Еще одно преимущество ДЭГ — это отсутствие человеческого фактора в процессе организации выборов и подсчета голосов. Жижин утверждает, что это может использоваться для фальсификаций: если человек при голосовании не поставил галочку в графе «проверить мой голос», то его выбор в системе можно поменять.
Инструкция как проголосовать ДЭГ
Мы нашли способ проверить, правильно ли был учтён голос, поданный через систему ДЭГ. Команда разработчиков уже работает над ускорением проверки отложенных голосов в будущих голосованиях. Используя эту транзакцию, участник онлайн-голосования после завершения теста и сборки прежде разделенного ключа расшифрования может проверить, верно ли был учтен его голос. Как узнать номер нужного избирательного участка и как к нему прикрепиться, рассказали в проекте Новости В Общественной палате обсудили совершенствование механизмов наблюдения за ДЭГ. Ранее сообщалось, что Общественный штаб по наблюдению за выборами в Москве предложил экспертам убедиться в корректности подсчёта голосов, осуществляемого системой дистанционного электронного голосования (ДЭГ), с помощью аудита.
Онлайн-выборам продолжают портить репутацию
Для них мы приготовили краткую инструкцию — как проверить свой голос и убедиться, что он был принят и учтён. Центральная избирательная комиссия проводит масштабную тренировку системы дистанционного электронного голосования (ДЭГ). • проверить, что его голос в блокчейне есть, избиратель сможет, проверить, что итоговая сумма голосов получена именно на этих данных — тоже.
Оно проводится с помощью специального портала ДЭГ.
- Россиянам рассказали, как считали голоса в системе ДЭГ в Москве | Москва | ФедералПресс
- Что такое дистанционное электронное голосование
- В «Лаборатории Касперского» рассказали о подсчёте голосов в системе ДЭГ
- 15 ноября 2023 года начинается Общероссийская тренировка ДЭГ
Суд отказался пересматривать итоги электронного голосования на выборах губернатора Подмосковья-2023
Более того, утечка информации может произойти и вообще без прямого участия одного из агентств: разработчиком может быть попросту поставлена в одно или в оба агентства система с бэкдором, сливающая информацию об избирателях третьей стороне. Даже если система поставляется в исходных кодах — а это маловероятно, так как накладывает ещё большие требования на квалификацию каждого из агентств в IT — в огромном объёме этого кода бэкдор можно запрятать так, что его не найдут ещё много-много лет. Иногда этот тезис используется как довод в пользу полного отказа от ДЭГ — и, конечно, он бы был справедлив, если бы другие формы голосования были бы лучше. Например, доводы сторонников классического бумажного голосования сводятся к тому, что физически присутствующие на участках наблюдатели могут проконтролировать каждое действие комиссии и избирателей, не допустив никакого беззакония.
На практике, однако, в России — примерно 97 тысяч избирательных участков. Чтобы эффективно наблюдать за выборами, особенно с учётом трёхдневного голосования, на каждый участок надо хотя бы по 3 наблюдателя хотя бы от 5 разных партий — то есть почти полтора миллиона человек. Причём это должны быть люди обученные, заинтересованные, знающие формальные процедуры проведения выборов, не состоящие в родстве или подчинённых отношениях с членами комиссии, не состоящие в сговоре друг с другом, и прочая, и прочая.
Очевидно, что подготовить такую армию качественных наблюдателей попросту невозможно — в результате наблюдение за голосованием эффективно работает в городах-миллионниках, а дальше, по мере снижения численности населения и значимости населённого пункта, падает до тех пор, пока не начинаются чудеса. Более того, и пересчёт бюллетеней — второе средство, должное спасти выборы — в большинстве случаев не поможет, так как многие способы фальсификации результатов оставляют после себя формально валидную стопку бюллетеней, которые уже можно честно считать и пересчитывать сколько угодно раз. Значит ли это, что выборы вообще надо отменить, так как эффективных средств контроля за ними на практике нет?
Очевидно, нет. Ещё Черчилль отметил, что демократия — худшая форма правления, если не считать всех остальных, испробованных человечеством. Вопрос в том, какими средствами можно улучшить существующую систему голосования, снизив вероятность и масштаб фальсификаций в ней.
Например, в случае бумажного голосования таким средством могут стать КОИБы комплексы обработки избирательных бюллетеней , подсчитывающие бюллетени в момент их подачи избирателем и тем самым пресекающие постфактумные манипуляции с ними. Да, вопрос доверия к ним — тоже больной см. То же самое касается и ДЭГ.
Главный вопрос не в том, что в Википедии описана реализация сферического ДЭГ в вакууме — вопрос в том, можно ли техническими средствами построить достаточно надёжную систему ДЭГ в реальном мире. Ослепление избирателя: обеспечение тайны голосования без двух независимых агентств В Эстонии на данную проблему, как мы выяснили ранее, попросту забили: там избиратель подписывает бюллетень секретной частью ключевой пары, публичная часть которой государству известна и с конкретным физлицом сопоставлена. Потом, уже после завершения голосования, эта подпись уничтожается.
В принципе, это всё равно, что вместо записи в книгу избирателей на обычном голосовании прятать свой бюллетень в конверт с ФИО, паспортными данными и подписью — и в таком виде в урну и бросать собственно, аналогия и взята с эстонских государственных порталов. В России, где уровень доверия к выборам и комиссиям и так крайне низок, так вряд ли бы получилось. Поэтому в российском ДЭГ был использован значительно более сложный механизм, именуемый « слепой подписью », смысл которого в том, чтобы в двух агентствах — неважно, независимы они или нет — попросту не существовало бы единого признака, по которому они могли бы сопоставить избирателя и его бюллетень.
Если пытаться изложить это максимально кратко, схема выглядит так: Избиратель заходит на сайт голосования и авторизуется через ЕСИА в простонародье «Госуслуги», но мы-то с вами знаем, что это разные системы. Система ДЭГ, получив из ЕСИА данные учётной записи избирателя, проверяет, есть ли он в книге избирателей, и выдаёт бюллетени, соответствующие выборам, проходящим по его месту жительства. На бюллетенях нет никаких идентификационных признаков, они одинаковы до последнего бита у всех избирателей.
На устройстве избирателя код выполняется в браузере генерируется ключевая пара — секретный и публичный ключ. Назовём публичный ключ K, а секретный — S.
Нажмите кнопку «Продолжить». Далее откроется анонимная зона, где вы можете сделать выбор. Ознакомьтесь со всеми кандидатами списками кандидатов в бюллетене. Для этого пролистайте страницу вниз. После ознакомления со всеми представленными вариантами Вам станет доступна возможность осуществления выбора по данному бюллетеню.
Нажмите на квадрат напротив варианта волеизъявления, в пользу которого хотите сделать выбор. После нажатия на квадрат, в нем появится отметка, а кнопка «Проголосовать» внизу бюллетеня станет активной. Нажмите на эту кнопку. После нажатия на кнопку «Проголосовать», у Вас будет запрошено подтверждение сделанного выбора.
Да, система ДЭГ явно не идеальна. Но есть ли прямые доказательства фальсификаций? Прямых доказательств нет. Оппозиционеры считают, что фальсификации проводились в той части системы ДЭГ, которая неподконтрольна внешним наблюдателям: Мог использоваться «излишек» избирателей, зарегистрированных помимо сайта mos. Условно этот вариант фальсификаций можно назвать «вбросом голосов».
Могла использоваться неподконтрольная наблюдателям система переголосования для того, чтобы без участия самих избирателей поменять их голоса, поданные за оппозицию, на голоса за «Единую Россию» и кандидатов из «списка Собянина». Условно этот вариант можно назвать «перебросом голосов». Сторонники власти и «чистоты» электронного голосования объясняют победу «Единой России» и ее кандидатов в ДЭГ так: Те, кто традиционно поддерживают власть в частности, работники бюджетной сферы, силовики и чиновники , были «мобилизованы» именно на то, чтобы принять участие в электронном голосовании. Оппозиция при этом уверена, что в этой «мобилизации» были нарушения закона. Часть работников бюджетной сферы и госпредприятий могли заставить голосовать на рабочем месте в присутствии начальства. Другой обсуждаемый вариант — начальство требовало от сотрудников передать контроль над аккаунтами для голосования. Впрочем, доказательств таких массовых нарушений предъявлено не было, и это дает сторонникам власти возможность говорить, что «мобилизация» голосов в ДЭГ носила законный и практически добровольный характер. Сторонники власти также отмечают, что многие оппозиционеры занимались «демобилизацией» желающих голосовать электронно. То есть просили сторонников прийти на «физические» участки, где процесс голосования и подсчет голосов относительно надежно контролировали независимые наблюдатели.
Нетрудно понять, что вариант с «мобилизацией» провластных избирателей должен был отразиться на итогах выборов так же, как вариант фальсификаций «вбросом голосов». А сочетание его с «демобилизацией» на электронном голосовании оппозиции дает эффект, в целом похожий на «переброс голосов». Однако, как заметила экономист и специалист по работе с данными Татьяна Михайлова а также другие экономисты , внешний наблюдатель, внимательно анализирующий итоги выборов, все же может найти отличия возможных фальсификаций от «мобилизации» законной или не очень и «демобилизации». Чтобы понять это, нужно разобраться, какие результаты у разных партий и кандидатов следует ожидать при разных вариантах «фальсификаций» и «мобилизаций». Честная или нет «мобилизация» сторонников власти в ДЭГ В случае, если сторонников — реальных или подневольных — «нагоняли» в систему электронного голосования, можно ожидать роста доли голосов по сравнению с обычными участками , поданных за «Единую Россию» и кандидатов от власти. Но это не единственный ожидаемый эффект. Доли всех остальных партий а не только оппозиционных должны пропорционально снизиться — опять же по сравнению с «бумажными» участками — просто из-за того, что выросла доля партии власти. Причем это снижение будет наибольшим в тех округах, где больше «мобилизованных» властью избирателей. Округа, где есть для этого большой ресурс, известны: это восток и юго-восток Москвы, традиционно поддерживающие власть намного сильнее, чем юго-запад, запад и север.
Доля «Единой России» и провластных кандидатов растет, доля всех прочих партий и кандидатов падает. Но при этом следует ожидать, что доля кандидатов власти будет расти сильнее, а доля всех прочих будет снижаться сильнее там, где требуются наибольшие усилия по «корректировке» результатов. Это округа, где традиционно сильна оппозиция: например, на юго-западе Москвы. А доля КПРФ и других партий, советовавших сторонникам голосовать «на бумаге» например, «Яблока» , упадет еще сильнее. Доля прочих партий изменится по-разному в разных округах. В тех из них, где сильны сторонники власти, масштаб «мобилизации» будет больше, чем отток протестных избирателей, — просто потому что база поддержки власти там больше, чем база поддержки оппозиции. Из-за этого совокупная доля голосующих за власть и за оппозицию вырастет, а доля «нейтральных» списков и кандидатов упадет. Там же, где сильна оппозиция, в теории должны наблюдаться противоположные тенденции. Эффект «демобилизации» протестных избирателей в ДЭГ там теоретически должен быть более ярко выражен, чем эффект «мобилизации» избирателей провластных.
То есть в целом доля голосовавших за власть и за оппозицию должна быть меньше, а доля всех прочих партий — выше, чем на «бумажных» участках. Там же, где доли традиционно голосующих за власти и сторонников оппозиции близки по размеру, доля всех прочих партий не изменится. Главное отличие: если голоса с помощью «переголосования» от имени реальных избирателей или других манипуляций отнять у КПРФ и кандидатов оппозиции и «передать» их «Единой России», их совокупная доля не изменится. Если «переброс» использовать во всех 15 округах, то и доля прочих партий не изменится во всех этих округах. И какой же вариант похож на правду? Теперь можно оценить, какой из вышеописанных эффектов больше всего совпадает с реальностью. На этом графике изображены изменения долей «Единой России», КПРФ и всех прочих партий в сумме по сравнению с «бумажным» голосованием. Нетрудно заметить, что совокупная доля прочих партий фактически осталась неизменной во всех 15 округах. Доля «Единой России» больше всего выросла не там, где находится ее самая важная база поддержки — в округах на востоке и юго-востоке, — а в традиционно оппозиционных районах, где «фальсификаторам», если они хотели обеспечить победу власти, теоретически потребовались бы особенно сильные манипуляции.
Однако дискуссия об этом толковании и поиски альтернативных объяснений продолжаются: почитать об этом можно тут, тут и тут. Кроме того, теория о «перебросе» голосов с помощью фиктивного переголосования в Москве не может объяснить тот факт, что в трех регионах из шести, где, помимо столицы, проходило электронное голосование в Мурманской, Ярославской и Ростовской областях , наблюдаются очень похожие тенденции.
Эта ошибка даёт избирателю возможность повторить отправку бюллетеня — что он и сделал. Второй бюллетень также был записан в блокчейн, но так как на обоих бюллетенях стояла одна и та же цифровая подпись — система определила, что он является дублем первого, и не будет учитывать его при подсчёте голосов. В транзакции блокчейна об этом есть соответствующая запись, наличие которой могут проконтролировать наблюдатели», рассказал Олег Артамонов.
Это ещё раз демонстрирует прозрачность и высокую устойчивость федеральной системы ДЭГ к любым возможным внешним возмущениям», заключит IT-эксперт. В настоящее время общероссийская тренировка федеральной платформы ДЭГ продолжается.
Московский штаб решил пересчитать голоса ДЭГ
А вот голоса тех, кто возвращался к бюллетеню и мог менять свое решение, система сейчас проверяет, чтобы учесть именно последний голос, — заявил Алексей Венедиктов. Система ДЭГ помогает отдать свой голос на выборах без посещения избирательного участка, а онлайн, в любое удобное время. Мне же в этой истории более интересно, будет ли текущий блокчейн идентичен блокчейну, использованному в ДЭГ, и можно ли это проверить.
Общественный штаб рассказал о том, как проверяют голоса с «отложенным решением»
Если вы видите информацию о своем избирательном участке, значит, ваши данные проверены и можно подавать заявление на участие в ДЭГ или выбрать любой участок для личного голосования, нажав на «Выбрать участок». позволит избирателям заранее ознакомиться с процедурой ДЭГ, проверить совместимость используемого устройства и Интернет-браузера на соответствие минимальным требованиям корректной работы портала ДЭГ. Как узнать, что вы зарегистрированы на голосование. Это можно проверить на сайте Интерфакс: По результатам обработки дистанционного электронного голосования (ДЭГ) в Москве Владимир Путин набирает 89,1% тствующие данные были озвучены в воскресенье вечером в Мосгоризбиркоме (МГИК).Как сообщила на заседании глава. Подобные испытания уже проходил портал «Госуслуги», и, вероятно, ДЭГ проверят таким же образом, предположил он. В будущем команда «Лаборатории Касперского» учтет этот недостаток и сделает всё необходимое для того, чтобы ускорить проверку отложенных голосов.
Общественный штаб: Сомневающиеся могут убедиться в корректном подсчете голосов ДЭГ
То есть это был доступ в самое сердце системы, без каких-либо дополнительных фильтров, визуальных отображений. Вот, голые цифры, на основании которых, собственно говоря, и рассчитываются результаты. Поэтому вот этот троекратный инструмент для наблюдения - это хороший шаг вперед для системы электронного голосования и развития этих инструментов наблюдения. Будем работать в дальнейшем», - подчеркнул Сазонов. Он добавил, что в ходе голосования постоянно велся мониторинг работоспособности сети блокчейн. И они отработали полностью штатно. То есть все голоса, которые поступили от избирателей блокчейн записались.
Атака сбоку: раскрытие тайны голосования через логгирование Тем не менее, все мы понимаем, что теоретически бюллетень и избирателя можно сопоставить по косвенным данным — ведя на серверах системы детальные логи: IP-адрес, браузер, время отправки и получения бюллетеня, а потом сопоставив на одном компоненте их с ФИО избирателя, а на другом — с бюллетенем. Доказать полную невозможность реализации такой схемы нереально. Ни реализация сферического протокола двух агенств в вакууме, ни аудит исходных кодов, ни допуск независимых экспертов в ЦОД — ничто из этого не даёт гарантии, что где-то в системе не осталась хорошо спрятанная закладка, логгирующая и сохраняющая или отправляющая данные, позволяющие идентифицировать избирателя. Поэтому оценка подобной угрозы также делается по косвенным признакам: есть ли основания полагать, что в системе предусмотрена такая возможность? Естественно, на оба вопроса ответ может быть только вероятностный — но, с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят. Ответы на подобные вопросы каждый должен дать себе сам, однако приведём наши варианты вместе со стоящей за ними логикой. Тем не менее, последний вопрос — довольно серьёзный, ведь если такие списки существуют, как утверждает Александр Исавнин в недавней статье, то сам этот факт обнуляет все разговоры о соблюдении тайны голосования. По этой причине мы запросили как у Александра Исавнина, так и у его коллеги, члена ТИК и члена технической рабочей группы ДИТ Москвы по электронному голосованию Евгения Федина, есть ли у них какие-то фактические свидетельства наличия таких списков. Александр Исавнин ответил «Вы — наследники сурковской пропаганды!
Наверное, на этом вопрос можно считать закрытым. Соответственно, на данный момент можно с уверенностью говорить, что: в заявленном дизайне системы способов нарушить тайну голосования не наблюдается; так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному; фактических примеров нарушения тайны голосования на предыдущих двух случаях массового использования ДЭГ в России зафиксировано не было. Скрыть нельзя показать: проверка избирателем собственного голоса Ещё один интересный вопрос, косвенно относящийся к тайне голосования — это возможность для самого избирателя проверить, был ли учтён его голос. В московской системе ДЭГ такая возможность есть, хоть и неофициальная — надо было в момент голосования открыть отладочные инструменты браузера и записать передаваемые на сервер параметры, чтобы потом найти по ним свой бюллетень. Бюллетени отправлялись и хранились в блокчейне в зашифрованном виде, однако перед подсчётом голосов они расшифровывались. Такая схема вызывает опасения в том, что проверка голоса может быть использована для обеспечения голосования под давлением или продажи голосов избирателей — в качестве подтверждения «правильности» голосования заказчик потребует предъявить ему результат проверки. По этой причине, в частности, возможность оставалась доступной только для технарей с высокой квалификацией, и не выносилась в интерфейс пользователя. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть и показать другим. Для этого вместо одного ключа шифрования бюллетеня будут создаваться два: единый ключ шифрования, создающийся на отключённом от сети ноутбуке в присутствии СМИ и наблюдателей.
Его секретная половина разделяется на части и раздаётся на флэшках нескольким людям, публичная же на флэшке переносится на сервер голосования, после чего либо данные на ноутбуке уничтожаются также в присутствии СМИ и наблюдателей , либо ноутбук опечатывается и убирается в сейф; ключевые пары, генерирующиеся для каждого проходящего голосования, публичная часть которых передаётся на сервера, а секретная остаётся в HSM — аппаратном модуле, которые позволяет выполнить расшифровку загружаемых в него данных, но не позволяет скачать из него ключ. Оба публичных ключа при выдаче бюллетеня передаются вместе с ним на устройство избирателя, где бюллетень шифруется ими. Зашифрованные бюллетени складываются в блокчейн. Просто так взять и расшифровать бюллетени становится невозможным: так как ответная часть одного из ключей хранится в HSM, расшифровка доступна только людям, имеющим к данному HSM доступ. Но для подсчёта голосов это и не требуется: в федеральной ДЭГ используется гомоморфное шифрование, которое позволяет сначала складывать данные, а потом расшифровывать результат. Чтобы подвести итоги голосования: бюллетени, зашифрованные двумя ключами, складываются, в результате чего в силу гомоморфности используемых алгоритмов шифрования получается зашифрованный теми же двумя ключами результат сложения; результат сложения отправляется в HSM, где с него снимается первый ключ; владельцы флэшек с частями второго ключа собираются вместе снова в присутствии СМИ и проводят процедуру сборки ключа из его частей; собранный ключ публикуется, с его помощью окончательно расшифровывается результат голосования. Обратите внимание, что в процессе нигде не производится расшифровка индивидуальных бюллетеней, невозможно это сделать и самостоятельно — для этого нужен доступ к HSM. В результате избиратель может найти в выгрузке блокчейна свой бюллетень и может проверить, что он действительно его и не был никем модифицирован так как бюллетень подписан на устройстве избирателя — но при этом не может посмотреть, а также кому-либо показать, как именно в бюллетене были проставлены галочки. В будущем, по словам разработчиков, это может стать базой для функционала выдачи избирателю криптографически подтверждённой квитанции о том, что его голос учтён принят и загружен в блокчейн.
В ином случае при публикации ключа нужно было бы расшифровать не только количество голосов, но и каждый голос отдельно. Третий механизм базируется на дизъюнктивном варианте протокола доказательства с нулевым разглашением Чаума-Педерсена и применяется в ДЭГ для доказательства корректности содержимого каждого бюллетеня. Он гарантирует невозможность принятия бюллетеней, с которыми голосующий провел непредусмотренные системой манипуляции. Например, отметил несколько кандидатов, когда предполагается выбор только одного. Проблема заключается в том, что бюллетень зашифровывается на устройстве голосующего, и система не может тривиально его проверить.
Такая процедура необходима для корректности результатов. А вот голоса тех, кто возвращался к бюллетеню и мог менять свое решение, система сейчас проверяет, чтобы учесть именно последний голос, — заявил Алексей Венедиктов.
По его словам, отложенным голосованием воспользовалось около 16 процентов зарегистрированных в системе онлайн-голосования граждан.