В тестовом голосовании в Москве приняли участие 430 тысяч человек

В столице прошло тестовое электронное голосование перед предстоящими сентябрьскими выборами. Поучаствовали в нем около 430 тысяч человек, они познакомились с нововведениями этого года, а организаторы смогли убедиться в корректной работе всех систем.

Онлайн-голосование проходило на сайте elec.mos.ru, в нем могли принять участие только пользователи с полной учетной записью на mos.ru. Также во всех районах Москвы работали 146 избирательных участков, где можно было протестировать систему посредством терминалов дистанционного электронного голосования при наличии паспорта. В ходе теста избиратели определяли мероприятия ко Дню города.

Выборы в Москве пройдут 8, 9 и 10 сентября. Москвичи будут выбирать мэра, а жители муниципальных образований ТиНАО — еще и муниципальных депутатов. Проголосовать можно будет на избирательном участке или онлайн. Регистрироваться на электронное голосование заранее не нужно — требуется только полная учетная запись на официальном портале мэра.

Наблюдателями на выборах будут более 11,5 тысячи москвичей. А те, кто проголосует онлайн, смогут принять участие в розыгрышах акции #ВыбираемВместе2023 программы «Миллион призов». Можно выиграть баллы и обменять их на покупки в магазинах одежды и обуви, детских товаров и товаров для дома, а также оплатить счет в кафе или ресторане или направить на благотворительность. Всего будет разыграно 2,3 миллиона призов. Один балл равен одному рублю.

По материалам: официальный сайт мэра Москвы.

В пятницу с восьми утра до двух часов дня в Москве пройдет публичное тестирование системы электронного голосования. Такой сокращенный интервал необходим, чтобы создать повышенную нагрузку на сеть и проверить, насколько она устойчива. Испытать систему смогут все, у кого есть подтвержденная учетная запись на портале mos.ru. Проголосовать во время тестирования можно и очно. Для этого откроются 146 избирательных участков — по одному в каждом районе и поселении.

Вадим Ковалёв, руководитель Общественного штаба по наблюдению за выборами в 2023 году: «Вопрос будет один. Поскольку сами выборы будут проходить в те дни, когда мы отмечаем День города, мы решили в Общественной палате, разобрав множество разных предложений и вариантов, выбрать вариант, посвященный, собственно, этому празднику, и спросить москвичей, как они хотят отметить День города, что необходимо: бесплатная парковка, перекрытие одной из улиц для праздника, бесплатные аттракционы или бесплатные музеи. Обо всем этом мы хотим спросить москвичей. Москвичи проголосуют, и я уверен: их мнение будет очень интересно и очень важно для органов власти города».

Как и перед настоящими выборами, ключ шифрования разделят. Его части раздадут разным людям. После завершения тестирования ключ снова соберут. Затем начнется подсчет голосов.

Тем временем завершился набор в корпус наблюдателей Общественной палаты Москвы. К работе присоединились больше 11 тысяч человек. Большинство из них уже прошли обучение.

Голосование состоится 8, 9 и 10 сентября. Москвичи будут выбирать мэра столицы, а жители поселений ТиНАО — еще и муниципальных депутатов. Предварительная регистрация, чтобы проголосовать электронно, больше не требуется. Гражданин может выбрать удобный способ волеизъявления в любой день.

Москва стала первым регионом России, где электронное голосование применяется на выборах всех уровней. Д ЭГ будет работать и на предстоящих 8-10 сентября выборах мэра. Традиционно перед основным голосованием организовали проверку системы. Итоги еще предстоит подвести, но уже ясно — серьезных сбоев и попыток атаки не было. Хотя локальные проблемы случались.

Тем, у кого есть подтвержденная полная запись на портале mos.ru, принять участие в тестовом голосовании было на редкость просто. А есть она у миллионов москвичей, ведь с помощью этого сайта горожане передают показатели счетчиков, записывают детей в школы, получают еще сотни госуслуг.

Страница для электронного голосования на выборах мэра уже создана — elec.mos.ru. Проверить возможность голосовать онлайн можно в личном кабинете. На рабочем столе есть виджет «Сервис проверки доступа к онлайн-голосованию», достаточно нажать кнопку «Получить информацию». Именно здесь проходило тестирование системы. При входе на эту страницу начинается проверка браузера.

У большинства участников голосования все прошло отлично. Однако в нескольких случаях дисплей во время этой проверки становился белым. Впрочем, тут помогало простое обновление страницы. После подтверждения участия в голосовании появляется поле с кодом. Но этот код автоматически не приходил на смартфон, надо было нажать соответствующую кнопку и вбить полученные данные в окно.

Собственно, электронный бюллетень внешне похож на обычный интернет-опрос. Звучал вопрос так: «Общегородское голосование: какое мероприятие для жителей вы бы выбрали на День города». И ниже варианты ответов — бесплатные музеи, бесплатная парковка, бесплатные аттракционы, пешеходная зона на улице в пределах Бульварного кольца. В конце можно было поставить галочку в поле «Хочу получить адрес зашифрованной транзакции в блокчейне». То есть можно получить некий набор символов, а потом проверить, верно ли учтен голос. Впрочем, сам механизм этой проверки пока неясен. После голосования появлялась надпись: «Спасибо, ваш голос учтен». Большинство участников проголосовали без проблем, в том числе глава Мосгордумы Алексей Шапошников и сенатор Инна Святенко. Но были и те, кто не успел проголосовать, хотя и хотел. В отличие от основных выборов тестовое ДЭГ шло всего лишь с 8:00 до 14:00. Те, кто вошли в систему в последнюю минуту, имели возможность отправить голос до 14:15. Некоторые пользователи столкнулись с проблемами в браузере, здесь выручало обновление.

В общей сложности в тестировании приняли участие 430 тысяч москвичей. Результаты еще не оглашены.

Почему электронное голосование всегда будет хуже бумажного

Критики в сторону текущей реализации ДЭГ очень много. Напомню вкратце основные отмеченные проблемы:

Всё это абсолютно валидные претензии к системе (в дополнение к вышеупомянутым аномалиям, а также традиционным статистически выявляемым фальсификациям на обычных участках). Однако я хочу (и даже вынес это в заголовок) взглянуть на более общую картину, касающуюся различий между электронными и «бумажными» голосованиями.

Если послушать интервью с главным «локомотивом» ДЭГ Алексеем Венедиктовым, то можно понять, что все замечания к этой системе он воспринимает как обычные багрепорты, которые просто можно пофиксить в следующей версии (и тогда у нас наступит светлое электронное будущее). Тех же, кто выступает против электронных голосований как таковых, он приравнивает к антиваксерам и прочим маргиналам, выступающим против прогресса.

Поэтому я считаю очень важным обсуждать именно этот момент: Венедиктов заблуждается, у любого электронного голосования остаются неразрешимые фундаментальные проблемы, которых нет у физического. С одной стороны, позицию его можно в чём-то понять: он представляет команду, которая пилит какой-то продукт, и конечно им хочется верить, что его можно отточить и наладить — и внутренне это действительно так. Но важно помнить, что этот продукт — лишь часть цельной системы, и пока у неё остаются более слабые места, она останется слабой в целом.

Лично это мне видится как производство супер-навороченного замка, который хоть и красиво блестит (и может даже быть исследован и оттестирован изнутри), но повешен на сарай с дырами в стенах (через которые и полезут злоумышленники).

Здесь таким замком выступает хвалёный блокчейн, который якобы нельзя подделать (хотя с учётом переголосований выходит, что и можно). Даже если он решит задачу надёжного хранения отданных голосов, это не даст никаких возможностей проверить, откуда они поступают.

Сравните роль наблюдателей на традиционном и электронном голосованиях. Наблюдатель на участке видит живого человека, с паспортом, который получает бюллетень, ставит в нём галочку, опускает в опечатанную урну, а затем следит за тем, как эти бюллетени подсчитывают. Что видит наблюдатель в электронном голосовании? Как в некую базу данных откуда-то прилетают некие бюллетени. Продолжая аналогии, это как если бы наблюдение велось не за всем происходящим на участке, а только за содержимым урны — мы только видим, что в неё неизвестно откуда сыпятся бюллетени (и вроде ничего не высыпается — но в текущей системе даже это неверно).

Если максимально упрощать, избиратель — это всегда объект физического мира. Чтобы взаимно однозначно перевести его в электронное представление, необходим какой-то компонент, которому мы доверяем. В Эстонии, например, государство выдает ID-карты для этой цели, а у нас — насколько я понимаю, Госуслуги передают информацию об авторизованном избирателе в ГАС Выборы. Когда мы сравниваем такие системы, нужно сравнивать и степень доверия, соответственно, этим компонентам. Но самое важное это то, что традиционное голосование не требует такого доверия к единому компоненту — процесс можно контролировать независимо извне (наблюдатель видит именно живого человека, а не заверенную кем-то цифровую подпись).

И, наконец, вредоносное программное обеспечение. Если бы речь шла лишь о применении КОИБов для «цифровизации» выборов, можно было бы надеяться, что их начинка не искажает подсчёт голосов (хотя это тоже требует доверия к её разработчикам, а по факту в ней уже находили ряд уязвимостей). Но сейчас для голосования применяются компьютеры самих избирателей, которые вполне могут быть подвержены заражению вирусами. Компроментация конечного устройства сводит на нет всю защиту «по пути» — если, скажем, у пользователя стоит расширение, переставляющее на веб-страничке галочки местами, то никакая криптография его не спасёт. И это фальсификации, которые возможно делать не в масштабах одного участка, а в масштабах всей страны. Что характерно, заниматься этим может уже не только государство, а любые злоумышленники (привет государственной паранойе на тему иностранных вмешательств 🙂

Как устроено электронное голосование простым языком и в рисунках

Время на прочтение

В этой статье я хочу рассказать вам, как устроено электронное голосование в Москве, и показать, почему оно абсолютно не защищено от корректировки итогов выборов. Моя задача — не рассказать о том, как конкретно корректировали результаты выборов, а продемонстрировать порочность архитектуры, которая, несмотря на все заявления Департамента информационных технологии (ДИТ) г. Москвы, допускает вмешательство и возможность изменения итоговых результатов электронного голосования.

Но проблема в том, что система достаточно сложна и имеет свои нюансы. Если рассказывать далекому от IT человеку про все тонкости блокчейна и шифрования, то он послушает вас минуту, а потом развернётся и уйдет по своим делам, ничего не поняв. Это одна из главных проблем электронного голосования — 99% избирателей не понимают, как оно работает и где оно может нас обмануть.

Как говорил Стивен Хокинг, любая формула снижает количество читателей вдвое. Мне кажется, что любой IT-термин снижает аудиторию минимум втрое, поэтому я попытался не использовать профильные термины, а объяснил все «на пальцах» и в комиксе! Надеюсь, у меня это получилось.

Если Вы хотите узнать поглубже о проблемах электронного голосования, рекомендую статью Петра Жижина:

Сундук — Зашифрованная информацияЗамки и ключи — Ключи шифрованияБлокчейн — Витрина

Шаг 5. Расшифровка

ДИТ достает бюллетень из сундуков

Итак, голосование заканчивается, надо подводить итоги выборов.

ДИТ берет фальш-сундук из витрины и открывает его секретным ключом, достает из него настоящий сундук и ключ избирателя. Далее он берет свой ключ из пункта 2 и одновременно с ключом избирателя открывает ими двойной замок. И достает из сундука бюллетень с поддельными номерами кандидатов.

Аномалии в динамике распределения голосов

Во-первых, я последовал инструкции, выгрузил дамп с голосами по одномандатному голосованию в Москве, и сделал вот такие интерактивные визуализации по каждому московскому округу:

Как менялось распределение голосов за три дня голосования в Ленинградском округе Москвы

Обратите внимание, что по вертикали здесь отложены проценты голосов за каждый 20-минутный период, а не абсолютное число голосов. Поэтому в ночные периоды эти проценты сильно «скачут» — просто из-за того, что голосов там мало. А вот что более интересно — это динамика доли голосов за административного кандидата. Во-первых, виден скачок в самом начале, который постепенно убывает с течением времени (то есть по какой-то причине сторонникам провластного кандидата хотелось проголосовать как можно раньше — особенно в самые первые часы первого дня голосования). Во-вторых, в третий день наблюдается ещё более заметный «горб» с 2 часов ночи до примерно 2 часов дня — с перерывом с 12 до 13. Какая естественная причина могла сподвигнуть избирателей дружно выбрать такой период для голосования за подобных кандидатов — остается лишь гадать.

На приведённых графиках можно спрятать любой из сегментов, и вот как меняются соотношения, если спрятать кандидата, занявшего первое место:

Динамика распределения голосов без учета голосов за административного кандидата

Видно, что странный горб в третий день бесследно исчезает, а соотношения между голосами выравниваются. Важно отметить, что я тут привожу пример только одного округа, но самое интересное, что подобные аномалии видно на каждом из 15 округов Москвы. В каждом округе именно у провластного кандидата (и только у него) есть скачок в начале графика, и везде странный горб в третий день. Если просуммировать данные по каждому округу, эти аномалии видны ещё лучше (заодно сглаживаются ночные флуктуации):

Суммарное соотношение голосов за кандидатов на 1-м, 2-м и т.д. местах в каждом округе Москвы

Добавлю, что я не первый, кто провёл этот анализ — я лишь перепроверил (и чуть иначе визуализировал) наблюдения, сделанные командой Анастасии Брюхановой, которая побеждала в Ленинградском округе, но (как и ряд кандидатов в других округах) была лишена победы из-за этих необъяснимых аномалий. Вот их видео с разбором этих проблем:

Отмечу, что я также обнаружил на Гитхабе ещё один инструмент для выгрузки этих данных по Москве, и ещё одни графики, построенные по ним в DataLens. Можно убедиться, что они совпадают с моими наблюдениями и наблюдениями команды Брюхановой. Ц ИК же, ожидаемо, никаких проблем в них не увидел.

Шаг 3. Голосование

Подмена номеров кандидатов

Избирателю в браузер от ДИТа приходит список кандидатов с их номером и половина замка. Но номера кандидатов не те, что были заявлены публично и лежат в витрине. Они заменены по какому-то внутреннему алгоритму, какому именно — никто не знает, так как открытого кода нигде нет. Видимо, у них внутри есть секретная табличка связей реального номера кандидата и подставного.

Избиратель запирает бюллетень и прикладывает к сундуку ключ

После того, как избиратель выберет, за кого он хочет проголосовать, браузер кладет его бюллетень в сундук и запирает его соединенным из двух частей замком. И этот запертый сундук с ключом избирателя отправляется на сервер.

Браузер избирателя закрывает сундук на двойной замок, состоящий из половинок Избирателя и половинки ДИТа

Шаг 1. Формирование списка кандидатов

Демонстрация кандидатов и их номеров наблюдателям

ДИТ до выборов подготавливает список из кандидатов и каждому из них присваивает уникальный номер. И этот список выкладывают на всеобщее обозрение в витрину, где на него могут посмотреть независимые наблюдатели.

Шаг 2. Формирование ключей и замков

Также до выборов ДИТ формирует часть замка и один из двух ключей. Этот ключ нужен для получения итоговых результатов выборов и до конца голосования он остается у организаторов выборов. Другую часть замка и второй ключ формирует браузер избирателя непосредственно во время голосования.

Ключи и замки

На самом деле, там чуть сложнее, но суть одна — этот ключ формируется и находится у представителей власти. В 2022 году ключ разделили на пять частей. Перед подведением итогов голосования его соединяют обратно. Хранителями пяти частей ключа стали: • Руководитель Общественного штаба по наблюдению Вадим Ковалев• Секретарь Мосгоризбиркома Владимир Попов• Председатель Мосгордумы Алексей Шапошников• Член ЦИК РФ Антон Лопатин• Глава городского округа Троицк Владимир Дудочкин. Почему именно они? Потому что

Шаг 4. Секретное шифрование

ДИТ тайно засовывает настоящий сундук с бюллетенем в свой фальшивый

ДИТ получает этот сундук с ключом и зачем-то вместо того, чтобы сразу положить его на витрину, как это должно быть, он запихивает сундук избирателя и его ключ в свой сундук и вешает на него секретный замок, а ключ от него хранит у себя и никому не показывает. И вот уже этот фальш-сундук ДИТ относит на витрину к наблюдателям вместо настоящего. Получается, что на витрине вроде бы тот же самый сундук, но его не может открыть никто кроме ДИТ даже после конца голосования.

Фальшивый сундук невозможно проверить независимым наблюдателям даже имея ключи от настоящего сундука

Что же не так с любыми электронными голосованиями?

Данная публикация написана по мотивам поста «Что же не так с ДЭГ в Москве?». Его автор описывает, как можно выгрузить и расшифровать данные по электронному голосованию, а также приводит целый список замечаний к его текущей системе.

Статья хорошая, её выводы и замечания я полностью поддерживаю, но мне захотелось дополнить её в обеих частях. Первая — с анализом того, как в процессе голосования менялись отданные за различных кандидатов голоса; вторая — моя позиция о фундаментальных недостатках любого электронного голосования, которые неустранимы на практике (особенно в современной России).

UPD: Добавил также графики по партийным спискам + отметил некоторые странности в соотношении выданных/полученных транзакций в самом начале (возможно, это объяснимо техническими проблемами).

Вывод

Итого: Архитектура электронного голосования не позволяет независимым наблюдателям проверить правдивость результатов голосования. Вся информация о результатах выборов приходит от ДИТ, который никак не ограничен от корректировки итоговых цифр.

Поэтому мы считаем, что чтобы доказать, что ДИТ не подделывал результаты выборов, имея при этом все возможности для этого, должен:

Если ДИТ не хочет этого делать, то это говорит только об одном — невозможно исключить вариант непубличной корректировки итоговых результатов голосования, и все заявления о блокчейне и шифровании — лишь пиар-ход.

P. S. Я попытался дать выжимку информации, и некоторые нюансы остались за кадром, если у вас остались вопросы, то смело задавайте их в комментариях — я отвечу на все.

Заключение

Нынешняя реализация ДЭГ — плохая. К ней зафиксировано много претензий, а в результатах — много фальсификаций. Все, кстати, обращают внимание на московскую, а шесть других регионов (в которых использовалась несколько другая реализация) остаются в тени. Но проблема не столько с текущей реализацией, сколько с электронными голосованиями в принципе. В отличие от бумажных голосований, они требуют гораздо больше доверия к организаторам выборов и собственному государству, поскольку не дают даже теоретических инструментов для независимого наблюдения в той степени, в которой оно возможно в традиционных выборах.

Это не значит, конечно, что бумажные выборы идеальны — но там хотя бы есть понятные пути для предотвращения вбросов и фальсификаций. Эти пути нужно применять (идти в наблюдатели) и усиливать (а не отбирать, например, публичный доступ к видеонаблюдению, и не обфусцировать результаты выборов). Это будет прогрессивно. А переход к электронному голосованию — это регресс, как бы противоречиво на первый взгляд это ни казалось.

Напоследок предлагаю также посмотреть вот это видео Тома Скотта с критикой электронных голосований — в первую очередь в Великобритании, но он приводит те же аргументы, что привёл и я, которые распространяются на любую такую систему:

Шаг 6. Демонстрация итоговых результатов

Замена фальшивых номеров кандидатов на реальные

Теперь для того, чтобы скрыть подмену, ДИТ меняет номера кандидатов по своей секретной табличке на реальные. Ему ничего не мешает изменить одно число так, чтобы голоса за одного кандидата ушли другому. И уже этот бюллетень с обратно переписанными номерами кандидатов относит на витрину к наблюдателям.

Демонстрация итоговых результатов выборов. Нужно верить ДИТ на слово 🤷‍♂️