Химич Роман (totaltelecom) wrote,
Химич Роман
totaltelecom

Category:

Размышления на тему дистанционного голосования

Sean Brian Townsend поделился своими размышлениями на тему дистанционного (оно же удалённое) голосования на выборах, способного обеспечить анонимность и защиту от фрода. В качестве основных угроз он предложил принять массовый вброс фальшивых и скупку реальных голосов. В качестве упражнения в нашей с Егором Чуриловым концепции доверия в цифровой среде решил попробовал свои силы в решении данной задачи.

Для начала предлагаю определить общественно значимую проблему, для которой целесообразно возиться с удалённым голосованием. На мой взгляд, речь должна идти исключительно о голосовании украинских граждан, находящихся за пределами нежно любимого Отечества. Во всех прочих случаях изобретать цифровой велосипед не стоит, существующая технология надёжнее любых подобных изысков.


Как только речь заходит про удалённое голосование, даёт о себе знать один примечательный, но и характерный дефект мышления. В силу очевидных причин идея именно УДАЛЁННОГО взаимодействия слипается в сознании добрых граждан с идеями автоматизации, во-первых, неограниченного масштабирования, во-вторых, и централизации, в-третьих. Мол, раз уж мы ищем или уже нашли способ учитывать волеизъявление дистанционно, рассуждают они, так давайте сразу и автоматизируем этот процесс. А раз мы решили его автоматизировать, логично же придать этой автоматизации масштаб настолько большой, насколько это возможно. А естественная потребность сэкономить на масштабе подводит к идее централизованной обработки обрабатываемой информации.

Даёшь миллион голосов посредством Всеукраинского вычислительно-голосовательного центра, десять даёшь!

Однако по зрелом размышлении именно автоматизация, централизация и масштабирование в случае голосования оказываются факторами риска.

Автоматизация сопряжена с размыванием, вплоть до полного неразличения, персональной ответственности за нарушения регламентов и процедур, в том числе нарушения злонамеренные. Пока ключевые операции в процессе голосования - идентификацию гражданина, его авторизацию в качестве участника процедуры голосования (не голосовал ли уже, регистрировался ли на данном участке и т.п.), подсчёт голосов, наконец, - выполняет другой гражданин, этого другого завсегда можно привлечь, изобличить и, буде таковая необходимость, расточить. В том числе без остатка - пожизненно и с конфискацией.

Если же мы доверяем эти операции программному коду или даже остромодному "программно-аппаратному комплексу", вопрос об ответственности в случае сколь угодно жестокого fuck up повисает в воздухе. Ни сисадмин, допустивший немыслимое, ни, тем более, разработчик, настрогавший неописуемое, ни даже поставщик "решения", получивший за него сколь угодно безумные деньги под суд, в общем случае, не пойдут и даже разговоров об этом не потерпят на этапе обсуждения смелого проекта.

Стоит напомнить, что самый общий (и общепринятый, заметим) подход в этих ваших интернетах заключается в том, что сервис, услуга и прочий цифровой продукт принимается как есть, в рамках априорного представления о несовершенстве мира, его существования как юдоли страданий, где и нелепо, и неприлично задаваться вопросами наподобие "Доколе?", "Кто написал эту х*ню?", "Кто виноват?" и "А меня-то за что?"

Автоматизация тянет за собой вторую фундаментальную проблему и вызов для доверия в цифровой среде. Автоматизация целевой деятельности открывает возможность для автоматизации и соответствующего фрода, т.е. его масштабирование. Теоретически не вопрос подкупить рядового избирателя или даже члена комиссии или всех членов сразу. Однако подкупив одну территориальную комиссию, вы получаете контроль над всего лишь одной комиссией из более чем 30 тысяч. При этом с членами каждой из этих 30 тысяч комиссий, разбросанных по всей стране, вам нужно договариваться отдельно.

Децентрализация системы осуществления волеизъявления граждан вкупе с громоздкими процедурами бумажной отчётности сами по себе обеспечивают довольно высокую устойчивость к попыткам злонамеренного вмешательства. Если у вас авторитарное государство, эффективная охранка или тонтон-макуты, всё схвачено, за всё заплачено, тогда да, можно ставить фальсификации на поток и никакая децентрализация вам не помеха. Но это если у вас есть всё вышеперечисленное.

Централизация автоматизированной обработки создаёт предпосылки для неограниченного масштабирования фрода, невозможности ему эффективно противостоять или хоть как-то нивелировать его влияние.

Раз так, нужно помыслить схему взаимодействия граждан и государства, которая позволяет голосовать на выборах дистанционно, но без автоматической обработки информации. Также не должно быть использования всевозможных токенов и т.п. функциональных аналогов бюллетеня (артефактов, воплощающих отчуждаемое право на волеизъявление), поскольку они позволяют осуществлять скупку голосов для контролируемого вброса.

Садитесь поближе, мои маленькие друзья. Щас спою.

Итак, гражданин или гражданка посредством любого VoIP-сервиса с функцией видеосвязи в день голосования связывается со специализированной избирательной комиссией (ИК). Таких комиссий должно быть много, и чтобы упростить обработку БУМАЖНЫХ бюллетеней, и чтобы усложнить попытки взлома. Сетевой индентификатор своей комиссии граждане получают в процессе предварительной регистрации, процедура которой аналогична нижеописанному, поэтому я не буду на ней останавливаться.

Сотрудник ИК идентифицирует гражданина/гражданку самым примитивным образом - попросив показать в камеру удостоверяющий документ с фотографией. Сличаются, во-первых, физиономия предъявителя и фото в документе. Во-вторых, по соответствующему реестру сличается фото в документе и его реквизиты с эталонными данными.

Итак, удалённая идентификация происходит (или не происходит) самым примитивным, дедовским способом. Если лицо человека, который видит сотрудник ИК, примерно совпадает с тем, что значится в удостоверяющем его документе (взятом из реестра), а то, что человек держит в руках выглядит (потрогать же нельзя, мы помним) как оный документ, значит всё в порядке.

Я исхожу из того, что организовать не просто массовую, но ЗНАЧИМУЮ, хотя бы пару процентных пунктов от общего количества избирателей, т.е. 400-600 тыс. человек, фальсификацию биометрических (человеческой внешности) данных чересчур сложно. Нужно слишком много людей, готовых очень быстро менять парики и грим. Подделка объектов физического мира, таких как человеческая внешность, не то чтобы сложна, но плохо масштабируется. Слишком много возни, трудозатрат.

Если качество связи и картинки/звука недостаточно для уверенной идентификации, это проблемы гражданина. Пущай ищет более качественный дома, в соседнем городе и т.п. Невозможность для значимого количества граждан принять участие в голосовании ввиду технических причин не должна рассматриваться как проблема. Учитывая, что сейчас имеют возможность проголосовать порядка 0,1% украинцев за рубежом, голосование даже 5% или 10% уже весьма значимое достижение.

После успешной идентификации наступает этап аутентификации, т.е. выяснение полномочий принимать участие в голосовании.

Напомню, что ранее гражданин должен зарегистрироваться для участия в голосовании, получив номер ИК, куда должен обращаться в день выборов. Соответственно, каждая ИК располагает пофамильным списком избирателей, которые имеют право голосовать у неё. Если избиратель ещё не голосовал, его авторизуют, отмечая этот факт в привычном нам бумажном списке зарегистрированных на этом участке избирателей. Всё как сейчас. Естественно, сотрудник, который делает отметку, ставит свою подпись. Каждое юридически значимое действие фиксируется на бумаге и сопровождается подписью ответственного сотрудника ИК.

Итак, избиратель авторизован для волеизъявления. Сотрудник ИК нажимает условную кнопку и на экране у избирателя появляется таблица, где напротив имени каждого кандидата значится некое условное слово, например, "Синий" или "Одиннадцать". У сотрудника эта таблица выводится в урезанном виде, в ней нет имён кандидатов, только условные слова.

ВАЖНО! Условное слово генерируется и сопоставляется имени кандидата ситуативно, в ходе каждого сеанса связи ИК с избирателем. Сотрудник ИК не знает, какие условные слова сопоставлены каким кандидатам. Он вообще не видит содержание таблицы, её генерирует ПО на стороне ИК. Как это сделать - неважно. От корявого электромеханического табло, развёрнутого к видеокамере так, чтобы его не видел сотрудник ИК, до микширования видеосигнала средствами VoIP-клиента - вариантов безліч.

Сотрудник ИК спрашивает "Ваш выбор?", а избиратель называет условное слово, соответствующее его кандидату. Сотрудник выбирает это же слово в своей таблице, избиратель видит/слышит подтверждение на экране, таинство выбора совершено. Клиентское ПО рабочего места сотрудника ИК посылает на печать две бумаги, каждая из которых печатается на отдельном принтере.

Один из принтеров печатает бумажки, который содержат имя кандидата, за которого только что проголосовали. Эти бумаги попадают прямо в изолированный и опечатанный ящик, функциональный аналог урны для голосования. Никто не должен видеть их содержимое до момента подсчёта голосов.

Вторая бумага содержит имя избирателя, имя сотрудника, отметку времени и что ещё может быть полезно на случай оспаривания результатов и для фиксации ответственности сотрудника. Эти бумаги формируют журнал/протокол голосования. Сотрудник ИК показывает гражданину его листок с отметкой о голосовании, говорит спасибо. Сеанс связи завершается.

Разумеется, сеанс (данные с видеокамеры и микрофона сторон) записывается на случай оспаривания.

По завершении голосования комиссия обычным образом вскрывает урны, пересчитывает и отправляет наверх результаты, сверяет количество проголосовавших и т.п. Попросту говоря, я предлагаю воспроизвести традиционную схему голосования, только на иной технологической базе. Производительность такого ИК не должна сильно отличаться от традиционной. Технические решения представляются мне несложными, защита их - возможной.

Взломать процедуру идентификации возможно, но массово? Не верю. Покупать голоса возможно, как и сейчас, когда люди делают в кабинке фото бюллетеня с отметкой напротив нужного кандидата. Эту задачу даже не нужно пытаться решить. А вот скупать бюллетени для последующего массового вброса на подконтрольных участках не получится. Нет артефакта, который можно отчуждать с последующими манипуляциями, всё нужно делать по ходу сеанса.

Можно дидосить, не давать голосовать, таким образом влияя на итоговую картину.

Вбрасывать поддельные голоса в массовом порядке я (пока) не вижу как.

Разумеется, было бы хорошо добавить пупырок. Например, сделать отдельный клиент для избирателей, заверенный электронной подписью ЦВК или даже лично Его ясновельможности Головного Отамана или кто там у нас будет лет через пять. Хорошо бы иметь MobileID как ЕЩЁ одно средство аутентификации избирателя уже по ходу сеанса. Подписывать, например, с её помощью протокол.

Дело в том, что MobileID использует т.н. сигнальный трафик, в который очень непросто влезть. Самое главное, чтобы влезть туда, нужны физические объекты - фейковые соты и т.п. устройства. Т.е. это также плохо масштабируется. Благодаря наличию MobileID возможно выяснять примерное месторасположение смартфона, на котором установлен клиент для голосования. Эти данные выдаст оператор, в чьей сети карта обслуживается. Взломать такую схему, не оставляя следов, повсеместно (глобально) и в массовом порядке я не представляю как. Возможно, просто не хватает фантазии.

В общем, панацеи и волшебной палочки я не изобрёл, а как рабочая схема для реальной жизни мне представляется реалистичной. Впрочем, давайте критиковать.
Tags: digital identity
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments