Системы электронного голосования кратко

Федеральная платформа

Федеральную платформу для онлайн-голосования – ПТК ДЭГ – разработал «Ростелеком». Детальное ее описание доступно по ссылке.

В 2020 году ЦИК сообщала, что «Ростелеком» разрабатывает систему по ее заданию. В ЦИК пояснили TAdviser, что «Ростелеком» с 2019 года в соответствии с поручением президента определен правительством единственным исполнителем заказываемых ЦИК работ по цифровизации избирательного процесса, предоставлению цифровых сервисов для участников избирательного процесса и созданию цифровой платформы реализации основных гарантий избирательных прав и права на участие в референдуме граждан РФ.

В ЦИК говорят, что в декабре 2019 года с «Ростелекомом» был заключен контракт на выполнение научно-исследовательских работ в области поиска, обоснования и апробирования организационно-технических решений по дистанционному электронному голосованию, в феврале 2021 года — контракт на выполнение работ по созданию программно-технического комплекса дистанционного электронного голосования (ПТК ДЭГ), в том числе по технической эксплуатации и сопровождению при проведении тренировок и публичного тестирования, а также на выборах 17-19 сентября.

Финансирование работ по указанным контрактам осуществляется в пределах бюджетных ассигнований, выделенных ЦИК России на реализацию результатов федерального проекта «Цифровое государственное управление» нацпрограммы «Цифровая экономика РФ» по предоставлению цифровых сервисов для участников избирательного процесса.

Итоговые суммы контрактов с «Ростелекомом» в ЦИК не раскрыли, и на портале госзакупок эта информация отсутствует. В плане закупок ЦИК на 2019-2021 гг., однако, указано, что совокупно на цифровизацию избирательного процесса в рамках нацпрограммы «Цифровая экономика РФ» изначально предусматривалось финансирование порядка 433,6 млн рублей, из них около 110 млн рублей – на разработку и апробирование комплекса организационно-технических решений.

Инфраструктура федеральной системы ДЭГ на выборах в сентябре 2021 года включала 4 ЦОДа: площадки «Ростелекома» и два дополнительных дата-центра. Система построена с возможностью масштабирования: первые три ЦОДа разворачивались на период голосования, а 4-й ЦОД остался в ведении ЦИК и сохранился и после завершения голосования. При этом у ЦИК остаются и все данные голосования.

Также в состав инфраструктуры входят магистральные сети связи «Ростелекома», ИТ-оборудование, в котором в общем случае выделяется несколько слоев: сети передачи данных, хранения, виртуализации, контейнеризации, информационной безопасности и операционных систем. Дальше начинается сфера прикладного ПО.

В «Ростелекоме» говорят, что значительная часть инфраструктуры ДЭГ построена на оборудовании, которое находится в реестре отечественной продукции. По сравнению с пилотным проектом ДЭГ, который был реализован в 2020 году, доля такого оборудования и ПО заметно выросла, утверждают в компании. Это и средства информационной безопасности, и сетевое оборудование, а также вычислительная аппаратура и СХД.

В мае 2021 г. проводилась всероссийская тренировка по использованию ДЭГ (в преддверии единого дня голосования 19 сентября). Основной ее целью было нагрузочное тестирование ДЭГ – проверка системы на прочность, а также безопасность, удобство и функционал. На участие в тренировке было подано 2,5 млн заявлений, проголосовали 1,2 млн избирателей, система ДЭГ обработала более 5 млн транзакций. После сборки ключей итоги голосования были подведены менее чем за 15 минут. Разработчик системы заявляет, что время проведения голосования сбои не были зафиксированы, в пиковые нагрузки система работала устойчиво.

А затем по итогам общероссийской тренировки на заседании ЦИК России 25 мая 2021 года были определены семь регионов, где система ДЭГ будет применяться в единый день голосования 19 сентября 2021.

Распределение ролей

Оператор единой системы идентификации и аутентификации (ЕСИА) — Минцифры России. В процессе ДЭГ ЕСИА используется в качестве внешней по отношению к ПТК ДЭГ системы идентификации и аутенфикации участника ДЭГ. Администраторы ЕСИА не имеют доступа к ПТК ДЭГ и не совмещают функции администраторов ПТК ДЭГ.

Оператор ЕПГУ — Минцифры России. На ЕПГУ гражданин РФ в электронной форме подает заявление для участия в ДЭГ, отправка которого подтверждается вводом СМС-кода, направленного на номер мобильного телефона, указанный в профиле пользователя ЕПГУ. Заявление в виде xml-файла подписывается электронной подписью ЕПГУ и средствами СМЭВ направляется в ЦИК. Результат обработки заявления отображается в личном кабинете пользователя ЕПГУ. Администраторы ЕПГУ не имеют доступа к ПТК ДЭГ и не совмещают функции администраторов ПТК ДЭГ.

Регистратор — ЦИК России. Регистратор осуществляет обработку поступивших заявлений ДЭГ, а также формирование данных для составления списков участников ДЭГ. Кроме того, он является держателем ключей регистратора по каждому голосованию и сервиса подписи вслепую открытого ключа участника ДЭГ, обеспечивающего доступ к бюллетеню.

Организатор ДЭГ — территориальная избирательная комиссия ДЭГ (ТИК ДЭГ). Функции организатора реализуются с помощью компонента ПТК ДЭГ «Организация и проведение ДЭГ», имеющего разграничение прав доступа с помощью сертифицированных средств защиты информации. К основным функциям организатора ДЭГ относятся:

• генерация ключевой пары и разделение первого ключа шифрования бюллетеня между держателями частей ключа;
• загрузка исходных данных о голосованиях, полученных от организующих выборы избирательных комиссий;
• загрузка данных о поданных и учтенных заявлениях от регистратора для формирования списка участников ДЭГ;
• формирование запроса на создание ключей регистратора по каждому голосованию;
• генерация ключевой пары для формирования итогового ключа шифрования бюллетеней для каждого голосования;
• запуск и остановка голосования;
• сборка ключа из частей, полученных от держателей части ключа;
• загрузка собранного ключа расшифрования в блокчейн (ключа комиссии);
• запуск подсчета голосов: формирование итогового бюллетеня и его расшифровка;
• получение данных об итогах голосования и протокола об итогах голосования;
• подписание протокола об итогах голосования с помощью электронной подписи.

Внутренний наблюдатель. Участник, осуществляющий наблюдение за процессом голосования из специализированного помещения, оснащенного средствами доступа к отдельным узлам компонента «Распределенное хранение и учет голосов». Может осуществлять действия по поиску данных в распределенной БД, просмотр этих данных, просмотр списков избирателей, исходных данных. Имеет доступ к расширенным метрикам мониторинга работы системы. С помощью специализированного инструмента с открытым кодом, может выгружать и проверять корректность расшифровки итогового бюллетеня. Не имеет доступа к другим компонентам ПТК ДЭГ.

Внешний наблюдатель. Любой пользователь, осуществляющий наблюдение за процессом голосования с портала наблюдения, публикующего статистические данные о голосовании в интернете. Имеет возможность получить выгрузку транзакций из сети блокчейн в виде файлов, публикуемых на портале наблюдения. Используя программный инструментарий с открытым кодом, внешний наблюдатель может:

• проверить целостность транзакции;
• проверить криптографические доказательства корректности бюллетеня;
• проверить корректность суммарного шифротекста;
• проверить криптографические доказательства корректности расшифровки;
• проверить корректность суммирования частичных расшифровок суммарного бюллетеня.

Организующие избирательные комиссии. Избирательные комиссии, организующие выборы и определяющие результаты выборов на территории: ЦИК России, ИКСРФ, ТИК, осуществляют подготовку в ГАС «Выборы» исходных данных (текст бюллетеня, форма протокола) для передачи организатору ДЭГ через «воздушный зазор». После завершения голосования получают от организатора ДЭГ данные об итогах голосования для загрузки в ГАС «Выборы».

Дистанционное голосование

Принять участие в дистанционном электронном голосовании мог любой гражданин РФ, обладающий активным избирательным правом, зарегистрированный по месту жительства на территории одного из семи субъектов, для которых был организован такой вариант голосования: Курской, Мурманской, Нижегородской, Ростовской и Ярославской областей, а также Москвы и Севастополя.

При этом избирателю предоставили право отозвать заявление не позднее 24:00 мск 13 сентября. После формирования списков участников ДЭГ решение изменить уже нельзя. Когда избиратель оказывался зарегистрирован в системе ДЭГ, его фамилию исключали из списка на участке, и он уже не мог голосовать с использованием бумажного бюллетеня.

Зарубежный опыт

Ряд стран уже более 10 лет ведут разработки в области систем ДЭГ, однако к масштабному их использованию пока практически никто не перешел. Это связано и с технической сложностью реализации необходимых для голосования требований, в числе которых конфиденциальность волеизъявления, открытость и прозрачность голосования, защита от вмешательства извне, и с особенностями местных выборных законодательств.

Толчок к развитию таких систем дало появление технологии распределенного реестра – блокчейна. Она позволяет закрыть ряд проблемных участков, имеющих отношение к безопасности и прозрачности. Теперь блокчейн используется в качестве основного элемента ДЭГ.

Первой страной в мире, использовавшей систему электронного голосования на республиканских выборах, является Эстония. Собственно, она на данный момент – единственная страна, где полномасштабно применяется дистанционное электронное голосование. Эта опция доступна для всех избирателей в стране.

В Норвегии, к примеру, система ДЭГ разрабатывается с 2008 года. Впервые она использовалась на парламентских выборах в 2011 году. А в 2013 году отдельной группе избирателей в качестве эксперимента разрешили голосовать через интернет в период досрочного голосования. Но в полном масштабе система пока не используется на выборах, так как остались нерешенными до конца вопросы, связанные с обеспечением тайны голосования, а также с защитой от внешних и внутренних угроз.

2019

В электронном голосовании на выборах в Московскую городскую Думу 8 сентября 2019 года приняли участие 92,3% зарегистрированных избирателей. Голосование завершилось в 20 часов.

Основная статья: ДИТ Москвы Дистанционное электронное голосование

За взлом системы электронного голосования в России пообещали 2 млн рублей

5 августа 2019 года стало известно, что за тестовый взлом системы онлайн-голосования в Москве можно будет получить 2 млн рублей.

С 12 по 22 августа 2019 года должен пройти третий этап тестирования системы электронного голосования. В нем примут участие жители только тех трех округов столицы, где состоится эксперимент. За 12 дней поступило более 600 заявок.

В рамках электронного голосования будет работать блокчейн-алгоритм, который дает гарантию, что все голоса учтены верно

Первое и второе тестовые голосования в электронном виде успешно прошли в столице 11 и 23 июля 2019 года. Мероприятия проведены в плановом порядке, сбоев в системе зафиксировано не было. Во время тестирования наблюдались многочисленные атаки хакеров, которые не стали результативными.

Как сообщил ТАСС заместитель руководителя столичного департамента информационных технологий Артем Костырко, в рамках электронного голосования будет работать блокчейн-алгоритм — нода избирателя.

Для проверки учета своего голоса участники онлайн-голосования после заполнения бюллетеней получат зашифрованное сообщение, значение которого опубликуют после окончания выборов. Благодаря ноде избирателя проверить учет голоса стало возможным до окончания голосования, введя шифр в специальном просмотрщике системы.

В России пройдет первое электронное голосование

В июле 2019 года стало о проведении первых в России электронных выборов. Голосование через интернет, когда избирателям не нужно будет приходить на участок, пройдёт на выборах депутатов Мосгордумы 8 сентября. Функция будет доступна в трёх избирательных округах: № 1 (Зеленоград), № 10 (Северный, Лианозово, Бибирево) и № 30 (Чертаново Центральное, Чертаново Южное).

На выборах депутатов Мосгордумы 8 сентября избиратели трех округов смогут проголосовать, не приходя на участок

Электронное голосование будет экспериментальным, поэтому традиционный способ не отменяется: одновременно будут использованы обе формы участия в выборах. Выбирать форму голосования будет сам избиратель. При этом возможность двойного голосования исключена, заявил председатель Мосгоризбиркома Валентин Горбунов.

Для участия в электронном голосовании избиратель должен проживать в округе и предварительно подать через портал госуслуг заявление об участии в электронном голосовании. Заявления будут принимать за 45–3 дня до начала голосования. В день голосования избиратель, подавший заявление, в личном кабинете на портале госуслуг получит доступ к избирательному бюллетеню в электронной форме.

Процесс и итоги голосования будут защищены технологией блокчейн. Электронный анонимный бюллетень будет храниться в блокчейн-системе, к которой подключено множество пользователей. При попытке изменить информацию все участники сети автоматически увидят произошедшие изменения.

Информация о бюллетене не остается ни в браузере пользователя, ни на сервере администратора, что позволяет сохранить тайну голосования.

Безопасность федеральной платформы

В «Ростелекоме» и ЦИК уверяют, что система надежно защищена от кибератак, надежна и обеспечивает тайну голосования. Федеральная система ДЭГ использует отечественную блокчейн-платформу Waves Enterprise с применением российских криптографических алгоритмов и средств защиты. Блокчейн позволяет хранить зашифрованные голоса избирателей в неизменном виде.

Шифрование информации производится с помощью специального ключа, загруженного в блокчейн в ходе специальной процедуры, которая проходит в ТИК ДЭГ до начала голосования. Для расшифровки нужен другой специальный ключ, который создается и разделяется на несколько частей в ходе той же процедуры, а собирается только при подведении итогов. Части ключа расшифрования записываются на защищенные носители и передаются на хранение независимым «держателям» до окончания голосования. Одна из частей ключа также хранится в модуле информационной безопасности (Hardware Security Module, HSM) и оттуда не извлекается. Криптографический алгоритм позволяет проводить математические операции с зашифрованными данными, поэтому для подведения итогов расшифровывается суммарный зашифрованный бюллетень. Сами непосредственно бюллетени избирателей не расшифровывается ни во время, ни после установления итогов.

Пытливый и хотя бы немного технически подкованный избиратель сможет проверить, что его голос в блокчейне есть, и что итоговая сумма голосов получена именно на этих данных — тоже. Для этого разработчики предусмотрели ряд технических инструментов для наблюдения за голосованием. При этом расшифровать конкретный бюллетень и посмотреть, за кого он отдан, избиратель не сможет.

Это своего рода компромисс между предоставлением избирателю возможности проверить, что его голос учтён, и опасением, что это будет использоваться на местах для подтверждения голосования под давлением или продажи голосов.

В ЦИК заявили TAdviser, что доверие к ПТК ДЭГ и реализуемым им алгоритмам обработки информации о результатах волеизъявления участников голосования обеспечивается следующими основными мерами:

• раскрытием информации о реализуемом ПТК ДЭГ протоколе дистанционного электронного голосования, используемых в нем криптографических алгоритмах и их параметрах;
• контролем участника голосования над ПО, выполняющемся на его устройстве, а также раскрытием его исходного кода (образцов исходного кода) и интерфейсов его взаимодействия с ПТК ДЭГ;
• контролем избирательной комиссии дистанционного электронного голосования над техническими средствами и выполняющимся на них программным обеспечением формирования, деления и сборки ключей шифрования, контролем над носителями частей ключей шифрования;
• предоставлению неограниченному кругу лиц в ходе голосования, при и после подведения итогов голосования информации о поступивших в ПТК ДЭГ зашифрованных результатах волеизъявления участников голосования, а также программного обеспечения с исходными кодами для проверки полноты, целостности и неизменности результатов волеизъявления и корректности подсчета голосов.

Юрий Сатиров, главный архитектор платформы ДЭГ «Ростелекома», утверждает, что в последнее время было принято очень много дополнительных мер, направленных на повышение безопасности учетных записей на портале госуслуг. И многое зависит непосредственно от самого пользователя.

А в ЦИК считают некорректным допущение, что кто-то может изменить номер телефона для получения СМС-кода, который используется для подтверждения личности избирателя. Внесение таких изменений требует обладания мобильным телефоном, ранее указанным в учетной записи, либо внесение таких изменений подтверждается способом, аналогичным подтверждению учетной записи, говорят в ЦИК.

Предыстория и перспективы дистанционного электронного голосования в России

Платформа для удаленного голосования, разработанная в Москве, также использовалась во время голосования по поправкам к конституции, которое проходило с 25 июня до 1 июля 2020 года: система применялась в Москве и в Нижегородской области. Остальные регионы ЦИК тогда сочла недостаточно подготовленными. Кроме того, московскую платформу применяли на довыборах муниципальных депутатов в сентябре 2020 года.

В сентябре формат онлайн-голосования испытали также на довыборах в Госдуму в Курской и Ярославской областях. А в декабре 2020 года председатель ЦИК Элла Памфилова заявила, что к 2024 году электронное голосование на выборах могут внедрить по всей стране.

Вместе с тем, перед выборами в сентябре 2021 года Элла Памфилова дала большое интервью «Ведомостям», в котором заявляла, что ЦИК пока не спешит с дополнительным расширением дистанционного голосования.

Тайна голосования

В ЦИК заявили TAdviser, что не разделяют утверждения о наличии проблемы в данном случае.

А утверждения и допущения, что у «Ростелекома» есть голоса, поданные в последовательности, и есть возможность понять, какой выбор был сделан конкретным пользователем, в ЦИК считают некорректными. Реализация приведенных допущений теоретически возможна в случае:

• Получения избыточной идентифицирующей информации от устройств участника голосования — однако, в системе ДЭГ устройство и передаваемая с него информация находится под контролем самого участника голосования; кроме того, участник голосования на произвольном шаге процедуры ДЭГ может воспользоваться дополнительными средствами анонимизации, в том числе сервисами прокси, виртуальных частных сетей и др.;
• Обладания и свободного использования ключей расшифрования некими заинтересованными лицами — но в системе ДЭГ ключи расшифрования, носители их частей и технические средства их формирования, деления и сборки находятся под контролем избирательной комиссии дистанционного электронного голосования и определенных ей лиц, а зависимые от них ключи узлов ПТК ДЭГ — в неизвлекаемой форме в аппаратных средствах шифрования;
• Создания вместо ПТК ДЭГ иной системы, задачей которой являлся бы контроль над волеизъявлением участников голосования — запись и обработка избыточной идентифицирующей информации об участниках голосования, произвольный подсчету и расшифрование промежуточных итогов голосования или отдельных бюллетеней. При этом в отношении такой системы было бы невозможно выполнение уже реализованных мер доверия.

Также в качестве мер доверия к ПТК ДЭГ доступ к одному из узлов системы предоставлен группе технического наблюдения Общественной палаты РФ, что позволяет ей контролировать процесс поступления и записи зашифрованных результатов волеизъявления, подведения и расшифрования итогов голосования во всем ПТК ДЭГ. Одновременно в отношении ПТК ДЭГ проведены аттестационные и контрольные испытания, предусматривающие проверку соответствия комплекса рабочей документации и направление отчетной документации по результатам испытаний в уполномоченные госорганы.

Зампред территориальной избирательной комиссии дистанционного электронного голосования (ТИК ДЭГ) Олег Артамонов утверждает, что система технически выстроена таким образом, чтобы никто не имел доступа к информации, кто именно какой бюллетень заполнял. За этим стоит сложная математика и криптография. Электронный бюллетень формируется на устройстве пользователя, а не на каких-то серверах, и в неизменном виде поступает в систему. При голосовании в браузер пользователя загружается приложение – протокол «слепой подписи», которое обрабатывает бюллетень таким образом, что система, знающая, кому она выдала бюллетень, не знает, как он заполнен. А система, которая получила заполненный бюллетень, не знает, кому этот бюллетень был выдан. У бюллетеня есть признак, никак с конкретным пользователем не идентифицируемый, не сопоставляемый, поясняет Артамонов.

А сравнивать все по логам, на серверах – это технически крайне сложная задача, хотя не сказать, что нереализуемая, добавил Олег Артамонов.

Он также указал, что в 2020 году на голосовании по поправкам в конституцию дистанционного голосовали более 1 млн человек, и не было ни одного свидетельства того, что кого-то потом вызвал начальник за «неправильное» голосование при том, что подобные случаи обычно быстро становятся достоянием общественности.