Вы пытаетесь заткнуть дырку в решете. Причем даже не самую большую. И если даже и получится, — то в целом это ничего не даст.
Если люди боятся открыто говорить о своём законном выборе, — стоит ли удивляться тому, что мы не хозяева в своей стране?
Моё личное мнение, что закрытость голосования в 21 веке нужна для того, чтобы фальсифицировать, и только для этого. Если никто боятся не будет, то и сделать с этим никто ничего не сможет.
PS:
Если же говорить о данной системе. То тут возможно шифровать привязку человека к бюллетеню, паролем, который задал человек. Таким образом, чтобы сопоставить человека с бюллетенем, нужно ввести пароль, который известен только избирателю.
А на этапе контроля, как уже предлагал «Ninil», звонить и спрашивать, — голосовал ли человек.
Дополнительно вести подсчет количества голосовавших на терминалах для голосования, — чтоб защита от фантомных бюллетеней не проседала…
Но, как уже сказал, я не считаю, что обеспечение закрытости информации о выборе человека это архи-критичная задача, по сравнению с важностью обеспечения прозрачности системы.
В начале статьи я написал фразу:
И чтоб сделать успешную избирательную систему, нужно добиться беспрецедентной прозрачности как в бизнес процессах, так и в технических аспектах.
Прозрачность – это ключевая ценность для меня. И она может быть только одна, на то она и ключевая. И в случае конфликта с другой ценностью, — я делаю свой выбор в пользу ключевой.
Существующая система действительно неплоха. Тут я говорю про её однодневный вариант, конечно.
Если у наблюдателей есть расширенные полномочия и при этом они являются независимыми фигурами. В связке с возможностью наблюдать подсчет бюллетеней и получить копию итогового протокола УИК-а, — это все действительно делает систему крепкой к взлому.
Но есть одно «НО» — это человек. Влияние человека в существующей системе настолько велико, — что он становится самым слабым звеном в этой системе.
А еще есть «аналоговое» выездное голосование, от которого тоже никуда не уйти. Да и в целом существующая система очень дорогая в обслуживании. А увеличение периода голосования до 3-ех дней, как понимаете дешевле её не сделало.
Последний момент, то что она не прозрачна для обычного человека, но это как раз можно исправить путем информирования населения и введения доп. шагов в избирательный процесс для повышения прозрачности, — например публикация наблюдателями того же итогового протокола УИК-а, с комментариями о том насколько он соответствует действительности.
Со остальными же минусами, — гораздо сложнее. А минус под названием «человек», можно решить только инженерным способом. И чтоб его решить, — нужно полностью исключить влияние человека на избирательную систему. И к сожалению, на текущей стадии развития человечества, это сделать невозможно. Но это не значит, что этот минус нельзя ослабить уже сейчас!
Ага. Но можно сделать ход конём, чтоб не кричали=)
Покажу идею на примере:
Есть именитый производитель dvd-rw дисков(наш зарубежный партнер). Привод этого производителя стоит на сервере УИК-а. Есть dvd-r, диск на который сохраняется бюллетень в виде файлика.
Допустим голосование проходит в 2071 году, а привод был куплен в 2070-году и установлен в ПК (т.е. сервер был собран до того, как началось голосование, что как бы логично:)
Смысл в том, что если менять формат сохранения бюллетеня на диск, прямо перед выборами, то это страхует нас от изменения бюллетеня на летку, — когда мы его в виде байтов отдадим dvd-rw приводу.
И если даже предположить, что прошивка у привода вредоносная, — то он тупо не знает, как менять бюллетень, потому что, когда её вшивали (эту прошивку), — формат бюллетеня еще не был известен.
А потом в системе окажется руткит, который перехватывает попытки проверить «файлы на локальном железе» и выдает то что все ожидают увидеть, а не то, что есть на самом деле, например.
Чтоб такого не было, на УИК-ах нужно разворачивать систему из образа. Уже где-то писал об этом. Если на всех УИК-овских терминалах и серверах стоит типовое железо, — то это вполне рабочий вариант.
Тут реальная проблема — это вопрос с прошивкой, которую могут вшить в железо местные умельцы на УИК-е. Об этом тоже писал. Суть в выборе известной на мировом рынке компании.
Если компания производящее железо — именитая, то им репутационные риски нести — нафиг не упало за камаз кэша. Вот возьмите Apple, — периодически акции свои выкупают, — кэш не куда девать, — или Илон Маск, которые кэш в крипту вливает.
В целом же, про железо и прошивки надо говорить, когда ясна конфигурация терминалов устанавливаемых на УИК-ах, а также локальных серверов.
Да, кстати хорошая идея. Как вариация предложенного вами решения, — это счетчики избирателей на УИК, в задачу которых входит тупо считать людей. Это нужно чтоб исключить влияние человека, — который может отдать неправильные цифры о количестве избирателей.
Датчик может стоять, например, рядом с терминалом, считать подходящих к нему голосующих людей и работать как автономная железка.
Да, согласен с вами, именно прошивка железа на местах, это самая сложная проблема.
Использование железа от известных брендов с хорошей репутацией, может в какой-то мере защитить нас от этой проблемы. Но не на 100%.
И тут нужно предварительно продумать какие именно элементы железа критичны для стабильной работы избирательной системы и какие существуют сценарии вредоносного влияния «пиратской» прошивки критически важного девайса на избирательную систему.
Например, у нас есть dvd-rw привод, с прошивкой от злостного фальсификатора и dvd-r диск на который записывается файлик с голосом.
Этот нехороший привод, в процессе голосования, меняет выбор человека. И пишет файлик с измененным голосом на dvd-r диск.
Но когда, позднее избиратель решит проверить свой голос, то увидит несоответствие действительности. И имея заветный квиток с голосования на руках, сможет доказать свою правоту. Это послужит толчком для тотальной проверки избирательного участка, с последующим отбраковыванием всех голосов данного избирательного участка.
звоним человеку и просим проверить корректность учета его голоса
А откуда вы узнаете, как он посчитан в системе? Тут не понятно, что с чем сверять. И соответственно контролем это не назовешь.
У человека есть «квитанция» с уникальным номером его голоса, известным только ему — на спец.сайте он может проверить корректность его подсчета в базе и там же в случае несоответствия оставить жалобу.
Да это круто, у всех физически живущих на нашем шарике людей будет всё ок. А вот виртуальные люди, проверять корректность своего голоса не будут, понимаете?
Эта хрень с централизованной проверкой, больше нужна для вскрытия фантомов и удовлетворения системы принципу «Accurancy», а не для того чтобы убедиться что голос человека учтён верно.
«Я бы хотел услышать как вы в условиях централизованного сервера с хранением данных кто за кого голосовал предлагаете обеспечить тайность этого самого голосования.»
1) Закрытая комната с терминалами доступа к приватным данным, где запрещена видео-фото-съемка. От туда работают контроллеры. Имена контроллеров в открытом доступе.
2) Ограниченный доступ к данным сервера со стороны сервисных работников. Имена и фамилии сервисных работников в открытом доступе.
Шифрование ничего не даёт, в условиях когда мастер-ключ может быть передан кому угодно. Контроль должен быть на уровне доступа к базе данных. Как физического, — где находится центральный сервер. Так и виртуального.
ЗЫ:
Ну допустим данные утекли. И кто-то узнал, что я голосовал за Яблоко. Допустим я учитель. И что с этого? Уволят? Всех уволят? А кто работать тогда будет?
Если честно, то после принятия закона Яровой, так «париться» о личных данных в системе голосования, — немного странно. В интернете можно пробить любую информацию о ком угодно, вплоть до банковских счетов. На госуслугах хранятся все наши данные. И никто особо не переживает на этот счет))
У любого прогера, есть возможность сопоставить исходный код с бинарями эталона, пользуясь тем же компилятором, которым собирался эталон. Понимаете?
А если есть исходный код, — то можно судить о наличии в нём вредоносного кода. И любой прогер может провести эту проверку при желании.
На местах же, существует протокол проверки софта. И в этом процессе учавствуют наблюдатели от всех партий, и для выполнения этого протокола не нужно обладать техническим образованием, так как нужно просто сопоставить характеристики файлов на локальном железе с эталонными значениями.
Интересный подход)
Возможно вам стоит более подробно расписать его в отдельной статье на хабре?
Главная проблема, как вы сами и написали, это отсутствие защиты от вброса фантомных бюллетеней (F). Иными словами, система не удовлетворяет принципу Accuracy.
Ничто не мешает государству, понаделать левых флешек и тайком отдать их своим людям попутно зарегистрировав их в системе.
Контроль физического присутствия человека на участке, организовать гораздо легче, чем контроль за производством 150 млн флешек.
Помимо контроля, должен быть способ проверки принадлежности счета реальному человеку. Тоже не понял, как это сделать из вашего изложения.
Если решить эти проблемы, то система, как уже сказал, достаточно интересная.
«Ну если мы с вами тут говорим о наших суровых реалиях, то надо начать с того, что интегрировать эту неудобную систему, действующая власть никогда не согласится.
А дальше можно заканчивать разговор=)
Но мы же говорим не об этом, а о слабостях предложенного мной варианта.»
Хорошее замечание))
Но во-первых бабушки и дедушки каждый год пополняются всё более и более подкованными в этих вопросах новобранцами. Еще каких-то 50 лет, и этой проблемы не будет среди бабушек и дедушек8)
Во-вторых, возможно у бабушек и дедушек есть внуки и правнуки, которые им расскажут о том, что система открыта и прозрачна как стекло… может быть они поверят словам близких людей.
Ну и последнее, — я не уверен, что они понимают, то как голосование проходит сейчас. И как бюллетень в котором они поставили крестик, преобразовывается в результат на экране телевизора
Ну а почему нельзя решать проблему сразу по всем фронтам?
Развивать и ситему голосования на выборах и гражданское общество с присущей ему ответсвенностью.
Я тут не вижу конфликта.
Знаете, в сравнении с действующей системой голосования в связке с фото-камерами мобильных телефонов и возможностью потребовать снимать свой бюллетень, — в тайности голосования мы не особо теряем))
'И в любом случае нет возможности проверить отсутствие «мертвых душ»'
— Тут не понял, почему нельзя проверить? Мертвая душа, не может же прилететь на участок, и своей призрачной рукой прожать красную кнопку?
У этих ребят на гуслях всего две струны, - "запретить" и "посадить". И чтобы они не пытались сыграть, - один хрен похоронный марш получается.
***
Идешь по улице, слишишь в переходе такой вот "уникум" играет. Спрашиваешь:
-Дружище, может купишь себе гитару семиструнную и будешь на ней серьезные темы "банчить"?
-Не, - отвечает бродяга. У меня свой музыкальный путь, да и к инструменту я этому привык!
-Ну как знаешь, - разворачиваешь и идешь дальше по своим делам, удивляясь, - странные все таки люди иногда попадаются.
Является ли факт невозможности в настоящий момент покупки "Ferrari F8" поводом для отказа от покупки автомобиля в принципе?
Для экономии времени, нам вполне сгодится Nissan Qashqai. Это лучше чем ездить на старом запорожце, и уж точно лучше чем ходить пешком.
2 Варианта
1. Либо, как тут уже написали, это очередная глупость
2. Либо, у устанавливаемого оборудования двойное назначение. И критически важно, чтобы оно стояло у провайдеров
Если люди боятся открыто говорить о своём законном выборе, — стоит ли удивляться тому, что мы не хозяева в своей стране?
Моё личное мнение, что закрытость голосования в 21 веке нужна для того, чтобы фальсифицировать, и только для этого. Если никто боятся не будет, то и сделать с этим никто ничего не сможет.
PS:
Если же говорить о данной системе. То тут возможно шифровать привязку человека к бюллетеню, паролем, который задал человек. Таким образом, чтобы сопоставить человека с бюллетенем, нужно ввести пароль, который известен только избирателю.
А на этапе контроля, как уже предлагал «Ninil», звонить и спрашивать, — голосовал ли человек.
Дополнительно вести подсчет количества голосовавших на терминалах для голосования, — чтоб защита от фантомных бюллетеней не проседала…
Но, как уже сказал, я не считаю, что обеспечение закрытости информации о выборе человека это архи-критичная задача, по сравнению с важностью обеспечения прозрачности системы.
В начале статьи я написал фразу:
Прозрачность – это ключевая ценность для меня. И она может быть только одна, на то она и ключевая. И в случае конфликта с другой ценностью, — я делаю свой выбор в пользу ключевой.
Если у наблюдателей есть расширенные полномочия и при этом они являются независимыми фигурами. В связке с возможностью наблюдать подсчет бюллетеней и получить копию итогового протокола УИК-а, — это все действительно делает систему крепкой к взлому.
Но есть одно «НО» — это человек. Влияние человека в существующей системе настолько велико, — что он становится самым слабым звеном в этой системе.
А еще есть «аналоговое» выездное голосование, от которого тоже никуда не уйти. Да и в целом существующая система очень дорогая в обслуживании. А увеличение периода голосования до 3-ех дней, как понимаете дешевле её не сделало.
Последний момент, то что она не прозрачна для обычного человека, но это как раз можно исправить путем информирования населения и введения доп. шагов в избирательный процесс для повышения прозрачности, — например публикация наблюдателями того же итогового протокола УИК-а, с комментариями о том насколько он соответствует действительности.
Со остальными же минусами, — гораздо сложнее. А минус под названием «человек», можно решить только инженерным способом. И чтоб его решить, — нужно полностью исключить влияние человека на избирательную систему. И к сожалению, на текущей стадии развития человечества, это сделать невозможно. Но это не значит, что этот минус нельзя ослабить уже сейчас!
Покажу идею на примере:
Есть именитый производитель dvd-rw дисков(наш зарубежный партнер). Привод этого производителя стоит на сервере УИК-а. Есть dvd-r, диск на который сохраняется бюллетень в виде файлика.
Допустим голосование проходит в 2071 году, а привод был куплен в 2070-году и установлен в ПК (т.е. сервер был собран до того, как началось голосование, что как бы логично:)
Смысл в том, что если менять формат сохранения бюллетеня на диск, прямо перед выборами, то это страхует нас от изменения бюллетеня на летку, — когда мы его в виде байтов отдадим dvd-rw приводу.
И если даже предположить, что прошивка у привода вредоносная, — то он тупо не знает, как менять бюллетень, потому что, когда её вшивали (эту прошивку), — формат бюллетеня еще не был известен.
Чтоб такого не было, на УИК-ах нужно разворачивать систему из образа. Уже где-то писал об этом. Если на всех УИК-овских терминалах и серверах стоит типовое железо, — то это вполне рабочий вариант.
Тут реальная проблема — это вопрос с прошивкой, которую могут вшить в железо местные умельцы на УИК-е. Об этом тоже писал. Суть в выборе известной на мировом рынке компании.
Если компания производящее железо — именитая, то им репутационные риски нести — нафиг не упало за камаз кэша. Вот возьмите Apple, — периодически акции свои выкупают, — кэш не куда девать, — или Илон Маск, которые кэш в крипту вливает.
В целом же, про железо и прошивки надо говорить, когда ясна конфигурация терминалов устанавливаемых на УИК-ах, а также локальных серверов.
Датчик может стоять, например, рядом с терминалом, считать подходящих к нему голосующих людей и работать как автономная железка.
Использование железа от известных брендов с хорошей репутацией, может в какой-то мере защитить нас от этой проблемы. Но не на 100%.
И тут нужно предварительно продумать какие именно элементы железа критичны для стабильной работы избирательной системы и какие существуют сценарии вредоносного влияния «пиратской» прошивки критически важного девайса на избирательную систему.
Например, у нас есть dvd-rw привод, с прошивкой от злостного фальсификатора и dvd-r диск на который записывается файлик с голосом.
Этот нехороший привод, в процессе голосования, меняет выбор человека. И пишет файлик с измененным голосом на dvd-r диск.
Но когда, позднее избиратель решит проверить свой голос, то увидит несоответствие действительности. И имея заветный квиток с голосования на руках, сможет доказать свою правоту. Это послужит толчком для тотальной проверки избирательного участка, с последующим отбраковыванием всех голосов данного избирательного участка.
А откуда вы узнаете, как он посчитан в системе? Тут не понятно, что с чем сверять. И соответственно контролем это не назовешь.
Да это круто, у всех физически живущих на нашем шарике людей будет всё ок. А вот виртуальные люди, проверять корректность своего голоса не будут, понимаете?
Эта хрень с централизованной проверкой, больше нужна для вскрытия фантомов и удовлетворения системы принципу «Accurancy», а не для того чтобы убедиться что голос человека учтён верно.
1) Закрытая комната с терминалами доступа к приватным данным, где запрещена видео-фото-съемка. От туда работают контроллеры. Имена контроллеров в открытом доступе.
2) Ограниченный доступ к данным сервера со стороны сервисных работников. Имена и фамилии сервисных работников в открытом доступе.
Шифрование ничего не даёт, в условиях когда мастер-ключ может быть передан кому угодно. Контроль должен быть на уровне доступа к базе данных. Как физического, — где находится центральный сервер. Так и виртуального.
ЗЫ:
Ну допустим данные утекли. И кто-то узнал, что я голосовал за Яблоко. Допустим я учитель. И что с этого? Уволят? Всех уволят? А кто работать тогда будет?
Если честно, то после принятия закона Яровой, так «париться» о личных данных в системе голосования, — немного странно. В интернете можно пробить любую информацию о ком угодно, вплоть до банковских счетов. На госуслугах хранятся все наши данные. И никто особо не переживает на этот счет))
А если есть исходный код, — то можно судить о наличии в нём вредоносного кода. И любой прогер может провести эту проверку при желании.
На местах же, существует протокол проверки софта. И в этом процессе учавствуют наблюдатели от всех партий, и для выполнения этого протокола не нужно обладать техническим образованием, так как нужно просто сопоставить характеристики файлов на локальном железе с эталонными значениями.
Возможно вам стоит более подробно расписать его в отдельной статье на хабре?
Главная проблема, как вы сами и написали, это отсутствие защиты от вброса фантомных бюллетеней (F). Иными словами, система не удовлетворяет принципу Accuracy.
Ничто не мешает государству, понаделать левых флешек и тайком отдать их своим людям попутно зарегистрировав их в системе.
Контроль физического присутствия человека на участке, организовать гораздо легче, чем контроль за производством 150 млн флешек.
Помимо контроля, должен быть способ проверки принадлежности счета реальному человеку. Тоже не понял, как это сделать из вашего изложения.
Если решить эти проблемы, то система, как уже сказал, достаточно интересная.
Я уже отвечал на похожее замечание:
«Ну если мы с вами тут говорим о наших суровых реалиях, то надо начать с того, что интегрировать эту неудобную систему, действующая власть никогда не согласится.
А дальше можно заканчивать разговор=)
Но мы же говорим не об этом, а о слабостях предложенного мной варианта.»
Но во-первых бабушки и дедушки каждый год пополняются всё более и более подкованными в этих вопросах новобранцами. Еще каких-то 50 лет, и этой проблемы не будет среди бабушек и дедушек8)
Во-вторых, возможно у бабушек и дедушек есть внуки и правнуки, которые им расскажут о том, что система открыта и прозрачна как стекло… может быть они поверят словам близких людей.
Ну и последнее, — я не уверен, что они понимают, то как голосование проходит сейчас. И как бюллетень в котором они поставили крестик, преобразовывается в результат на экране телевизора
Развивать и ситему голосования на выборах и гражданское общество с присущей ему ответсвенностью.
Я тут не вижу конфликта.
'И в любом случае нет возможности проверить отсутствие «мертвых душ»'
— Тут не понял, почему нельзя проверить? Мертвая душа, не может же прилететь на участок, и своей призрачной рукой прожать красную кнопку?