдут на выборы. И знакомым расскажут.
А кто-то, да, вполне себе может устроить скандал, даже несмотря на штраф. Я почти уверен, что этот механизм будет использоваться партиями для детекта подтасовок. Специально выбранные случайные люди будут не ходить на выборы и смотреть, пришел ли штраф.
С не проголосовавших брать деньги и отдавать проголосовавшим.
В итоге чем меньше активных, тем больше они заработают. А за неисполнение гражданского долга штраф в пользу активных.
Но идеального голосования не получится, ибо кто-то умирает после верификации на выборы, но до подсчёта голосов. И очень большая проблема с реальным количеством избирателей.
С внедрением крипто расчётов и смарт контрактов, можно организовать голосования легко, но текущие правительства не пойдут на принятия результатов таких голосований, ибо теряют тогда свой контроль над результатом!
Сейчас основная задача правительств сделать фикцию выборов для признания выборов иностранными наблюдателями и руками ОПГ(вооружённых силовиков) подавить всех активных инакомыслящих!
Если мне не изменяет склероз, в РФ выборы могут быть признанными несостоявшимися при низкой явке. В теории, это позволяет выражать протест в виде неявки как альтернативе против всех: "вы не допустили моего любимого кандидата, остальные все плохи — показательно игнорирую выборы". На практике, я не знаю ни одних выборов, которые бы были признаны несостоявшимися по этой причине.
Значит ли это, что стоит менять систему (вводить обязательность голосований)? На мой взгляд, необязательно: достаточно изменить практику. Например, практику реальных уголовных сроков за попытки подлога.
Я понимаю, что для этого нужна политическая воля и сила. Но считаю, что без их наличия и попытки изменить систему ни к чему не приведут: те же силы, что поощряют подлоги, встроят бекдоры в новую систему.
Это только в теории. Я за то, чтобы графу "против всех" не только вернули, но и запретили всем кандидатам участвовать в повторных выборах, если "против всех" победил.
Почему? Если большая часть населения, например, не захотела видеть ни Иванова, ни Петрова в качестве президента, почему нужно позволять им участвовать в повторных выборах? Избиратели вроде однозначно дали им понять, что им не рады.
А если как сейчас первый кандидат набрал 31%, второй 30%, а остальные 8 меньше, раскола не будет? Почему 9 надо удалять, ведь мнение не учли и вот это вот все?
Если победил кандидат "против всех", значит большинство высказалось, что никто их кандидатов им не подходит. Это и есть демократия.
Для выбор партий в думу так вообще не катит схема.
В думу нужно выбирать конкретных депутатов, а не партии. Если я голосую за Сидорова, я хочу, чтобы Сидоров сидел в думе и работал в написании и принятии законов, а не какой-нибудь Спортсменов, даже если они однопартийцы.
А я где-то написал, что их надо удалять?
Так они, формально, удаляются. На выборах победил представитель меньшинства, за которого проголосовало 31%, не?
Нет, если вы не имеете ввиду, что в этом случае против всех должны проголосовать 51% всего голосующего населения.
Можно и так. Я лишь предложил идею, а не законченный законопроект.
И выборы по списку — это простая логика, что партия отстаивает целиком идеи коллективные в свое среде.
Зачем тогда вообще какие-то списки нужны? Давайте просто выбирать партии, а в думе будут просто сидеть по 1 представителю от каждой с соответствующим весом голосов.
Депутат — это представитель. Мой представитель. Я хочу выбирать своего представителя, а не абстрактную партию.
В думу нужно выбирать конкретных депутатов, а не партии.
И вы получите Думу из певцов, боксёров, гимнасток, профсоюзных лидеров и редких олигархов, которым понадобилась депутатская неприкосновенность. Вот ничего не имею против Николая Валуева, но он провёл существенную часть жизни, условно с 4 до 34 лет, в спортзале по 12-16 часов в день. А потом хоп и стал депутатом. И другой жизни не видел, а она есть. Пусть отстаивает права спортсменов, я не против, но вся Дума из Валуевых, Кобзонов и Грудининых это слишком. Кому-то и работать надо.
Тут как раз спасают партийные списки. Если места в них не продавать за мзду немалую, туда можно пригласить реальных специалистов, которые всю жизнь «заводы строили», а не личный бренд прокачивали.
Если граждане изберут думу из певцов, боксёров, гимнасток, профсоюзных лидеров, значит они такую думу заслуживают и так тому и быть. Вы либо крестик снимите, либо трусы наденьте. Либо выборы, либо отменяйте их и приглашайте специалистов, как с губернаторами было.
В английский Парламент, как и в американский Конгресс, нет выборов по партийным спискам - только за конкретного человека. Однако же, ни Парламент ни Конгресс не состоят из "певцов, боксёров, гимнасток, профсоюзных лидеров и редких олигархов".
Ну а из кого они должны состоять? Из комбайнеров и сталеваров?
Ну, если посмотреть составы парламентов наиболее «приятных для жизни» стран, типа Австрии, Австралии, Швеции и Норвегии, то там именно так.
главное достоинство депутата, следующее за избранностью — репрезентативность.
Он представлять своих избирателей должен, а не быть профессионалом в экономике или юриспруденции, на это есть эксперты в частности и научное сообщество в целом, которым выборный орган может доверять свою экспертизу, на от они, наука вообще и эксперты в частности и нужны.
Парламент — это репрезентация общества, это его главная функция, "решать, как решило бы общество, не вовлекая общество в решение каждого вопроса".
Так что юристы и экономисты уместны в парламенте если только общество, избиратели решат, что они - адекватные его представители (ну, например в случае, если общество у вас из юристов и экономистов состоит - это вполне адекватный/ вероятный сценарий).
Political scientist Екатерина Шульман наверное уже язык стерла эту банальную вещь доносить до людей в Рунете.
P.S. пруфы про составы "парламентов наиболее «приятных для жизни» стран, типа Австрии, Австралии, Швеции и Норвегии" приведите, пожалуйста, "или не было".
В суд вы тоже отправляете представителя той же профессии, что и вы сами? Или может модного певца ртом? Или боксёра, ну что б он там с судьёй и прокурором за вас поговорил?
Парламент - законодательный орган, от его решений вполне может поплохеть обществу и экономике просто из-за косяков в формулировках. В первую очередь его члены должны быть грамотными законодателями, а уже среди них должны выбираться представители.
В юриспруденции дьявол, как известно, в деталях. Законопроект подаётся "за всё хорошее", а потом проходит в парламенте три чтения, где как раз эти детали шлифуются. И вот здесь депутат должен понимать, как именно та или иная деталь подействует на его избирателей.
Ну вот злободневный пример. Когда появились дорожные камеры, где-то в Европе депутаты возмутились, что правительство не должно шпионить за гражданами. Проверять соблюдение правил открыто - это пожалуйста, а вот скрытно подглядывать - ни-ни. В итоге появились таблички с камерой, которые вешались под дорожными знаками. Вскоре это добралось и до нас.
Шли годы, камер стало много, и для табличек стало не хватать знаков (отдельно от знака табличку повесить нельзя). Кроме того, камеры стали универсальными. Если раньше измерялась только скорость, то сейчас одновременно проверяется движение в полосе, соблюдение стоп-линий, сигналы светофора и т.д.
Так вот, с сегодняшнего дня в РФ табличку сделали отдельным знаком, не меняя дизайн, а также разрешили устанавливать на въезде в населённый пункт. В последнем случае её действие распространяется на весь населённый пункт. Т.е. одной небольшой поправкой правительство таки получило возможность шпионить за гражданами во всех поселениях.
Советники. На это дело всегда нужны советники в нужных отраслях.
Советники эффективны только для "знаемого незнаемого". Например, лечащий врач-терапевт может посоветоваться с эндокринологом и онкологом и сделать выводы с учётом их мнений, вполне возможно противоречащих друг другу. Именно с учётом, а не просто в режиме испорченного телефона. Обычный человек не-медик так не может, слишком многих знаний не хватает. Для него наилучшая доступная стратегия - полностью довериться кому-то одному из советников. Но, перенося аналогию назад на парламент, этот советник уже вообще никого не представляет.
поинтересуйтесь значением терминов представительная власть, представительный орган и представительная функция.
Парламент — это орган, который должен представлять из себя слепок общества. ПРЕДСТАВЛЯТЬ общества.
Это не состязательный судебный процесс, если что. Места профессионалов в юриспруденции и экономике в такой системе власти - в экспертных советах и профильных коммисиях, делающих доклады парламенту, который принимает решения, как, собственно "слепок общества", маленькую его версию, в которой адекватно ПРЕДСТАВЛЕНО общество, его ИНТЕРЕСЫ, то, как оно бы приняло эти решения.
Если народ изберет юристов и экономистов своими представителями - замечательно. Но если изберет шахматистов, аквалангистов, трактаристов и гармонистов - никакой трагеди в этом нет, главная добродетель депутата - не юридическая или экономическая грамотность, у него на это есть помощники, у парламента на это есть эксперты и соответствующие органы для проведения экспертизы и предоставления отчета о ее результах etc, разберутся.
Нет.
Главная добродеталь депутата - избранность, то, что избиратель решил, что депутат может представлять его интересы. И депутат может, конечно, быть обличен этим высоким доврием и как "он в доску свой, он за меня постоит, он понимает мои чаяния", так, и, конечно, уважением к глубоким профессиональным юридическим и экономическим зананиям избираемой персоны, но суть в том, что ОБЯЗАНЫМИ быть юристами и экономистами они не должны. Они должны отражать нужды общества, иначе легитимности не будет у того, что они там понапринимают, понарешают.
Вот вам аккурат про это небольшой кусочек видео от настоящего political scientist, отвечающего на РОВНО ТАКОЙ ЖЕ ворос, ЮРИСТОВ, ВНЕЗАПНО (специально для вас постарался, сделал вырезку таймкодами!):
https://www.youtube.com/embed/INJ1o1UIals?start=2691&end=2862
а вот еще меньший кусочек про представительную функцию Думы, и как все остальные типы функций (законодательная, например) на самом деле из нее вытакают:
https://www.youtube.com/embed/sggrfI6efP0?start=47&end=143
Ознакомьтесь, это недолго, а пользы может принести может очень много.
Спасибо за ссылки, хотя с творчеством мадам Шульман я знаком и периодически её почитываю (хотя она больше по видосам).
Ну вот в конце первого вашего отрезка ролика она говорит, что у нас нет ни аквалангистов, ни докторов наук, и при этом почему-то не говорит, а что у нас есть. А есть у нас мадам Брычева из ГПУ. Правда, если ввести её в уравнение, никакой "науки" у госпожи Шульман не останется.
1) она говорит, что у нас есть, за границами того отрезка. А за границами его я оставил, потому что это не относится к обсуждаемой теме. Вы этого почему-то не удерживаете, и подменяете одну тему другой, точнее пытаетесь (вот прям сейчас).
К тейку о том, нужно ли нам обязательно заполнять парламент сплошь юристами и экономистами это отношения не имеет, и вот эта тема и в моих текстах, и в приведенным мной отрезках видео исчерпывающе раскрыта.
2) и ваши попытки обесценивания, от "мадам", "госпожи" и взятия словка наука в кавычки, до откровенного говорения непрады про "никакой науки не останется" этого не поменяют.
Political science — наука, Шульман она не принадлежит, не надо делать вид, что это а) не наука, и б) ее личное мнение; это все неправда.
И конечно же political science никак не ломается в этом месте от того, что есть какой-то конкретный режим электоральной автократии, ведущий себя так, как и положено режимам электоральной автократии, political science как раз изучает все это. И в тех самых видео, если вы посмотрите их за пределами указанного мной отрезков, все это объясняется той же ЕМШ.
Сравнивать с ситуацией, где возможны десятки партий — это прям сильно.
… ясно помню выступление Томского, члена Политбюро и руководителя профсоюзов. Он говорил: «Нас упрекают за границей, что у нас режим одной партии. Это неверно. У нас много партий. Но в отличие от заграницы у нас одна партия у власти, а остальные в тюрьме». Зал ответил бурными аплодисментами. (1922)
принадлежность к демократам или республиканцам в США - заявительная, так что демпартия, что республиканская - это лоскутное одеяло разных (и не только поштатно, но даже и внутриштатно!) сил, собранных под одним флагом, и республиканец в одном штате может быть радикально левее демократа в другом, соседнем, и наоборот, демократ в одном штате - правее республиканца в соседнем штате.
Это следствие избирательной системы, в которой на выборах "победитель получает все", при ней рациональной является такая вот стратегия кооперации, это банальный факт из теории игр. Будь система пропорциональной - это бы разом изменило политический ландшафт страны.
При этом удивительно, почему в разговорах о демократии в Рунете регулярно речь заходит о США, — это страна не только не входит в top 20 democracy index (и даже в top 22 не входит), она не входит список 18 полноценных, full democracy, составляющий top 18 этого списка, разумеется.
Это страна, которая даже близко к эталону демократии не стояла.
Давайте примеры "как не надо" не рассматривать там, где по смыслу должны быть примеры "как надо"?
это предложение-в-форме вопроса адресовано всем тем, кто использует примеры "как не надо" в местах, где по смыслу должны быть примеры "как надо", а конкретно - к тем, кто заводит речь о США, когда речь идет о сравнении с эталонами демократии, такая у него адресация, она не персональная, а "по семантике" (т.е. "подходите под определение? - значит вам! Не подходите? - значит не вам!); жаль, что вы это не смогли увидеть.
Часть, написанная адресно вам - первый абзац, та, что направлена на предотвращение ложного понимания политической ситуации США, которое без такого дополнения сложится у не знакомого с ней человека после прочтения ваших слов. В США "Демократы" и "Республиканцы" это не две партии в том смысле, в котором партиями принято называть политические объединения в РФ, в этом смысле в них даже не 50*2 партий, а в разы больше только среди тех, кто входит в эти два объединения.
То есть лично, адресно вам посвещен первый абзац, который направлен на борьбу с дезинформацией о политической системе США (я про ваши тейки "по факту вырожденная система имитации демократии" "Сравнивать с ситуацией, где возможны десятки партий — это прям сильно").
Остальная часть - "рассуждения вообще", которые очень к месту в этом месте (то самое "и чтоб два раза не вставать, ...").
И вы этого не понимаете, или делаете вид, что непонимаете, даже после того, как я вам один раз уже сказал об этом (хоть и другими словами). Надеюсь, со второго раза мы таки обеспечим вам это понимание.
Хорошо хоть по первой части у вас непониманий не случилось. :)
...что же касатеся ваших инсинуаций по поводу того, что та часть моего сообщения, к которой вы придрались (хотя она касалась только тех, кто обсуждает УНИКАЛЬНЫЙ* и, при том несовершенных демократический режим в США, не являющийся даже full democracy (они всего лишь flawed democracy) в тех местах, где по смыслу должно быть сравнение с лучшим образцом демократии), - де, это "No true Scotsman" уловка**...
____
* — уникальных политических режимов на Земле - раз, два, и обчелся, - это режимы в США, в Китае и в Иране, остальные воспроизводятся по миру в товарных количествах.
** — Что, кстати, иронично — этими инсинуациями вы в список тех, к кому обращена эта моя претенция сами только что себя занесли(sic!).
Так вот, что касается этой вашей претензии (по поводу, как мы выяснили благодаря самой этой претенции, касающемуся и вас тоже моему окороту тех, кто выдает flawed democracy США за образец демократии, вместо того, чтобы использовать реадльные образцы чемпионов full democracy) RTFM:
Ой, оказывается, США и правда даже не рядом с образцами демократии! Оказывается, я не соврал, они не Full democracy, а всего-навсего flawed democracy! 25-е место в democracy index!
А вот как это отражается на прочих результатах (ЕМНИП, на 50-ти разных индексах, SPI - это мультииндекс):
А то, что именно это отражается, мы знаем из вот этой вот книжки, например:
И, если сиииильно упрощать, то отражается примерно через вот это:
Так что, может, в случае необходимости сравнивания С ЧЕМПИОНАМИ в демократии, С ОБРАЗЦАМИ ДЕМОКРАТИИ стоит все-таки не США брать в качестве образца, а?
Да, конечно, это механизм, который должен работать в теории, а на практике я таких примеров не знаю.
На мой взгляд, отвод кандидатов в случае победы "против всех" будет играть на руку тем партиям, у кого "скамейка запасных" длиннее: достаточно пару итераций агитировать голосовать "против всех". А независимых кандидатов это просто исключит из раскладов. Опять же, в теории.
Ну и сильный контр-аргумент — это цена вопроса. Переголосование хоть и может быть дешевле, но все равно это деньги. Большие деньги.
достаточно пару итераций агитировать голосовать "против всех". А независимых кандидатов это просто исключит из раскладов.
Если бОльшая часть избирателей не хочет этих независимых кандидатов, то почему их нужно навязывать?
Ну и сильный контр-аргумент — это цена вопроса. Переголосование хоть и может быть дешевле, но все равно это деньги. Большие деньги.
Ничего страшного. Сэкономить можно на пропаганде, карманных сми, раздутом госаппарате и т.д.
Если бОльшая часть избирателей не хочет этих независимых кандидатов, то почему их нужно навязывать?
Потому что две партии — "республиканцев" (25%) и "демократов"(20%) могут выдавить независимых "зеленого"(30%) и "бизнесмена"(21%) и получить два места себе, хотя избирателей у них меньше. Пример упрощенный, цифры и названия — условны. Можно подобрать и другой пример.
Причем им даже в явный сговор вступать не обязательно: теория игр, просчет исходов помогут выбрать "оптимальную стратегию" вслепую, а уж когда "демократы" увидят агитацию "республиканцев"...
Или вспомнить, что "занявшим призовые места" (не прошли, но показали высокие результаты) по нашим законам положена компенсация на агитацию. Не уверен, но думаю можно придумать сценарий когда при нескольких переголосованиях можно подоить бюджет.
Сэкономить можно на пропаганде, карманных сми, раздутом госаппарате и т.д.
А можно сэкономить на тех же пунктах, если не проводить переголосования? Мне кажется, это независимые вещи: наличие 2-3 тура никак не повлияет на карманные СМИ не поможет избавиться от карманных СМИ.
Потому что две партии — "республиканцев" (25%) и "демократов"(20%) могут выдавить независимых "зеленого"(30%) и "бизнесмена"(21%) и получить два места себе
Каким образом?
А можно сэкономить на тех же пунктах, если не проводить переголосования?
Можно, когда институты заработают и власть будет сменяемая.
На первой итерации "республиканцы" видят, что не займут первого места, и решают голосовать "против всех". "Демократы" видят, что не проходят вовсе, и тоже агитируют за переголосование. Обе партии выставляют своих первых кандидатов. В результате "против всех" получают 25+20=45% голосов, "зеленый" 30% и "бизнесмен" 21%. Большинство получило "против всех", назначается переголосование.
На вторую итерацию "республиканцы" и "демократы" выставляют своих вторых кандидатов — это партии, у них есть "запасные". У "зеленых" второго кандидата нет (либо он так плох, что соберет 1-2%), а "бизнесмен" сам по себе и просто пролетает. В итоге "республиканцы" получают первое место за 25%, "демократы" второе с 20%. Те, кто в первый раз голосовали за "зеленых" и "бизнесмена", рассеиваются: кто-то голосует за одного из фаворита, кто-то "против всех", кто-то за слабых кандидатов.
Дальше несколько исходов:
- За счет разброда, "против всех" набирает условных 19%, и выборы состоялись. Победили не самые популярные кандидаты, о чем я изначально говорил. Остальные варианты пришли в голову уже позже:
- "Зеленые" и "бизнесмен" призывают голосовать "против всех", и на третьей итерации ситуация зайдет в тупик: они каждую итерацию могут прокатывать. Проиграли все, победителей нет.
- "Бизнесмен" договаривается с кем-то. Он перестает быть независимым, его не избирают, но какое-то влияние он получит. Самые популярные кандидаты не избраны. Хотя второй по популярности что-то получит, он уже зависит от других. Первый по популярности в пролете.
Можно, когда институты заработают и власть будет сменяемая.
Верно, и для этого неважно, будет ли действовать запрет на участие в переголосованиях или нет. Потому что для партий-у-власти не стоит проблема выставить второй или третий состав.
На первой итерации "республиканцы" видят, что не займут первого места, и решают голосовать "против всех".
Что значит "решают"? Кто за меня может решить, как мне голосовать?
Это значит, что "республиканцы" агитируют своих сторонников голосовать так, как нужно партии.
Конечно, это упрощение. Такое же, когда кандидат "А" отдает свои голоса в пользу кандидата "Б". В теории, простых расчетах, все сторонники "А" будут голосовать как сказал им лидер — за "Б". На практике это не всегда так, но на больших числах (сотни тысяч-миллионы людей) теория скорее работает, чем нет.
В моем примере это означает, что большинство тех, кто поддерживает "республиканцев" (24,973%) проголосуют первый раз "против всех". Потому что они доверяют "республиканцам".
Ок, пускай всех снимают с выборов когда против всех проголосовали 50% + 1 голос. Если 50%+ общества смогут договориться о каком-то совместном решении, значит они и выберут кого надо и значит так тому и быть.
Я уже написал, что это лишь идея, а не готовый законопроект. Если графу "против всех" просто вернуть и не делать ничего, то все будут просто повторно выставляться, пока людям не надоест в этом цирке участвовать.
все будут просто повторно выставляться, пока людям не надоест в этом цирке участвовать
На мой взгляд, из-за того что процесс агитации и голосования убыточен для кандидатов, бесконечно продолжаться не будет.
Я исхожу из того, что кандидаты больше заинтересованы в результате, а не процессе. Тогда каждый кандидат будет адаптировать свою программу, чтобы охватить большую аудиторию и таки избраться.
TL;DR На мой взгляд, даже без вычеркивания процесс закончится через 1, максимум 2 голосования "против всех". В очередной раз кандидаты таки подстроятся под избирателей, отвечая на их запросы и ожидания.
И я согласен с вами, что графу "против всех" стоит вернуть.
1. если у вас избиратели проголосовали "против всех", значит те, кого им предлагали, не устраивает большинство проголосовавших избирателей.
Пока видно, что вас не устраивает выбор большинства. Если это система со штрафами за неявку на выборы (как в Австралии), то у нас вообще получается "вас не устраивает выбор большинства граждан страны". А вот большинство - устраивает. Проблематизации не получилось, возражение отметаем.
Если не удастся договориться (выбрать кого-то за несколько итераций голосования) - Ok, после нескольких итераций можно ПРОГОЛОСОВАТЬ о том, что делаем дальше.
2.
А можно сэкономить на тех же пунктах, если не проводить переголосования? Мне кажется, это независимые вещи: наличие 2-3 тура
никак не повлияет на карманные СМИне поможет избавиться от карманных СМИ.
— нет, нельзя. Вообще "экономить на выборах" предельно дурная идея. Вы куда-то торопитесь? Есть какие-то более важные дела?
Задача системы выборов - обеспечить выборную ротацию власти, и выбрать представителей избирателей. Пункт "против всех" дает защиту от злоупотребления властью*, жертвой которого являются все электоральные автократии**.
И обсуждаемое предложение направлено на защиту от, в первую очередь, недопуска кандидатов (а это - главная мера по обеспечению требуемого результата в путинской электоральной автократии), то есть ситуации, в которой у власти уже люди, желающие сохранить власть при помощи коррупции, а именно - использованием властного положения для сохранения власти*** .Вторым по значимости там как раз является использование сочетания "сушки явки"**** и нагона на избирательные участки зависимого электората (сейчас используют вариацию этого приема - голосование по указке при помощи электронного голосования, а то и вовсе "сдача учеток, мы сами за вас проголосуем"!).
То есть, еще раз, это мера, направленная на защиту от злоупотребления властью для влияния на электоральный процесс (что, на секундочку, преступление "покушение на основы Конституционного строя Российской Федерации", так как основа Конституционного строя Российской Федерации" - наделение народом Российской Федерации властью своих представителей при помощи регулярных равноправных конкурентных выборов!), так что сэкономить ВО ВРЕМЯ выборов "на госпропаганде и карманных СМИ" не получится, получится сэкономить после.
А главная экономия - предотвращение коррупции.
Ибо коррупция на выборах в режимах такого типа не может оставаться в рамках коррупции на выборах, если у вас страна размером больше одного города, она в таких режимах - главный инструмент управления: так как власть на самом деле получают коррупционной манипуляцией, приходится покупать лояльность этих протащенных во власть при помощи коррупии людей "пряником" возможности коррупции (монетизации властного ресурса), и "кнутом" возможности избирательно наказать за нее.
А коррупция, - это главная причина неэффективности экономик электоральных автократий (привет "Why nations fail"), и это очень простой факт. Коррупция эксплуатирует неэффективность и плодит неэффектиность, и эта неэффективность мультиплицируется в экономике, коррупционер наносить радикально больший ущерб, чем объем им наворованного. Ну, как вор, крадущий семенную картошку у крестьянской семьи, наносит ущерб не на мешок картошки, а на размер не полученного из него урожая, и на жизни крестьян, умерших с голоду из-за этого. Коррупционеры в этом смысле подобны людым, поджигающим ваш, не свой - ВАШ дом, для того, чтобы пожарить себе маршмелоу на огне.
Так вот, защита выборов от манипуляций типа недопуска кандидатов (добавлением пункта "против всех", и повторных выборов до упора) - сэкономит РАДИКАЛЬНО больше денег тем, что защитит страну от КОРРУПЦИИ.
Не на том экономить-с пытаетесь!
_____________
* - (не от всех ее видов, но иметь такую защиту лучше, чем не иметь, от "всех видов" (или от бОльшего их числа) защищает только комплекс мер, и эта мера - могла бы быть хорошей его частью)
**- (типа Российской Федерации, в которой властный ресурс использовался для манипуляции электоральным процессом начиная с выборов 1996-го года).
***-(это и есть электоральная автократия, "режим, имитирующий демократию, в котором одни и те же люди остаются у власти путем манипуляций электоральным процессом"; это и есть электоральная автократия, или момент попытки недобросоветстных людей, попавших во власть свалить в нее демократию)
**** - (через обесценивание выборов ("политика - это грязное дело", "от тебя ничего не зависит", "там все и так куплено", "это ни на что не повлияет" и прочего пропагандистского буллшита) и прочих способов демотивации людей (типа виктимблейминга ("народ заслуживает ту власть, которую они имеют") с целью развития у людей выученной беспомощности, и как следствие - гражданского неучастия (- основы устойчивости электоральных автократий, на самом деле!) aka абсентеизма)
переголосование (и его цена) не так страшно (и цена не так велика), как потеря демократии (и ее цена) и в целом — как коррупция (и цена этой коррупции для страны).
А манипулирование электоральным процессом при помощи властного ресурса, в частности при помощи НЕДОПУСКА кандидатов (с которым и борется (вкупе с переголосованиями) "пункт "против всех"") - это и есть КОРРУПЦИЯ, при том такая, которая, в случае победы коррупционеров на выборах, ведет к разрастанию всех прочих форм коррупции в стране.
Так что обществу как раз предельно ВЫГОДНО иметь такую защиту, при том лучше - прописанную на уровне первых статей Конституции (или оформленную в виде самых первых Номерных Поправок (a la поправки к Конституции США).
лишение избирательного права - зло. Аболютное.
Список проголосовавших не секретный. На бумажных выборах наблюдатель имеет право с ним знакомиться (хотя по факту, после закрытия участков списки пересчитывают и вам никто их не даст. Можно знакомиться со списком до голосования).
На электронном голосовании список фактически секретный — доступ к нему имеет только (лояльный властям) председатель избирательной комиссии. Также, его не публикуют под предлогом защиты персональных данных.
В некоторых других странах списки не секретные. В Великобритании их не публикуют, но можно с ними ознакомиться и посмотреть, кто голосовал, а кто нет.
. На бумажных выборах наблюдатель имеет право с ним знакомиться (хотя по факту, после закрытия участков списки пересчитывают и вам никто их не даст. Можно знакомиться со списком до голосования)
Получается, что список не секретный, но и не общедоступный в полном объеме.
На мой взгляд, это хорошее решение: есть роль "наблюдатель", у которой расширенные права. В теории, "наблюдатель" и "работодатель" не связаны, что усложняет их координацию и проверку "а голосовал ли этот избиратель". КМК, хороший пример как дизайн системы вынуждает "атакующих" усложнять атаку.
То есть атаку по-прежнему провести можно, но она дороже, если бы списки проголосовавших были публичными.
Также можно добавить, что когда расписываешься за получение, можно бросить взгляд на соседей (список сортирован по адресам-квартирам). Это позволяет убедиться, что в своей квартире нет "мертвых душ". Не знаю, насколько об этом задумывались разработчики процедуры, возможно просто побочный эффект.
За счет гигантской ширины реестра быстро (за пару секунд) понять, кто из соседей голосовал, затруднительно. Максимум 1-2 строчки.
Вы привели слайды с моделью угроз и нарушителей. Но они не покрывают весь перечень угроз. Давайте рассмотрим такие две угрозы:
1) По приказу руководства страны в Госуслуги добавляется 5 миллионов записей несуществующих людей. Далее они добавляются в списки для электронного голосования. Далее чиновник голосует от имени этих 5 миллионов людей.
2) По просьбе руководства страны ("а дайте пожалуйста моему человечку доступ, чтобы я мог проконтролировать голосование") ЦИК выдает сотруднику ФСБ доступ с правами администратора ко всем серверам голосования. Сотрудник ФСБ производит произвольные манипуляции на этих серверах.
Расскажите, пожалуйста, какие приняты меры защиты от такой угрозы. В приведенной модели угроз нет модели нарушителя "руководство ЦИК" и "руководство страны". То есть вы как в анекдоте, предлагаете поверить джентльменам на слово, что они честные люди. Западные спецслужбы хотят нам навредить, а наши кристально честны и никогда так не поступят.
Далее, вы расписали систему, которая должна обеспечить тайну голосования. Каким образом мы можем убедиться, что сервера системы работают именно так, как описано в статье? Или вы опять предлагаете поверить джентльменам на слово?
Далее, вы написали, что за бумажным голосованием трудно наблюдать. И пытаетесь этим показать, что оно хуже электронного. Да, трудно, но это возможно. Нужно найти 180 000 небезразличных людей в стране и все участки будут покрыты наблюдателями.
За электронным голосованием наблюдать невозможно. Вы можете найти миллион небезразличных людей, но они ничего не могут проверить.
Например, в Москве покрытие участков наблюдением очень хорошее. А при добавлении электронного голосования появляются миллионы голосов, которые нельзя проверить. Таким образом, в Москве уровень покрытия наблюдением из-за электронного голосования снизится. Зачем в Москве, где хорошо развит транспорт, где хорошее наблюдение, нужно внедрять электронное голосование?
Вот, что мы не можем проверить:
ни наблюдатель, ни член комиссии с ПСГ не может просмотреть списки записавшихся на электронное голосование: паспортные данные, адрес прописки, IP-адрес, номер телефона. То есть, мы не можем проверить, что в списках реальные люди, а не мертвые души. Мы не можем проверить, они сами регистрировались или там тысячи человек с одинаковым IP-адресом и номером телефона. Для сравнения, в бумажном голосовании списки по закону можно просматривать. А тут предлагается верить джентльменам на слово.
ни наблюдатель, ни член комиссии с ПСГ не могут проверить, что бюллетени выдаются только присутствующим в спискам людям. На бумажных выборах это возможно.
ни наблюдатель, ни член с ПСГ не могут проверить, что голосует реальный человек. Например, они не могут получить и проверить данные о верификации номеров телефонов. В бумажном голосовании мы видим, кто приходит на участок.
ни наблюдатель, ни член с ПСГ не могут проверить, что система функционирует как заявлено.
Например, вы пишете:
Система ДЭГ, получив из ЕСИА данные учётной записи избирателя, проверяет, есть ли он в книге избирателей, и выдаёт бюллетени, соответствующие выборам, проходящим по его месту жительства
Как мне можно убедиться, что система работает именно таким образом? Что в ней нет бекдора, который по определенному паролю выдает бюллетень без проверки наличия избирателя в списке?
Далее, вы пишете:
Естественно, на оба вопроса ответ может быть только вероятностный — но с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят.
Избирателя не пустят, а наблюдатель и член с ПСГ имеет право осмотреть помещение для голосования перед выборами. То есть, на бумажных выборах проверить отсутствие скрытой камеры возможно. В отличие от электронных.
Я считаю, что электронное голосование непроверяемо и, следовательно, является жульничеством. Бумажное голосование это вершина прогресса и образец открытости. Переубедите меня. Объясните мне, что электронное голосование прозрачнее бумажного. Докажите, что даже по приказу Путина его невозможно будет фальсифицировать.
Можно и не злого Путина в модель угроз брать (считаем что все выборы до ДЭГ в России проводятся кристально честно и победили те кто должен был по закону).
Взять в модель угроз что ЦРУ хочет повлиять на честные выборы в России и выбрать кого надо, для этого внедрили агентов в ЦИК (и в руководство и в техперсонал) (если внедрить не получилось — похитили их детей и требуют выполнить их требования а то детей найдут по частям, и пальчики уже высылают, так что руководство ЦИК — скомпроментировано).
А перед этим — поработала АНБ и внедрила закладки в алгоритмы (это ж злое АНБ) и в софт.
И надо доказать что при этих допущениях все равно будут выбраны Путин и ЕР.
Если система устоит в данном случае — она и перед приказом Путина устоит.
p.s.
Понимаю что возможно не место, но вспоминается одно НФ произведение, там местный (более крутой) аналог Периметра сделан был таким образом что даже неофициального приказа верховной власти + полного содействия команды разработчиков и военного руководства самого по себе — оказалось (В том числе потому что это похоже входило в модель угроз) недостаточно чтобы загрузить обновленную версию (которая бы слушала кого надо а не), максиму что с кучей труда получилось — заблокировать вообще возможность корректировки рабочих программ, и при этом дыра — совершенно не предусмотреннная но одноразовая и больше так — не получится.
Как реализована защита от угрозы
"Вась, ты голосовать будешь?" "Нет." "Зарегайся и скинь мне свой ID, с меня пиво..."Если условный Вася шлет свой уникальный бюллетень с не уникального смартфона через симку привязанную к паспорту, то кто гарантирует его анонимность?
Не подумайте про меня плохо. В предыдущем обсуждении я как раз доказывал, что списков скорее всего не составляется, так как иначе они бы утекли. НО то что технической возможности получить такие списки нет, я не верю. Хотя в прямую функционал "составить списки", тоже, скорее всего, не закладывался.
Защитить от всех дыр невозможно. Аудит возможен только специалистами с соотвествующими допусками. Соответствующие специалисты дороги, редки и в большинстве работают на гос. структуры либо крупные корпорации. А требуется аудит не только кода, но и программ выполняемых на сервере, самого железа сервера и канала доставки данных на отсутствие закладок и т.д. И даже так это ничего не гарантирует, это просто говорит что сделано всё возможное.
у конкурирующих партий нет квалификации и ресурсов.
Звучит несколько натянуто, просто никто их не спрашивал. Да и ресурсы могли бы выделить.
А можно же одно из агентства в госдеп оутсорснуть, в рамках международного наблюдения? Тогда их в сговоре никто не обвинит.
Как раз таки финальная часть самая интересная. И проблем у неё несколько:
1) У хранителей флешек с частями секретного ключа есть возможность собраться и собрать этот ключ.
2) У избирателя нет возможности проверить, что его голос посчитали, можно проверить только лишь его наличие в блокчейне.
Поэтому более правильный вариант с секретным ключом было бы помещение ключа в сейф на площадь, где за сейфом могут следить все желающие. Ну там ребята в масках с автоматами, журналисты, онлайн трансляция дверцы, все дела.
А вот по истечению голосования секретный ключ должен быть публично извлечён и роздан всем гражданам. В его закрытом хранении больше нет смысла, а вот у избирателей появится возможность пробежаться по всему блокчейну и просуммировать результаты.
И, конечно же, блокчейновость и его иммутабельность не раскрыта.
трансляция дверцы - а флешки вытащат через дырку в полу сейфа)))
Была история, когда сейф из банка вытащили через подвал - в полу сделали дыру и сейф туда просто упал...
2) У избирателя нет возможности проверить, что его голос посчитали, можно проверить только лишь его наличие в блокчейне.
Как я понял возможность есть.
1)убеждаемся, что наличие голоса есть в блокчейне.
2)Берём опубликованный ключ, и расшифровывываем результат сложения голосов в блокчейне.
Если ваш голос есть в блокчейне и результат сложения голосов совпадает с официальным, значит ваш голос был учтён.
Если ваш голос есть в блокчейне и результат сложения голосов совпадает с официальным, значит ваш голос был учтён.
Но не значит, что его учли правильно. Никто не мешает сложить голоса, потом расшифровать и написать, что Путиным был набравший максимум голосов кандидат № 4.
расшифровка доступна только людям, имеющим к данному HSM доступ
результат сложения отправляется в HSM, где с него снимается первый ключ;
владельцы флэшек с частями второго ключа собираются вместе (снова в присутствии СМИ) и проводят процедуру сборки ключа из его частей;
собранный ключ публикуется, с его помощью окончательно расшифровывается результат голосования.
Не публикуется тот ключ, что был в HSM. Тут нужно старательно объяснять, почему нужно верить тому, что на его выходе — правильный (зашифрованный вторым ключом) подсчет тех голосов, что в блокчейне в зашифрованном виде лежат.
Я так понимаю, дело в том, что мы можем взять представленный результат, замаскировать его обратно известными публичными ключами и сравнить с тем (замаскированным) подсчетом, который мы можем сами по голосам из блокчена сделать?
На правах упомянутого пару раз в тексте хочу написать ответ на ответ:
Спасибо большое за напоминание о документах о про высокоуровневую схему ПТК ДЭГ, я дам ссылку на оригиналы этих документов на сайте vybory.gov.ru, а не на их частном:
Описание ПТК ДЭГ
Схема деления ПТК ДЭГ
Из этих документов совершенно не следует как будет решаться описанная в моей статье проблема деанонимазации избирателя. Ок, у Ростелекома есть 4 датацентра в Москве. И?
Отдельно забавная задача найти оригиналы приведённых документов, в разделе "Материалы" сайта vybory.gov.ru их нет.
Внезапно, над упомянутым и мною и АналогБайтезами документом с кусочком Модели Угроз И Нарушителей надругался известный специалист в области безопасности А. Лукацкий. Советую прочитать это, чтобы понять как именно организаторы ДЭГ относятся к подготовке существенных документов. Сравните с вот этим восторженным описанием от коллег Артамонова.
На самом деле на сайте ЦИК есть официальный график публикации документов, и согласно нему ещё 31 июля должно было быть опубликовано "Описание реализации протокола ДЭГ к выборам, голосование на которых состоится 17, 18 и 19 сентября 2021 г." которое может бы и давало ответы на поставленные мною вопросы, но к сожалению оно так и не опубликовано. Почему?
Нам обещают следующую публикацию 1 сентября, но состоится ли она? Насколько содержательными будет опубликованное? Насколько опубликованное будет соответствать реальному положению дел? Как это можно будет проверить?
Что касается остальных рассказов про "...ДЭГ обеспечивает тайну голосования...", без официальных документов это всё из разряда "Рабинович Артамонов напел Карузо какую-то теорию", что в сочетании с "Дыра в безопасности несчитово пока её не проэксплуатировали", "Вы всё врёти, редиски" и хвастовством о "квалификации и ресурсах" и позволяет мне считать его частью пропаганды, достойной исторических предшественников.
Совсем на пальцах на примере бумажных бюллетеней и конвертов:
1. Вы приходите «в паспортный стол», проходите фейс-контроль с паспортом, расписываетесь в журнале голосовавших, тянете из стопки чистый бюллетень какой понравился (они все одинаковые), а из соседней стопки — конверт (они тоже все одинаковые, но с какой-нибудь голографией и водяными знаками, чтобы нельзя было сделать дома на принтере). Также рядом лежит стопка с копирками (листами копировальной бумаги), её также берёте 1 шт. Уносите всё это домой или там в кабак.
2. Дома ставите галочку, кладёте на бюллетень лист копирки, запечатываете всё вместе в конверт.
3. Относите конверт на участок для голосования. Там у вас, не спрашивая паспорт, проверяют водяные знаки на конверте и просто расписываются на этом конверте. Подпись через копирку переходит на бюллетень, он становится подписанным.
4. Вы достаёте бюллетень из конверта и под камеру кидаете в урну. С камеры идёт трансляция, любой желающий может подсчитать число голосовавших. Вам остаётся сувенир на память — красивый конверт теперь уже с подписью избиркома, которая подтверждает ваш факт участия (но не голос).
Математически это возможно благодаря коммутативности функций шифрования и электронной подписи. Не у всех криптосьютов это есть, но для ГОСТа и RSA работает:
sign ( crypt ( m ) ) = crypt ( sign ( m ) )Пусть m — это ваш бюллетень.
Вы его шифруете своим публичным ключом — это crypt (m).
Избирком подписывает, получается
sign ( crypt ( m ) )Это левая часть равенства.
Она равна правой части в силу коммутативности.
Теперь вы её расшифровываете, т.е. делаете
decrypt ( crypt ( sign (m))) = sign (m).Вуаля, у вас подписанный бюллетень, содержимое которого неизвестно избиркому (он не мог сделать decrypt, т.к. не знает ваш секретный ключ).
Теперь вы идёте к «урне» и даёте ей пару
[m, sign(m)]. «Урна» проверяет, что подпись соответствует m, и добавляет m в блокчейн.Как-то так.
Вы приходите «в паспортный стол», проходите фейс-контроль с паспортом, расписываетесь в журнале голосовавших, тянете из стопки чистый бюллетень какой понравился (они все одинаковые), а из соседней стопки — конверт
Где тут защита от ситуации, когда в паспортный стол приходит начальник паспортного стола и ему выдают миллион бюллетеней и конвертов без всякой проверки? Мы должны поверить джентльменам из паспортного стола на слово, что они так не поступят?
Где защита от ситуации, когда типография печатает лишние бюллетени и выдает их чиновнику?
Вы достаёте бюллетень из конверта и под камеру кидаете в урну. С камеры идёт трансляция, любой желающий может подсчитать число голосовавших
Объясните пожалуйста, где я могу увидеть эту трансляцию и убедиться, что бюллетени приносят разные люди по одному, а не приходит начальник паспортного стола и вкидывает миллион бюллетеней?
Мне кажется, вы увлеклись криптографией и совершенно забыли про более простые способы обхода этой системы.
Мне кажется человек просто пытался на пальцах объяснить алгоритм, а вот вы увлеклись политотой.
А где "политота" в моем комментарии? Я всего лишь указываю на ошибки в алгоритме. Статья и комментарий подает нам алгоритм как надежный, а я показал, что это не так. Алгоритм ненадежен и содержит уязвимости.
Вместо того, чтобы обвинять меня в "политоте", укажите пожалуйста ошибки в моих рассуждениях. Покажите, что описанный в статье подход решает две задачи: 1) анонимизацию голосования (даже в ситуации, если код на серверах голосования будет подменен) 2) достоверный и прозрачный подсчет голосов в любой ситуации.
Где тут защита от ситуации, когда в паспортный стол приходит начальник паспортного стола и ему выдают миллион бюллетеней и конвертов без всякой проверки?
Безотносительно криптографии, для этого есть прокуратура, МВД, ФСБ, наблюдатели от оппозиционных партий, типа независимые суды. Если вообще все эти люди сговорились, добро пожаловать в уютненькую диктатуру, и зачем им вообще выборы?
Бонус крипты в том, что сейчас местный начальник может (и приходит) на местные участки, которые задолбаешься контролировать. Тут вброс возможен только на самом, самом верхнем уровне.
Где защита от ситуации, когда типография печатает лишние бюллетени и выдает их чиновнику?
Бюллетени все одинаковые, совпадают до бита. По сути, паспортный стол подписывает конверт, но этот момент я немного упростил.
Объясните пожалуйста, где я могу увидеть эту трансляцию и убедиться, что бюллетени приносят разные люди по одному,
Если вы про оффлайн, то трансляция идёт в интернете.
Если про онлайн, то, не поверите, тоже в интернете, в виде блокчейна, который будет потом всем доступен. Суть блокчейна в том, что вы не можете из него ничего выкинуть пост-фактум. От начальника с миллионом бюллетеней на мертвые души не спасает.
Мне кажется, вы увлеклись криптографией и совершенно забыли про более простые способы обхода этой системы.
Мне кажется, вы забыли, что одной лишь техникой нельзя полностью решить социальные проблемы. Но без неё тоже нельзя.
Безотносительно криптографии, для этого есть прокуратура, МВД, ФСБ, наблюдатели от оппозиционных партий, типа независимые суды.
Sabubu справедливо замечает, что за процессом выдачи «конвертов с голограммой» ни у кого нет никакой возможности наблюдать. Наблюдатели могут следить за блокчейном, но не могут обнаружить компрометацию предшествующих этапов.
От начальника с миллионом бюллетеней на мертвые души не спасает.
Даже не в мёртвых душах дело. Если на офлайн-голосовании наблюдатели способны обнаружить ситуацию «начальник собрал 100500 паспортов своих подчинённых, получил на них 100500 бюллетеней, заполнил и натолкал их в урну», то в блокчейне наблюдатели никак не отличат голосование 100500 живых людей от голосования начальника от имени этих 100500 людей.
Мне кажется, вы забыли, что одной лишь техникой нельзя полностью решить социальные проблемы. Но без неё тоже нельзя.
Sabubu справедливо замечает, что в данном случае хитроумная техника лишь обостряет социально-политические проблемы, ограничивая возможности наблюдения за выборами.
Выборы — это процесс, где никто никому не доверяет: власти, кандидаты, избиратели — все смотрят друг на друга с подозрением. Потому придуманы процедуры, которые позволяют убедиться в прозрачности их проведения и точности подсчета. Прозрачность — абсолютно необходима, без нее выборы лишаются смысла.
При этом, я не имею ничего против криптографии, при условии что она гарантирует не меньший уровень прозрачности, чем бумажная процедура. Криптография это круто и прогрессивно, но только если она используется правильно. Например, протокол HTTPS лишается всякого смысла, если ваш браузер не проверяет сертификат сайта. Вы только зря жжете циклы процессора.
Вы пишете: возможности наблюдения не нужны, так как есть прокуратура, ФСБ, которые проследят за соблюдением закона. Но зачем тогда нужна криптография? Мы тогда можем просто сделать голосование на сайте прокуратуры без всякой криптографии. Дав туда доступ ФСБ для контроля за прокуратурой. Если мы доверяем прокуратуре и ФСБ, то никакой необходимости в криптографии вообще нет.
Объясните, какой тогда смысл в криптографии и блокчейне?
Бонус крипты в том, что сейчас местный начальник может (и приходит) на местные участки, которые задолбаешься контролировать
Местный начальник может заставить бюджетников зарегистрироваться на госуслугах и отдать ему пароли. И власть даже не может послать наблюдателей проконтролировать его. На бумажных выборах, кстати, наблюдатели от "Единой России" есть на многих участках, и получается, за бумажными выборами у власти возможностей наблюдения больше. Также, на бумажных выборах есть видеонаблюдение.
А на электронных выборах вы не видите: голосует реальный человек из дома или рабочий под присмотром начальника завода.
Вы пишете: есть наблюдатели от оппозиционных партий. Но как раз наблюдать за электронными выборами невозможно. Я привел конкретный пример: нет возможности наблюдать за составлением списков участников и нет возможности проверить, что там реальные люди. Нет возможности просмотреть ФИО, адрес, IP-адрес и телефон, с которого зарегистрирован участник голосования. На "устаревших" бумажных выборах возможность смотреть списки есть.
Если про онлайн, то, не поверите, тоже в интернете, в виде блокчейна, который будет потом всем доступен.
Так а как наблюдатель может убедиться, что один избиратель добавил одну запись в блокчейн и не больше? Что никто не может придти и вставить миллион записей в блокчейн? На "устаревших" бумажных выборах есть возможность в этом убедиться, на электронных нет.
Если вообще все эти люди сговорились, добро пожаловать в уютненькую диктатуру, и зачем им вообще выборы?
Дело не в диктатуре. Я уверен, что в западных странах, если у властей появится возможность бесследно вбрасывать голоса, они будут вбрасывать. Человек так устроен, что ему трудно удержаться от соблазна, неважно, в демократической или монархической стране он живет. Потому и нужна прозрачность и контроль, а не игрушечный блокчейн. Нужно поддерживать прозрачные процедуры выборов, а статья и вы защищаете непрозрачную, уязвимую процедуру.
Я считаю, что перед выборами одновременно со списком кандидатов по каждому участку должен публиковаться список допущенных избирателей по этому участку. Пусть даже вида «Мария Ивановна П., ул. Ленина д.1 кв. 2.» или даже «ул. Ленина. д.1 кв. 2 — 2 чел». Это чтобы не было несуществующих домов и «предыдущих» жильцов квартир.
Также, что дают госуслуги — вам на почту и СМС придёт оповещение, что вы получили бюллетень там-то и там-то. В том числе бумажный. И если вы сидите на даче, подмосковной стройке или где-нибудь в Праге или Тае, вас это несколько удивит. Это резко усложнит местные вбросы за мёртвых душ.
К сожалению, в этой статье ничего не сказано про контроль списков наблюдателей.
Я считаю, что перед выборами одновременно со списком кандидатов по каждому участку должен публиковаться список допущенных избирателей по этому участку. Пусть даже вида «Мария Ивановна П., ул. Ленина д.1 кв. 2.» или даже «ул. Ленина. д.1 кв. 2 — 2 чел». Это чтобы не было несуществующих домов и «предыдущих» жильцов квартир.
В бумажном варианте такую проверку могут сделать наблюдатели по всему списку, а избиратель — в процессе голосования видит соседей (т.к. список отсортирован по квартирам).
Мне кажется, что и в электронном голосовании не обязательно публиковать в общий доступ весь список, а дать возможность проверить соседей избирателю и список всего участка — наблюдателю в УИК.
Это снизит возражения и риски на утечку ПД и другой приватности.
Безотносительно криптографии, для этого есть прокуратура, МВД, ФСБ, наблюдатели от оппозиционных партий, типа независимые суды. Если вообще все эти люди сговорились, добро пожаловать в уютненькую диктатуру, и зачем им вообще выборы?
ложная дихотомия. Речь идет не об диктатурах, - им выборы как правило не нужны, (хотя они порой плебисцитами развлекаются, и часто с фатальными для себя последствиями), но, еще раз, речь не о них, а о выборах в РФ, в электоральной автократии (диктатур на Земле, кстати, раз, два и обчелся)).
Реальнось показывает, что, очевидно, зачем-то выборы в таких автократиях нужны, это просто факт наблюдаемой Реальности, большинство недемократических режимов на планете — электоральные автократии:
(src: https://ourworldindata.org/grapher/political-regimes)
— электоральные автократии (aka "информационные актократии", aka "гибридные режимы"),
то есть автократические режимы, имитирующие демократии (т.е. имеющие демократические институты (начиная с выборов, разумеется) разной степени имитационности), в которых одни и те же люди остаются у власти путем манипуляции электоральным процессом (в основном — недопуском кандидатов, сушкой явки (обесцениванием выборов и гражданского участия, т.е. взращиванием абсентеизма при помощи пропаганды), нагоном зависимого электората (так повышая процент голосующих за своих), и использованием результатов "регионов электоральных аномалий" (они же "электоральные султанаты"), в которых просто рисуют результаты).
О том, "зачем им это" можно строить гипотезы (и в целом это легкообъяснимое явление, с не очень уж и сложными объяснениями: в современном мире "продать" диктатуру не очень легко что на внутреннем рынке, что на внешнем, + "исторически так срослось", это то, что продавали как демекратию, или режимы, свалившиеся в электоральню автократию из малозащищенных от такого режимов электоральных демократий), но факт - налицо.
Где тут защита от ситуации, когда в паспортный стол приходит начальник паспортного стола и ему выдают миллион бюллетеней и конвертов без всякой проверки? Мы должны поверить джентльменам из паспортного стола на слово, что они так не поступят
Щас бы пытаться на полном серьезе выискивать слабые места в аналогии.
Это как то очерняет сам алгоритм?
Что Вы понимаете под коммутативностью? Если то, что зашифрованная ЭЦП равна шифртексту, заверенному ЭЦП, то в общем случае это не верно. Даже при условии фиксированной пары ключей. Тем более, когда на шифртекст не накладывается никаких ограничений. Просто шифртекст может быть банально длиннее (имеется в виду разрядность в битах), чем ЭЦП, которая имеет фиксированную разрядность, например 512 бит ЕС-DSA. Для Хабр вообще характерны весьма спорные заявления, мягко выражаясь. Но главное, что при этом все друг-другом довольны. Ну и что, что умнее не становятся? Зато прикольно!
sign ( crypt ( m ) ) = crypt ( sign ( m ) )Пусть m — это ваш бюллетень.Вы его шифруете своим публичным ключом — это crypt (m).Избирком подписывает, получаетсяsign ( crypt ( m ) )Это левая часть равенства. Она равна правой части в силу коммутативности.
Равенство не верно. Не равно в общем случае. Вы же не определили функции crypt ( m ) и sign ( m ). Например, если crypt ( m ) = x, а sign ( m ) = y, x >< y, то sign ( crypt ( m ) ) = sign ( x ) = a и crypt ( sign ( m ) ) = crypt ( y ) = b. Думаю, что не будете спорить о том, что x не равно y. А вот для утверждения того, что a = b нужны весьма веские причины. Если crypt ( . ) и sign ( . ) – стандартные функции зашифрования и формирования ЭЦП, то это точно не так. Не вводите в заблуждение читателей. Более того, если бы это было так, то существовал бы простой метод экзистенциальной фальсификации ЭЦП. Как это его такой до сих пор не обнаружили? Вот возьмите в качестве функции crypt ( . ) стандарт AES, а в качестве sign ( . ) российский стандарт цифровой подписи EC-RDSA. И Вы хотите сказать, что a будет равно b ?
Вы же не определили функции crypt ( m ) и sign ( m )
Слово криптосьют вам известно? В ГОСТе определены конкретные crypt, sign и процедура слепой подписи. При чем тут AES?
Если бы дело было в словах. Тем более в англицизмах. В официальных текстах стандартов РФ, например ГОСТ Р 34.12-2018 (блочное зашифрование/расшифрование) и ГОСТ Р 34.10-2012 (формирование и проверка ЭЦП), никакие функции crypt ( . ) и sign ( . ) не определены. Вот и отвечайте на вопрос, а не ссылайтесь на какие-то мифические библиотеки. Можно ведь что угодно написать и потом преподносить это как истину в последней инстанции. Если Вы так привержены ГОСТ, то подставьте в ваше равенство ГОСТ Р 34.12-2018 (режим зашифрования) вместо crypt ( . ) и ГОСТ Р 34.10-2012 (режим формирования ЭЦП) вместо sign ( . ) и покажите, что a=b. Я утверждаю, что равенство невозможно. Нет там никакой коммутативности, как Вы утверждаете. Значит имеется в виду нечто совсем иное. А вот что именно, Вы не поясняете. Просто ссылаетесь на криптосьют.
Ну, вот видите. Я же написал, что функции crypt ( . ) и sign ( . ) у вас не были определены. Если понимать crypt ( . ) как блочное зашифрование или даже зашифрование по асимметричной схеме, как обычно их и обозначают, то в вашем тексте всё выглядит как полная чушь. Плюс к этому рассуждения о коммутативности, которые к делу отношения не имеют и тоже для красного словца. Ладно. Будем считать, что выкрутились. Вообще-то надо точно формулировать, иначе вас неправильно поймут и всё пойдёт к чёрту.
То что вы пишите противоречит статье. В статье сказано что на сервер отправляется ключ P' а вы говорите что на сервер отдается crypt ( m ).
Где правда?
кстати, на каждом УИК есть какое-то ненулевое количество таких избирателей — никто не знает, зачем они так делают
Как насчёт людей, которые не доверяют проверке паспортов на избирательных участках, то есть считают, что в случае их неявки под конец голосования за них распишутся, возьмут бюллетень и проголосуют от их лица?
При электронном голосовании — у «наблюдателей за блокчейном» нет никакой возможности обнаружить левые бюллетени.
Это сложно провернуть. Давайте разберем, как проходит голосование.
1) Перед открытием участка председатель сообщает, например, что у него 2000 бюллетеней (конечно, фактически это может быть не так). Наблюдатели убеждаются, что урна пуста.
2) Далее идет голосование, люди получают бюллетени. Наблюдатель видит, что бюллетени выдаются разным людям по одной штуке. Далее люди либо опускают бюллетень в урну, либо уносят и делают с ним что хотят. В теории они, например, могут отдать его кому-то и тот проголосует за них, принесет бюллетень и положит в урну. Но это легко заметить: человек с улицы подходит сразу к урне.
Принести бюллетень с другого участка или отнести на другой не выйдет: на них стоит печать с номером участка.
При этом наблюдатель видит процесс выдачи бюллетеней и может считать, сколько их было выдано. Или вместо этого он может считать, сколько опущено в урну (кстати, на урнах с КОИБ есть удобный счетчик).
Кто-то может незаметно передать председателю дополнительные бюллетени, но какой в этом смысл? Если председатель попробует всю эту стопку запихнуть в урну, его поймают с поличным. То есть мало пронести на участок лишние бюллетени, их еще надо как-то незаметно положить в урну.
3) Голосование завершилось. Собираются неиспользованные бюллетени, пересчитываются и гасятся. Теперь мы знаем, сколько бюллетеней было выдано: начальная цифра минус сколько осталось. В урне не может оказаться больше бюллетеней, чем получившаяся цифра. Наблюдатель может сверить эту цифру со своими подсчетами.
4) После этого производится подсчет подписей в списках. Это число должно сойтись с полученным на этапе 3 числом.
5) И только после этого бюллетени высыпаются на стол и начинается подсчет. Их может оказаться меньше, чем было выдано, но не может быть больше. Даже если председатель умудрится как-то незаметно на глазах у всех подкинуть стопку бюллетеней (это надо быть фокусником, бюллетени большие и заметные), цифры после подсчетов не сойдутся. Не может оказаться в урне больше бюллетеней, чем было выдано.
Получается, чтобы провернуть описанный вами трюк, надо:
- уговорить большое число людей унести бюллетени
- после подсчета подписей вычислить количество, отсчитать и незаметно при всех подкинуть на стол стопку бюллетеней.
Мне кажется, это сложно реализовать.
Есть еще такой трюк, когда приходят фейковые избиратели и им выдают бюллетени без паспорта. Но его сложно реализовать: вам нужно взять большую толпу людей, возить их с участка на участок, и не вызвать подозрения наблюдателей, у которых есть чат для обмена такой информацией и фотографиями подозрительных групп людей. Я согласен, что это возможно в принципе, но требует больших усилий (и наиболее эффективно при низкой явке: вот почему не надо пропускать выборы). Плюс, фейковые избиратели должны расписываться в списке, и если потом придет гражданин, и увидит что за него расписались, он устроит скандал. Особенно если таких граждан окажется много. При этом список с фальшивыми подписями послужит вещественным доказательством фальсификации.
Как видите, бумажная процедура хорошо продумана и защищена от фальсификаций. Мы имеем возможность видеть весь процесс, начиная от пустой урны и заканчивая подсчетом. Остается бумажный след. Пожалуйста, если вы видите тут какие-то просчеты, укажите на них.
В сравнении с ней электронное голосование не наблюдаемо: на нем голосует неизвестно кто и неизвестно как. Проверить, кто отправляет голоса, нельзя. Увидеть списки избирателей нельзя. Вам просто в конце выносят листочек и зачитывают результаты. И показывают блокчейн, по которому нельзя проверить, что голосовали реальные люди, а не боты.
Я не могу с вами согласиться. Бумажное голосование, на мой взгляд, намного прозрачнее, чем текущая версия электронного. Его фальсификация требует больших усилий и задействовать большое количество людей, в то время как фальсификацию электронного может провести один (1) человек с доступом администратора.
Ну тогда да, приходит кто-то, делает вид, что получает, кидает, уходит
Это возможно, но можно попасться. Так как наблюдателю может быть видно, расписывается избиратель или нет. Плюс, для реализации этой схемы вам надо уговорить большое число избирателей отказаться от своего голоса и унести бюллетень. Это, мне кажется, даже сложнее чем незаметно вбросить посторонний бюллетень.
И я не считаю это большой уязвимостью, так как здесь избиратель по сути сам отказывается от своего голоса, унося бюллетень. В электронном голосовании все еще проще: просто отдай начальнику свой пароль от госуслуг и он проголосует как надо.
Очень удобно делать на тех участках, где предсказывается победа неправильного кандидата, вам не кажется?
Тут опять нужна сложная операция. На участке в списках обычно 2000 человек. Допустим, явка 50% и придет лишь 1000 из них. Чтобы перевесить их голоса, вам нужно найти где-то 200 человек и возить их по участкам. И соответственно на каждом участке будет 100 недовольных, от чьего имени проголосовали. Такую операцию провернуть трудно, а незаметно ее сделать не получится.
При этом у нас есть вещественное доказательство фальсификации: список избирателей, в котором стоит 200 чужих подписей.
А теперь сравним с электронным голосованием в текущей версии: в список избирателей добавляется миллион мертвых душ, голосуют как хотят и никаких следов сторонний наблюдатель увидеть не может. Допустим, в городе Москва 7,5 млн избирателей, из которых на выборы придет 50%. Это значит, что мы можем, не нарушая статистики, вбросить через госуслуги до 3,75 млн голосов что составляет 100% от реально пришедших людей и позволяет "перевесить" любой их выбор. Конечно, 100% явка будет выглядеть подозрительно, потому можно не наглеть и вбросить 1-2 миллиона — тут ничего не обнаружить.
К примеру, СМИ сообщают, что на электронное голосование записалось 2 миллиона человек. Проверить эту информацию невозможно.
В списке на таких-то квартирах будет не по одному инвалиду, а по десятку «родственников». Вы ж не можете проверить все списки?
Кандидат или партия имеет право направить на каждый участок члена с ПСГ. Он имеет право просмотреть списки перед выборами. В списке видны ФИО, год или дата рождения, адрес прописки. Обычный избиратель имеет право просмотреть информацию лишь о себе.
Участки обычно делают по 2000-2500 человек, и известно количество избирателей на предыдущих выборах. Чтобы добавить посторонних, вам надо либо создавать новые участки, либо расширять существующие и это будет заметно. Более того, мало добавить 500 людей в список, надо еще где-то найти 500 человек, которые проголосуют от имени "мертвых" душ и не сдадут вас, и не запишут разговор с вами на телефон. А что, если оппозиционеры услышат об этом и зашлют своих людей к фальсификаторам?
Итого, люди по паспорту приходят, получают в 4-5 местах, голосуют и норм. Изредка меняя куртки, шапки и штаны.
Ну вот смотрите, допустим мы хотим вбросить в Москве 1 млн голосов. Для этого нам надо найти и уговорить на незаконные действия в составе организованной группы лиц 200 000 человек. И чтобы об этом никто не узнал. И при этом будет 100 000 человек, которые обнаружат, что за них расписались. Останутся списки с фальшивыми подписями. Я не думаю, что это можно сделать незаметно, и не слышал про "карусели" таких масштабов.
И при этом вам надо, чтобы оппозиция не узнала об этом и не заслала в ваши ряды своих шпионов.
А теперь сравните это с электронными выборами: один (1) администратор добавляет на госуслуги милллион человек и голосует скриптом от их имени. Все. Задача решена. Фальсификация электронного голосования очень проста, дешева, необнаружима и не оставляет вещественных доказательств при текущей системе.
что мы надеемся, что все набираемые с улицы партиями наблюдатели честные, не подкуплены так же государством и постараются отследить происходящие вбросы
Если партия заинтересована в результате, то она будет проводить отбор, отдавая предпочтение тем, с кем работали раньше. Опять же, довольно трудно найти где-то множество людей и уговорить их делать что-то незаконное. Как вы себе представляете: приходит, допустим, директор школы и объявляет: дорогие учителя, завтра вы все будете участвовать в спецоперации по фальсификации выборов, притворяясь наблюдателями. Очевидно, что не все люди (да и директора) согласятся на такое, а кто-то запишет речь этого директора на телефон и выложит в интернет.
Конечно, у бумажной системы есть недочеты: например, стать наблюдателем можно только с помощью кандидата или партии. Было бы конечно, лучше, если бы любой гражданин мог сам записаться в наблюдатели на свой участок. Но при всех недостатках, бумажная система лучше и прозрачнее. Нужно гораздо больше денег, людей, усилий, чтобы ее фальсифицировать.
Технологии могут повысить прозрачность голосования. Пример: доступное публично видеонаблюдение на участках. Но я пока вижу, что технологии применяются для снижения прозрачности.
Ещё раз, я указал, что в списке изначально может быть куча вписана чужих в тех местах, которые не проверишь.
Добавление людей в списки само по себе не дает вам голосов. Голоса дают бюллетени в урне.
Количество избирателей известно по каждому участку до выборов. Если вписать много людей, то будет видно, что неожиданно на всех участках откуда-то взялись новые записи. Очевидно, что количество избирателей не может само по себе увеличиться, например, на 10% между выборами. Это уже вызовет подозрение и заставит наблюдателей быть более бдительными.
Далее,вам нужно где-то взять толпу людей, которая будет изображать этих избирателей и ходить по участкам. Вам надо уговорить их совершить преступление. Далее, вам надо либо сделать им поддельные паспорта с нужной пропиской, либо уговорить членов комиссии нарушить закон и не обращать внимания на несоответствие прописки.
То есть, масштабная фальсификация требует огромного количества людей. Чтобы вбросить миллион голосов, надо найти 100 000 — 200 000 фейковых "избирателей", готовых пойти на подлог. Это не такая простая задача. Если вам, например, предложат пойти на такое ради какой-то благородной цели спасения страны (и за небольшую доплату), вы согласитесь?
Конечно, ведь есть один суперадмин, который может всё в системе, где хранится всё государственное
Государство выдает поддельные паспорта, которые выглядят абсолютно достоверно и входят во все базы. Следовательно, внести в госуслуги фальшивые записи оно может так же легко. Администратор системы, очевидно, привык, что иногда приходит человек из спецслужб (который имеет все нужные документы) и что-то делает с базой, и он не будет задавать лишних вопросов. Раз делает — значит, нужно.
Смотрите: с одной стороны, на бумажных выборах вам надо организовать сотни тысяч человек. А на электронных (в нынешней форме) о каких-то либо модификациях будет знать всего несколько человек, которые по службе привыкли не удивляться и не задавать лишние вопросы. Где проще провернуть фальсификацию?
ведь есть один суперадмин, который может всё в системе,
Я не знаю, как устроены госуслуги, но предполагаю, что там все строго регулируется и людей с административным доступом мало. Так же я предполагаю, что спецслужбы имеют доступ к госуслугам по служебной необходимости и никто им не будет задавать вопросы, что они делали с базой.
Никогда такого не было, что их подделывали, и вот опять.
При этом вдруг это стало самым безопасным!
Смотрите, у вас бинарная логика: бумажное голосование можно подделать. Электронное тоже. Значит у них одинаковый уровень безопасности: ее нету.
Это неправильное рассуждение. Бумажное голосование можно фальсифицировать, но это сложнее сделать и сложнее скрыть. За бумажным голосованием можно наблюдать, а за электронным (в нынешней форме) нет. Следовательно, уровень защищенности бумажного голосования выше.
Да нет, цифровое так же не такое простое, как «один сделал, что захотел». Оно так же требует кучу людей, кучу действий и прочее.
Фальсификация электронного голосования в нынешнем виде требует участия нескольких человек. Ее невозможно обнаружить. В сравнении с ним, фальсификация бумажного требует участия тысяч или больше людей, и их возможно поймать с поличным.
Но, как я уже написал, единственный вариант — это совместить очную выдачу как раньше и электронный голос как в этом, то есть условно один паспорт, одна запись на бумаге у комиссии, один голос в блокчейне
Чтобы такое голосование было прозрачным, требуется:
чтобы в блокчейне хранилась информация, с какого участка поступил голос. Чтобы можно было убедиться, что если на участок пришло 1000 человек, то и голосов в блокчейне с этого участка 1000, а не больше. Также, комиссия на участке после окончания голосования должна составлять и выдавать наблюдателям протокол о количестве получивших бюллетень. Который будет служить доказательством в случае каких-то расхождений.
чтобы блокчейн полностью публиковался после выборов, включая ключи, нужные для его расшифровки и перепроверки результатов. А не как сейчас, когда дают на короткое время доступ к какому-то сайту, где можно вручную просмотреть лишь небольшое количество записей.
чтобы избиратель мог легко и самостоятельно проверить, что его голос учтен верно, в том числе найти свой голос в блокчейне. Иначе возможна ситуация, когда избиратель делает один выбор, а в блокчейн вносится другой выбор.
У этого пункта появляется минус, что с его помощью можно оказывать давление на людей и требовать от них доказательства голосования за определенного кандидата (что практически невозможно на бумажных выборах). Но без возможности проверить свой голос нельзя доказать, что голос был учтен верно или нет.
А то, что есть в нынешнем виде это фикция, а не голосование.
Ваша позиция - "если система А не обеспечивает 100% гарантии, и система Б тоже не обеспечивает 100% гарантии, значит эти две системы равноценны"?
Правда паспорта нужно подделывать, но мы ж не верим государству!
На мой взгляд, в данном случае вы допускаете слишком большое обобщение. Вы объединяете все-все-все властные институты и гос-организации в одно слово "государство".
В модели угроз (что в бумажном, что в электронном) голосовании рассматриваются отдельные акторы: избирком(создающий списки и агрегирующий протоколы УИКов), наблюдатели(ведущие подсчет и контролирующие ход голосования), исполнительная власть (обеспечивающая идентификацию по паспорту), избиратели. В модель не входит, например, судебная власть. Считается, что если поймали нарушителя — он будет наказан, а скомпрометированный результаты не будут учитываться. В модели нет шоколадок пришедшим на участок и висящих плакатов в день голосования. Модель на то и модель, что она только частично моделирует реальность.
Если же исходить из того, что значимая часть наблюдателей сговорилась (случалось, что все согласны вписать в протокол нужны цифры, а подсчет — фикция), или сговорились избирком и суды, или сговор против части избирателей всех остальных — то модель не работает и решения нет.
Допущение, что несколько участников процесса сговорятся, основано на том что у них разные цели, а цена обмана слишком высока. Возможно, вы слышали что цель защиты (дома от грабителей, компьютера от взлома) — это не построение абсолютной системы, а удорожание процесса взлома защиты выше какого-то предела.
Но зачем они их уносят, а не кидают в урну?
А теперь давайте найдём хотя бы одно доказательство, что система, которая будет применятся на выбырах имеет хоть какое-то отношение к тому, что написано в этих чудесных бумажках.
И не забудем вопрос: а что в текущей системе мешает организатору выборов опубликовать в качестве результата любые рандомные цифры?
Чтобы эффективно наблюдать за выборами, особенно с учётом трёхдневного голосования, на каждый участок надо хотя бы по 3 наблюдателя хотя бы от 5 разных партий — то есть почти полтора миллиона человек.
Голословно, и вызывает подозрения в ангажированности. Можно какие-то выкладки, показывающее, почему не хватит по одному наблюдателю от двух разных партий, для начала — то есть почти на порядок меньше.
Как человек лично участвовавший в наблюдении, могу сказать, что один хорошо подготовленный наблюдатель может нейтрализовать примерно 4 ‘заряженных’ училки, на большее просто не хватает внимания и скандальности. Набрать 90000*2 наблюдателей - активистов. (формально наблюдателть и ПСГ) это просто маст для реальной партии. Увы у нас таких нет :(
Как понять, что «свой», а значит имеет право голосовать, но при условии доказанной анонимности, написано здесь https://habr.com/ru/post/564596/ Необходимо отметить, что кроме опубликованного на Хабр протокола (ссылка на публикацию выше), также разработан другой протокол, который позволяет сформировать общий секретный ключ только в том случае, если проверяющий примет доказательство, т.е. когда доказывающий гарантированно «свой». Никаких дополнительных данных, кроме тех, которыми стороны обменялись на этапе идентификации, передавать не нужно.
Приблизительно схема голосования на основе нашего протокола выглядит следующим образом.
Для подтверждения своих избирательных прав претендент обязан предъявить удостоверение личности, например паспорт, сканирование которого осуществляется специализированным терминалом-инфоматом. После оптического распознавания символов выполняется автоматическая проверка и выносится решение о допуске к голосованию. Если заключение положительное, то инфомат формирует персональные общедоступный и секретный ключи. Последний передаётся потенциальному избирателю, например в виде пластиковой карты с QR-кодом. Карта может выпускаться незамедлительно при контакте с инфоматом или вручаться лично с предварительным уведомлением о готовности, например так, как это происходит с социальными и банковскими картами. Кроме секретного ключа, карта содержит: уникальный идентификатор избирателя, который также заносится в целевое поле сертификата персонального общедоступного ключа, ссылку на ресурс, предназначенный для хранения этого сертификата. Отметим, что такой сертификат не содержит персональных данных (анонимный сертификат), но удостоверяет, что владелец персонального общедоступного ключа является зарегистрированным избирателем. На основании идентификаторов формируется групповой общедоступный ключ, который в частности может быть привязан к конкретному субъекту административно-территориального деления. В этом случае идентификатор избирателя должен включать код субъекта. Для этого ключа также выпускается сертификат. Персональные данные всех зарегистрированных избирателей, за исключением идентификаторов, заносятся в базу данных. Повторная регистрация невозможна, так как каждый запрос на регистрацию инициирует сверку с этой базой данных и если избиратель уже зарегистрирован, то запрос отклоняется. В момент голосования избиратель активизирует специализированное приложение на персональном компьютере или смартфоне. Предъявляет свою карту с QR-кодом для распознавания и таким образом вводит персональный секретный ключ, идентификатор, ссылку на ресурс, где храниться сертификат персонального общедоступного ключа, иную вспомогательную информацию. Приложение избирателя удалённо взаимодействует с сопряжённым приложением избирательной комиссии. Запускается интерактивный протокол, при помощи которого приложение избирателя формирует и передаёт доказательство, а приложение избирательной комиссии осуществляет его проверку посредством персонального и группового общедоступных ключей при условии валидности ЭЦП соответствующих сертификатов. По факту доказательства устанавливается защищённый туннель, который используется для передачи информации о конкретном выборе избирателя. Если голос учтён, то идентификатор заносится в базу данных проголосовавших. Для исключения повторного голосования сверка с этой базой обязательна для каждого голоса. Все идентификаторы из базы данных проголосовавших размещаются в открытом доступе. Каждый избиратель может найти свой идентификатор в опубликованном списке и тем самым удостовериться, что его голос был учтён при голосовании. ЭЦП избирательной комиссии предоставляет гарантию целостности, подлинности и актуальности списка. Невозможно установить однозначное соответствие между идентификаторами и персональными данными избирателей, а защищённый туннель передачи данных обеспечивает тайность голосования.
Я в упор не понимаю, что мешает залоггировать "такой-то идентификатор (или публичный ключ, или ещё что) был выдан человеку с паспортом серия… номер ..."?
Так или иначе придётся кому-то (чему-то) доверять. Вы же при «бумажном» голосовании доверяете избирательной комиссии, которая осуществляет вашу регистрацию, выдаёт бюллетени, предоставляет кабинку для голосования, доступ к КОИБ и пр. Так и тут. Устройства, которые за это отвечают (терминалы-инфоматы) должны быть trusted.
Нет я доверяю условному другу-наблюдателю, который сидит на участке и смотрит своими глазами в том, что происходит.
В этом же и смысл старое "Дубовое" голосование за ширмочками очень понятно: если есть дыры в кабинке и тебе из-за плеча заглядывают или ручка невидимыми чернилами пишет — то есть нарушения и возможность для злоупотребления. Это понятно любому человеку и проверить соответственно может каждый.
А с блокчейном нужно быть специалистом по кибербезопасности чтоб хотя бы перечислить потенциальные риски. А уж понять, как они решаются (это если они решаются) уж совсем высший пилотаж.
Взять хотя бы тайну голосования в классическом голосовании: нет никакой возможности отследить массово кто как проголосовал. Единично наверное да, всякими там тайными бланками и т.п., массово — нет. И наоборот, если есть данные в цифре то обработать их массово не составляет ни малейшего труда.
Я зашел в кабинку со своим бланком, что-то с ним сделал, и отправил. Никто не видит, что я сделал (если я параноик, я могу бланк под куртку засунуть и подглядеть куда я там галку поставил будет просто физически невозможно. Ну а дальше как мы знаем все закидывается в урну и там понять какой бланк конкретно мой не представляется возможным.
Что с цифрой? У нас или анонимность, тогда есть возможность мертвых душ, или идентификация, тогда всегда 100% точно можно отследить кто что и куда. Третьего не дано, кто бы что ни говорил.
Если мы не доверяем УЦ, то всё летит к чёрту. Кстати, у американцев голосование осуществляется посредством взаимодействия со специализированным стационарным терминалом. Внутри реализована довольно хитрая математика.
Не доверяем. Я доверяю коммьюнити наблюдателей, одним из которых я пару раз был. А вот заказчику этой системы — нет, не доверяю. Как раз выборы котоыре строятся на доверии власти это кек, потому что это система с положительной обратной связью. Любые выборы должны исследоваться в условиях максимального продиводействия среды.
Что с цифрой? У нас или анонимность, тогда есть возможность мертвых душ, или идентификация, тогда всегда 100% точно можно отследить кто что и куда. Третьего не дано, кто бы что ни говорил.
Как раз придумали (и продолжают придумывать) схемы с криптографией, которые позволяют одновременно и идентифицировать, и не отследить за кого голосовал конкретный индивидуум.
Разумеется, все построения начинаются с "предположим, что ...". Например, одна из схем тайного электронного голосования основана на предположении, что есть два независимых агентства. То есть между собой они не сговорятся или это слишком сложно. Есть схемы и с одним агентством, они требуют больше телодвижений со стороны избирателя.
Недостаток: как отзывать сертификат без связи с персональными данными?
Вот приходит избиратель и сообщает, что карту украли/потеряли/собака съела, что делать дальше?
Вариант 1 - выдать новую карту. Тогда старая остаётся валидной и теперь где-то есть потенциально "левая" карта. Забанить старую не можем, потому что не знаем про неё ничего.
Вариант 2 - не выдавать новую карту. Это поражение в правах уже получается?
Вопрос не понятен. Какая связь между отзывом сертификата, если речь идёт о сертификате общедоступного ключа, и потерянной картой? Сертификат всегда можно отозвать. Если такой отзыв внеплановый, например происходит до истечения срока действия сертификата, то это делается по соответствующему запросу. И вообще, если сертификат выпущен, то это означает, что подлинность заявителя была подтверждена в результате различных проверок. Следовательно, на момент отзыва принципиальных проблем с персональными данными быть не может.
Создаётся впечатление, что в вопросе каким-то непонятным образом смешиваются различные сущности.
Ок, виноват. Имелся в виду отзыв карты, которая больше не находится в распоряжении владельца.
Как я понимаю, речь идёт о ситуации, когда секретный ключ утрачен без возможности восстановления? Например, если карточка потеряна, уничтожена или украдена. Рассмотрим следующие исходы: 1) секретный ключ попал в руки злоумышленника и он намерен им воспользоваться; 2) секретный ключ утрачен безвозвратно и никто никогда не сможет им воспользоваться. Протокол устроен так, что проверяющий не получает никакой информации, которая позволила бы разделить эти исходы. На практике это означает, что тот, кто ранее успешно зарегистрировался и получил карточку, выбывает из голосования, а тот, кто ей завладел, — сможет проголосовать. Или же голос, привязанный к секрету на карточке, вообще не будет реализован. Тут разумно уповать на ответственность избирателя — он должен сам отвечать за надёжное хранение своих секретов и нести персональную ответственность в случае их утраты. Впрочем, это общее место. Восстановление карточки для голосования невозможно и неоправданно — ведь в отличие от банковской карты теряется только голос, а не деньги. Кроме этого, описанная выше ситуация не является массовой и поэтому статистически ничтожна с точки зрения результатов голосования.
Про массовость можно поспорить, наверняка счёт по РФ будет идти на сотни, если не тысячи, таких случаев за выборы.
На счёт ответственности избирателя. Потеря права голоса = нарушение конституционный прав гражданина, так же?
Получается, что для таких случаев нужно параллельно с электронной сохранить и бумажную систему голосования.
Потеря права голоса = нарушение конституционный прав гражданина, так же?
Это всё можно отрегулировать. Например, исходить из того, что утрата голоса распространяется только на текущий электоральный цикл. В следующем цикле уже можно на новенького. В общем, все эти электоральные политики безусловно нуждаются в дополнительной тщательной проработке. Тут и юристы должны основательно потрудиться.
Про массовость можно поспорить, наверняка счёт по РФ будет идти на сотни, если не тысячи, таких случаев за выборы.
Тут имеем дело с эфемеридами, про которые сложно рассуждать. Но трудно себе представить, что все вдруг начнут в массовом порядке терять/уничтожать свои карты для голосования. Ведь с другими картами такого не происходит. Например, с банковскими. Думаю, что у банков имеется соответствующая статистика. Вот на неё и надо опираться. Это разумно, по крайней мере.
Выше уже упоминали часть проблем, но коротко опишу те, что вижу:
нет защиты от "вбросов" с левых аккаунтов
нет возможности посчитать итоговые результаты с одновременной возможностью проверить свой голос
нет чётко описанного API, позволяющего написать сторонний клиент, не полагаясь на то, что джаваскрипт, подсунутый на сайте голосования, делает все правильно.
2. Возможность проверить свой голос = возможность купить чужой голос за бутылку водки или премию. Уж лучше без этого.
3. Это плюс, а не минус.
С паспортными данными, пропиской, ИНН, СНИЛСом и вот этим вот всем?
Необязательно. Всего лишь с галочкой "аккаунт верифицирован".
1) жители пансионатов «ветеранов войны и труда» - легко.
Миллионы поддельных аккаунтов никто делать не будет, т.к. очень, очень чревато для всей системы.
А чем конкретно это чревато для системы? Почему там не может быть аккаунта без ИНН и СНИЛС?
Ну а если дать местным левые аккаунты, они их быстро «монетизируют». Наберут кредитов, наделают фирм-однодневок, разворуют тендеры и т.п. И ищи потом концы.
За один час существования одноразовых аккаунтов никто ничего не наберёт.
Ну а если дать местным левые аккаунты, они их быстро «монетизируют».
Зачем отдавать кому либо только что созданные левые аккаунты? Тот, кто создал их, сам может проголосовать за кого надо.
Вполне допускаю, что электронное голосование реально может быть сделано нормально. Есть подозрение, что в головах правительства реально сидят мысли о вездесущем иностранном влиянии, которое только и думает о фальсификации текущих выборов.
С другой стороны, скорее всего, большинство несогласных просто решат в очередной раз "выразить протест с помощью неявки". К чему это приведёт, все уже давно знают.
>С подписи C' и ключа K' на смартфоне избирателя снимается маскировка — этот алгоритм устроен таким образом, что в результате получается подпись C, валидная для ключа K.
Вот этот пункт вызывает вопросы. Возможно ли зная C и K найти это случайное число, или более корректный вопрос - возможно из C и K получить K'?
Нет. Невозможно. Метод «ослепления» хорошо известен и восходит к ранним работам Чома (D. Chaum). Прочитать про это можно в главе «Финансовая криптография» в книжке Чмора А.Л. «Современная прикладная криптография», Гелиос-АРВ, 2001, 256 стр. Там описан RSA-подобный подход.
Можно на клиенте перед отправкой заполненного бюллетеня добавить задержку произвольную (скажем, 10-30 секунд). Если в голосовании участвуют много людей, то потенциальный сопоставлятель логов поседеет, пока что-то найдёт.
Любопытно. Я, честно говоря не до конца вник, потому что читаю посреди ночи, но мне кажется что всё можно сделать на основе существующих криптовалют. Пусть государство выдаст каждому гражданину крипто-токен в анонимной криптовалюте (например monero, или zero coin). Затем пусть для каждого варианта голоса будет опубликовано по криптокошельку. Тогда для голосования за нужный вариант мне необходимо только произвести платёж своим токеном в кошелёк нужного варианта. В такой системе государству принадлежит только орган, выпускающий токены, а вся остальная инфраструктура государству неподконтрольна. Вопрос анонимности обеспечивается за счёт самой криптовалюты. Вопросы с бэкдорами тоже отпадают, потому что я могу использовать для проведения транзакции проверенный опенсорсный софт любого стороннего разработчика, и для пущей анонимности подключаться к сети через тор.
Как проверить, что имеет право голосовать: гражданин, имеет соответствующую прописку (голосование-то территориальное), не имеет вообще или имеет погашенную судимость, старше 18 лет и т.д. Кроме этого просто провести транзакцию не получится. Надо ведь как-то указать кандидата, за которого отдаёшь свой голос. Не понятно как отслеживать многократные голосования. Много различных проблем, которые остались за бортом. При внимательном рассмотрении выясняется, что такие задачки наскоком не решаются.
Люди создают у себя электронный кошелёк. Сообщают через личный кабинет номер этого кошелька государству. На этот кошелёк государство закидывает одну подкрашенную монету, и запоминает, что гражданину X одну монету уже выдали, и больше монет выдавать нельзя. Каждый кандидат создаёт свой кошелёк, и сообщает его адрес всем. Чтобы проголосовать за кандидата, каждый пересылает монету на кошелёк кандидата. Можно ещё сделать кошельки кандидатов конечными, чтобы с них было невозможно отправлять монеты куда-либо дальше, если хотите. Анонимность голосования обеспечивается анонимностью транзакций (именно для этого мы используем протоколы Monero или ZeroCoin, а не условный биткоин). Отсутствие двойного голосования обеспечивается самой криптовалюты в виде защиты от дабл спендинга. То, что подкрашенные монеты выданы только Россиянам обеспечивается государством. Суммарное количество подкрашенные монет известно, поэтому государство не может просто скинуть миллион монет для голосования надёжным людям. Хотя... Да, так с наскока не решается - в предложенном мной варианте остаётся возможность продавать голоса, путём их перевода на промежуточный адрес получателя.
Люди создают у себя электронный кошелёк. Сообщают через личный кабинет номер этого кошелька государству.
Все криптовалюты гарантируют анонимность. Обычно кошелёк — это значение хеш-функции от общедоступного ключа. В контексте криптовалют сертификаты общедоступных ключей никогда не запрашиваются и не выдаются — это сделано намеренно именно в целях обеспечения анонимности. Замечу, что отслеживание транзакций при этом возможно. Таким образом, анонимность есть, а неотслеживаемости — нет.
Создали кошелёк, или воспользовались чужим, сообщили о нём государству. Как государство сможет проверить, что это именно ваш кошелёк? Значит проблема подтверждения подлинности (номер раз). Предположим, что все действуют без обмана. Как во время голосования государство сможет проверить, что голосует зарегистрированный? Будет сверяться с базой данных кошельков? Но в этой базе с каждым кошельком ассоциированы персональные данные. Тогда, где анонимность? Значит проблема обеспечения анонимности (номер два).
На первый взгляд, подлинность и анонимность состоят в идеологическом противоречии. Но решение существует. Просто необходимы более тонкие методы. Смотрите наши публикации. Например, https://habr.com/ru/post/572994/
Не все криптовалюты обеспечивают анонимность. То о чём вы говорите называется не анонимность, а псевдонимность. Это относится к биткоинк и эфириуму, но не относится, например, к Monero, zero coin и dash. В Monero, zero coin и dash сами транзакции неотслеживаемые, в отличии от биткоина.
То, что я предлагаю: я генерирую свой кошелёк. Загружаю публичный адрес кошелька в госуслуги через свой личный кабинет. Госуслуги проверяют, что я имею право голосовать, что мне подкрашенная госуслугами монета ещё не выдавалась, и выдают мне 1 подкрашенную монету. Так как подкрасить монету в цвет госуслуг могут только сами госуслуги, то получается что подкрашенные монеты есть только у тех, кто имеет право голосовать. При подсчёте голосов учитываем только те монеты, которые были подкрашены госуслугами. Всё обозначенные вами проблемы решены. Не решена только (существенная) проблема продажи голосов.
Не все криптовалюты обеспечивают анонимность. То о чём вы говорите называется не анонимность, а псевдонимность. Это относится к биткоинк и эфириуму, но не относится, например, к Monero, zero coin и dash. В Monero, zero coin и dash сами транзакции неотслеживаемые, в отличии от биткоина.
Ну, назовите это псевдоанонимностью. И что? Вы же никогда не сможете определить, кому принадлежит конкретный кошелёк. Раскрыть персональные данные владельца кошелька. И это утверждение справедливо для любой криптовалюты. В этом же смысл. Не в терминологии. Про отличие неотслеживаемости и анонимности или псевдоанонимности, если вам так угодно, я уже написал.
То, что я предлагаю: я генерирую свой кошелёк. Загружаю публичный адрес кошелька в госуслуги через свой личный кабинет.
Загружайте через личный кабинет в Госуслугах. Вообще как хотите. Но как понять, что Вы загрузили именно свой публичный адрес кошелька (здесь использую вашу терминологию), а не публичный адрес кошелька Пупкина? Ведь никакой связи между публичным адресом кошелька и вашими персональными данными не существует. В результате подкрашенная монета будет выдана Пупкину. И он проголосует вместо вас. Получается, что проголосовать может вообще кто угодно. В том числе и не гражданин, например.
На этот кошелёк государство закидывает одну подкрашенную монету
Стесняюсь спросить, а что такое «подкрашенная» монета? Тут ведь конкретика нужна. Дьявол — он в деталях. Как легко писать/произносить слова, когда не осознаешь их смысла.
Monero и ZeroCoin гарантируют неотслеживаемость транзакций. Ещё раз подчёркиваю, именно неостлеживаемость, анонимность обеспечивается по построению. А вот ваша, так называемая «подкрашенность», не приведёт ли к компрометации неотслеживаемости? Всё взаимосвязанно в этой мирской юдоли. Куда ни кинь — везде клин.
Подкрашенная монета - это вполне рабочая технология, она работает в эфириуме к примеру, те же NFT - это по сути подкрашенные монеты. Не знаю в каких блокчейнах есть неотслеживаемые подкрашенные монеты, но никаких препятствий к их реализации быть не должно. В крайнем случае вместо них можно просто использовать отдельный форк криптовалюты.
голосование "по прописке" de facto - имущественный ценз. Если речь о территориальном голосовании, то корректнее было бы говорить о проживании, и позволять голосовать каждому, кто может его подтвердить (ну и отменить институт регистрации, конечно же).
Но это к слову.
В целом у любого электронного голосования главная уязвимость - проблема обеспечить защиту от давления на избирателя.
Из технических (вкупе с организационными) решений я видел только решение "возможность переголосовать сколько угодно раз" (что, к слову, все равно слабо защищено; например от "отдайте нам свою учетку").
А из более сильных организационных защит у нас, пожалуй, есть только отказ от представительства, и прямое голосование по всем вопросам(1), или, как вариант, например, прямое голосование плюс возможность ad hoc представительства, т.е. делегации своих прав на принятие решений конкретному (или конкретным) представителям по конкретным вопросам(2) (например, но про ad hoc представительство еще смотреть надо, там таки могут быть опасности, проще сделать "рекомендации от выбранных, оплачиваемых экспертов", то есть чтобы условно "твой депутат" не голос за тебя отдавал, а предлагал тебе отдать так или иначе).
Плюс ЛЮТЫЕ наказания за любые попытки давления, вкупе с независимой судебной системой. Вот это бы сработало, пожалуй.
Так как публичный ключ избирателя был создан на его устройстве при получении бюллетеня «с нуля», то сервер приёма бюллетеней ничего о нём не знает — однако может проверить его подпись C
Каким образом принимающий сервер проверяет подпись С? При данной проверке сервер не сможет сопоставить её с С'?
Так поэтому этот ключ называется публичным – правда, это не совсем верная терминология, правильнее называть его общедоступным. Такой термин точно отражает сущность. В общем этот ключ всем известен. Помещается в общедоступные справочники в виде сертификата, который выпускает доверенный удостоверяющий центp (УЦ) в составе PKI. Доступны по протоколу OCSP. Эта технология известна очень давно, ещё со времён первой работы Лорена Конфелдера, где-то году в 78-м, если не ошибаюсь. Вскоре после основополагающей статьи Диффи-Хеллмана «Новые направления в криптографии». Так что никаких проблем. Достаёшь сертификат общедоступного ключа при помощи OCSP, смотришь на статус и если все в порядке (ключи не скомпрометированы – сертификат не помещен в список аннулированных сертификатов, срок действия сертификата не вышел и т.д.), то берёшь общедоступный ключ из этого сертификата и проверяешь на нём ЭЦП тех данных, которые заверены на парном секретном ключе, в подлинности и целостных которых хочешь удостовериться. Конечно ЭЦП сертификата тоже при этом проверяется. Если ЭЦП сертификата не валидна, то общедоступный ключ из сертификата выбрасывается в мусорную корзину. Ликбез здесь https://habr.com/ru/company/encry/blog/461761/ подкат «Что такое цифровые подписи и сертификаты ?».
Так поэтому этот ключ называется публичным ... В общем этот ключ всем известен. Помещается в общедоступные справочники в виде сертификата ...
Здесь речь о публичном ключе избирателя K, замаскированным ключе K' или о третьем публичном сертификате выданным для "выдающего сервера" с помощью которого он подписывает K' и получает C' (а позже принимающий сервер с помощью публичного ключа этого самого сертификата может валидировать C)?
Да, в посте отмечается что К' подписывается публичным сертификатом выдающего сервера.
Тогда вопрос про это
С подписи C' и ключа K' на смартфоне избирателя снимается маскировка — этот алгоритм устроен таким образом, что в результате получается подпись C, валидная для ключа K.
Что это за алгоритм? Я так понимаю и С и С' являются валидными данными.
Слепая подпись RSA будет работать только если выдающий и принимающий сервер разделены и не обмениваются информацией. Но если государство будет иметь доступ к К, К', С, С' и приватному ключю "выдающего" сервера, тогда государство сможет точно сопоставить ФИО и публичный ключ К. Тем самым деанонизировав пользователя.
Да, можно было бы задать этот вопрос @AnalogBytes.
Моя основная претензия к этому:
Поэтому в российском ДЭГ был использован значительно более сложный механизм, именуемый «слепой подписью», смысл которого в том, чтобы в двух агентствах — неважно, независимы они или нет — попросту не существовало бы единого признака, по которому они могли бы сопоставить избирателя и его бюллетень.
...
Итак, зафиксируем первый пункт: в официальном дизайне системы приняты меры к соблюдению тайны голосования даже в том случае, если два агентства не являются независимыми.
В случае, если применяется слепая подпись RSA, то очень даже важно что бы агенства были независимы. Но если данные с обоих серверов известны государству, то нет никаких преград для сопоставления ФИО и бюллетеня в блокчейне. Даже не нужно сопоставлять данные из логов.
Но если государство не сможет доказать анонимность голосующему, тогда не понятно зачем вообще использовать здесь слепую подпись.
На это всё я могу заметить следующее. Доказуемой анонимности можно добиться, если использовать ZKP-протоколы, или, как альтернативу, протоколы с доказанными свойствами WI и WH. Тогда вне зависимости от знания секретного ключа невозможно установить, кто конкретно участвует в протоколе в роли доказывающего. Но это уже такая достаточно высокопробная криптография, которая требует соответствующей подготовки. Если хватает страсти, то можете ознакомится с нашим разработками в этой области в публикации https://habr.com/ru/post/564596/ и по-английски здесь https://habr.com/ru/post/572994/
если государство будет иметь доступ к К, К', С, С' и приватному ключю "выдающего" сервера
Это если рассматривать государство как монолит. Но есть тот же принцип разделения властей, который затрудняет сговор бюрократии. Также и здесь: если в системе все участники (админ ДЦ, админ БД, наблюдатель на выборах, член ЦИК) независимы друг от друга, а общее звено — где-то там наверху, то накладные расходы на получение всех частей секрета значительно вырастут. Вырастет число передающих приказ звеньев, вырастут риски утечки, своевременного и точного исполнения приказа. Подчеркну, не сделает атаку невозможной теоретически, а затруднит ее настолько, что сделает нецелесообразной.
Напомню, что центризбирком и "Госуслуги" формально полностью независимы, и можно вложиться в независимость их информационных систем. Это обеспечит определенную независимость "двух агентств", необходимых для криптографического алгоритма.
Конечно, это не защищает от угроз вида "банда с паяльниками", но может предотвратить угрозы вида "купленный ЦРУ ФСБ масонами админ".
И моя претензия к автору поста, что он постулирует зависимость двух агентств, никак это не аргументируя и отбрасывая те возможности, которые могут увеличить их независимость.
На практике, однако, в России — примерно 97 тысяч избирательных участков. Чтобы эффективно наблюдать за выборами, особенно с учётом трёхдневного голосования, на каждый участок надо хотя бы по 3 наблюдателя хотя бы от 5 разных партий — то есть почти полтора миллиона человек. Причём это должны быть люди обученные, заинтересованные, знающие формальные процедуры проведения выборов, не состоящие в родстве или подчинённых отношениях с членами комиссии, не состоящие в сговоре друг с другом, и прочая, и прочая.
Это всё прекрасно, конечно, но решается достаточно просто:
1) Отменяем 3 дневное голосование. Ну вот вообще. Голосование 1 днём как оно и должно быть.
2) Да, надо принять тот факт, что не получится защититься от вбросов на 100%, но этого в общем-то и не надо
3) 15 наблюдателей на участок — это, конечно, замечательно, но вообще не обязательно.
4) Возвращаем лайв видеотрансляции с избирательных участков.
Я не устаю повторять, что у бумажного голосования есть 1 важная особенность — оно очень дорогое, причём во многих смыслах. Для того чтобы сфальсифицировать такие выборы, надо организовать целую сеть людей разного ранга из разных ведомств, чтобы они всё сделали как надо, желательно сильно не налажали в процессе, чтобы всё это не стало совсем уж достоянием широкой общественности. Ну и не забываем что этих людей надо мотивировать всем этим заниматься, так или иначе. И всё равно у вас остаётся плохо контролируемый фактор сторонних наблюдателей, так что даже при нужном конечном итоге можно понести серьёзные репутационные потери, которые в итоге закончатся и финансовыми и прочими проблемами (см Беларусь). И да, в случае чего вы не сможете быстро устроить ещё одни выборы, потому всё должно быть сделано с первого раза.
Электронное голосование не даёт ничего из этого. Единственный «плюс» в том, что оно дешёвое. Вот только в этом и его огромный минус если вы принимаете важные решения в нашем неидеальном мире. Вот для принятия каких-то решений на местном уровне его можно было бы приспособить (ну там выбрать дизайн детских площадок в микрорайоне города например)
Проблема в том, что эта красивая конструкция со всей очевидностью не может быть перенесена в реальность: ни в одной стране мира нет таких двух агентств, которые и обладали бы техническими ресурсами и квалификацией для поддержания куска инфрасктруктуры ДЭГ, и не вызывали бы подозрений в попытках, например, саботировать выборы, и были бы абсолютно независимы друг от друга. Государственные агентства никогда не бывают полностью независимы, к коммерческим компаниям нет доверия, у конкурирующих партий нет квалификации и ресурсов.
Я попробую привести аналогию: В теории, принцип разделения властей хорош. На практике ни в одной стране мира нет полностью независимых ветвей власти, которые бы обладали и ресурсами, и квалификацией для исполнения своих функций, и не вызывали бы подозрений в попытках, например, коррупции, и были бы абсолютно независимы.
Но ведь это не означает, что усилия по разделению агентств властей бесполезны!
Наоборот, когда by design судебная власть независима от законодательной и кто-то видит нарушение принципа — это повод разбираться с реализацией, конкретным делом. Во-первых, не отказываться от всей системы, во-вторых — система должна облегчать выявление таких случаев.
Это были общие рассуждения. В конкретном примере уже есть два агентства:
- Госуслуги/ЕГАИС — уже реализован исполнительной властью
- ДЭГ — реализуется Избиркомом, который по задумке независим от исполнительной власти.
Вполне реально обеспечить независимость
- на уровне исполнителей (подрядчики для двух структур должны быть разными)
- на уровне инфраструктур (разные датацентры, отсутствие полномочий/людей/ключей с доступом одновременно к двум системам)
-и это уже усложнит атаки (например, со стороны администратора ДЦ) в разы.
И это вполне реально сделать: раскрыть всю цепочку подрядчиков, опубликовать в каких ДЦ находится инфраструктура. Даже новых законов не надо. Первое должно быть открыто т.к. госзаказы/тендеры открыты, достаточно выложить информацию в структурированном виде. Второе необходимо для наблюдателей: они должны же как-то убедиться, что никто не вмешивается в работу ИС (не "меняет диски с результатами").
Откуда нам знать, что власть не имеет контроля над каждым аккаунтом в госуслугах? Есть ли админ права на доступ к каждому личному кабинету?
Я согласен с вами в том, что никто не пойдет на сложные технические способы подтасовки и деанонимизации голосования, т.к. нужно гарантировать результат, а не надеятся на лучшее наращивая сложности. Бритва Оккама говорит мнк, что контроль скорее всего будет со стороны интерфейса людей, т.е. помимо подкупа голосующих можно представить, что за всех кто не пришел на голосование проголосуюют от их имени в последний момент через их аккаунт на госуслугах. Как гарантировать, что на стороне аккаунта сидит уникальный реальный человек, а не кто-то удаленно контролирует его аккаунт и ставит галки за него? М во вторых кто сопоставляет тех кто проголосовал на участке с теми кто проголосовал онлайн? Могут ли за офлайников прогоорсовать онлайн при наличии доступа к из личному кабинету даже при условии, что человек уже проголосовал на офлайн?
Для российской действительности самая главная проблема - вброс. Как доказать, что подсчитанные голоса были сгенерированы избирателями, а не избиркомом? И именно на этот ключевой, актуальный, животрепещущий вопрос ответа в статье нет.
Я считаю, что в системах с тайным голосованием это в принципе невозможно.
Фундаментальное отличие электронных выборов от бумажных в невозможности проверить человеческую сущность голосующего. Что бюллетень взял и бросил именно живой человек, а не компьютерная программа.
Пусть бюллетень взял и заполнил живой человек. Человеческую сущность КОИБ, сетей передачи данных с каналами и оконечным оборудованием, а также компьютеров, которые обрабатывают голоса, тоже вроде как невозможно проверить. Вопрос в том, можем ли мы отказаться от всего перечисленного. Как-то особой уверенности в этом нет.
Человеческую сущность надо проверять только у тех элементов системы, которые согласно ее дизайну имеют свободу воли, т.е. у избирателя.
Предположим проверили. Как это сможет предотвратить фальсификацию, подлог и другие нарушения, о которых мы хорошо знаем? Для этого ведь надо контролировать систему целиком. Она ведь не только из избирателей состоит. Так что такая проверка в принципе ничего не решает.
Во первых мы не будем такое предполагать. Как я написал в начале, невозможность проверить человеческую природу это именно фундаментальное и непреодолимое отличие электронного голосования. Здесь же речь именно об электронном.
Во-вторых вопрос предотвращения всякого рода фальсификаций, это очень объемный вопрос, который выходит за рамки обсуждения электронного голосования, и не очень хорошо решается даже в бумажных голосованиях. Понятно, что в электронных голосованиях, сохраняющих тайну голосования, фундаментально невозможно предоставить фальсификации со стороны администратора системы, и более того, сложность таких фальсификаций перестает зависеть от их масштаба. Но здесь же речь идет не о поиске "идеальной системы", а об обсуждении того чем электронная система отличается от других.
Во первых мы не будем такое предполагать. Как я написал в начале, невозможность проверить человеческую природу это именно фундаментальное и непреодолимое отличие электронного голосования. Здесь же речь именно об электронном.
Тогда не понятно, что вы называете «электронным голосованием». В РФ, например, голосование по устройству смешанное — бумажно-электронное. Есть и избиратель с его человеческой природой, и электронные компоненты, без которых невозможно обойтись. В США в некоторых штатах выборы полностью электронные. Ничего. Особого ущерба для демократии пока не наблюдается.
так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному;
Удачных раскопок в обфусцированном коде клиентского приложения... Выводы статьи слишком прямолинейные, есть подозрение на заказ.
"Таким образом, два сервера — выдающий пустой бюллетень и принимающий заполненный — знают об избирателе:
выдающий сервер: ФИО, паспортные данные, адрес проживания, ключ K', подпись C';
принимающий сервер: галочки в бюллетене, ключ K, подпись C."
Тут такая история, что я, как гражданин и владелец пары K-C, могу проверить, что мой голос учтен и не подделан.
Но кто может гарантировать, что за каждой голосовавшей парой K-C стоит реальный гражданин? Сервер голосования про граждан ничего не знает. Это же про доверие, что в ЕСИА нет спец пользователей с возможностью выписывать комплекты "неучтенных" ключей.
А как тогда работает переголосование, если нет связи между выдачей бюллетеня и голосом?
Это позволяет предположить, что выставлена на аудит была одна система, а на выборах использовалась другая.
В статье описана федеральная система ДЭГ, а не московская.
Переголосование -- это выдумка исключительно московских властей, реализованная путём подкручивания костылей к другой системе с более-менее выверенным балансом между прозрачностью и тайной голосования. Внедрялась она якобы с целью борьбы с административным давлением. Как выяснилось, этот костыль не только снизил и прозрачность и тайну волеизъявления, но и позволил заняться вбросами по-новому, теперь уже в электронной форме.
В соседней статье насчитали три возможных способа вбросов, т.е. ещё два других кроме "переголосования" (из котого сделали фальсификацию, что доказано).
Вся эта система целиком является незаконной, и.к. её результаты непроверяемы и невоспроизводимы в принципе именно теми, кто по закону имеет право это делать, в т.ч. иметь доступ к персональным данным участников и убеждаться что оин не боты) в ходе судебного разбирательства.
Если есть преобразование, которое делает из C' и K' C и К значит должно существовать преобразование в С'' и K'' где С'' валидная подпись K''. А это открывает возможность голосовать 2 и более раз.
Кажется тут в статье ошибка.
Как реализовано законное право не участвовать в "голосовании", непример, унести бюллетень и предьявить его (неиспользованный) после окончания вырабов?
И еще вопрос: список проголосовавших ведь не секретный? Может быть стоит его публиковать в открытом виде (фио, дата рождения, хотя бы) вместе с временем выдачи бюллетеня? Тогда проверяющие граждане смогут выяснить, есть ли в нем мертвые души и за какое время до окончания выборов они получили свой бюллетень?
Много гемора с персональными данными. В открытый доступ такое выложить - сильно облегчить составление баз для брутфорса, по типу {N(ame).Family}@{mail.service} и пароля с датой рождения (имхо большинство бюджетников не задумываются о сменяемости паролей и их минимальной сложности). Если и делать так то привлекать наблюдателей для проверки, а для каждого голосующего ставить согласие на обработку ПДн.
Я конечно не эксперт в системах голосования и ИИ, но не возможно ли посадить нейросеть контролировать мертвые души, быть посредником между 2 агенствами или представлять собой 1 агентство? Контроль над кодом, базами и логами ИИ будут контролироваться квалифицированными наблюдателями, которые могут быть расположены в разных территориальных регионах, что усложнит их подкуп.
Как минимум, нельзя проверить явку, нельзя сделать вменяемый экзит-полл, по сути наблюдать-то можно только какие-то эффекты в блокчейне. Ничего не мешает изменить распределение произвольно, налету, скажем просто заменять каждый 2 голос на голос за нужного кандидата, ведь система полностью под контролем власти.
Я все-же не могу понять, почему нельзя сопоставить пользователя и его голос, сервер может банально записывать весь трафик, данные, айпи, сессии, ключи и прочее, так что потом можно разобрать как угодно.
А если гарантий анонимности дать нельзя, то лучше пользователю выдать таки его токен или ключ или билет, по которому он сможет проверить как учтен его голос.
"В результате избиратель может найти в выгрузке блокчейна свой бюллетень и может проверить, что он действительно его и не был никем модифицирован (так как бюллетень подписан на устройстве избирателя) — но при этом не может посмотреть, а также кому-либо показать, как именно в бюллетене были проставлены галочки".
- Разве в голосовании не самое главное, чтобы твой голос был учтен правильно, а не просто добавлен к числу голосовавших? а если нельзя посмотреть, что твой голос учли правильно, то как гарантировать избирателю, что система его голос не подменила?
Протокол, который невозможен: как на самом деле в ДЭГ обеспечивают тайну голосования