Насколько защищена от рисков система электронного голосования. Главное

Как устроено электронное голосование простым языком и в рисунках

В этой статье я хочу рассказать вам, как устроено электронное голосование в Москве, и показать, почему оно абсолютно не защищено от корректировки итогов выборов. Моя задача — не рассказать о том, как конкретно корректировали результаты выборов, а продемонстрировать порочность архитектуры, которая, несмотря на все заявления Департамента информационных технологии (ДИТ) г. Москвы, допускает вмешательство и возможность изменения итоговых результатов электронного голосования.

Но проблема в том, что система достаточно сложна и имеет свои нюансы. Если рассказывать далекому от IT человеку про все тонкости блокчейна и шифрования, то он послушает вас минуту, а потом развернётся и уйдет по своим делам, ничего не поняв. Это одна из главных проблем электронного голосования — 99% избирателей не понимают, как оно работает и где оно может нас обмануть.

Как говорил Стивен Хокинг, любая формула снижает количество читателей вдвое. Мне кажется, что любой IT-термин снижает аудиторию минимум втрое, поэтому я попытался не использовать профильные термины, а объяснил все «на пальцах» и в комиксе! Надеюсь, у меня это получилось.

Если Вы хотите узнать поглубже о проблемах электронного голосования, рекомендую статью Петра Жижина:

Шаг 1. Формирование списка кандидатов

ДИТ до выборов подготавливает список из кандидатов и каждому из них присваивает уникальный номер. И этот список выкладывают на всеобщее обозрение в витрину, где на него могут посмотреть независимые наблюдатели.

Шаг 2. Формирование ключей и замков

Также до выборов ДИТ формирует часть замка и один из двух ключей. Этот ключ нужен для получения итоговых результатов выборов и до конца голосования он остается у организаторов выборов. Другую часть замка и второй ключ формирует браузер избирателя непосредственно во время голосования.

Шаг 3. Голосование

Избирателю в браузер от ДИТа приходит список кандидатов с их номером и половина замка. Но номера кандидатов не те, что были заявлены публично и лежат в витрине. Они заменены по какому-то внутреннему алгоритму, какому именно — никто не знает, так как открытого кода нигде нет. Видимо, у них внутри есть секретная табличка связей реального номера кандидата и подставного.

После того, как избиратель выберет, за кого он хочет проголосовать, браузер кладет его бюллетень в сундук и запирает его соединенным из двух частей замком. И этот запертый сундук с ключом избирателя отправляется на сервер.

Шаг 4. Секретное шифрование

ДИТ получает этот сундук с ключом и зачем-то вместо того, чтобы сразу положить его на витрину, как это должно быть, он запихивает сундук избирателя и его ключ в свой сундук и вешает на него секретный замок, а ключ от него хранит у себя и никому не показывает. И вот уже этот фальш-сундук ДИТ относит на витрину к наблюдателям вместо настоящего. Получается, что на витрине вроде бы тот же самый сундук, но его не может открыть никто кроме ДИТ даже после конца голосования.

Шаг 5. Расшифровка

Итак, голосование заканчивается, надо подводить итоги выборов.

ДИТ берет фальш-сундук из витрины и открывает его секретным ключом, достает из него настоящий сундук и ключ избирателя. Далее он берет свой ключ из пункта 2 и одновременно с ключом избирателя открывает ими двойной замок. И достает из сундука бюллетень с поддельными номерами кандидатов.

Шаг 6. Демонстрация итоговых результатов

Теперь для того, чтобы скрыть подмену, ДИТ меняет номера кандидатов по своей секретной табличке на реальные. Ему ничего не мешает изменить одно число так, чтобы голоса за одного кандидата ушли другому. И уже этот бюллетень с обратно переписанными номерами кандидатов относит на витрину к наблюдателям.

Вывод

Итого: Архитектура электронного голосования не позволяет независимым наблюдателям проверить правдивость результатов голосования. Вся информация о результатах выборов приходит от ДИТ, который никак не ограничен от корректировки итоговых цифр.

• Первая проблема: У нас нет открытого кода. Мы не знаем, как он работает на самом деле, все, что вы видите на картинках, получено опытным путем через метод наружного исследования системы электронного голосования.

• Вторая проблема: Мы не можем независимо понять, за кого проголосовал избиратель! Технически есть возможность подменить голоса за другого кандидата. Просто в табличке, где есть связка реальных и фальшивых номеров, можно поменять одно число, и голоса уйдут другому кандидату.

• Третья проблема: Происходит секретное шифрование тех вещей, которые должны быть доступны для наблюдателей. То есть представьте: Вы приходите на избирательный участок, а Вам на голову надевают черный пакет, чтобы вам ничего не было видно.

Поэтому мы считаем, что чтобы доказать, что ДИТ не подделывал результаты выборов, имея при этом все возможности для этого, должен:

1. Опубликовать исходный код системы электронного голосования для независимого аудита.

2. Опубликовать ключ шифрования, которым шифруют транзакцию перед попаданием в блокчейн.

3. Опубликовать логи системы за время голосования и подсчета результатов.

4. Опубликовать алгоритм или таблицу связей подставного и реального номеров кандидатов.

Если ДИТ не хочет этого делать, то это говорит только об одном — невозможно исключить вариант непубличной корректировки итоговых результатов голосования, и все заявления о блокчейне и шифровании — лишь пиар-ход.

P.S. Я попытался дать выжимку информации, и некоторые нюансы остались за кадром, если у вас остались вопросы, то смело задавайте их в комментариях — я отвечу на все.

Обзор системы дистанционного электронного голосования ЦИК РФ

31 августа 2020 состоялся публичный тест системы дистанционного электронного голосования (далее ДЭГ) с применением технологии блокчейн, разрабатываемой по заказу ЦИК РФ.

Для знакомства с новой системой электронного голосования и понимания того, какую роль в ней играет технология блокчейн и какие еще компоненты используются, мы начинаем серию публикаций, посвященных основным техническим решениям, применяемым в системе. Начать предлагаем по порядку — с требований к системе и функциям участников процесса

Требования к системе

Основные требования, которые предъявляются к любой системе для голосования, в целом одинаковы и для традиционного очного голосования, и для дистанционного электронного голосования, и определены Федеральным законом от 12.06.2002 N 67-ФЗ (ред. от 31.07.2020) «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации».

1. Голосование на выборах и референдуме является тайным, исключающим возможность какого-либо контроля за волеизъявлением гражданина (ст.7).
2. Возможность голосования должна быть предоставлена только лицам, обладающим активным избирательным правом на этом голосовании.
3. Один избиратель – один голос, не допускается «двойное» голосование.
4. Процесс голосования должен быть открытым и гласным для избирателей и наблюдателей.
5. Должна обеспечиваться неизменность поданного голоса.
6. Должна отсутствовать возможность подсчитать промежуточные итоги голосования до его завершения.

Итак, у нас три участника: избиратель, избирательная комиссия и наблюдатель, между которыми определен порядок взаимодействия. Еще можно выделить четвертого участника – органы, осуществляющие регистрационный учет граждан на территории (прежде всего, органы МВД, а также другие органы исполнительной власти), поскольку активное избирательное право связано с гражданством и местом регистрации.

Все эти участники взаимодействуют друг с другом.

Протокол взаимодействия

Рассмотрим процесс голосования на традиционном участке, с урной и бумажными бюллетенями. В общем упрощенном виде он выглядит так: избиратель приходит на участок и предъявляет документ, удостоверяющий личность (паспорт). На участке работает участковая избирательная комиссия, член которой проверяет личность избирателя и наличие его в списке избирателей, который был составлен ранее. Если избиратель найден, член комиссии выдает избирателю бюллетень, а избиратель расписывается в получении бюллетеня. После этого избиратель отправляется в кабинку для голосования, заполняет бюллетень, и опускает его в урну. Чтобы все процедуры соблюдались строго по закону, за всем этим следят наблюдатели (представители кандидатов, общественных институтов наблюдения). После завершения голосования избирательная комиссия в присутствии наблюдателей производит подсчет голосов и устанавливает итоги голосования.

Необходимые для проведения голосования свойства в традиционной системе голосования обеспечиваются организационными мерами и установленным порядком взаимодействия участников: проверкой паспортов избирателей, личной росписью за бюллетени, использованием кабинок для голосования и опечатанных урн для бюллетеней, порядком подсчета голосов и т.д.

Для информационной системы, которой является система дистанционного электронного голосования, этот порядок взаимодействия называется протоколом. Поскольку все взаимодействие у нас становится цифровым, этот протокол может рассматриваться как алгоритм, который реализуют отдельные компоненты системы, и комплекс организационно-технических мероприятий, выполняемых пользователями.

Цифровое взаимодействие накладывает определенные требования к реализуемым алгоритмам. Давайте рассмотрим действия, выполняемые на традиционном участке, в терминах информационных систем и то, как это реализовано в рассматриваемой нами системе ДЭГ.

Сразу скажем – технология блокчейн не является здесь «серебряной пулей», которая решает все вопросы. Для создания подобной системы потребовалось разработать большое количество программных и аппаратных компонентов, отвечающих за разные задачи, и связать их единым процессом и протоколом. Но при этом все эти компоненты взаимодействуют с блокчейн-платформой.

Компоненты системы

С технической точки зрения система ДЭГ представляет из себя программно-технический комплекс (далее ПТК), объединяющий набор компонентов для обеспечения взаимодействия участников избирательного процесса в единой информационной среде.

Схема взаимодействия компонентов и участников системы ПТК ДЭГ приведена ниже на рисунке.

Процесс дистанционного голосования

Теперь подробно рассмотрим процесс дистанционного электронного голосования и его реализацию компонентами ПТК ДЭГ.

Согласно Порядку дистанционного электронного голосования, для включения в список участников дистанционного электронного голосования избирателю необходимо подать заявление на портале Госуслуг. При этом подать такое заявление могут только те пользователи, которые имеют подтвержденную учетную запись и успешно сопоставлены с регистром избирателей, участников референдума системы ГАС «Выборы». После получения заявления данные избирателя еще раз проходят проверку в ЦИК России и загружаются в компонент «Список избирателей» ПТК ДЭГ. Процесс загрузки сопровождается записью уникальных идентификаторов в блокчейн. Доступ к просмотру списка имеют члены избирательной комиссии и наблюдатели с помощью специального АРМ, размещенного в помещении избирательной комиссии.

При визите избирателя на участок происходит его аутентификация (сопоставление с данными паспорта) и идентификация в списке избирателей, а также проверка того, что этот избиратель ранее еще не получал бюллетень. Здесь важный момент – невозможно установить, опустил ли избиратель полученный бюллетень в урну или нет, только факт того, что бюллетень уже выдавался ранее. В случае ПТК ДЭГ визит избирателя представляет собой обращение пользователя на Портал ДЭГ – это сайт, расположенный по адресу vybory.gov.ru Как и на традиционном участке, на сайте размещены информационные материалы о проводимых избирательных кампаниях, сведения о кандидатах и другая информация. Для проведения идентификации и аутентификации используется ЕСИА Портала Госуслуг. Таким образом, сохраняется общая схема идентификации как при подаче заявления, так и при участии в голосовании.

После этого начинается процедура анонимизации – избирателю выдается бюллетень, который не содержит никаких идентификационных отметок: у него нет номера, он никак не связан с избирателем, которому он был выдан. Интересно рассмотреть вариант, когда участок оборудован комплексами электронного голосования – в этом случае анонимизация выполняется следующим образом: вместо бумажного бюллетеня избирателю предлагается выбрать из стопки любую карточку со штрих-кодом, с которой он подойдет к устройству для голосования. На карточке нет никаких данных об избирателе, только код, определяющий, какой бюллетень должен быть предоставлен устройством при предъявлении такой карточки. При полностью цифровом взаимодействии основная задача – реализовать такой алгоритм анонимизации, чтобы, с одной стороны, невозможно было установить никакие идентификационные данные пользователя, а с другой стороны – предоставить возможность голосования только тем пользователем, кто ранее был идентифицирован в списке. Для ее решения в ПТК ДЭГ применяется криптографический алгоритм, известный в профессиональной среде как «слепая электронная подпись». Мы подробно расскажем о нем в следующих публикациях, а также опубликуем исходный код, вы тоже можете собрать дополнительную информацию из публикаций в интернете по ключевым словам – «криптографические протоколы тайного голосования» или «слепая подпись»

После того как выбор сделан, бюллетень зашифровывается на устройстве пользователя с применением специальной схемы шифрования, отправляется и записывается в компонент «Распределенное хранение и подсчет голосов», построенный на базе блокчейн-платформы.

Одна из важнейших характеристик протокола – это невозможность узнать итоги голосования до его завершения. На традиционном участке это обеспечивается опечатыванием избирательной урны и контролем со стороны наблюдателей. В цифровом взаимодействии лучшим решением является шифрование выбора избирателя. Используемый алгоритм шифрования исключает возможность раскрытия результатов до завершения голосования. Для этого используется схема с двумя ключами: одним (открытым) ключом, который известен всем участникам, производится шифрование голоса. Расшифровать его этим же ключом нельзя, нужен второй (закрытый) ключ. Закрытый же ключ разделен между участниками избирательного процесса (членами избирательных комиссий, общественной палаты, операторами серверов подсчета, и так далее) таким образом, что каждая отдельная часть ключа бесполезна. Приступить к расшифровке можно только после того, как закрытый ключ будет собран. В рассматриваемой системе процедура разделения ключей включает в себя несколько этапов: разделение части ключа внутри системы, разделение ключа вне системы и формирование общего публичного ключа. Мы подробно покажем процесс шифрования и работы с криптографическими ключами в следующих публикациях.

После того как ключ собран и загружен, начинается подсчет итогов для их дальнейшей фиксации в блокчейне и последующего оглашения. Особенностью рассматриваемой системы является использование технологии гомоморфного шифрования. Мы подробно опишем этот алгоритм в следующих публикациях и расскажем о том, почему эта технология широко используется для создания систем голосования. А сейчас отметим ее основную особенность: записанные в систему учета зашифрованные бюллетени можно без расшифрования скомбинировать таким образом, что результатом расшифровки такого комбинированного шифротекста будет суммированное значение по каждому варианту выбора в бюллетенях. При этом в системе, конечно, реализованы математические доказательства корректности такого расчета, которые также записываются в систему учета и могут быть проверены наблюдателями.

Ниже приведена схема процесса голосования.

Блокчейн-платформа

Теперь, когда мы разобрали основные особенности реализации системы дистанционного электронного голосования, ответим на вопрос, с которого начинали – а какую роль в этом играет технология блокчейн и какие задачи она позволяет решить?

В реализованной системе дистанционного голосования технология блокчейн решает определенный круг задач.

• Базовая задача – обеспечение неизменности информации в рамках голосования, и, в первую очередь, голосов избирателей.
• Обеспечение прозрачности исполнения и неизменности программного кода, реализуемого в виде смарт-контрактов.
• Обеспечение защиты и неизменности данных, используемых в процессе голосования: списка избирателей, ключах, используемых для шифрования бюллетеней на различных этапах криптографического протокола, и так далее.
• Обеспечение децентрализованного хранения данных, при этом каждый участник имеет абсолютно идентичную со всеми копию, подтвержденную свойствами консенсуса в сети.
• Возможность просматривать транзакции и отслеживать ход голосования, полностью отражающегося в цепочках блоков, от его начала до записи рассчитанных итогов.

Таких образом, мы видим, что без использования данной технологии добиться наличия в системе голосования необходимых свойств, как и доверия к ней, практически невозможно.

Функциональность применяемой блокчейн-платформы обогащена использованием смарт-контрактов. Смарт-контракты проверяют каждую транзакцию с зашифрованными бюллетенями на подлинность электронной и «слепой» подписей, а также проводят базовые проверки корректности заполнения зашифрованного бюллетеня.

При этом в рассматриваемой системе дистанционного электронного голосования компонент «Распределенное хранение и подсчет голосов» не ограничивается только блокчейн-узлами. Для каждого узла может быть развернут отдельный сервер, который реализует основные криптографические функции протокола голосования – серверы подсчета.

Серверы подсчета

Это децентрализованные компоненты, обеспечивающие процедуру распределенной генерации ключа шифрования бюллетеней, а также расшифрование и подсчет итогов голосования. В их задачи входит:

• Обеспечение распределённой генерации части ключа шифрования бюллетеней. Процедура генерации ключа будет рассмотрена в следующих статьях;
• Проверка корректности зашифрованного бюллетеня (без его расшифрования);
• Обработка бюллетеней в зашифрованном виде для формирования итогового шифротекста;
• Распределенное расшифрование итоговых результатов.

Каждый этап исполнения криптографического протокола фиксируется в блокчейн-платформе и может быть проверен на корректность наблюдателями.

Для придания системе необходимых свойств на различных этапах процесса голосования используются следующие криптографические алгоритмы:

• Электронная подпись;
• Слепая подпись публичного ключа избирателя;
• Схема шифрования Эль-Гамаля на эллиптических кривых;
• Доказательства с нулевым разглашением;
• Протокол DKG (Distributed Key Generation) Pedersen 91;
• Протокол разделения закрытого ключа по схеме Шамира.

Более подробно криптографический сервис будет рассмотрен в следующих статьях.

Итоги

Давайте подведем некий промежуточный итог рассмотрения системы дистанционного электронного голосования. Мы кратко описали процесс и основные компоненты, которые его реализуют, а также определи средства достижения необходимых для любой системы голосования свойств:

• Верифицируемость избирателей. Система принимает голоса только от верифицированных избирателей. Это свойство обеспечивается с помощью идентификации и аутентификации голосующих, а также фиксации списка избирателей и факта предоставления доступа к бюллетеню в блокчейн.
• Анонимность. Система обеспечивает тайну голосования, закрепленную в законодательстве РФ, личность голосующего невозможно определить по зашифрованному бюллетеню. Реализовано с помощью алгоритма «слепой подписи» и анонимной зоны для заполнения и отправки бюллетеня.
• Конфиденциальность голосов. Организаторы и другие участники голосования не могут узнать результат голосования до его окончания, подсчета голосов и расшифрования итоговых результатов. Конфиденциальность достигается за счет шифрования бюллетеней и невозможности расшифрования до окончания голосования.
• Неизменность данных. Данные о волеизъявлении избирателей не могут быть изменены или удалены. Неизменное хранение данных обеспечивается блокчейн-платформой.
• Проверяемость. Наблюдатель может проверить, что подсчет голосов осуществлялся корректным образом.
• Надежность. В основе архитектуры системы лежат принципы децентрализации, обеспечивающие отсутствие единой «точки отказа».

ЦИК утвердила регионы, в которых в сентябре 2022 года пройдет онлайн-голосование, и приняла его регламент. Сколько россиян смогут проголосовать таким образом, как изменилась система и насколько она защищена — разбирался РБК

В каких регионах пройдет электронное голосование

Согласно решению Центризбиркома России, принятому 8 июня, на выборах в сентябре 2022 года дистанционное электронное голосование (ДЭГ) будет применяться в семи регионах — в Калининградской, Калужской, Курской, Новгородской, Псковской, Томской, Ярославской областях. Кроме того, ДЭГ будет использоваться в Москве. Столице в отличие от остальных субъектов согласование ЦИК на это не требуется — согласно одобренным в мае законодательным изменениям, Мосгоризбирком может самостоятельно принять такое решение. В трех субъектах — Москве, Курской и Ярославской областях — онлайн-голосование уже использовалось во время прошлогодних выборов в Госдуму, остальные регионы опробуют технологию впервые.

Голосование, как и на выборах в Госдуму, пройдет на базе двух систем — московской, созданной департаментом информационных технологий (ДИТ) Москвы, и федеральной, в разработке которой принимали участие «Ростелеком» и Минцифры. Ранее муниципальные выборы отдельно не проводились на федеральной платформе — система позволяла голосовать онлайн только при совмещении с кампаниями других уровней.

Заявок на проведение ДЭГ от регионов было больше, сказала глава Центризбиркома Элла Памфилова на круглом столе в ЦИК 7 июня, не уточнив, что это за регионы. В презентации заместителя главы Минцифры Олега Качанова среди субъектов, подавших заявки, в частности, называлась Чувашия. РБК направил запрос в избирком Чувашской Республики.

В Калининградской, Новгородской, Томской и Ярославской областях, где одобрено использование ДЭГ, в сентябре пройдут губернаторские выборы (всего в 2022 году выборы губернаторов пройдут в 14 субъектах).

Каждый регион, претендовавший на проведение электронного голосования, представил свою заявку на заседании ЦИК 8 июня. Необходимость проведения ДЭГ сразу несколько из них обосновали его удобством для студентов, которые учатся в других городах, а также дачным и отпускным сезоном.

Сколько человек смогут отдать голос онлайн

Проголосовать электронно могут только избиратели с подтвержденной записью на «Госуслугах» или mos.ru, которая автоматически сопоставляется с реестром избирателей. На данный момент возможность проголосовать онлайн в Москве имеют 5,8 млн. Следующая по числу электронных избирателей Ярославская область — чуть более 796 тыс. человек, затем Курская — 745 тыс. человек, Калининградская — 667 тыс. и Томская — 636 тыс. Всего, согласно предварительной оценке, отдать голос онлайн смогут около 10 млн избирателей.

Голосование в субъектах с разными часовыми поясами

Регионы, получившие возможность онлайн-голосования, находятся в разных часовых поясах (Калининградская область — GMT+2, Томская — GMT+7). При этом организующая ТИК ДЭГ — одна на все субъекты, поэтому и итоги голосования она сможет подвести только после его окончания во всех регионах. Из-за разницы во времени с Калининградской областью для подведения итогов электронного голосования Москве нужно будет ждать дополнительный час, Томску — пять часов.

Подсчет голосов начинается после сбора ключа расшифровки голосов, который также один на все регионы. «Мы себя ставим в очередное испытание. Мы не работали в разных поясах», — отметил на заседании зампредседателя ЦИК Николай Булаев. Памфилова подчеркнула, что ЦИК идет на этот шаг осознанно. «Мы уже пуганые», — пошутила она.

Булаев посоветовал избиркомам заранее предположить, как ДЭГ может оказать влияние на итоги выборов, и вести «информационную работу», чтобы ожидание результатов «никого не смущало».

Новации онлайн-голосования в Москве

На муниципальных выборах в сентябре в Москве впервые будет применяться электронный список избирателей. Это позволит избежать ошибок при внесении данных и минимизировать человеческие ошибки, ранее говорила глава Мосгоризбиркома Ольга Кириллова.

Для участия в дистанционном электронном голосовании в 2022 году москвичам не нужно регистрироваться заранее — принять решение о формате голосования можно будет в день или дни выборов, отметил зампредседателя столичной комиссии Дмитрий Реут.

По словам начальника управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артема Костырко, двойное голосование будет исключено: в электронный список сразу же вносится пометка о том, как проголосовал избиратель — электронно или на участке, и второй способ тут же блокируется. В остальных регионах схема с регистрацией на ДЭГ за несколько дней до начала голосования сохранится.

В Москве также изменится процесс выдачи бюллетеня и подтверждения этого избирателем — впервые будут применяться сканеры для паспортов, и избиратели смогут расписаться за выдачу бюллетеня при помощи электронного стилуса.

Сканеры будут на каждом избирательном участке Москвы, сообщил РБК Дмитрий Реут. По его словам, участки будут обеспечены всей необходимой техникой, однако он отказался уточнить, когда и как будет осуществлена их закупка.

Как будет устроено наблюдение за ДЭГ

Одно из нововведений системы — усовершенствованный формат наблюдения за ДЭГ, сказал на круглом столе ЦИК 7 июня Качанов. По его словам, наблюдатели ТИК ДЭГ, ответственной за организацию онлайн-голосования, получат возможность следить за разделением и сборкой ключа, а также будут иметь данные о «транзакциях и блоках» выборов всех уровней по всем субъектам ДЭГ. Кроме того, они единственные, кто будет иметь доступ к списку участников ДЭГ.

Доступ к ноде наблюдателя будет только у группы технического наблюдения в федеральной Общественной палате. Остальные назначенные от партий или кандидатов наблюдатели получат выгрузки (слепки) транзакций блокчейна. У них впервые появится специальный инструментарий проверки данных, отметил представитель «Ростелекома» Юрий Сатиров. Кроме того, каждый участник ДЭГ сможет проверить учет своей транзакции в блокчейне, добавил он.

Нода наблюдения — специальное программное обеспечение, позволяющее получить доступ к хранящейся в блокчейне информации. Она дает возможность в реальном времени наблюдать выдачу и получение бюллетеней, завершение голосований и формирование результата.

Назначить наблюдателей за ДЭГ партия или зарегистрированный кандидат сможет не позднее чем за три дня до начала голосования. В этом году впервые кандидат получит возможность зарегистрировать наблюдателей через портал «Госуслуги» — направив ссылку с авторизацией, подчеркнул Сатиров.

Анонсированные изменения в федеральную систему ДЭГ носят несущественный характер — судить о том, насколько расширятся возможности для наблюдения, можно будет ближе к дням голосования, сказал РБК электоральный эксперт Дмитрий Нестеров. «Вопросы к прозрачности остались те же, что и раньше, — нет возможности полного комплексного контроля процесса электронного голосования со стороны участников выборов», — добавил он.

Утилиты для наблюдения могут расширить возможности проверки корректности и неизменности электронных бюллетеней, однако в любом случае сохраняются проблемы с проверкой списка участников ДЭГ, отсутствуют гарантии самоличности и свободности голосования избирателей, резюмировал Нестеров.

Разработчик систем электронного голосования из МГТУ им. Н.Э. Баумана Виктор Толстогузов в разговоре с РБК отметил: наблюдатели и члены комиссии не могут проверить, что все избиратели действительно голосуют самостоятельно, избирателю действительно выдали бюллетень, и он был получен комиссией без подмены. Кроме того, по словам Толстогузова, основная документация по обеим системам голосования (московской и федеральной) закрыта грифом «для служебного пользования».

При этом программист Алексей Щербаков на круглом столе ЦИК напомнил о механизме «цифрового сейф-пакета», который ранее уже использовался на выборах в Госдуму — он защищает от незаметной перезаписи записываемых в блокчейн транзакций. Генеральный секретарь Партии прямой демократии Олег Артамонов заявил, что все возможности для проверки есть, и призвал партии к тщательной подготовке и обучению наблюдателей.

Усиление безопасности и фактор санкций

Из-за наложенных на Россию санкций приложения для ДЭГ разместят только в российских маркетах — RuStore и NashStore, сообщил Олег Качанов. Изменения коснутся и ключа расшифрования — теперь для этих целей не будет использоваться ноутбук иностранного производства, добавил представитель «Ростелекома» Сатиров.

Какие вопросы остаются к ДЭГ у экспертов

По словам электорального эксперта Григория Мельконьянца, остается открытым вопрос доступа к системе ДЭГ — по его мнению, для контроля нужно сделать публичным список специалистов, задействованных в эксплуатации системы ДЭГ. Избирательной комиссии неизвестно их количество, фамилии, уровень доступа и предпринимаемые ими действия, указывал он на круглом столе.

Еще одна проблема связана с возможностью судебного доказывания — на данный момент нет инструмента контрольного подсчета голосов в случае спорных моментов, указывает Мельконьянц.

В прошлом году после выборов в Госдуму представители КПРФ подали в суды более 30 исков по оспариванию итогов выборов. Все они были отклонены из-за отсутствия «бесспорных» нарушений.

25 июня началось онлайн-голосование по поправкам в Конституцию. Москвичи могут проголосовать в Интернете — с любого устройства. Но насколько это анонимно и безопасно?

Что такое I-голосование

Новые технологии используются во всех избирательных процессах — от регистрации избирателей до подведения итогов голосования.

• — избиратели должны прийти на избирательные участки, где используются устройства для электронного голосования (например, США) или сканеры избирательных бюллетеней, и тд. Широко распространено во многих странах.
•  — избирателям не нужно никуда ходить, они могут проголосовать дома с устройства с доступом в Интернет. В национальном масштабе используется с 2005 года, но только в одной стране — Эстонии.

Австралия, Индия, Таиланд, Россия и Южная Корея наиболее активно тестируют внедрение онлайн-голосования на основе технологии блокчейн. Однако использование блокчейна необязательно способствует укреплению доверия к процессу выборов — необходимо высокое доверие к органам, которые проводят выборы, и полная прозрачность компаний-поставщиков инновационных решений. Отсутствие прозрачности вендоров ПО несут риск ослабить общественное доверие к избирательному процессу.

• способ повысить явку избирателей и упростить участие в голосовании граждан с ограниченными возможностями и проживающих за границей;

• снижение расходов на организацию выборов;

• одновременное проведение нескольких видов выборов;

• сокращение риска человеческой ошибки (включая недействительные

• более высокая точность подведения итогов и скорость подведения результатов выборов.

• сложно сохранить тайну голосования при одновременном обеспечении достоверности результатов;

• необходимо вносить изменения в законодательство, закупать IT-оборудование и услуги, тестировать, проводить сертификацию, обеспечивать безопасность;

• траты на обучение избирателей и людей, ответственных за организацию выборов;

• риски хакерских атак и установки вредоносных программ на личных устройствах с угрозой потери анонимности выбора избирателя.

• Более низкая стоимость на одного избирателя: на 47% меньше, чем при традиционном голосовании;

• Рост явки: 5% на национальных выборах и 1,5% на местных выборах;

• Скорость: в 16 раз быстрее, чем голосование на бумаге;

• Удобство: 47% избирателей предпочли голосовать онлайн на последних выборах.

Сингапур решил не проводить онлайн-голосование на ближайших выборах из-за множества рисков. Эта тема обсуждалась в парламенте 4 мая 2020 года, поскольку был принят законопроект, позволяющий провести выборы во время пандемии COVID-19. Ответственный министр Чан Чун Синг сказал, что многие страны столкнулись с двумя основными проблемами — тайна голосования и голосование от имени другого человека, поэтому Сингапур решил не применять онлайн-голосование.

Кто предлагает протоколы и блокчейн для онлайн-голосования в России и насколько все прозрачно?

Правительство Москвы на выборах по внесению поправок в Конституцию использует собственную систему онлайн-голосования на основе блокчейна Exonum, разработанного голландской компанией Bitfury Holding BV. Система идентификации личности избирателя и обеспечения анонимности (аналог слепой электронной подписи) разработаны Департаментом информационных технологий Правительства Москвы, но информация о том, чей протокол будет использован, отсутствует. Также отсутствуют публичные данные по тендерам, привлекаемым подрядчикам и стоимости выполненных работ разработки, однако ДИТ не отрицает использование услуг «Лаборатории Касперского».

Проект Waves Enterprise

• ООО «Вебз Технологии», принадлежит Иванову Александру

• Протокол: Waves

• Блокчейн: Waves Enterprise, зарегистрирован в едином реестре российского программного обеспечения в 2020 году

• Пропускная способность, tps: 1000

• Резидент центра инноваций «Лаборатории Касперского»

• Протокол: Патент РФ на систему и способ определения количества голосов избирателей, собираемых с помощью электронного голосования, заявлен Акционерным обществом «Лаборатория Касперского»

• Блокчейн: не разглашается

• ООО «Экзонум», 95% принадлежит ООО «БФ «Диджитал», которой владеют голландская компания Bitfury Holding BV, Тимур Кондратьев и миноритарий Василий Королев. В свою очередь Bitfury Holding BV предположительно принадлежит Георгию Киквадзе, Валерию Вавилову и Марату Кичикову

• Блокчейн: Exonum СIS, зарегистрирован в едином реестре российского программного обеспечения в 2019 году

• Пропускная способность, tps: 5000

Waves vs Exonum

• Безопасность идентификации личности избирателя

Оба проекта — Polys и Waves — разделяют процесс идентификации личности избирателя и голосование. ДИТ предлагает пройти идентификацию личности на mos.ru или gosuslugi.ru. Ни один из проектов не предусматривает процесс верификации голосования именно избирателем, прошедшим идентификацию, а не, например, ассистирующим лицом в случае с престарелыми людьми или инвалидами.

Предусмотрено несколько способов идентификации, включая подключение сторонних систем:

Polys: по уникальному коду, по СМС или по электронной почте. Также можно воспользоваться системой, поддерживающей протокол OpenID.

Waves: по учетной записи на сервисе авторизации Waves Enterprise. Реализована защита от принуждения к голосованию — каждый пользователь может проголосовать повторно до окончания голосования. При этом будет учтен только последний бюллетень. Планируется усилить безопасность решения с помощью двухфакторной аутентификации и облачного хранения ключей электронной подписи. Также рассматривается использование системы типа ЕБС — единой биометрической системы.

• Тайна голосования

Waves обеспечивают анонимность голосования двумя способами:

1. За счет применения свойств гомоморфного шифрования при шифровании бюллетеня пользователя система может покандидатно сложить зашифрованные результаты голосования и расшифровать уже итоги. Ключ для расшифрования распределен по нескольким независимым серверам шифрования, поэтому ни один из участников протокола голосования не в состоянии расшифровать индивидуальный бюллетень пользователя. Сервера шифрования работают сообща над расшифровкой итогов. Таким образом, невозможно узнать, как проголосовал конкретный пользователь.

2. Использование слепой подписи для отделения персональных данных пользователя от бюллетеня.

«Как работает слепая подпись: пользователь отправляет свой зашифрованный (ослепленный) идентификатор (публичный ключ) сервису регистрации пользователей. Сервис регистрации проверяет право пользователя на участие в голосовании и возвращает ему подпись этого идентификатора. При отправке зашифрованного бюллетеня пользователь прикладывает подпись, полученную ранее. Данная подпись проверяется смарт-контрактом в блокчейн-сети. Таким образом пользователь, идентифицировавшись в системе голосования без разглашения своего идентификатора, может получить подтверждение валидности идентификатора, которая будет проверена при проверке бюллетеня смарт-контрактом»,  — рассказал Артем Калихов, директор по продукту Waves Enterprise.

Polys также обеспечивает анонимность голосования за счет применения технологии слепой подписи. Эксперты утверждают, что система голосования не имеет никакой технической возможности связать данные конкретного избирателя с голосом, который он подает. И когда система принимает голос, она проверяет, что он отправлен тем, кто имел на это право, но не знает, кто конкретно послал данный бюллетень.

• Неизменность результатов голосования

В Waves безопасность результатов обеспечивается за счет децентрализации криптографического протокола. В системе нет единой точки генерации ключей шифрования. А расшифровка возможна только при участии большинства из серверов шифрования. Например, у нас есть семь независимых участников. У них установлены узлы блокчейн сети и криптографические сервисы (сервера шифрования). Каждый из них создает себе пару ключей шифрования — публичный и приватный. Публичные направляют в блокчейн и из них создается общий публичный ключ шифрования бюллетеней. Так как нет единого приватного ключа, соответствующего общему публичному ключу — ни один из участников не может самостоятельно расшифровать бюллетени и результаты. Для подведения итогов должны выполнить операции расшифровки, используя свои приватные ключи, например, пять из семи участников. Это можно сравнить со снятием слоев луковицы. При объединении результатов расшифровки каждого из пяти участников получают финальные итоги в читаемом виде. Все бюллетени записываются в блокчейн и проверяются на валидность смарт-контрактом, операции взаимодействия серверов шифрования также выполняются через блокчейн. Манипуляции с любой значимой в голосовании информацией исключены на уровне протокола.

В Polys при создании голосования формируется пара ключей — приватный и публичный. Приватный ключ остается у организатора голосования для расшифровки результатов, а публичный общедоступен и позволяет избирателям зашифровывать голоса.

«Для шифрования своего выбора избиратель получает из блокчейна открытый ключ, и отправляет свой зашифрованный выбор обратно в распределительную сеть. После окончания голосования в блокчейн публикуется ключ расшифровки, и каждый участник процесса получает возможность проверить корректность расшифровки всех голосов. При этом у избирателя остаются данные его собственной транзакции с бюллетенем, и он может убедиться в том, что его голос был корректно учтен системой. После публикации ключа расшифровки смарт-контракт автоматически расшифровывает голоса и подсчитывает результаты голосования. Таким образом, технология делает невозможными подмену голосов и фальсификации при подсчете результатов», — прокомментировал Александр Сазонов, руководитель проекта Polys «Лаборатории Касперского».

На выборах 19 сентября около 10 млн россиян из семи регионов смогут проголосовать онлайн, сообщало Минцифры. Что представляют собой московская и федеральная системы электронного голосования и какие возможны риски, разбирался РБК

Какие угрозы для систем рассматривают власти

На предстоящих выборах в Госдуму проголосовать онлайн можно будет сразу в семи регионах. Это первые выборы с применением дистанционного электронного голосования (ДЭГ) в таком масштабе. Голосование пройдет на базе двух систем — московской, созданной департаментом информационных технологий (ДИТ) Москвы, и федеральной, в разработке которой принимали участие «Ростелеком» и Минцифры.

Возможные угрозы для системы онлайн-голосования описаны в «Модели угроз и нарушителя безопасности информации». В этом документе ЦИК называет потенциальные риски, ответные меры на которые должны предусмотреть разработчики федеральной системы. Среди них: некорректная запись голосов избирателя, возможность реализации голосования более одного раза и нарушение анонимности голосующего, а также досрочное прекращение голосования, всего около 200 угроз.

Документ является традиционным для ИT-систем и согласовывается с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК), пояснил РБК заместитель председателя ТИК ДЭГ Олег Артамонов. По его словам, на все угрозы, которые указаны в модели, предусмотрены ответные меры.

Возможны ли фейковые аккаунты и несуществующие избиратели

Кроме того, списки подавших заявки на участие в онлайн-голосовании проходят несколько этапов проверки, в том числе на соответствие с данными ЦИК и МВД, отмечают разработчики.

Такую проверку теоретически могут пройти аккаунты недавно умерших избирателей, которые по-прежнему числятся в базах, аккаунты уехавших за границу избирателей или фейковые аккаунты с данными реальных избирателей, предположил электоральный эксперт Дмитрий Нестеров. «Есть риск того, что в списке может оказаться «мертвая душа», — согласен член технической рабочей группы ДИТ Москвы по электронному голосованию Евгений Федин. Пресс-служба ДИТ Москвы опровергла возможность проголосовать от имени умершего избирателя.

Доступ к аккаунту умершего избирателя теоретически можно получить, в случае если пароль ненадежный, сказал РБК программист, разработчик интернет-сервисов Алексей Щербаков. Создание полностью фейковых аккаунтов он считает маловероятным сценарием.

Заместитель генерального директора «РТ Лабс» по цифровизации избирательных процессов Юрий Сатиров исключил возможность массового создания ботов-избирателей: «Я исключаю появление внутреннего нарушителя — это сразу станет очевидным и будет выявлено».

Как проверить достоверность списков голосующих

Избирательные комиссии сейчас практически не осуществляют контроль за списками избирателей, они получают их извне, рассказал РБК Евгений Федин.

Проверить, что через аккаунты голосуют реальные избиратели, комиссия может их выборочным обзвоном, указывает Дмитрий Нестеров. Однако сложность такой проверки заключается в небольшом числе избиркомов: в Москве с потенциально 4,5 млн электронных избирателей создана всего одна комиссия по ДЭГ, указывает он. Нестеров предположил, что при недостатке контроля можно относительно незаметно включить до 20% виртуальных электронных избирателей.

«Нужно дробить комиссии электронного голосования до разумных размеров, чтобы на один электронный участок приходилось не более 10 тыс. избирателей, а не сотни тысяч и миллионы, как сейчас, а также нормативно закрепить возможности проверки со стороны комиссий», — сказал Нестеров.

Ранее источники РБК сообщали, что власти Москвы планируют довести число участников ДЭГ до 2 млн.

РБК направил запрос в пресс-службу ЦИК, туда же переадресовал запрос «Ростелеком».

25 августа для московской системы ДЭГ был запущен публичный сервис по наблюдению за подачей и обработкой заявлений на онлайн-голосование.

Будет ли система голосования соответствовать исходному коду

Серверы систем ДЭГ закрыты для контроля комиссий и наблюдателей: извне нельзя ни проверить исполняемый на серверах код, ни получить доступ к записям запросов системы. Это не позволяет убедиться в том, что система голосования соответствует исходному коду и в теории не будет изменена во время выборов, сказал РБК Алексей Щербаков.

«Сейчас тот, кто эксплуатирует систему, может изменить ее конфигурацию и любой ее компонент в ходе голосования так, что вы даже не заметите этого факта: современные системы позволяют сделать обновление ПО на серверной стороне совершенно незаметным для пользователя», — сказал Щербаков. Пусть есть два образа контейнера, поясняет он. Первый работает штатно — обрабатывает голоса избирателей и заносит их корректно в соответствии с исходным кодом. А второй собран из измененного кода и заносит голоса в блокчейн с особенностями (не заносит/записывает другой голос/отбирает бюллетень). Теоретически во время голосования можно заменить первый на второй, и замена пройдет незаметно для наблюдателя, объяснил программист.

В ДИТе отметили, что с 2019 года публикуют исходные коды системы на сервисе GitHub; обращений об отличиях опубликованного и исполняемого департамент не получал. В нем также указали, что на электронных УИК будет развернута нода наблюдателя, которая позволит проверить работу системы и убедиться в ее стабильности и неизменности.

Ранее Forbes со ссылкой на близкий к команде разработки ДЭГ источник также писал о том, что узлы блокчейна, по которым можно проверить подлинность транзакции, находятся на стороне правительства.

Чем обусловлен отказ от доступа к серверам

Доступ к Центру обработки данных (ЦОД) ограничен из-за повышенных требований к информационной безопасности системы, пояснили РБК в пресс-службе ДИТа. «Система ДЭГ размещена в отдельном ЦОДе, сертифицированном по максимальному классу защиты, чтобы исключить возможность внешнего вмешательства в систему», — сказали там.

Для анализа реально выполняющегося на серверах ПО требуется очень высокая квалификация — у большинства партий наблюдателей с такой подготовкой нет, сказал РБК Олег Артамонов. Кроме того, значительная часть алгоритмов происходит на устройстве избирателя: «Внести в систему скрытые возможности, не меняя при этом указанные алгоритмы, невозможно». Риск подмены или изменения системы есть, но он незначительный, заключил Артамонов.

Будет ли отданный голос тайным

Разработчики обеих систем настаивают, что проследить судьбу каждого голоса невозможно: голос шифруется на устройстве избирателя, а электронный бюллетень не привязан к пользователю.

Однако, по мнению члена Пиратской партии Александра Исавнина, специализирующегося на рисках электронного волеизъявления, вопрос соблюдения тайны онлайн-голосования все же остается открытым, так как в российских системах нет механизма независимых друг от друга «двух агентств» — одно для выдачи бюллетеней, второе для подсчета. Два разработчика выдают бюллетени и пересчитывают их, что потенциально позволяет им сопоставить пользователя и его голос, указывает он. С тем, что такая проблема существует, согласен и член технической рабочей группы ДИТ Москвы Евгений Федин. «Если у нас логи одной системы есть и другой системы есть, то тайны голосования в абсолютном понимании нет», — сказал он.

Ни в одной стране мира нет таких двух агентств, которые обладали бы техническими ресурсами и квалификацией, не вызывали бы подозрений в попытках саботировать выборы и были бы абсолютно независимы, сказал Олег Артамонов. «Поэтому, если мы хотим обеспечения тайны голосования, надо искать методы, которые бы ее обеспечили, даже если агентства не независимы, т.е. протокол не соблюдается», — отметил он.

Анонимность обеспечивается отвязкой персональных данных избирателя от его бюллетеня за счет алгоритма «слепой подписи», сказал Юрий Сатиров. «Мы подписали вслепую его идентификатор, дальше его потеряли. Мы никогда не знаем, проголосовал избиратель или нет, — у нас есть информация только о том, что был подписан его маскированный ключ», — отметил он.

Есть ли случаи принуждения к голосованию онлайн

Издание Republic 6 августа сообщало о требованиях руководства подотчетных московской мэрии структур к своим сотрудникам регистрироваться на онлайн-голосование. Общественный штаб по наблюдению в Москве зарегистрировал несколько жалоб граждан на принуждение к участию в ДЭГ.

С социальной угрозой, когда человека принуждает к голосованию руководство, на техническом уровне сделать ничего нельзя, говорит Олег Артамонов. По его словам, обезопасить от принуждения может отложенное голосование, которое на данный момент работает в Москве, но не на федеральном уровне.

Впрочем, отложенное голосование делает бессмысленной проверку избирателем своего голоса, говорит Евгений Федин. По его словам, избиратель не может знать, не было ли от его имени другого голоса, который впоследствии и зачелся. Отложенное голосование позволяет избирателю в течение одного дня несколько раз открыть бюллетень и изменить свой выбор, при этом учитывается последний вариант.

По мнению Федина, у избиркомов ДЭГ нет способа противодействовать давлению на избирателей — в случае, если работодатель, например, принудит проголосовать в одном помещении.

Как в целом можно оценить системы онлайн-голосования

На программном и концептуальном уровнях российские системы интернет-голосования действительно вполне современные и даже передовые, считает Дмитрий Нестеров. «Недопустимая степень их непрозрачности и вытекающие из этого риски прежде всего определяются не технологическими, а политическими и бюрократическими ограничениями», — отметил он.

ДИТ и «Ростелеком» выкладывают исходные коды на GitHub, ознакомиться с ними могут все желающие, указывает Евгений Федин. По сравнению с 2019 годом разработчики московской системы смогли решить проблему сбоев, а также начали работать над доступностью системы — например, платформа поддерживает скринридер для слабовидящих избирателей.

ИсторияПравить