A! Fredome is a noble thing
 Fredome mays man to haiff liking.
 Fredome all solace to man giffis,
 He levys at es that frely levys.
 A noble hart may haiff nane es
 Na ellys nocht that may him ples
 Gyff fredome failyhe, for fre liking
 Is yharnyt our all other thing.
 Na he that ay has levyt fre
 May nocht knaw weill the propyrte
 The angyr na the wrechyt dome
 That is couplyt to foule thyrldome,
 Bot gyff he had assayit it.
 John Barbour, Brus Book I [26]
 
 

Передісторія

Червень, 2024 рік. Група заможних та впливових чоловіків сидить в кімнаті відпочинку десь далеко в горах Сан-Бернардіно, 129 кілометрів на схід від Лос-Анджелесу. Кімната наповнена густим та їдким димом сигар. Але ця густа завіса є не чим іншим, як сморід від грабунку керівництва всієї країни. Чоловіки розмовляють та сперечаються – хто з кандидатів стане президентом, сенатором, тощо.

Цей безлад в США почався ще 24 роки тому під час суперництва Буша та Гора на виборах 2000 року. Переможця визначали більше місяця через конфлікти у підрахунку голосів у Флориді. Зрештою, Джордж Буш був визнаний переможцем у Флориді з перевагою в 537 голоси, або 0,009% [1]. Рівень конфліктності просто зашкалював, охоплюючи заплутані бюлетені, помилки з перфокартами та відхилення в повторному підрахунку.

В результаті, люди з добрими намірами звернулися до комп'ютерів щодо вирішення проблем з голосуванням в США. Зрештою, комп'ютери спростили усі інші життєві проблеми, – думали вони. Але усі ці люди поводилися трохи зарозуміло, адже вони не розуміли, як працюють технології. Через комп'ютер вони виконували банківські операції, спілкувалися, робили покупки – то ж чому б не використати його і для голосування. Але вони не розуміли глибини проблем комп'ютерної безпеки, і не розуміли, чим голосування так відрізняється від вищезгаданих завдань. Експертів з безпеки, які майже в усьому світі висловлювалися проти електронного голосування, називали параноїками.

У відповідь на громадський запит Конгрес прийняв Акт про допомогу Америці в голосуванні, націлений на заміну перфокарткових та важільних машин для голосування [38]. В результаті, наші вибори стали залежними від примх впливових груп, які контролюють виборчі сервери. У цій статті ми критично розглянемо проблеми, які з самого початку стають на перешкоді голосування онлайн.

Чому люди хочуть голосувати онлайн

Перш ніж ґрунтовно досліджувати вади онлайн-голосування, потрібно відповісти на запитання, чому люди хочуть голосувати онлайн? Причин декілька: 1) залучення громадськості; 2) гроші; 3) жага влади; 4) техноманія.

Деякі активісти вважають, що онлайн-голосування підвищить явку виборців і таким чином збільшить залучення громадськості. З цього випливає питання: “Чи може онлайн-голосування суттєво підвищити явку?” В 2002 р. було застосовано пробне онлайн-голосування на деяких місцевих виборах в Великій Британії, що підняло явку на 3,5% [6]. Однак неможливо довести, що саме онлайн-голосування стало причиною підвищеної явки [6]. Навіть якщо б явка виборців зростала на 50%, це не дуже мудро – підвищувати її за рахунок надійності виборів. Будь-хто в США може проголосувати поштою, надіславши форму та повернувши заповнений бюлетень, отриманий поштою. Якщо для когось участь в демократичних процесах не є достатньо важливою, щоб надіслати папірець поштою, то чи повинні ми прогинатися, щоб поширити демократію на їхньому рівні?

Невід'ємною проблемою онлайн-голосування є гроші, оскільки системи для голосування приносять високі прибутки. Уряд Сполучених Штатів рідко коли вирішує шукати рішення через перспективи відкритого вихідного коду. Якщо онлайн-голосування коли-небудь насправді буде затверджено законодавством, компанії закидають уряд різноманітними перебільшеннями щодо безпеки своїх систем, щоб укласти вигідний контракт на розробку системи. Окрім того, у випадку з електронними машинами для голосування, компанії досить довго лобіювали віднесення їхнього вихідного коду до комерційної таємниці. Їхнім патентним повіреним було все одно, що ми ввірили компаніям цілісність нашої демократії.

Іншим аргументом є те, що онлайн-голосування дозволить скоротити витрати на проведення виборів. Хоча є така можливість, все ще невідомо наскільки розробка та утримання технологій виявиться дешевшою, аніж голосування з використанням паперових бюлетенів. Більш того, основною ціллю виборів є не їхнє здешевлення, а отримання надійних результатів. Немає жодного сенсу підривати вибори, щоб зекономити гроші.

Чому ті, хто прагне влади, виступають за онлайн-голосування? Це питання має дуже довгу історію. Босс Твід, політик-корупціонер з Нью-Йорка, який накрав від 1 до 8 мільярдів доларів по курсу 2010 року [8], сказав: “Що ви зможете вдіяти, якщо я маю доступ до підрахунку голосів?” [35]. Найпростішим способом фальсифікації виборів завжди був (і досі є) контроль службовців, залучених до підрахунку голосів. Такі підтасування здійснюються на місцевому рівні, однак, вважається, що в Сполучених Штатах недоцільно фальсифікувати федеральні вибори в окремих округах.

Це, звичайно, могло трапитися в США, і точно траплялося в інших країнах. Наприклад, вибори 2011 року в Росії, під час яких було багато повідомлень про численні та серйозні порушення на загальнодержавному рівні [39]. В Гані також відмічалося багато скарг на масові порушення, націлені на фальсифікацію виборів 2012 року [40].

Однак навіть в тих країнах, де таке можливо, виборчі фальсифікації вимагають скоординованих зусиль, щоб успішно завершитися, включаючи лояльні політичні апарати (або серйозну силову загрозу). Онлайн-голосування ж значно спрощує фальсифікацію, оскільки це можна зробити одиночним ударом по центральному серверу підрахунку або невеличкою програмкою на багатьох дільничних серверах. Хто б не захотів контролювати програму, яка підраховує голоси? В найгіршому випадку, результати можуть бути підтасовані на державному рівні, але навіть якщо кожен регіон чи округ матиме власні системи, групам впливу можуть отримати контроль над місцевими виборами.

Врешті-решт, техномани можуть залишатися рушійною силою в просуванні інтернет-голосування. Це люди, які хочуть нових технологій тільки тому, що вони люблять нові технології. Насправді я сам полюбляю найгарячіші новинки і найкращі продукти. Але в деяких випадках як, наприклад, онлайн-голосування, ми повинні впевнитися, що нові технології справді покращать ситуацію. А щодо техноманів, я щиро прошу їх бути стриманими і думати про наслідки голосування онлайн, а не вискакувати з штанів домагаючись його, нехай навіть з найкращими намірами.

Еволюція підрахунку голосів

До Американської революції під час голосування виборці називали вголос своїх обранців, а клерки записували вибір навпроти їхніх імен [2]. Це дозволяло легко перевірити підрахунок голосів, але, очевидно, давало дорогу для відплати, підкупу тощо. До Американської революції використання таємного голосування досліджувалося в Америці та Франції. Конституцією Франції 1795 року було зобов'язано “проводити всі вибори шляхом таємного голосування” [2].

Звичайно, разом з голосуванням бюлетенями прижилося і вкидання бюлетенів. В 1856 році комітет пильності в Сан-Франциско знайшов скриньку для голосування з потаємним дном, в якому були заховані бюлетені. Вона виглядала пустою під час обстеження до голосування, а після закриття дільниць ці приховані бюлетені могли бути підмішані до інших. Найперше рішення цієї проблеми було дуже простим: Елан Каммінс та Семюел Джолі запатентували в 1858 році прозорі скриньки для голосування. Дизайн був дуже простим: скляна куля в дерев'яній рамці, через яку було видно бюлетені від початку голосування до підрахунку. Цей же принцип досі використовується в багатьох країнах, хоча скло здебільшого замінено на пластик [41].

За двадцять років до використання скляних скриньок для голосування, Народна хартія 1838 року в Британії вже містила опис машини для голосування. Я наполягаю, щоб читач сам подивився на неї на картинці [42], але загалом система була наступною: виборці вкидали мідні кульки в отвір, навпроти імені кандидата, що відображало голос в шкалі.

В 1892 році Автоматичну кабіну для голосування Маєрса було вперше представлено в Сполучених Штатах [43]. За словами Дугласа В. Джонса з Університету Іова ці машини 1890-х були передовими технологіями, з колосальною кількістю рухомих частин. Ці машини не реєстрували голоси за кожним виборцем, а мали прості лічильники навпроти імен кандидатів, які відображали загальну кількість отриманих голосів для кожного з них.

Виборчі фальсифікації вже були величезною проблемою при застосуванні цих механізмів, і не є новими стосовно онлайн-голосування. Єдине, що мене турбує, – це розмах таких фальсифікацій. В 1934 році Джозеф П. Харріс опублікував звіт по виборчим махінаціям в Сполучених Штатах [44]. Він поділив махінації на наступні:

  • Махінації під час реєстрації – реєстрація мертвих, неіснуючих виборців тощо. Голосування в день виборів відбувається під фальшивими іменами.
  • Повтори – люди голосують на різних дільницях під цими фальшивими іменами або навіть використовуючи імена існуючих виборців.
  • Вкидання бюлетенів – чиновники, які контролюють перебіг голосування, вкидають пачками бюлетені до скриньки. Для уникнення очевидних проблем під час підрахунку, вони викреслювали імена виборців, які не проголосували за кожен вкинутий бюлетень.
  • Ланцюжкове голосування (карусель) – виборці отримують вранці бюлетені з позначками. Ці виборці повинні вкинути вже заповнений бюлетень та повернути пустий бюлетень, отриманий на дільниці. Вони отримують гроші при поверненні пустого бюлетеня. Цей процес продовжується весь день. Однак досить мало доказів того, що такі махінації були широко розповсюджені, відзначає Харріс.
  • Допомога виборцям – виборці можуть попросити допомоги під час голосування. Це дуже простий спосіб порушити таємницю голосування, та переконатися, що громадяни голосують “правильно”. Вони можуть попросити допомоги добровільно або ж бути змушені це зробити через погрози.
  • Залякування та примус – місто Чикаго, Округ Іллінойс, вже давно прославилося своєю корупційністю. Харріс відзначає, що гангстери тероризують своєю стріляниною цілі райони міста. Більш того, вони викрадають дітей, щоб прибрати з дільниць рішучих спостерігачів.
  • Зміни в бюлетенях – якщо виборець не голосує за усіх потрібних кандидатів, то співробітник виборчої дільниці може просто додати відмітки навпроти відповідних імен. Також можуть додаватися зайві позначки, щоб зіпсувати бюлетені з позначками за кандидатів, які не повинні пройти.
  • Підміна бюлетенів – дійсні бюлетені викидають, замінюючи їх на інші.
  • Фальсифікація підрахунку та підтасовка результатів. Очевидно, що набагато простіше підтасувати результати під час підрахунку, аніж вносити зміни в бюлетені. В деяких випадках бюлетені взагалі не рахують, а результати просто фальсифікують. Співробітники виборчих дільниць також можуть неправильно читати чи записувати голоси.
  • Внесення змін до результатів – результати голосування на дільниці можуть бути змінені посадовцями виборчих комісій.

Щодо махінацій з машинами для голосування, одним зі способів була поломка зубців лічильного механізму певного кандидата. Це означає, що для цього кандидата голоси не зараховуються, хоч механізм і працює. В 1978 році у Філадельфії проходили вибори, щоб визначити, чи може мер обиратися на ще один термін, оскільки він вже був обраний максимальну кількість разів. Однак під час виборів машини дали збій, зареєструвавши дивовижно високі цифри в округах, які рішуче виступали проти мера. На жаль, так і не було жодного прийнятного звіту про те, чому відбувся збій [2].

Наступною інновацією виборчих технологій стали перфокарти. Самі по собі перфокарти повністю відповідають своїй назві – карти з перфорованими отворами, які пробиваються при голосуванні за певного кандидата. Однак під час президентських виборів 2000 року в Сполучених Штатах було виявлено наступну проблему: під час перфорації деякі отвори в картах пробиваються не повністю, спричиняючи суперечки щодо того, як такі перфокарти рахувати. Приблизно в цей же період стали популярними оптичні сканувальні машини. При використанні цих машин, які багато хто з нас використовував на екзаменах в школі, виборці обводили ручкою чи олівцем свій вибір.

Наступною технологією для голосування була електронна машина для голосування прямого запису, яка ще більш наблизилась до онлайн-голосування. Це були комп'ютери, через які люди голосували, а голоси потім підраховувалися в електронному вигляді. Ці машини точно більш ефективні, аніж підрахунок паперових бюлетенів, але мають багато серйозних безпекових недоліків [47]. Я б із задоволенням розкрив ці питання глибше, але темою цього дослідження є онлайн-голосування.

Де тестують та використовують онлайн-голосування

Розібравшись, чому люди хочуть голосувати онлайн, та розглянувши історію технологій голосування, які існували до цього моменту, нам важливо дослідити, де онлайн-голосування вже було застосоване та що ми знаємо про ці системи голосування. Я почну з Вашингтона, Округ Колумбія, де відбулось винятково рідкісне глибоке тестування системи на імітованих виборах.

В 2010 році в Вашингтоні, Округ Колумбія, було запущено пілотне тестування системи голосування онлайн на місцевих виборах. Перед підрахунком справжніх результатів у вересні 2010 р., Виборча комісія провела пілотне тестування, дозволивши кожному члену суспільства проголосувати для перевірки надійності системи. Однак, через атаку групи дослідників з Університету Мічиган, ініціативу онлайн-голосування було припинено. Дослідникам вдалося захопити контроль над серверами, викрити таємні бюлетені та змінити кінцевий результат голосування. Наступна інформація є підсумком того, що виявила команда Мічигану (копія цього дослідження за посиланням [9]).

Сама система складалася з сукупності фреймворку Ruby on Rails, HTTP-сервера Apache та вільної системи керування реляційними базами даних MySQL. Фронт-енд веб-сервер отримує запити HTTPS від виборців та перенаправляє їх на сервер додатків, на якому розміщене програмне забезпечення та зберігаються бюлетені. Багато брандмауерів працюють для ускладнення атак шляхом блокування вихідних TCP-з'єднань. Дослідники Університету Мічиган відмітили, що система виявлення вторгнень, яка розташована перед веб-сервером, не змогла розшифрувати зв'язки HTTPS, через які проходила їхня атака. Щоб зайти в систему, виборець повинен вказати свій ідентифікаційний номер виборця, ім'я реєстрації, індекс місця проживання, та шістнадцятиричний пін-код з 16-ти знаків. Ці дані надсилалися виборцям поштою.

Бюлетені в форматі PDF заповнювалися виборцями через PDF-рідер та надсилалися на сервер. Щоб зберегти таємницю голосування, вони закодовані через публічний ключ, який видають посадові особи виборчих органів. По закінченню виборів, бюлетені передаються з сервера на автономну машину, в якій розміщено приватний ключ. Ця машина розшифровує та рахує бюлетені. Тільки подумайте – вони заморочилися з утриманням автономної машини підрахунку голосів, але дозволяють їй відкривати довільні PDF файли. :>

Ось кілька прикладів атак команди Мічиган. Вони вкрали публічний ключ, який, хоч і називається публічним, повинен зберігатися в таємниці, оскільки він дозволяє серверній програмі зашифрувати довільні бюлетені, щоб підмінити ними справжні. Викравши ключ, вони справді підмінили усі проголосовані бюлетені на підроблені, з голосами за список, який вони вибрали. Потім вони замінили функцію обробки бюлетенів на модифіковану функцію, яка заміняла кожен проголосований бюлетень на їхній підроблений бюлетень. Це також розбило концепцію таємного голосування, оскільки вони використали нову функцію обробки бюлетенів, щоб прослідкувати за кожним виборцем. Окрім того, незашифровані копії кожного бюлетеня зберігалися до шифрування в тимчасовому файлі через плагін PaperClip Rails, тож вони могли співставити час створення файлу до логів, і знайти хто з виборців як проголосував. Облікові дані бази даних зберігалися в файлі історії bash.

PDF-файл на 937 сторінки з усіма даними реєстрації виборців був також розташований на сервері в тимчасовому файлі. І всі ці дані використовувались також в СПРАВЖНІХ виборах, а не тільки в пілотному тестуванні. Якщо б справжні вибори не скасували, вони могли б використати ці дані, щоб проголосувати замість реальних виборців.

Звичайно, що закінчивши свою атаку, вони витерли записи журналу та всі свої файли з каталогу серверів додатків.

Щоб остаточно відмітити своє проникнення в тил системи голосування онлайн, вони запрограмували програвання бойової пісні Університету Мічиган на сторінці підтвердження, після кожного відданого голосу.

Незважаючи на цю музичну візитну картку, посадовці Округу Колумбія помітили атаку і зупинили пілотне тестування тільки через 36 годин (після отримання ще однієї розсилки від тестувальника, в якій запитувалося, яка пісня грає після вдалого голосування, що викликало підозру).

Є дуже багато інших прикладів використання онлайн-голосування. В наступних прикладах я згадаю країни, в яких використовувалось онлайн-голосування, і яке не обов'язково було підірване, але я все ж скористаюся можливістю відзначити моменти, які викликають в мене занепокоєння.

Канада. Хоча онлайн-голосування і не застосовується під час федеральних виборів, в Канаді є міста, в яких дозволено використання онлайн-голосування. Ви можете ознайомитися з демо електронної системи голосування Intelivote System за номером [45]. Однак під час її використання на останніх виборах були деякі проблеми. В 2010 році цю систему використовували в провінції Онтаріо. Однак під кінець виборів в системі був збій [46]. Президент Intelivote Systems Inc. заявив, що причиною був неочікувано високий запит в поєднанні зі збоєм в роботі апаратного обладнання. Компанія стверджувала “ніщо не загрожує цілісності виборчого процесу, і ми (Intelivote) впевнені в надійності офіційних результатів виборів” [46].

Однак досить бентежним є той факт, що в звіті, який я знайшов, компанія не згадує ніяких третіх сторін, які б проводили оцінку системи для перевірки цілісності. Будь-яка компанія має фінансовий стимул прикривати хакерське втручання у вибори, хоча в мене і немає жодного доказу для припущення, що InteliVote зробила щось подібне. Я просто згадав про таку можливість. Більш обґрунтований сценарій (і менш обвинувальний) – компанія сама не зрозуміла, що стала жертвою хакерської атаки, або ж не доклала достатньо зусиль, щоб встановити це. Але сам факт існування такого стимулу означає, що будь-яка система онлайн-голосування повинна бути ретельно перевірена незалежними установами.

Нью-Джерсі. Коли ураган Сенді накрив східне узбережжя Сполучених Штатів 29 жовтня 2012 р., Нью-Джерсі отримало особливо тяжкий удар. Президентські вибори 2012 року проводилися всього тиждень по тому, і багато переміщених громадян повинні були якось проголосувати. Отож, губернатор дав розпорядження дозволити переміщеним громадянам голосувати через е-пошту чи факс [17][18]. Це не тільки порушувало таємницю голосування, оскільки електронні адреси були прив'язані до бюлетенів, але й бюлетені були вразливі до хакерських прийомів часів започаткування журналу Phrack, не кажучи вже про більш просунуті атаки.

І хоча я все ще шукаю детальний аналіз результатів онлайн-голосування в Нью-Джерсі, я знайшов інформацію про принаймні деякі проблеми [36]. Виборці, які голосували е-поштою, повинні були надіслати паперову копію свого бюлетеня, однак деякі клерки округу і виконавчий директор Демократичної партії Нью-Джерсі про це не знали. Імовірно, що і тисячі виборців також не знали про це. Вимога надсилати окремий паперовий бюлетень завжди викликає питання, яке я не можу зрозуміти: навіщо? Якщо вони насправді рахують усі паперові бюлетені, які повинен надіслати кожен виборець, то голосування е-поштою було просто гарною виставою, і не зробило голосування ані простішим, ані дешевшим. Якщо вони не перевірятимуть усі бюлетені, то не має сенсу їх надсилати, а результати не можуть вважатися надійними. Це ставить нас перед вибором – зручність чи надійність, і ми повинні завжди обирати надійність, коли це стосується виборів (паперові бюлетені).

Арізона. Праймеріз Демократичної партії Арізони під час президентських виборів 2000 року були першими значними виборами, які проводилися онлайн [19]. Трохи інформації для не американців (більша частина світу): американські політичні партії мають багато кандидатів, які хочуть брати участь в президентських виборах від імені партії, тож партії проводять праймеріз, щоб вибрати кандидата. Приватна компанія Election.com, яку найняли для проведення виборів, стверджує, що не система не піддавалася хакерським атакам. Це був важливий прецедент використання онлайн-голосування під час важливих громадських виборів.

Сполучені Штати. Сполучені Штати дозволяють військовим, які перебувають на службі, голосувати онлайн.

Естонія. Вперше на державному рівні онлайн-голосування проводилося в Естонії в 2005 р. ID-картки естонців містять вбудований цифровий сертифікат, за яким можна ідентифікувати особу, поєднавши з номером PIN. Все, що потрібно, це зчитувач карток вартістю 7 дол. для сканування їхніх цифрових сертифікатів. Потім на сайті для голосування ця інформація поєднується з номером PIN, щоб автентифікувати виборця [20]. Згідно з даними PDF під номером [20] бюлетені є захищеними під час цього процесу, а їхні дані зберігаються в таємниці:

 “Система подвійного конверту, яка використовується в деяких країнах під час голосування поштою, гарантує збереження таємниці голосування. Вибір виборця зашифровується через додаток для голосування (тобто виборець вкладає бюлетень з відміткою у внутрішній непідписаний конверт), а потім ставить електронний підпис (тобто вкладає цей конверт в ще один конверт, на якому вказує своє ім'я та адресу). Підписані та зашифровані голоси (зовнішні конверти) збираються в центральному виборчому органі для перевірки та гарантування підрахунку виключно одного голосу на виборця. Цифрові підписи з персональними даними (зовнішні конверти) прибираються перед підрахунком, а анонімні зашифровані голоси (внутрішні конверти) потрапляють в скриньку для голосування для підрахунку. В цій схемі використовується публічний ключ шифрування”.

То що ж я думаю про таку реалізацію онлайн-голосування? Тут кілька моментів. По-перше, це рідкість, щоб усі громадяни країни мали ID-картки з вбудованим чіпом, як в Естонії. Навіть при таких умовах спостерігачі ОБСЄ/БДІПЛ (Бюро демократичних інституцій і прав людини Організації з безпеки та співробітництва в Європі) відзначали значні проблеми з безпекою під час виборів 2007 року [2].

Наприклад, керівник проекту міг внести зміни до програм, які використовувались для проведення виборів, що означає, що програму, змінену внутрішніми користувачами, могли легко поставити на сервер. Більш того, не було жодного звіту щодо оцінки коду, і не було ніде прописано випадків, коли голоси, віддані онлайн вважалися б недійсним. Важливість цього моменту складно перебільшити, адже це стосується усіх країн. Більшість прибічників онлайн-голосування кажуть: “Не переживайте, ми завжди можемо визнати голоси віддані онлайн недійсними у випадку фальсифікацій”. Але ніхто розумний настільки, щоб проникнути в систему виборів в країні, не фальсифікуватиме вибори настільки очевидно, щоб люди здогадалися визнати голоси недійсними. Скоріше за все результати будуть підігнані під статистично імовірні цифри, щоб замести будь-які сліди втручання.

Австрія. В 2009 році Австрія застосувала інтернет-голосування під час виборів до студентського об'єднання “Федерація студентів”, згідно з даними Комісії зі сприяння у проведенні виборів США (U.S. Election Assistance Commission (EAC)) [48]. Хоча Австрія не дозволяє застосування онлайн-голосування під час парламентських виборів, законодавство дозволяє онлайн-голосування під час виборів у студентських об'єднаннях Австрії. Європейську компанію Scytl було обрано в якості постачальника програмного забезпечення для проведення виборів. Під час виборів використовувались ID-картки з двома різними кодами PIN, які виборці використовували при голосуванні. В Австрії також потрібен був зчитувач для ID-карток.

Фінляндія. Згідно з тим же звітом Комісії зі сприяння у проведенні виборів, Фінляндія дозволила онлайн-голосування під час місцевих виборів 2008 р. [48]. Однак Фінляндія не дозволила голосувати користувачам з дому, а встановила на виборчих дільницях кабіни для голосування з доступом до інтернету. Перед передачею на сервер голоси були зашифровані та затверджені цифровим підписом в кабінках. Ці вибори закінчилися тим, що через збій неможливо було порахувати деякі голоси, і необхідно було повторно проводити вибори там, де використовувалось онлайн-голосування. В результаті, пілотне тестування відмінили. Фінляндія, до речі, вибрала застосування кіосків на виборчих дільницях, тому що боялася ризику порушення таємниці голосування при голосування з дому, а також хабарництва та залякування виборців.

Франція. Комісія зі сприяння у проведенні виборів обговорювала застосування онлайн-голосування у Франції ще в 2001 році [49]. Пілотне тестування онлайн-голосування було проведено в Вуазе́н-ле-Бретонне́ в 2001 році таким же чином, як проводилося в Фінляндії – через кабіни для голосування на виборчих дільницях. Це було під час місцевих виборів. Французьке Міністерство закордонних справ дозволило онлайн-голосування в 2009 році для громадян Франції, які проживають за кордоном. Онлайн-голосування було розроблено, щоб полегшити голосування виборців, які знаходяться за кордоном. Цією можливістю скористалося 310 000 громадян Франції. Програмне забезпечення було розроблене компанією Scytl та міжнародною IT-корпорацією Atos Origin. Згідно зі звітом, аудит виборів проводила компанія Opida, яка надає консультації з питань безпеки. Дивно, що я не можу знайти жодної компанії під назвою Opida, але в Франції є консалтингова фірма Opida, тож я припускаю, що саме вона і є тією згаданою компанією [49].

Швейцарія. Три з 26 кантонів (округів) Швейцарії можуть використовувати онлайн-голосування за бажанням: Женева, Невшатель і Цюріх [49]. Оскільки усі вони використовують різні системи, я хочу зосередитися на системі Женеви. Уряд Женеви має власну систему та сам нею керує. Виборці отримують поштою Картку виборця, яка містить всю необхідну інформацію для голосування онлайн, поштою чи особисто. Виборці використовують інформацію цієї карти для входу в систему онлайн-голосування. Після входу виборці мають ставити позначки в бюлетенях та, перед тим як віддати голос, перевіряли їх вірність на екрані підтвердження вибору. Нарешті, виборці повинні були ввести пін-код, який знаходився на Картці виборця, щоб віддати свій голос.

Наступні 11 вимог до проведення виборів, які затвердила Державна рада Женеви, є досить цікавими (взято зі стенограми під номером [49]):

 1) Голоси не можуть перехоплюватися чи змінюватися

 2) Голоси є невідомими до їхнього зчитування

 3) Тільки зареєстровані виборці можуть проголосувати

 4) Кожен виборець може проголосувати тільки один раз

 5) Гарантується дотримання таємниці голосування

 6) Програма для голосування буде стійка до будь-яких ДДос атак

 7) Виборці будуть захищені від крадіжки особистих даних

 8) Кількість відданих голосів дорівнює кількості отриманих бюлетенів

 9) Буде можливо підтвердити, що виборець Х проголосував

 10) Система не прийматиме голоси по закінченню періоду відкриття бюлетенів

 11) Можна буде провести аудит системи

Я вважаю ці вимоги досить цікавими, тому що навіть теоретично неможливо дотриматися їх усіх при застосуванні комп'ютеризованої системи голосування. Проблема у використанні термінів, таких як “не можуть” та “перевірити”. Наприклад, я припускаю, що формулювання “голоси не можуть перехоплюватися чи змінюватися” передбачає використання SSL-сертифікатів для шифрування веб-трафіку. Але звичайно SSL-сертифікати можуть піддаватися атакам і в результаті голоси можуть бути перехоплені чи змінені.

Однак Швейцарія використовує одну чудову технологію в своїй виборчій програмі, яка називається квантова криптографія [24][54]. Я не вдаватимусь до подробиць щодо квантової криптографії в цій статті, але згадаю, що в ній використовуються фотони світла для передачі зашифрованих повідомлень. Основною її рисою є те, що частинки в квантовому стані не можна переглянути, не змінивши їх. Отож, фотони неможливо прочитати, не стерши інформацію, яка в них закодована. Швейцарія використовує технологію квантової криптографії, щоб передавати результати підрахунку голосів на дільницях до урядового центру обробки даних в передмісті Женеви.

Великобританія. Відповідно до звіту Комісії зі сприяння у проведенні виборів [48], у Великобританії було проведено більше тридцяти пілотних тестувань онлайн-голосування під час місцевих виборів з 2002 по 2007 рік. Під час пілотного тестування 2002 року, онлайн-голосування було проведено в дев'яти місцях. Особливо цікавим було голосування в Ліверпулі, під час якого виборці могли проголосувати надіславши СМС, або через домашні комп'ютери. Вибори в Ліверпулі проводилися компанією Election.com, тією ж, яка проводила праймеріз Демократичної партії Арізони в 2000 році.

У Ліверпулі виборці отримували поштою інформаційні листки з кодами PIN, паролями, кодами кандидатів, веб-адресами та інструкціями. Щоб проголосувати онлайн, виборці переходять на спеціальний сайт, та вводять код PIN і пароль, які вказані в інформаційному листку. Після цього виборці ставлять відмітки та віддають свої голоси, після підтвердження вибору. Далі голоси передаються через інтернет на сервери компанії Election.com, де вони підраховуються.

Виборці, які голосують через СМС надсилають повідомлення в наступній формі:

 <PIN>

 <ПАРОЛЬ>

 <НОМЕР КАНДИДАТА>

Потім вони надсилають повідомлення на телефонний номер, вказаний в інформаційному листку. Очевидно, що кожен округ використовував окремий номер телефону. Потім виборці отримують СМС-підтвердження, а їхні голоси надсилаються на сервер Election.com через інтернет. В мене багато зауважень до голосування через СМС. Я не дуже розбираюся в СМС-протоколах, але я читав, що СМС-повідомлення шифруються через алгоритм А5, який дозволяє витягнути інформацію після злому, і тільки між телефоном та вишкою стільникового зв'язку [50]. Більш того, я знаю з особистого досвіду, що скільки б я не надсилав через нього текст, повідомлення не приходили протягом годин, а то і днів. Не через таку систему я хотів би голосувати.

У звіті Комісії зі сприяння у проведенні виборів вказано, що під час пілотного тестування в Ліверпулі в 2002 році 59,4% виборців проголосували особисто або поштою, 16,4% – через інтернет, 17,4% – по телефону та 6,7% – через текстове повідомлення.

Штат Новий Південний Уельс. Не можу не згадати тут австралійців! Останнім прикладом зі звіту Комісії зі сприяння у проведенні виборів [48] буде штат Новий Південний Уельс, який дозволив голосування з дому через інтернет та по телефону під час виборів штату 2011 року. Вибори проводилися за системою iVote. Вона була розроблена для виборців з обмеженою дієздатністю (включаючи інвалідів по зору), неписемних виборців та для виборців, які проживають далі ніж 20 кілометрів від приміщення для голосування, до якого вони прикріплені. Технології проведення голосування забезпечувалися системою Everyone Counts [51]. Виборці реєструвалися для використання системи iVote через інтернет або зателефонувавши оператору iVote. Під час реєстрації виборці вказували шестизначний PIN-код. Потім вони отримували восьмизначний номер iVote (по е-пошті, пошті, телефону чи текстовим повідомленням). Під час того тестування 2 259 виборців проголосували по телефону та 44 605 проголосували онлайн.

Уряд Нового Південного Уельсу надав звіт по проведеним виборам [52]. Створення звіту уряд довірив компанії Pricewaterhouse Coopers (PwC), яка входить до “великої четвірки” аудиторських компаній. Згідно зі звітом [52], вони стверджують, що не відбувалося жодних маніпуляцій з бюлетенями. Однак їхнє ствердження базується на “перевірці цілісності шифрування”, що особисто для мене не є достатнім для будь-яких висновків. Зверніть увагу на приклад корпорації Helios в кінці цього документа, який засвідчує, що відсутність маніпуляцій зі сторони серверу не гарантує відсутність виборчих фальсифікацій.

В звіті відмічається, що вони протестували систему iVote, щоб переконатися, що результати тестування співпадають з кількість тестових голосів, відданих онлайн чи по телефону. Однак група дослідників з Принстонського університету написала зловмисну програму для машини для голосування Diebold Accuvote-TS, яка відключалася в режимі тестування та повністю витирала себе після проведення виборів, не залишаючи і сліду [53]. Такій же атаці могла б піддатися і система онлайн-голосування як, наприклад, iVote, але, звичайно, немає жодних доказів цього... поки що.

Звіт PwC також містить перелік інцидентів в Додатку С [52]. Проблеми варіювалися з відносно незначних (виборці надсилали неправильні номери iVote, а потім отримували правильні та голосували повторно) до серйозних. 23 березня 2011 року була зафіксована бездіяльність системи iVote, яка тривала 8 хвилин з 10:24 до 10:33 годин ранку, а причину так і не вдалося встановити. Звичайно, бездіяльність системи не завжди є симптомом нечесної гри, але мені б хотілося кращого пояснення, аніж “невстановлена причина” у випадку системи, у якій проводяться вибори штату.

Інші проблеми перебування онлайн

Кібер-війни стали дуже прибутковими. Наприклад, 20 березня 2013 року мережі телебачення та банків Південної Кореї були пошкоджені внаслідок кібер-атаки, вина за яку в підсумку лягла на Північну Корею [11]. Уряд США, здається, став параноїком щодо кібер-атак з Ірану та Китаю [29]. Хоча складно зрозуміти наскільки правдивими є претензії щодо того, хто кого атакує, я думаю, ми всі погодимося, що між країнами точно відбуваються агресивні атаки. Якби національні вибори проводилися через онлайн-голосування, іноземні країни мали б велику спокусу і стимул підірвати проведення виборів або контролювати їх.

Інша гіпотетична, але реальна загроза – це фішинг та/або дезінформаційні атаки. Наприклад, в 2012 році в США в місті Медісон, штат Вісконсін, Републіканська партія розіслала в райони переконаних демократів неправильні інструкції по реєстрації [30]. Невідомо, чи це було зроблено навмисне, чи це справді невинна помилка, але це все одно викликає підозри, і можна уявити, як можна використати таку розсилку, через яку виборці підуть голосувати на неправильний сайт. Він міг ви виглядати як справжній сайт для голосування і або просто з'їдати їхні голоси, або ж красти їхні особисті дані, щоб використати на справжньому сайті. Це, звичайно, прості припущення, і навряд чи такі махінації застосовувалися б на загальному рівні. Однак вони здатні позбавити значної кількості виборців їхніх виборчих прав, та навіть могли б схилити ваги в певну сторону при надзвичайно напруженій боротьбі.

Також можна заволодіти обліковими даними за кілька тижнів до проведення виборів, розіславши на електронні скриньки повідомлення із вказівкою ввести облікові дані для підтвердження реєстрації в системі онлайн-голосування. У день виборів ці дані використовувались би для голосування. Така атака, схожа з дезінформаційною, також мала б обмежений вплив на результат, але все ж могла б дати комусь перевагу при незначному розриві, і стати причиною непорозумінь поміж населення.

Інший тип атаки, яка була насправді застосована, – це браузерна атака через руткіт. При цьому на браузер встановлюється розширення, яке змінює поведінку сторінок. Система для голосування Helios [32] – це система онлайн-голосування з відкритим вихідним кодом, яка була розроблена, щоб забезпечити таємницю голосування, і мати можливість перевірити отримання і правильний підрахунок бюлетенів (вихідний код доступний за посиланням під номером [33]). Іншими словами, ця модель онлайн-голосування є правильною з точки зору математики та криптографії. Helios широко використовує скрипти JavaScript, які виконуються на стороні клієнта, щоб зберігати самі бюлетені та Експоненційний алгоритм шифрування ElGamal [34], який виконується в JavaScript. Оскільки деякі операції шифрування вимагають складних обчислень і виконуються в Java, браузер вимагає встановлення JVM. JavaScript та JVM – чи можна бажати кращих варіантів для проведення атаки? :>

Система Helios дозволяє кандидатам надавати PDF-файл (ще одна фантастична можливість для атаки) з описом кандидатури для інформування виборців. Така схема є очевидною: використати вразливість PDF, щоб встановити зловмисний руткіт в браузері як розширення (вони вибрали Firefox, але стверджують, що Internet Explorer є такою ж легкою ціллю для атаки), який встановлюється на вже існуюче розширення, і користувач не помічає, що було встановлено нове розширення. Браузерний руткіт слідкує за операціями користувача в інтернеті та запускається кожного разу, коли користувач заходить та сайт для голосування. В ці моменти він повністю контролює те, що користувач робить та бачить з його сторони системи голосування.

Дослідники Сагхар Естегхарі та Іво Дешмедт здійснювали таку атаку на Helios. Їхній повний звіт можна знайти за посиланням під номером [31].

В їхньому випадку Аліса змагається з Бартом Пренелем, і вони хочуть, щоб Аліса перемогла, тож вона завантажує PDF-файл з вбудованим руткітом. При такій атаці руткіт можуть вкласти тільки кандидати та адміністратори, оскільки виборці не можуть завантажувати на сервер власні PDF-файли.

При встановленому руткіті всі голоси виборців, віддані за Барта, змінюються на голоси за Алісу. Однак вони змінюють сторінку підтвердження, і перегляд бюлетеня, щоб виборці думали, що голосують за Барта. Єдиною проблемою було повідомлення “Шифрування не співпадає” при перевірці бюлетеня виборцем. Однак вони це виправили, змінивши функцію перевірки, яка в будь-якому випадку стала показувати повідомлення “Шифрування перевірено”.

Цю атаку можна було поширити через будь-які засоби та проти будь-якої системи. Проблема в тому, що кожен домашній комп'ютер – це потенційна кабінка для голосування, і не важливо, що сервер надто добре захищено. Вибори все-таки можна таємно фальсифікувати, просто проникнувши в браузери користувачів, щоб замінити голоси. Навіть чудово розроблена виборча система залишається вразливою, бо кабінка для голосування залишається незахищеною.

Існує ще одна проблема, пов'язана з тим, що кожен домашній комп'ютер – це потенційна кабінка для голосування. Це загроза нової епохи фальсифікацій через підкуп чи залякування виборців. Наразі це важко зробити, бо люди голосують таємно, у приватній кабінці. Бандити не можуть їм заплатити, не знаючи напевно, що голос був відданий за них, і не можуть побити виборців, які голосують за іншу людину (за винятком трюку з допомогою під час голосування, яке було описане вище). Під час онлайн-голосування, будь-хто може просто дивитися, як особа голосує, або ж організувати “захід для спільного голосування” вдома, щоб всіх проконтролювати.

Але чому ми фокусуємося тільки на можливих атаках зовні. Як сказано в цитаті Босса Твіда вище, рідко коли можна зупинити тих, хто при владі і контролює осіб, що підраховують голоси. Багато з вас, мабуть, знають відомий приклад з фільму “Офісний простір”, де програмне забезпечення компанії запрограмоване переводити невеликий відсоток кожної фінансової операції на окремий банківський рахунок, а потім все йде зовсім не так як планувалося. Але розробникам програм для голосування було б зовсім не складно пробратися в код, щоб змінити результати виборів (наприклад, інцидент в Естонії, коли менеджер проектів міг умисно вносити зміни на сервері).

Безперервні схеми онлайн-голосування, які можна перевірити

Схема для голосування Helios, яку можна перевірити у криптографічному плані, вже згадувалася в цьому документі. Ці схеми намагаються попередити проблеми, які можуть виникати при голосуванні онлайн при застосуванні компонентів, що не викликають довіри або несуть загрозу. Однак було продемонстровано, що браузерний руткіт успішно підриває надійність такої схеми для голосування. Є і інші системи, які використовують спеціальні принтери для друку криптографічно підписаних квитанцій. Такі схеми для голосування більш схожі на електронні машини для голосування прямого запису, оскільки виборці змушені йти на виборчі дільниці, щоб скористатися спеціальним обладнанням. Однак я б хотів зупинитися на цих схемах детальніше, оскільки вони, імовірно, можуть бути підключені для інтернету, щоб пришвидшити збір результатів та підрахунок, і тому, що вони використовують онлайн дошки оголошень, щоб публікувати докази правильного підрахунку бюлетенів.

Однією з найбільш відомих схем є схема “Квитанції і таємне голосування: справжній контроль в руках виборця” (“Secret Ballot Receipts: True Voter-Verifiable Elections”) Девіда Чома [60]. Хоча опис детальної криптографії схеми не входить до цього документа, зацікавлені читачі повинні прочитати і роботу Чома [60], і аналіз ступеня захищеності схеми, проведений Крісом Карлофом та ін. [61], в якому вказані основні прогалини.

За схемою Чома, виборці отримують паперову квитанцію свого бюлетеня, яка складається з двох окремих заламінованих шарів. Склавши шари докупи, можна побачити зображення бюлетеня, читабельне для людини. Але кожен шар окремо виглядає як чорно-біле піксельне зображення. Після того, як машина друкує квитанцію, виборець вибирає, яку частину він залишить для контролю (обов'язково після того, як машина роздрукує квитанцію), і відправляє іншу частину в шредер на виборчій дільниці. Пізніше криптографічний матеріал в цьому шарі можуть використати органи проведення виборів, щоб підрахувати бюлетені, а виборці можуть проконтролювати правильний підрахунок своїх голосів, приклавши квитанцію до дошки оголошень.

Я особисто не знаю жодних доказів прогалин в криптографічній схемі, створеній Чомом. Однак Карлоф та ін. стверджують, що ці схеми голосування реалізуються на базі систем величезних масштабів, з багатьма можливостями недоліків в самих системах та допущення помилок самими людьми. Однак атаки соціальної інженерії, які вони презентують, є досить цікавими. Пересічний виборець не розуміється в криптографії достатньо, щоб помітити незначну зміну в криптографічному протоколі. Наприклад, якщо машина просить виборця вибрати шар квитанції для збереження (верхній чи нижній) до друку підписаної квитанції, то машина може створити дві квитанції для розшифровки бюлетеня, який вибере атакуючий (див. [61] з поясненням як це відбувається).

Саме це мене і хвилює в цих схемах. Я ще згадуватиму в висновках про одну з основ демократичних виборів – розуміння виборчого процесу пересічними громадянами та їхня довіра до результатів. Пересічні громадяни, включаючи мене, не розуміють цих схем настільки глибоко, щоб моніторити вибори і мати довіру до процесу. Більш того, неважливо, наскільки надійною є математика в основі шифру, базові елементи шифрування повинні виконуватися абсолютно чітко. Національна держава могла б з легкістю помітити та скористатися найменшими прогалинами в псевдовипадковій генерації чисел (це якщо вони ще не ввели ключові прилади для генерування, які використовуються під час виборів, обхідним шляхом).

Пересічні громадяни можуть спостерігати, як виборці опускають свої бюлетені в скриньки, а пізніше спостерігати за їхньою виїмкою та підрахунком. Пересічні громадяни можуть спостерігати, як усі скриньки для голосування забирають в секретну задню кімнату, а пізніше приносять назад. Пересічні громадяни, включаючи мене, не можуть глянути на квитанцію з зашифрованим підписом, і сказати: “Все ясно, в випадковій генерації чисел є прогалини!”. Отож, складні криптографічні схеми, які є незрозумілими для пересічних громадян, є сумнівним шляхом до підвищення довіри до демократичних виборів.

Неприйняття

Незважаючи на те, що багато країн проводять пілотні тестування онлайн-голосування, електронне голосування викликає досить різку негативну реакцію деяких країн.

В 2007 році голландці заборонили використання машин для голосування Nedap [58], посилаючись на брак досьє документів. У 2009 році Ірландія відмовилася від своєї ініціативи електронного голосування через високу вартість та низьку довіру до комп'ютерів в плані таємного підрахунку результатів [57].

Однак заборона електронних машин для голосування в Німеччині в 2009 році є найбільш цікавою, як на мене, оскільки позиція Федерального Конституційного Суду Німеччини багато в чому збігається з моїми критичними поглядами на онлайн-голосування (примітка: Німеччина заборонила електронні машини для голосування, а не онлайн-голосування, однак ці речі дуже пов'язані).

Німецький суд встановив, що машини не є конституційними, оскільки пересічні громадяни не розумітимуть механіку підрахунку результатів машиною (це таки-собі “чорний ящик”). Окрім того, вони вважають, що застосування традиційних систем голосування ускладнює здійснення маніпуляцій та підтасування і дає суттєві можливості для їхнього викриття. Інноваційні ж системи вразливі до атак – зловмисні програми легко встановити і важко помітити [59].

Але ж ми вже використовуємо інтернет для...

Один з багатьох помилкових аргументів на підтримку онлайн-голосування – що інтернет використовується в багатьох інших важливих сферах, наприклад, банківські операції та торгівля, то чому його не можна застосувати для голосування? По-перше, онлайн-банкінг не відбувається секретно, а по-друге, банківське шахрайство піддається грошовому відшкодуванню.

Припустімо, що я надсилаю своєму домовласнику 1 000$ онлайн за оренду. Домовласник побачить, що я надіслав 1 000$, я бачитиму, що з мого рахунку було знято 1 000$, а банк, в свою чергу, матиме запис про цю грошову операцію. Я можу подзвонити домовласнику, щоб підтвердити отримання коштів. Якщо від збреше і скаже, що не отримав, я зможу використати банківські записи, щоб довести, що він отримав кошти. Якщо ж під час операції станеться збій, і домовласник отримає 2 000$, я побачу це на своєму рахунку, і зможу вимагати повернути свої кошти, оскільки згідно з моїм договором оренди, я повинен сплатити тільки 1 000$. Але з голосуванням такої перевірки не відбувається, оскільки бюлетені є секретними. Я знатиму тільки, що я надіслав бюлетень, але ніколи не зможу знати напевне, що мій голос зарахували на користь того, за кого я голосував. Я навіть не знатиму, чи його взагалі порахували. Проводячи паралель з прикладом про домовласника, я б побачив тільки, що з мого рахунку було знято невідому суму, не знаючи ані свого поточного балансу, ані чи отримав мій домовласник кошти, оскільки ані в нього, ані в банку не було б про це ніяких записів.

Інше питання – це відшкодування фальсифікацій. Коли нові технології оцінюються в сфері торгівлі, єдиним питанням є: чи кошти, які можна зекономити при використанні технології, перевищуватимуть вартість самої технології. Очевидно, що ціною використання онлайн-банкінгу є шахрайство, яке ним же і спричинено. Однак онлайн-банкінг дозволяє банкам і їхнім клієнтам зберегти стільки коштів та часу, що є сенс в тому, щоб забезпечити відшкодування в разі виникнення проблем. Наприклад, коли зловмисники крадуть кошти з рахунків користувачів, банкам є сенс відшкодувати їхні втрати, оскільки вони все одно зекономлять гроші. Однак ця схема не працює стосовно голосування. Неможливо відшкодувати вкрадені вибори – результати фальсифіковано, а довіру усієї країни зруйновано (це якщо хтось помітить фальсифікації).

В онлайн-торгівлі облікові дані користувачів дуже часто використовуються їхніми чоловіками, дружинами чи дітьми. Однак зазвичай закон забороняє голосувати замість когось, використовуючи його ім'я та бюлетень. А під час онлайн-голосування неможливо прослідкувати, коли відбуваються подібні порушення. Тільки уявіть, що на сайті Silk Road [15] продаватимуться дані для голосування в обмін на Біткоїни.

Уявімо більш захищену систему онлайн-голосування

В книзі “Зіпсовані бюлетені” [2] згадується, що в 1875 році англієць Генрі Спратт отримав патент США на машину для голосування. В Патенті США 158,652 вказано, що машина дозволяє “проголосувати (точно віддати свій голос таємно) без використання кульок, квитків, паролів, букв, цифр, офіційних печаток, та скриньок для голосування; по-друге, вона забезпечить секретність відданих голосів так, що неможливо буде дізнатись, хто за кого проголосував; по-третє, завдяки дотриманню таємності, усі партії будуть задоволені вже тим, що виборці проголосували; по-четверте, результати можуть були оголошені відразу після закриття дільниць; по-п'яте, можлива повна перевірка за номерами голосування, що попередить будь-які махінації з машиною.”

Ці твердження варті уваги, адже вони є ключовими завданнями технологій голосування, рішення яких не знайдено і досі. Звичайно, зараз ми знаємо, що навіть 140 років по тому ми не вирішили цих проблем.

Метт Бішоп описує визначені науковцями характеристики, які повинна мати електронна машина для голосування [56], і я наведу нижче ті з них, які на мою думку входять до тематики цієї статті:

 1) Електронна система голосування не повинна зберігати дані про те, хто як проголосував.

 2) Електронна система голосування повинна перешкоджати повторному голосуванню, забезпечуючи врахування тільки одного голосу на особу.

 3) Виборець повинен могти перевірити позначки бюлетені в будь-який момент до того, як віддасть свій голос.

 4) Електронна система голосування повинна правильно підраховувати голоси. Голоси не повинні враховуватися помилково, ані умисно, ані випадково.

 5) Повинна існувати можливість аудиту підрахованих голосів, використовуючи зовнішній механізм. Повторний підрахунок не може відбуватися на серверах, адже якщо підрахунок було підтасовано за допомогою зловмисної програми на сервері, то і повторний підрахунок теж буде підтасовано.

Я додав би ще шосту вимогу:

 6) Довіра. Громадяни повинні могти довіряти, що ані голоси, ані результати підрахунку не були змінені на будь-якому етапі.

Отож, постає питання: чи зможемо ми розробити систему, яка відповідатиме усім цим вимогам? Як ми вже бачили на прикладі Helios, вже існують математичні моделі, які здатні це зробити. Але наші комп'ютери є настільки вразливими, що це стає фактично неможливо забезпечити всі ці вимоги з сучасними знаннями про розробку безпечних комп'ютерних систем, і я сподіваюся, ті приклади, які я наводив, були достатньо переконливими.

Підсумок

Ми розглянули в цій статті досвід онлайн-голосування та його технічні недоліки. Але мені б хотілося закінчити невеличкою дискусією щодо соціології, яка стоїть за демократією. Я вірю в наступні твердження:

 1. Онлайн-голосування є несумісним з демократією.

 2. Ніяка кількість технологій не змінить цього.

 3. Необхідно зберігати в таємниці, за кого громадяни голосують.

 4. Однак інформацію про те, хто проголосував не потрібно приховувати, – навпаки її потрібно поширювати.

 5. Те, хто рахує голоси і як точно, не повинно бути таємним.

Як я вже згадував раніше, у 1856 році Комітет пильності в Сан-Франциско знайшов скриньку для голосування з потаємним дном, в якому були заховані бюлетені, які підмішувалися до інших перед підрахунком. З тих пір люди намагаються побороти фальсифікації технологіями [2].

Демократія – це щось чудесне, у порівнянні з попередніми формами правління, тому що влада передається гладко і без насильства, навіть між партіями-суперниками. Це відбувається так тому, що люди погоджуються, що будь-хто, хто отримує найбільшу кількість голосів має законне право на владу. Якщо люди не довіряють законності голосування, то вони не віритимуть у законність того, хто прийшов до влади, результатом чого може стати соціальний хаос.

Ще складнішим є те, що віддані голоси повинні зберігатися в таємниці, щоб громадян не могли примусити голосувати за певні інтереси (або ж підкупити). Оскільки я не можу заглянути в базу даних, щоб перевірити, що мій голос було зараховано на користь кандидата Боба під час виборів, я повинен безумовно довіряти процесу підрахунку голосів. Це означає, що я повинен вірити, що організація, яка проводить підрахунок (уряд), успішно подолає усі намагання сфальсифікувати результат виборів зовнішніми сторонами.

Вже сотні років ми користуємося паперовими бюлетенями під час виборів. Паперові бюлетені не ідеальні, і фальсифікації подекуди трапляються на місцевому рівні. Однак при використанні паперових бюлетенів просто неможливо успішно сфальсифікувати загальний результат виборів, особливо в країнах, де немає системної корупції. Співробітники виборчих дільниць перевіряють, хто приходить проголосувати та поіменно позначають, що вони проголосували (в багатьох містечках співробітники виборчих дільниць знають в обличчя багатьох виборців). Потім бюлетені рахуються людьми в присутності інших людей на кожній дільниці. Потім ці результати підбиваються по округах та штатах тощо. Це розподілена система підрахунку, яка терпимо відноситься до помилок і базується на довірі людей до інших людей, які здійснюють підрахунок, який можна спостерігати та зрозуміти.

Під час онлайн-голосування, проста програмна помилка може вплинути на усі виборчі дільниці, регіони або й країни, і її досить складно помітити. Умисне запрограмований баг можна дуже легко підсадити в систему, щоб маніпулювати результатами виборів. Людині досить важко зрозуміти, що саме зараз робить комп'ютер, особливо коли кожен комп'ютер, підключений до інтернету – це потенційна кабінка для голосування.

Отож, питання онлайн-голосування – це не оновлення демократії до рівня нових технологій. Це радше проблема технологій, які підривають довіру до процесу, який має бути надійним, щоб можна було успішно обирати нову владу. Як виборець, я підтримую голосування паперовими бюлетенями.

З оригіналом матеріалу англійською мовою можна ознайомитись тут

Подяка

Я дуже вдячний Твізі, за її час і безцінні поради під час написання цієї статті. А також за надання чудової інформації про безперервні схеми онлайн-голосування, які можна перевірити.

Посилання

[1] http://en.wikipedia.org/wiki/United_States Ppresidential_election_in_Florida, 2000.
[2] Broken Ballots: Will Your Vote Count?Douglas W. Jones & Barbara Simons. 2012.
[56] Bishop, Matt. "An Overview of Electronic Voting and Security." Department of Computer Science. University of California, Davis.