Перебои в работе тестового сайта мониторинга онлайн-голосования в Москве не устранены

Почему электронное голосование всегда будет хуже бумажного

Критики в сторону текущей реализации ДЭГ очень много. Напомню вкратце основные отмеченные проблемы:

Всё это абсолютно валидные претензии к системе (в дополнение к вышеупомянутым аномалиям, а также традиционным статистически выявляемым фальсификациям на обычных участках). Однако я хочу (и даже вынес это в заголовок) взглянуть на более общую картину, касающуюся различий между электронными и «бумажными» голосованиями.

Если послушать интервью с главным «локомотивом» ДЭГ Алексеем Венедиктовым, то можно понять, что все замечания к этой системе он воспринимает как обычные багрепорты, которые просто можно пофиксить в следующей версии (и тогда у нас наступит светлое электронное будущее). Тех же, кто выступает против электронных голосований как таковых, он приравнивает к антиваксерам и прочим маргиналам, выступающим против прогресса.

Поэтому я считаю очень важным обсуждать именно этот момент: Венедиктов заблуждается, у любого электронного голосования остаются неразрешимые фундаментальные проблемы, которых нет у физического. С одной стороны, позицию его можно в чём-то понять: он представляет команду, которая пилит какой-то продукт, и конечно им хочется верить, что его можно отточить и наладить — и внутренне это действительно так. Но важно помнить, что этот продукт — лишь часть цельной системы, и пока у неё остаются более слабые места, она останется слабой в целом.

Лично это мне видится как производство супер-навороченного замка, который хоть и красиво блестит (и может даже быть исследован и оттестирован изнутри), но повешен на сарай с дырами в стенах (через которые и полезут злоумышленники).

Здесь таким замком выступает хвалёный блокчейн, который якобы нельзя подделать (хотя с учётом переголосований выходит, что и можно). Даже если он решит задачу надёжного хранения отданных голосов, это не даст никаких возможностей проверить, откуда они поступают.

Сравните роль наблюдателей на традиционном и электронном голосованиях. Наблюдатель на участке видит живого человека, с паспортом, который получает бюллетень, ставит в нём галочку, опускает в опечатанную урну, а затем следит за тем, как эти бюллетени подсчитывают. Что видит наблюдатель в электронном голосовании? Как в некую базу данных откуда-то прилетают некие бюллетени. Продолжая аналогии, это как если бы наблюдение велось не за всем происходящим на участке, а только за содержимым урны — мы только видим, что в неё неизвестно откуда сыпятся бюллетени (и вроде ничего не высыпается — но в текущей системе даже это неверно).

Если максимально упрощать, избиратель — это всегда объект физического мира. Чтобы взаимно однозначно перевести его в электронное представление, необходим какой-то компонент, которому мы доверяем. В Эстонии, например, государство выдает ID-карты для этой цели, а у нас — насколько я понимаю, Госуслуги передают информацию об авторизованном избирателе в ГАС Выборы. Когда мы сравниваем такие системы, нужно сравнивать и степень доверия, соответственно, этим компонентам. Но самое важное это то, что традиционное голосование не требует такого доверия к единому компоненту — процесс можно контролировать независимо извне (наблюдатель видит именно живого человека, а не заверенную кем-то цифровую подпись).

И, наконец, вредоносное программное обеспечение. Если бы речь шла лишь о применении КОИБов для «цифровизации» выборов, можно было бы надеяться, что их начинка не искажает подсчёт голосов (хотя это тоже требует доверия к её разработчикам, а по факту в ней уже находили ряд уязвимостей). Но сейчас для голосования применяются компьютеры самих избирателей, которые вполне могут быть подвержены заражению вирусами. Компроментация конечного устройства сводит на нет всю защиту «по пути» — если, скажем, у пользователя стоит расширение, переставляющее на веб-страничке галочки местами, то никакая криптография его не спасёт. И это фальсификации, которые возможно делать не в масштабах одного участка, а в масштабах всей страны. Что характерно, заниматься этим может уже не только государство, а любые злоумышленники (привет государственной паранойе на тему иностранных вмешательств 🙂

Тайны Дистанционного Электронного Голосования в России нет

Время на прочтение

TL;DR в Российских системах электронного голосования нет достаточного обеспечения тайны голосования, и, похоже, это сделано специально

Executive summary: В Российских системах Дистанционного Электронного голосования допущена организационная ошибка при постановке задания, позволяющая при использовании побочного канала сбора данных о пользователях (на уровне логов вебсервера) организатору голосования нарушить тайну голосования. Разработчики специально обходят тему наличия и необходимости ликвидации такой уязвимости.

Я уже более двух лет стараюсь внимательно следить за разработкой систем Дистанционного Электронного Голосования (ДЭГ) в России. Пиратская Партия, делегировавшая меня на эту грустную работу, выступает за прямую электронную демократию, но то, что сейчас под видом электронного голосования пытаются внедрять российские власти, не является шагом к электронной демократии, а скорее —  очередным элементом строительства цифрового ГУЛАГа.

Разрабатываемые системы обладают от рождения множеством недостатков, с которыми бороться стоит не только техническими, сколько организационными мерами, но как раз такие меры организаторы выборов — заказчики систем — отказываются прорабатывать. К явным недостаткам относятся невозможность контроля за составлением списка избирателей (мёртвые души), невозможность контроля за голосованием лично самим избирателем, “черный ящик” системы голосования, работа над бюллетенями неизвестного и очень широкого круга лиц, невписываемость электронного голосования в существующее законодательство, сохранение тайны голосования.

В самом общем виде требования к организации голосования на выборах описывает Федеральный закон 67-ФЗ «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации». Его шестой пункт первой статьи гласит, что никакой иной акт, касающийся выборов, не может уменьшать права, гарантированные этим законом.

Статья 1 пункт 6 ФЗ-676. Федеральные законы, конституции (уставы), законы субъектов Российской Федерации, иные нормативные правовые акты о выборах и референдумах, принимаемые в Российской Федерации, не должны противоречить настоящему Федеральному закону. Если федеральный закон, конституция (устав), закон субъекта Российской Федерации, иной нормативный правовой акт о выборах и (или) референдуме противоречат настоящему Федеральному закону, применяются нормы настоящего Федерального закона. Вообще, весь текст закона можно прочитать на сайте ЦИК РФ.

Сейчас я бы хотел поговорить о сохранении тайны голосования. Статья 7 67-ФЗ гласит: “Голосование на выборах и референдуме является тайным, исключающим возможность какого-либо контроля за волеизъявлением гражданина” и, значит, ДЭГ должно исключать возможность контроля.  Тайна голосования важна для того, чтобы обеспечить свободу волеизъявления, в частности, не давая возможность наказывать поддерживающих “неправильных” политиков. За свежими примерами  далеко ходить не надо — наказание нелояльных работников метрополитена.

Для сохранения тайны голосования в Российском законодательстве оговорены специальные меры: однотипные бюллетени, кабинки для голосования, работа с бюллетенями исключительно независимых комиссий, запрет на фиксацию действий избирателя на участке, и т.п.

Поскольку в случае с голосованиями, проводимыми с помощью информационных систем, меры, применяемые для обычных голосований, не годятся: бюллетени фактически пронумерованы (это вообще-то противоречит 67-ФЗ), от действий пользователей остаётся слишком много следов, то для электронных голосований математиками давно придуманы специальные алгоритмы, позволяющие обеспечивать тайну голосования. А из возможностей, с трудом предоставляемых бумажными выборами, обязательной считается возможность проверки избирателем правильности учёта его голоса — математика даёт такие возможности.

В Википедии есть хорошая статья, описывающая такие алгоритмы:  https://ru.wikipedia.org/wiki/Протоколы_тайного_голосования

В существующих системах голосования от Департамента Информационных Технологий Москвы (далее ДИТ) и от Ростелекома/ЦИК (РТК) на текущий момент применяется что-то очень похожее на разновидности “протоколов двух агентств”: у ДИТ два агентства с какими-то добавками и протокол Хэ-Су у РТК. Хотя нигде в рекламных материалах и статьях разработчиков они не будут указаны под такими названием, догадаться можно только по косвенным причинам и посмотрев отдельные приоткрытые кусочки кода. (репозитории ДИТ, РТК) И нам об этом предпочтут не рассказать, потому что, помимо красивой математики, для работы такого протокола обязательно требуются “два агентства”: одно выдаёт бюллетени, а второе — проводит подсчёт. И для обеспечения тайности голосования важно, чтобы эти агентства не могли обмениваться информацией. В современных протоколах, например Хэ-Су, заложены меры, усложняющие сговор агентств, но требуются и организационные меры.

В российских же системах двух агентств нет: оба — и ДИТ и РТК — и выдают бюллетени и пересчитывают их. Рекламные материалы и пропагандисты интенсивно рассказывают про какие-то меры, позволяющие охранять тайну голосования, но они аккуратно умалчивают о необходимости двух независимых сущностей для выдачи и подсчёта бюллетеней. А ещё нам не рассказывают о том, что протоколы тайного голосования из статьи в Википедии — это примерно как сферический конь в вакууме: для их аккуратной реализации в жизни требуется множество организационных мер, и эти протоколы не учитывают возможности нарушения тайны голосования с использованием “побочных каналов”.  И это даёт возможность нарушить тайну голосования злонамеренному организатору.

В предлагаемом реальном голосовании слово “отправляет” из описания протоколов в Википедии оставляет кучу следов, позволяющих так или иначе идентифицировать пользователя. Сопоставление логов вебсерверов, проводивших авторизацию пользователя в ЕСИА/mos.ru, выдающих бюллетень, “анонимно” принимающих голос избирателя позволяют ДИТу и РТК однозначно сопоставить пользователя и его голос. Ведь в логах вебсервера оказываются IP адрес, версия браузера, версия ОС и т. п. И поэтому ДИТ имеет возможность однозначно сопоставить расшифрованный голос в итоговом протоколе с зашифрованным голосом в блокчейне, а по ИП адресу и другим следам выяснить, кто же этот голос оставил. В случае с РТК всё немного сложнее, там применяется гомоморфное шифрование, фактически выбор избирателей суммируется не расшифровывая конкретные голоса. Но тут злоумышленному организатору голосования на помощь приходит блокчейн: у РТК есть голоса, поданные в последовательности. Они знают в какой последовательности сохранили голоса конкретных пользователей, и применяя гомоморфное суммирование не ко всем голосам, а выбрасывая из блокчейна по одному и суммируя остаток, они смогут понять, какой же выбор был сделан конкретным пользователем.

А утром понедельника после выборов руководителям бюджетных организаций лягут списки неблагонадёжных работников для принятия мер. Или чуть позже, чтобы не спалиться сразу. И наверняка такой список лежит уже с прошлых голосований.

Расположившись где-то здесь, злоумышленник из числа организаторов выборов
вычислит тебя по ИП! А потом и выяснит, как ты проголосовал

Об информации о системах Дистанционного электронного голосованияВ публичном пространстве информации о системах ДЭГ крайне мало. Разработчики публикуют её крайне аккуратно, чтобы не вызвать излишний интерес и критику. В основном общие слова, и пиар. Картина выше о системе разрабатывемой РТК доступна из материалов на сайте Центральной Избирательной Комиссии. Схемы современной системы от ДИТ в публичном пространстве нет.

Я обращал внимание разработчиков этих систем на наличие подобной уязвимости (ДИТу аж с эксперимента в 2019-м году). К сожалению, в ответ получал или явную неправду или пропаганду:

Зато пропагандисты нам расскажут о многочисленных свистелках и перделках, якобы обеспечивающих безопасность и тайность голосования.

Казалось бы, при чём тут блокчейн? А ни при чём, при правильно организованном по такому протоколу голосовании (как в любимой пропагандистами Эстонии) неизменность и целостность результатов подтверждается иным способом.

Можно рассказать и о других недостатках/уязвимостях применяемых сейчас в России ДЭГ. Вот эта конкретная уязвимость с нарушенной тайной голосований мне кажется наиболее неприятной для голосующих избирателей и наиболее покрываемой разработчиками и пропагандистами.

Из-за того что не только исходные коды или документация на систему не публикуются (хотя про “всё опубликовано” заливаются пропагандисты), но и нормальных описаний криптопримитивов нет, есть подозрение, что в системах могут быть и специально заложенные идентификаторы для отслеживания избирателей.

И ещё, из до сих пор не опубликованного нет деталей и подтверждения корректности работы системы ДИТа в части “отложенного” голосования. Там нельзя быть уверенным в корректности итогового результата.

А РТК ещё в 2020-м году обещал в статье на Хабре рассказать про используемое в его системе доказательство с нулевым разглашением, а воз и ныне там.

К сожалению, вся работа над этими системами электронного голосования серьёзно противоречит основным принципам проведения выборов (тайна, наблюдение, гласность), принципам принятия общественно значимых нормативных актов, принципам разработки и тестирования информационных систем.

Мы можем только обращать внимание на эти противоречия. Если читателям будет интересно, я попробую помимо этой обозначить и другие организационно-технические проблемы. Нормативные проблемы пытается мониторить и рассказывает нам наблюдательское движение, например ​​https://www.golosinfo.org/articles/145390

UPD: Поступил «Ответ Чемберлену» от пропагандистов Ответ в части федеральной системы голосования (РТК). Спасибо им большое за напоминание о документах о про высокоуровневую схему ПТК ДЭГ, я дам ссылку на оригиналы этих документов на сайте vybory.gov.ru, а не на их частном: Описание ПТК ДЭГСхема деления ПТК ДЭГИз этих документов совершенно не следует как будет решаться описанная в моей статье проблема. Ок, у Ростелекома есть 4 датацентра в Москве. И?Внезапно, над упомянутым и мною и АналогБайтезами документом с кусочком Модели Угроз И Нарушителей надругался известный специалист в области безопасности А. Лукацкий. Советую прочитать это, чтобы понять как именно организаторы ДЭК относятся к подготовке существенных документов. Сравните с вот этим восторженным описанием от авторов ответа. На самом деле на сайте ЦИК есть официальный график публикации документов, и согласно нему ещё 31 июля должно было быть опубликовано «Описание реализации протокола ДЭГ к выборам, голосование на которых состоится 17, 18 и 19 сентября 2021 г.» которое может бы и давало ответы на поставленные мною вопросы, но к сожалению оно так и не опубликовано. Нам обещают 1 сентября, но состоится ли это? Насколько содержательными будет опубликованное? Насколько опубликованное будет соответствать реальному положению дел? Как это можно будет проверить?UPD2: через неделю после написания статьи опубликовано ещё кое-что31 августа в примерно в 22:00 с задержкой ровно в месяц от ранее заявленного графика опубликовано ещё два документа про федеральную систему ДЭГ:Про протокол голосования (его надо поанализирровать внимательнее)И «техническое описание». » Техническое описание» вызывает странные ощущения и ни разу не добавляет определённости про корректность реализации системы, возможности наблюдения итп. Зачем-то там СУБД Postgress. У нас же блокчейн, база то зачем? ;)Часть ПО имеет сертификаты ФСТЭК, часть в реестре импортозамещения, а часть «просто ПО». Зачем вражеский недоверенный CentOS, если у есть сертифицированный AltLinux?60 гигабит ДДОСа будет достаточно. В общем, совершенно не продвигающий нас к повышению уровня доверия к этой реализации Электронного Голосования документ. Но и это лучше, чем у системы от ДИТА, там не опубликовано даже такого. UPD3: ответ от ДИТа03 сентября 2021 года прошла встреча Венедиктова и Костырко со студентами физтеха. Там один из студентов смело процитировал кусочек про реидентификацию из статьи. Можно насладиться ответом Костырко: «версия операционки и браузера не позволяет реидентифицировать пользователя». Ага, только вот IP адрес он немного забыл. Всё это видео прекрасно от начала и до конца. Венедиктов топит за Большого Брата и Цифровой Гулаг.

Перебои на сайте по наблюдению за тестовым онлайн-голосованием в Москве не фиксируются — глава Общественного штаба

Москва. 25 августа. И НТЕРФАКС — Сайт по наблюдению за тестовым дистанционным электронным голосованием (ДЭГ) в столице работает нормально, перебои не зафиксированы, сообщил «Интерфаксу» глава Общественного штаба по наблюдению за выборами в Москве в 2023 году Вадим Ковалeв.

«Мы наблюдаем (за сайтом по наблюдению за тестовым онлайн-голосованием — ИФ), он нормально работает. Мы не фиксируем (перебои)», — сказал Ковалев в пятницу.

Ранее в СМИ сообщалось, что сайт по наблюдению за тестовым онлайн-голосованием в Москве работает с перебоями. В социальных сетях отмечалось, что на сайте фиксировались перебои с количеством голосов.

Тестирование системы онлайн-голосования в Москве перед сентябрьскими выборами проходит в пятницу с 08:00 до 14:00. В ходе него москвичи могут познакомиться с нововведениями процесса голосования, а организаторы — убедиться в корректной работе всех систем. Протестировать систему могут граждане России в возрасте от 18 лет с постоянной регистрацией в столице, имеющие полную учетную запись на портале mos.ru. Кроме того, москвичи смогут принять участие в тестовом голосовании на избирательных участках.

Участникам тестирования предлагается ответить на вопрос: «Какое мероприятие вы бы выбрали для жителей Москвы на День Города?». Вариантами ответов стали бесплатная городская парковка, пешеходная зона на одной из улиц в границах Бульварного кольца, бесплатные городские аттракционы для детей дошкольного и школьного возраста в парках города, а также бесплатное посещение городских музеев.

Выборы мэра Москвы пройдут в течение трех дней — с 8 по 10 сентября. Также в столице пройдут выборы депутатов в 13 муниципальных образованиях в новой Москве.

Что же не так с любыми электронными голосованиями?

Данная публикация написана по мотивам поста «Что же не так с ДЭГ в Москве?». Его автор описывает, как можно выгрузить и расшифровать данные по электронному голосованию, а также приводит целый список замечаний к его текущей системе.

Статья хорошая, её выводы и замечания я полностью поддерживаю, но мне захотелось дополнить её в обеих частях. Первая — с анализом того, как в процессе голосования менялись отданные за различных кандидатов голоса; вторая — моя позиция о фундаментальных недостатках любого электронного голосования, которые неустранимы на практике (особенно в современной России).

UPD: Добавил также графики по партийным спискам + отметил некоторые странности в соотношении выданных/полученных транзакций в самом начале (возможно, это объяснимо техническими проблемами).

Отказ в регистрации на онлайн-голосование может быть связан с несовпадением данных в личном кабинете и паспорте

Москва. 13 сентября. И НТЕРФАКС — В столичном департаменте информационных технологий (ДИТ Москвы) сообщили, что отказ в регистрации пользователей для участия в дистанционном электронном голосовании на сентябрьских выборах может быть связан с несовпадением данных профиля личного кабинета пользователя и его паспортных данных

«Каждое заявление на участие в дистанционном электронном голосовании проходит многоступенчатую проверку. Для этого данные профиля личного кабинета избирателя и его заявления на участие в дистанционном электронном голосовании должны точно соответствовать данным в паспорте: если написание хотя бы одного символа, пробела или регистра букв отличается, сведения не проходят проверку в государственных информационных системах. Как правило, именно с этим и связан отказ в участии пользователя в ДЭГ», — сказали «Интерфаксу» в ДИТ Москвы.

«В этом случае пользователь может проверить свою информацию в личном кабинете, внести корректировки и подать заявление заново до 23:59 13 сентября», — отметили в департаменте.

Ранее в социальных сетях появились сообщения об отказе москвичам в участии в дистанционном электронном голосовании на выборах с 17 по 19 сентября, несмотря на верифицированную учетную запись на порталах mos.ru и на портале госуслуг.

Аномалии в динамике распределения голосов

Во-первых, я последовал инструкции, выгрузил дамп с голосами по одномандатному голосованию в Москве, и сделал вот такие интерактивные визуализации по каждому московскому округу:

Как менялось распределение голосов за три дня голосования в Ленинградском округе Москвы

Обратите внимание, что по вертикали здесь отложены проценты голосов за каждый 20-минутный период, а не абсолютное число голосов. Поэтому в ночные периоды эти проценты сильно «скачут» — просто из-за того, что голосов там мало. А вот что более интересно — это динамика доли голосов за административного кандидата. Во-первых, виден скачок в самом начале, который постепенно убывает с течением времени (то есть по какой-то причине сторонникам провластного кандидата хотелось проголосовать как можно раньше — особенно в самые первые часы первого дня голосования). Во-вторых, в третий день наблюдается ещё более заметный «горб» с 2 часов ночи до примерно 2 часов дня — с перерывом с 12 до 13. Какая естественная причина могла сподвигнуть избирателей дружно выбрать такой период для голосования за подобных кандидатов — остается лишь гадать.

На приведённых графиках можно спрятать любой из сегментов, и вот как меняются соотношения, если спрятать кандидата, занявшего первое место:

Динамика распределения голосов без учета голосов за административного кандидата

Видно, что странный горб в третий день бесследно исчезает, а соотношения между голосами выравниваются. Важно отметить, что я тут привожу пример только одного округа, но самое интересное, что подобные аномалии видно на каждом из 15 округов Москвы. В каждом округе именно у провластного кандидата (и только у него) есть скачок в начале графика, и везде странный горб в третий день. Если просуммировать данные по каждому округу, эти аномалии видны ещё лучше (заодно сглаживаются ночные флуктуации):

Суммарное соотношение голосов за кандидатов на 1-м, 2-м и т.д. местах в каждом округе Москвы

Добавлю, что я не первый, кто провёл этот анализ — я лишь перепроверил (и чуть иначе визуализировал) наблюдения, сделанные командой Анастасии Брюхановой, которая побеждала в Ленинградском округе, но (как и ряд кандидатов в других округах) была лишена победы из-за этих необъяснимых аномалий. Вот их видео с разбором этих проблем:

Отмечу, что я также обнаружил на Гитхабе ещё один инструмент для выгрузки этих данных по Москве, и ещё одни графики, построенные по ним в DataLens. Можно убедиться, что они совпадают с моими наблюдениями и наблюдениями команды Брюхановой. Ц ИК же, ожидаемо, никаких проблем в них не увидел.

Заключение

Нынешняя реализация ДЭГ — плохая. К ней зафиксировано много претензий, а в результатах — много фальсификаций. Все, кстати, обращают внимание на московскую, а шесть других регионов (в которых использовалась несколько другая реализация) остаются в тени. Но проблема не столько с текущей реализацией, сколько с электронными голосованиями в принципе. В отличие от бумажных голосований, они требуют гораздо больше доверия к организаторам выборов и собственному государству, поскольку не дают даже теоретических инструментов для независимого наблюдения в той степени, в которой оно возможно в традиционных выборах.

Это не значит, конечно, что бумажные выборы идеальны — но там хотя бы есть понятные пути для предотвращения вбросов и фальсификаций. Эти пути нужно применять (идти в наблюдатели) и усиливать (а не отбирать, например, публичный доступ к видеонаблюдению, и не обфусцировать результаты выборов). Это будет прогрессивно. А переход к электронному голосованию — это регресс, как бы противоречиво на первый взгляд это ни казалось.