Тестирования системы дистанционного электронного голосования

Город 

19 авг 2022, 17:11 

Политика 

17 мар 2021, 01:00 

Примерное время чтения: 1 минута

29 — 30 июля проходит тестирование московской системы дистанционного электронного голосования (ДЭГ). Наблюдатели используют это тестирование для апробации различных инструментов контроля корректности работы системы.

Московская система ДЭГ технически позволяет принять участие в контроле не только специалистам и наблюдателям, но и самим избирателям. Предлагаем каждому участвующему в дистанционном голосовании избирателю надежный способ проверить: учла ли система его голос, а затем убедиться и в корректности его учета. Мы надеемся, что такая же возможность самопроверки появится и в федеральной системе ДЭГ, разрабатываемой по заказу ЦИК России.

Для проверки следуйте инструкции из шести шагов.  На примере браузера Google Chrome.

Обновление 2 августа 2021 г. Более детально раскрыт шестой шаг.

В Москве началось тестирование системы онлайн-голосования

В Москве началось тестирование системы дистанционного электронного голосования, сообщается на официальном сайте мэра Москвы.

Во время тестирования москвичи ответят на вопросы, которые касаются обязательной вакцинации специалистов, работающих с людьми, а также развития личного и общественного транспорта. 

Таким образом будет проверена готовность системы к нагрузкам, ее устойчивость к внешним воздействиям, а также опробована функция отложенного решения.

Проконтролировать работу системы смогут не только разработчики и обычные москвичи, но и хакеры. Те из них, кто сумеет ее взломать, получат денежный приз в размере 2 млн руб.

Открыть электронные бюллетени можно с 8.00 29 июля до 19.59 30 июля. Тестирование системы электронного голосования пройдет уже в седьмой раз.

Ранее начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко рассказал, что электронное голосование защищено ключом шифрования и ключом расшифрования. Голос каждого избирателя будет зашифрован, благодаря чему удастся соблюсти тайну голосования.

Центризбирком провел тестирование системы дистанционного электронного голосования: чтобы в нем поучаствовать, с 21 апреля по 7 мая нужно было подать заявление, а затем с 12 по 14 мая — проголосовать. 

Тестирование интернет-голосования с самого начала вызывало наше беспокойство — техническое задание, официальный программный код системы опубликованы не были, законодательные нормы не проработаны, общественного обсуждения не проводилось, инструментов эффективного наблюдения не предоставлено. Кроме того, контролировать тестирование должна была специальная экспертная группа, состав которой неизвестен до сих пор. Свою работу она проводила фактически «в секретном режиме».

Тем не менее, эксперты «Голоса» наблюдали за тестированием, сами принимали участие в голосовании и готовы поделиться своими выводами и рекомендациями. Отчет был направлен в ЦИК России.

После тестирования ЦИК России объявил семь регионов, в которых будет проводиться дистанционное электронное голосование в единый день голосования 2021 года: Курская область, Мурманская область, Нижегородская область, Ростовская область, Ярославская область, Москва (на своей платформе) и Севастополь.

Читайте полностью отчет

«О результатах наблюдения за тестированием системы дистанционного электронного голосования (ДЭГ) ЦИК России 21 апреля — 14 мая 2021 года» (.pdf)

21 августа 2019 года прошло третье по счету публичное тестирование электронного голосования, которое было организовано непосредственно в тех округах (1, 10 и 30), где 8 сентября запланирован эксперимент по дистанционному электронному голосованию (ДЭГ) на выборах в Московскую городскую думу седьмого созыва. Горожанам предлагали ответить на вопросы, касающиеся перспектив развития их районов (см. интерфейс голосования в приложении). Было выдано 1806 электронных бюллетеней. Всего на участие в тестировании зарегистрировался 3401 избиратель. Средняя явка по трем округам составила 53,1%.

Это было первое тестирование с голосованием по трем округам. В первом тестировании, по вопросам студенческого самоуправления, и во втором, по судьбе бездомных животных, в системе тестировался лишь один округ.

Третье тестирование должно было стать последним публичным тестом, в ходе которого планировалось учесть ряд замечаний и предложений членов технической рабочей группы, в том числе авторов настоящего отчета. Дальнейшую доводку системы предполагалось проводить на экспертных тестированиях.

Однако в связи с возникшим сбоем при запуске процедуры расшифровки голосов, приведшей к четырехчасовой задержке начала подсчета голосов, и ряда других неудач, на 28 августа назначили четвертое публичное тестирование, которому будет предшествовать экспертное тестирование.

Настоящий отчет подготовили Дмитрий Кузнецов, Григорий Мельконьянц, Дмитрий Нестеров и Евгений Федин, наблюдавшие за тестированием.

В России началось тестирование системы онлайн-голосования

В России началось общероссийское тестирование системы дистанционного электронного голосования на выборах 2021 года. Постановление об общероссийской тренировке в феврале подписала глава ЦИК Элла Памфилова.

Согласно документу подготовительный этап тренировки пройдет с 17 марта по 2 апреля. «Основной этап — с 6 апреля по 18 мая, в том числе прием заявлений об участии в дистанционном электронном голосовании — с 21 апреля по 7 мая, проведение дистанционного электронного голосования — с 08:00 12 мая до 20:00 14 мая, заключительный этап — с 19 по 21 мая», — говорится в документе.

Ранее на заседании ЦИК член комиссии Антон Лопатин сообщал, что общероссийская тренировка «представляет собой полноценную имитацию проведения этапов избирательных кампаний с использованием всех задач и подсистем текущей версии ГАС «Выборы» в тренировочном режиме».

В феврале Памфилова сообщила, что дистанционное электронное голосование на выборах в Госдуму в сентябре пройдет в шести субъектах России, включая Москву. Остальные пять регионов глава ЦИК не называла. По ее словам, жители столицы будут голосовать на отдельной платформе, а остальных субъектов — на федеральной, которую разрабатывает Центризбирком совместно с «Ростелекомом» и Минцифры.

Впервые дистанционное голосование было внедрено во время голосования о поправках к Конституции, которое проходило с 25 июня до 1 июля 2020 года. Проголосовать удаленно могли жители Москвы и Нижегородской области. В сентябре формат онлайн-голосования испытали на довыборах в Госдуму в Курской и Ярославской областях. Позднее Памфилова заявила, что к 2024 году электронное голосование на выборах могут внедрить по всей стране.

Шаг шестой

После окончания времени голосования 30 июля и завершения системой расшифровки голосов зайдите на https://observer.mos.ru (для надежности сделайте это 31 июля), откройте необходимое голосование и вставьте скопированный идентификатор в поле поиска. 

Поиск выдаст две записи, соответствующие бюллетеню в блокчейне (одну, оставленную при его записи, вторую, помещенную в блокчейн при расшифровке). В любой из них в поле decrypted_choice вы сможете узнать, за какой вариант (какие варианты) вы проголосовали.

Таким образом можно убедиться в корректности сохранения и учета вашего голоса.

В поле decrypted_choice выбранные варианты приведены в виде массива идентификаторов, соответствующих выбору вариантов в бюллетене.

Чтобы узнать соответствие идентификаторов вариантам ответа нужно для данного голосования во втором выпадающем меню вместо опции «Все типы транзакций» выбрать фильтр «Создание голосования». Справа возникнет единственная транзакция из блокчейна, открыв которую в поле payload можно найти соответствие идентификаторов вариантам ответов.

Честных вам выборов!

Инструкция разработана членами технической рабочей группы Общественного штаба по наблюдению за выборами в г. Москве при Общественной палате Москвы c использованием наработок участников наблюдательского сообщества столицы.

Так как инструкция создана в целях тестирования функционала наблюдения, ее разработчики пока не гарантируют стабильность ее работы.

Шаг пятый

Зайдите на https://observer.mos.ru, откройте первое голосование и вставьте скопированный идентификатор в поле поиска:

В открывшемся окне появится ваша транзакция, сохраненная в блокчейне:

Аналогичные действия повторите для второго голосования, указав в поиске на четвертом шаге цифру 2, скопировав себе полученный идентификатор и перейдя на поиск по транзакциям второго голосования.

Недостатки тестирования

3.1. Высокая доля непроголосовавших

Средняя явка по трем округам составила 53,1% (округ №1 — 55%, №30 — 54,6%, №10 — 49,2%). Дистанционное электронное голосование сложно сравнивать с традиционным голосованием в помещении для голосования, однако его можно попробовать сравнить с «надомным» голосованием. Если на «надомное» голосование много заявок, а по факту голосует лишь половина — это у наблюдателей сразу вызывает вопросы. Например, это может быть следствием технологии повышения явки, когда избирателей без их ведома незаконно записывают в реестр «надомников».

Значительное число записавшихся на участие в тестировании дистанционного электронного голосования (около 50 %) не приняли в нем участия по неясным причинам. Это тревожный факт, так как следует учитывать, что граждане предприняли определенные усилия для регистрации на тестирование и их отказ от голосования организаторам тестирования по возможности необходимо объяснить.

Для выяснения причин такого количества отказов от голосования, о которых необходимо знать, чтобы учесть к эксперименту 8 сентября, следует провести опрос среди таких избирателей и/или исследование логов. 

3.2. Использование кода без предварительной публикации 

Выяснилось, что при проведении тестирования использовался код, отличный от размещенного ДИТ на github. Это обстоятельство могло затруднить тестирование системы экспертным сообществом, так как специалисты рассчитывали увидеть один код, а ДИТ использовал другой.

Спасибо. Радует 🙂
Надеюсь, участникам тестирования не помешает то, что они исходили из того, что в гитхабе, а получили то, что на проде.

— Евгений Федин (@efedin_ru) 21 августа 2019 г.

3.3. Неоптимальный формат печатных документов для проверки

Выявлена функциональная неоптимальность форматов бюллетеней с зашифрованным голосом и таблиц с расшифрованными голосами, в частности, затрудняющая процедуру контрольного подсчета:

Технические порядковые номера голосов были сквозными для всех трех участков, что затрудняло сортировку и ручной подсчет распечатанных зашифрованных голосов на участках.

На таблицах с расшифрованными голосами не напечатан собранный ключ, по которому осуществляется расшифровка голосов (что делает печатные документы несамодостаточными).

Выбрано неудобное количество строк таблицы расшифрованных голосов на одном листе (9 вместо 10). 

В принтерах при печати использовались два варианта настроек шрифтов, один из которых (более крупный) приводил к тому, что четырехзначные номера бюллетеней, как в исходных бюллетенях, так и в таблицах расшифрованных голосов, печатались с переносом одного разряда на вторую строку, что создавало неудобство при сортировке бюллетеней и сопоставлении с таблицами расшифрованных голосов. Более компактный вариант настройки шрифтов оказался более удобен, не приводил к переносу четырехзначных номеров и позволял уместить 10 строк с голосами на одной странице.

3.4. Не документируется на бумажном носителе открытый ключ

Не учтены предложения печатать открытый ключ на бюллетенях с зашифрованными голосами, и печатать QR-код зашифрованного голоса (на бюллетене и в таблице с расшифрованными голосами), что позволило бы производить проверку правильности расшифровки голоса после завершения голосования без необходимости набора длинной последовательности символов, что времязатратно и может сопровождаться ошибками.

3.5. Попытки взлома и атаки ботов 

Руководитель общественного штаба по наблюдению за выборами Общественной палаты Москвы, инициатор проведения эксперимента по дистанционному электронному голосованию Алексей Венедиктов заявил в день голосования фиксации попыток взлома и атак ботов на систему.

При этом данные о предпринятых атаках (либо о попытках реализации негативных сценариев тестирования) были представлены лишь в формате короткого сообщения Венедиктова, не позволявшем проанализировать ни их, ни результаты. Сотрудники ДИТ не проинформировали присутствующих на тестировании наблюдателей и технических специалистов об этом.

В частности, не сообщено, на какие именно сервера осуществлялись запросы, какого рода они были, по каким критериям были отнесены к атакам ботов, как на эти запросы реагировала серверная инфраструктура. Осталось непонятным, кто и кому обещал осуществить взлом за 20 минут.

Непонятно, как было зафиксировано, что кто-то попытался восстановить приватный ключ: а именно его восстановление с последующей расшифровкой зашифрованных данных подавалось в публикациях СМИ как взлом электронного голосования при проводившемся тестировании стойкости используемого при голосовании шифрования.

Шаг второй

На открывшейся странице — до того, как нажмете на кнопку «Принять» — нажмите на клавиатуре в Windows: Ctrl + Shift + i (на macOS: fn + F12), чтобы открыть режим разработчика веб-страниц. На экране нажмите на вкладку Network, затем поставьте галочку на Preserve log. Выглядит это вот так:

Неудачи тестирования

2.1. Сбой процедуры расшифровки голосов

Когда завершилось голосование, из семи частей был собран ключ, который при отправке на сервер должен был запустить процесс расшифровки голосов. Этот процесс должен сопровождаться новыми записями блоков с расшифрованными голосами в блокчейн и печатью голосов в таблицах на принтерах. Однако после отправки ключа процесс расшифровки с первого раза не запустился. 

Более того, принтеры начали печатать таблицы с одним и тем же «расшифрованным» результатом голосования «Вариант 0» для всех бюллетеней. С учетом того, что разработчики нумеруют варианты ответов на вопросы начиная с нуля, это выглядело не как нулевой результат, а как фактический результат голосования. Например, для первого округа под номером «0» значился ответ «Отдельной ветки скоростного трамвая с пересадкой на метро» на вопрос «Чего, на ваш взгляд, не хватает в Зеленограде?».

Процесс расшифровки пытались запустить многократно, однако это удалось сделать только в 00:23 ч (более чем через четыре часа после окончания голосования).

Несмотря на увеличение длины ключа шифрования и как следствие увеличение времени на расшифровку, публикация расшифрованных голосов в блокчейн заняла всего две минуты. Это где-то в 20 раз быстрее, чем на прошлом тестировании. С учетом произошедшего при запуске расшифровки голосов сбоя, данное обстоятельство выглядит странным и требует пояснений.

2.2. Низкая вовлеченность членов комиссий и слабое понимания о необходимых действиях

Правильно, что на тестирование были приглашены члены комиссий, которым предстоит работать в комиссиях электронного голосования и соответствующих ТИКах. Однако по факту они оказались слабо включены в процесс. Стало очевидным, что к кадровому подбору необходимо подходить более тщательно, с учетом специфики технической подготовки.

Избирательные комиссии не получили внятной публичной процедуры пересчета бюллетеней и действовали на собственное усмотрение. Сейчас предполагается осуществлять ручной пересчет, экспортируя расшифрованные данные в excel-таблицу, и сравнивать данные голосования там.

Помимо организации обучения членов избирательных комиссий необходимо разработать Рабочий блокнот члена УИК по ДЭГ. 

2.3. Не запустился сервис проверки правильности учета голоса

Полный функционал обещанного сервиса для избирателей, который позволял бы расшифровать голос и анонимно проверить правильность его учета, по неизвестным причинам не запустился. Ссылка на него давалась избирателю сразу после голосования — https://www.mos.ru/pgu/ru/app/mgik/mgd-view/. Сервис состоит из двух частей: первая часть была реализована — демонстрация избирателю после голосования цифрового кода с зашифрованным голосом, а вторую часть — не запустили, это непосредственно интерфейс, куда избиратель может вставить цифровой код, чтобы проверить правильность учета голоса.

2.4. Нестандартное поведение печатающих устройств

В ходе тестирования возникла серьезная проблема, для решения которой ДИТ потребовалось произвести переконфигурацию печатающих устройств после окончания голосования, что было бы недопустимо на реальных выборах.

Недокументированное поведение устройств, начавших печатать результаты без заполнения блокчейна и с «неправильной расшифровкой» результатов (для всех бюллетеней в качестве расшифрованного результата указывался первый из вариантов ответа) порождает вопросы о защите от некорректных настроек и рисках внешнего управления устройствами. 

Отсутствует публичная информация об устройстве и конфигурировании печатающих устройств, в том числе это неизвестно технической рабочей группе. До тестирования предполагалось, что принтеры имеют ограниченный функционал и печатают лишь содержимое определенных блоков из блокчейна. 

2.5. Противоречивая статистика

Выявленная на прошлых тестированиях проблема с противоречивыми статистическими данными не решена. Например, на 8:15 число выданных бюллетеней было 20, проголосовали — 12 человек, а отправленных СМС и заходов на страницу голосования — по нулям.

2.6. Работа с электронными обращениями не налажена должным образом

Специфика дистанционного электронного голосования должна предусматривать возможность подачи обращений (жалоб, заявлений) удаленно. На практике обращения, направляемые гражданами через личный кабинет mos.ru, проходят предварительную обработку операторами ДИТ. Из большого количества обращений, поступающих в ДИТ, операторы должны отобрать те, которые относятся к голосованию, а затем определить, направлять их техническим специалистам для решения проблемы или в избирательную комиссию для рассмотрения. Это приводит к ошибкам классификации, что ведет к тому, что до избирательной комиссии жалобы не доходят. Необходимо принять порядок обработки поступающих обращений.

Например, одна из поданных жалоб через личный кабинет mos.ru спустя три с половиной часа после начала голосования не привела к тому, что до окончания голосования она могла быть правильно обработана. Выявлены проблемы с классификацией жалоб: жалоба, отправленная совместно двумя участниками рабочей группы, была классифицирована как «детский отдых». В результате жалоба не была отражена в статистике на автоматизированном рабочем месте члена комиссии, текст жалобы не появился в соответствующей вкладке интерфейса, она не была рассмотрена и не отражена в протоколе.

2.7. Принуждение к участию в голосовании

В социальных сетях появились публикации о признаках использования административного ресурса на третьем тестировании системы дистанционного электронного голосования. В частности, о принуждении к участию в тестах работников центров социального обслуживания. Это подтверждает существующие опасения о новых возможностях применения административного ресурса при использовании интернет-голосования на выборах. К тому же есть основание полагать, что происходило голосование одних граждан за других.

Систему голосования в Москве протестируют на опросе про улучшения

Тестирование системы дистанционного электронного голосования пройдет в Москве 26 августа с 8:00 до 17:00, сообщил на заседании общественного штаба по наблюдению за выборами начальник управления по совершенствованию территориального управления и развитию смарт-проектов мэрии Артем Костырко.

«26 августа будет тестовое голосование, одновременно будут работать и офлайновые участки — УИКи, где будет оборудование с подключенным туда электронным списком», — сказал Костырко. По его словам, время голосования специально было сокращено на три часа по сравнению с днями выборов, чтобы создать «пиковую нагрузку на систему».

Систему дистанционного электронного голосования протестируют на вопросе «Какие улучшения помогут сделать ваш район более комфортным?», сказал руководитель штаба наблюдения за выборами Вадим Ковалев.

Впервые тестирование будет проходить не только онлайн. В каждом районе Москвы будут создано по одному тестовому участку, добавил Костырко. На них москвичи смогут попробовать проголосовать с помощью сканеров и стилусов, которые впервые будут внедрять на предстоящих выборах. Тестироваться также будут новые механизмы наблюдения за дистанционным голосованием.

В Москве осенью в 125 из 146 районах пройдут выборы муниципальных депутатов. Голосование продлится три дня: с 9 по 11 сентября.

Успехи тестирования

1.1. Более надежная длина ключа шифрования

Исправлена уязвимость, позволявшая злоумышленнику, имеющему доступ к системе на уровне избирателя, получать до окончания дня голосования данные о голосах, поданных за кандидатов, показанная Пьерриком Годри в исследовании «Взлом схемы шифрования Московской системы интернет-голосования». Она заключалась в низкой стойкости используемого шифрования из-за выбора малой длины ключа. Ключ шифрования был удлинен с 256 до 1024 бит.

1.2. Демонстрация избирателю зашифрованного голоса для проверки

В интерфейс избирателя добавлена функция, когда после голосования на странице появляется код с зашифрованным голосом и ссылка, которая должна была вести на инструмент расшифровки голоса после окончания голосования.

У этого плюса может быть оборотная сторона. Технической рабочей группе не предоставили возможность проанализировать, может ли использование данной ссылки приводить к деанонимизации голоса. Такое может случиться, к примеру, если ссылкой может пользоваться только авторизованный на портале mos.ru пользователь, и её использование сопровождается соответствующим логированием.

1.3. Сервис для наблюдателей с прямой трансляцией записей в блокчейн

Появился удобный инструмент «витрина наблюдателя» для доступа к данным, записываемым в блокчейн (см. скриншот), в том числе с генерацией csv-файлов с голосами. К сожалению, этот сервис через час после расшифровки голосов был отключен.

1.4. Расширен функционал рабочего места члена комиссии

В интерфейсе автоматизированного рабочего места члена комиссии был добавлен новый функционал:

• индикатор работоспособности системы (зеленый, желтый, красный), 
• вкладка с обращениями избирателей (которые поданы через личный кабинет и прошли фильтрацию на отсев технических вопросов и вопросов, не относящихся к дистанционному электронному голосованию, службой поддержки ДИТ),
• данные статистики стали чаще обновляться: через 15 минут вместо 30.

1.5. Аварийные тесты

Успешно прошли аварийные тесты в середине дня голосования УИКов. Они необходимы, чтобы показать, что голоса не пропадают и не добавляются новые в ситуациях: при отключении питания от печатающих устройств, потере ими связи с интернетом и, главное, при нарушении сетевой связанности (проблема, которая возникала в первом тестировании на студентах). При этом на автоматизированном рабочем месте включался соответствующий индикатор работоспособности системы индикатор.

1.6. Бумажный след

Усовершенствованы распечатки расшифрованных голосов для удобства проведения ручного подсчета голосов. Во-первых, расшифрованные голоса на бумажном носителе стали печатать не по одному на отдельных листах, а по девять, что повысило компактность и удобство. Во-вторых, появилась возможность сопоставления распечатки с зашифрованным голосом и расшифрованного голоса по короткому числу. Относительно небольшое число голосов упрощает нахождение пары зашифрованный — расшифрованный. На втором тестировании по номеру блока и хешу задачу поиска совпадающей пары в разумные сроки решить было практически невозможно.

Успешно протестирована распечатка бумажного списка избирателей после окончания голосования с отметками о факте выдачи электронного бюллетеня.

Шаг четвертый

На боковой вкладке режима разработчика в поле Filter наберите цифру 1, в поле Name нажмите на вторую строку с именем 1, в правой части промотайте вниз до строки, начинающейся с rawTxHash, и скопируйте себе (нажав на строку правой кнопкой мыши) код, идущий после rawTxHash. Это — идентификатор вашего голоса в блокчейне.

Приложение. Интерфейс голосования

Шаг первый

Перейдите по ссылке для голосования: https://elec.mos.ru/landing, авторизуйтесь, запросите СМС-код подтверждения и введите его в поле.

Шаг третий

На странице голосования нажмите кнопку «Принять» и проголосуйте по двум предложенным бюллетеням. 

Ключевые выводы

• Тестирование системы дистанционного электронного голосования до старта выборов, помимо проверки технической готовности, призвано повысить доверие к ней за счет контроля наблюдателями, экспертами, политическими партиями и всеми желающими. Для этого им необходимо было предоставить инструменты контроля. Однако ЦИК России не воспользовался этой возможностью. Организационные процедуры ДЭГ проходили не открыто и не гласно, а обществу не были предоставлены инструменты для контроля работы системы, что способствовало усилению недоверия.
• Разработка системы ДЭГ проводится не на основе проработанного технического задания со стороны ЦИК России, четко описывающего процедуры и процессы, а наоборот, разработчики сначала создают систему, а затем то, что получилось, оформляется нормативными документами ЦИК России. Прежде всего это связано с отсутствием проработанных законодательных норм с требованиями к системам интернет-голосования. Их отсутствие позволяет разработчикам внедрять системы голосования со встроенными существенными недостатками и при этом избегать ответственности.
• ЦИК России не провел необходимого открытого общественного и экспертного обсуждения системы ДЭГ, что значительно снизило доверие к ней. После прозвучавшей критики о закрытости системы, в разгар тестирования председатель ЦИК России создал Группу экспертной оценки системы ДЭГ, состав которой не был опубликован. Из обрывочных комментариев в СМИ стало известно, что указанную группу по экспертной оценке возглавили сами разработчики системы ДЭГ, что является явным конфликтом интересов.
• Официальный код используемых на тестировании компонентов системы и его описание для проверки и анализа опубликованы не были. Также не была предложена обязательная процедура удостоверения соответствия работающего во время тестирования программного кода компонентов системы ДЭГ программным кодам, ранее опубликованным для проверки и анализа. Альтернативных полноценных способов проверки системы также предложено не было.
• Случайно или намеренно ЦИК России назначил тестирование системы ДЭГ параллельно с проходящими т. н. праймериз партии «Единая Россия». При этом оба мероприятия проводились на базе портала «Госуслуги». Это привело к тому, что в регионах стали использовать административный ресурс для принуждения работников бюджетной сферы принимать участие в тестировании ЦИК России и в праймериз «Единой России». Из-за особенностей удаленного участия в ДЭГ избиратели стали еще более уязвимы для давления.
• На протяжении периода приема заявлений на участие в ДЭГ члены комиссии не имели доступа к информации обо всех поданных заявлениях, включая список отклоненных системой заявлений с причинами отказов, а доступ имели только технические специалисты ГАС «Выборы» и Ростелекома.
• ЦИК России не оперировал точными числами, как должна поступать избирательная комиссия, а обнародовал округленные числа полученных и отклоненных заявлений избирателей на участие ва ДЭГ.
• Без содержательного объяснения причин к участию в тестировании не было допущено большое количество избирателей — 137 тыс. отказов (точное число не называлось) из почти 2,5 миллиона избирателей, подавших заявления (точное число не называлось).
• Несмотря на то, что одной из задач тестирования ставилась оценка обеспечения системой ДЭГ тайны голосования, никаких возможностей для такой проверки предоставлено не было. По результатам тестирования оказалось, что граждане не имеют возможность убедиться, что система ДЭГ обеспечивает тайну их волеизъявления.
• Для системы ДЭГ устройства пользователей не являются доверенной средой, так как в результате их заражения вредоносной программой может происходить искажение волеизъявления или нарушение тайны голосования, которые не будут замечены системой ДЭГ.
• Проголосовать за избирателя могло любое лицо, получившее доступ к логину и паролю от личного кабинета избирателя на портале «Госуслуги». Злоумышленник мог легко изменить номер мобильного телефона для получения СМС-кода, который используется для подтверждения личности избирателя. Примеры такого несанкционированного доступа к системе подтверждения личности получены из разных регионов. Серьезной уязвимостью системы является то, что к голосованию допускаются учетные записи, к которым привязан номер мобильного телефона, оформленный не на голосующего избирателя, а на других лиц. Система ДЭГ не обеспечивает возможность проверки членами комиссии и наблюдателями факта, что все избиратели приняли личное участие в ДЭГ: лично ввели логин, пароль и СМС-код.
• 12 мая было зафиксировано аномальное соотношение числа транзакций «Выдача бюллетеня», публикуемых на главной странице «Портала наблюдения ДЭГ», к числу публикуемых транзакций «Зашифрованный бюллетень» — первые появлялись в 11,5 раз чаще вторых. Если исходить из презумпции честной и безошибочной реализации системы, такое соотношение должно быть близко к 1. Разработчики системы не смогли объяснить причину выявленной статистической аномалии, сослались на неполноту данных публикуемых системой во время тестирования ДЭГ и просили подождать реализации следующей версии системы с другими инструментами и возможностью получения большего количества данных.
• Данные внешнего наблюдения свидетельствуют о сбоях в работе системы ДЭГ.
• На тестирование был представлен урезанный интерфейс наблюдения без возможности скачивания файлов с транзакциями и прямого доступа к базе данных. Следует отметить, что в прошлом году возможность скачивания такого файла на портале наблюдения уже была реализована.
• Отсутствовали какие-либо объективные инструменты подтверждения участниками выборов и наблюдателями существования заявленного ЦИК России блокчейна. Невозможно проверить, производится ли сохранение данных, в какую базу происходит сохранение и сколько таких баз используется. Базы данных остаются подконтрольны только техническим специалистам и закрыты от внешнего наблюдения. Демонстрации набора блокчейн транзакций в веб-интерфейсе «Портала наблюдения ДЭГ» или возможность скачивания транзакций в виде файла для контроля за работой системы ДЭГ недостаточно, поскольку нет никакой возможности убедиться, что не отображается уже «смонтированный ролик» вместо прямой трансляции из базы данных.
• Интерфейс голосования не предусматривал возможность доступа избирателя к информации обо всех кандидатах, списках кандидатов, избирательных объединениях, внесенных в бюллетень: биографические данные кандидатов в объеме, установленном комиссией, организующей выборы; сведения о доходах и об имуществе кандидатов в объеме, установленном организующей выборы избирательной комиссией; информацию о фактах представления кандидатами недостоверных сведений и т. д., как того требует ст. 61 67-ФЗ.
• Система ДЭГ не был адаптирована для голосования незрячих и слабовидящих избирателей. По итогам тестирования разработчики обещали улучшить интерфейс.
• В рамках проводимых тестирований системы ДЭГ все обращения граждан о проблемах и реакция на них должны быть публичными. Разработчики системы, выполняя дорогостоящий контракт, как мы видим, не заинтересованы самостоятельно рассказывать о возникающих сбоях, проблемах и их масштабах, а инструментов внешнего контроля они не предоставляют. При этом заявлено, что в службу поддержки за время тестирования поступило более 10 тыс. обращений.
• Формирование и разделение ключа расшифрования на отдельные части на тестировании производилось не открыто и не гласно.
• Отсутствие инструментов для контроля (ключ расшифрования, база транзакций и удостоверяющие ее аутентичность реквизиты) не позволили проконтролировать корректность расшифровки голосов и правильность их подсчета.
• Документы системы, в том числе электронные бюллетени, не подписаны электронной подписью членов комиссии, поэтому они не обладают необходимой юридической значимостью.
• Отсутствует метод контрольного подсчета результатов ДЭГ, не уступающий по объективности и доступности контрольному подсчету по бумажным бюллетеням.
• По итогам тестирования не был предоставлен детальный отчет, в том числе с приложением технических сведений и наборов данных, позволяющий оценить результаты проведенной работы, а также выполнение поставленных перед тестированием целей. В рамках заседания ЦИК России 19 мая с докладами об итогах тестирования выступала лишь заинтересованная сторона — разработчики системы, доклады которых носили фрагментарный и необъективный характер.
• Вопрос кибербезопасности выборов при интернет-голосовании стоит достаточно остро. Представители органов власти и избирательных комиссий последнее время много заявляют об иностранном вмешательстве в российские выборы, однако это не мешает им продвигать интернет-голосование. Либо они понимают, что на самом деле такой угрозы нет, либо, зная об угрозе, подвергают выборы неоправданному риску.
• Во избежании нарушения избирательных прав граждан и делегитимизации результатов выборов, недопустимо использовать на выборах предложенную на тестирование систему ДЭГ без существенной доработки с учетом предложенных в настоящем отчете рекомендаций.