Сиим Сиккут, отвечающий за IT-стратегию в Эстонии, рассказывает об особенностях ID карт на конференции FWD50 в 2017 г. Фото: Mike Gifford, flickr.com/mgifford
Сиим Сиккут, отвечающий за IT-стратегию в Эстонии, рассказывает об особенностях ID карт на конференции FWD50 в 2017 г. Фото: Mike Gifford, flickr.com/mgifford

В последнее время про дистанционные электронные голосования (ДЭГ) говорят много — на сентябрьских выборах ДЭГ будет использоваться в семи регионах, в нём ожидают до 2 млн. избирателей, и Москва уже развернула широкую рекламно-информационную кампанию.

При этом — по очевидной причине — данная кампания, как и большинство других материалов, направлены на обычного избирателя, и в основном подчёркивают удобство ДЭГ для него. Материалов для IT-специалистов и экспертов по-прежнему, прямо скажем, негусто, а те, что есть — например, в блоге «Ростелекома» на Хабре — наоборот, ударяются в другую крайность, будучи переполненными техническими деталями.

Начиная с сегодняшнего материала, мы попробуем рассказать про то, как работают российские системы ДЭГ (их две!), пытаясь соблюсти баланс между популярностью изложения и техническими подробностями.

Стартуем с международного опыта: при разговорах о ДЭГ часто всплывает Эстония, как один из пионеров электронных голосований масштаба государства — там ДЭГ применяется с 2005 года, и применяется успешно.

Как соотносятся российские и эстонские системы с точки зрения концепции реализации, функционала, надёжности в контексте голосования? Изучить этот вопрос мы попросили нашего эксперта Андрея Филиппова, так что под катом — его текст.

Отложить нельзя переголосовать

Одна из новых возможностей дистанционного электронного голосования, представленная в ходе недавнего тестирования московского ДЭГ — это функция так называемого «отложенного решения», позволяющая изменить свой выбор в ходе многодневного голосования (по сути — переголосовать заново, но в силу стилистическо-юридических причин такой термин не используется), но с единственной оговоркой: нельзя изменить решение за три часа до окончания голосования. Так, 29 июля эта опция была недоступна с 20:59, а 30-го — уже с 16:59. Отложенное решение отличает ДЭГ Москвы от федеральной системы дистанционного электронного голосования, разрабатываемой Ростелекомом для ЦИК РФ — в остальном функционал этих систем с точки зрения избирателя одинаков. Это не означает, что федеральная система ДЭГ технически в чем-то отстает от Москвы — просто некоторые дополнительные возможности, по мнению ЦИК, на данный момент удобно тестировать в Москве, электронное голосование в которой проводится по специально принятым для этого законодательным актам. Сам вопрос реализации отложенного решения сугубо технический, о чем недавно сообщил заместитель министра цифрового развития, связи и массовых коммуникаций Олег Качанов: «Технически мы прекрасно понимаем, как это можно сделать. Более того, технически, если бы такая задача была поставлена, мы были бы готовы реализовать хоть в этом году».

«Отложенное решение» интересно с двух точек зрения. Во-первых, оно даёт избирателю возможность и время решить какие-то технические проблемы, из-за которых он не может отправить бюллетень (например, на голосовании по поправкам в Конституцию летом 2020 была редкая проблема с одним из плагинов в Яндекс.Браузере). Без отложенного решения выданный бюллетень «протухает» через некоторое время, после чего система просто считает гражданина решившим не голосовать; выдача ему нового бюллетеня невозможна. Во-вторых, отложенное решение теоретически может позволить бороться с голосованием под давлением: если начальник требует от вас проголосовать определённым образом, вы можете сделать это прямо у него на глазах — а потом, уже дома, поменять свой выбор.

Начать, впрочем, следует с того, что само по себе отложенное решение придумали даже не разработчики московского ДЭГ — такой функционал уже давно существует в Эстонии. В связи с этим давайте посмотрим, как устроено онлайн-голосование в Эстонии и что из этого опыта может быть востребовано в России.

«Эстонское» отложенное решение при онлайн-голосовании применяется достаточно давно. Впервые изменить свой выбор эстонские избиратели смогли в 2005 г. на тех самых выборах, когда онлайн-голосование в Эстонии было применено впервые и это хорошо показывает статистика. В 2005 году функцией воспользовались 3,9 % избирателей от общего числа проголосовавших онлайн. На выборах в Рийгикогу в 2019 г. данный показатель уже составлял 2,5 %. Как видно из статистических данных, возможностью отложенного решения избиратели пользуются, но процент ее использования крайний низкий — и существенно отличается от показателя при тестировании отложенного решения в Москве, когда данный функционал использовали 10 % избирателей, принимавших участие в тестировании. Более высокий московский показатель востребованности функции отложенного решения при онлайн-голосовании объясняется, скорее всего, сочетанием широкого информирования избирателей об этой функции и естественного интереса к новому для российских голосований функционалу.

Однако чтобы делать дальнейшие выводы на основе статистики и проводить какие-либо параллели с Эстонией, необходимо больше данных, поэтому интересно будет посмотреть на востребованность использования отложенного решения в ходе единого дня голосования, а также на будущих выборах, если данная опция в дальнейшем будет доступна.

ЕСИА против SIM-карты

Смотреть сходства либо различия российского ДЭГ с эстонским онлайн-голосованием с технической точки зрения нужно прежде всего в системе аутентификации. В России для аутентификации используется учетная запись в ЕСИА/Госуслугах (для московского ДЭГ — учетная запись на mos.ru). В Эстонии для этих целей служит ID-карта гражданина, представляющая из себя пластик с чипом, в комплекте к которому обязательно нужен подключаемый к компьютеру кардридер. С 2011 года эстонским гражданам также стали доступны специальные SIM-карты, так называемый Mobile-ID, позволяющие пройти аутентификацию при помощи смартфона без использования физической ID Card и кардридера. Стоит SIM-карта 1 евро в месяц, основной функционал коротко представлен в видеоролике. По состоянию на июль 2021 года в обращении находится свыше 1,4 млн действующих ID-карт, Mobile-ID — почти у 250 000 человек. В общей сложности 98 % эстонцев имеют ID-карту.

В России голосовать можно с любого подключённого к интернету компьютера, планшета или смартфона. SIM-карта с российским номером требуется — но только для получения подтверждающих действия SMS (зарубежные номера на данный момент не работают, так что, увы, для россиян за рубежом электронное голосование пока что остаётся недоступным).

Два из трёх

На этапе выдачи чистого и получения заполненного бюллетеня система голосования должна решать три базовые задачи, без которых говорить о её применимости для проведения выборов неразумно:

  • проверить, что бюллетень действительно получен от имеющего право голоса избирателя (защита от вбросов);

  • сохранить содержимое бюллетеня в тайне (защита от раскрытия промежуточных итогов голосования);

  • анонимизировать бюллетень (сохранение тайны голосования).

Эстонская система решает технически две из этих трёх задач (третья решается организационно, об этом ниже), российская — все три.

В основе электронной идентификации избирателя в Эстонии лежит инфраструктура PKI, основывающаяся на двух криптографических ключах — секретном и открытом, позволяющих шифровать и подписывать документы. В случае с электронным голосованием бюллетень в Эстонии шифруется отдельным ключом системы голосования, генерирующимся на сервере голосования и выдаваемым вместе с бюллетенем, и подписывается секретным ключом ID-карты избирателя. При приёме заполненного бюллетеня сервер проверяет подпись, используя известный государству публичный ключ ID-карты избирателя, а расшифровка содержимого бюллетеня производится только после окончания голосования. По сути, бюллетени в эстонской системе не являются анонимными, так как они подписаны персональными ключами избирателей, публичная часть которых государству известна и с конкретным физлицом сопоставлена.

С целью соблюдения тайны голосования анонимизация бюллетеней выполняется на сервере голосования перед их расшифровкой и подсчётом голосов (стр. 25, раздел 4.1.3) путём удаления из них криптографической подписи. То есть, тайна голосования в электронной системе в Эстонии обеспечивается не столько технически, сколько процедурно — доверием к тому, что оператор системы проведёт анонимизацию и безвозвратно уничтожит персонализированные бюллетени.

При этом такая анонимизация затрудняет реализацию популярной в ДЭГ функции аудирования — проверки избирателем, что его голос действительно учтён. В российских системах эта возможность технически присутствует, хотя и не представлена в интерфейсе пользователя в явном виде.

Слепое, маскированное, гомоморфное, <del>плацебо-контролируемое</del>

Российские системы ДЭГ устроены заметно сложнее, зато решают чисто техническими способами все три задачи. В них избиратель для получения бюллетеня аутентифицируется через ЕСИА/Госуслуги (все говорят «Госуслуги», но мы с вами понимаем, что здесь задействуется ЕСИА, а сами Госуслуги голосованию совершенно параллельны, это абсолютно разные системы) или mos.ru, после чего на его устройстве генерируется ключевая пара; публичный ключ из этой пары маскируется и отправляется на выдающий бюллетень сервер, где подписывается публичным ключом голосования.

Иллюстрация из доклада Юрия Сатирова (ПАО «Ростелеком»)
Иллюстрация из доклада Юрия Сатирова (ПАО «Ростелеком»)

Далее уже заполненный избирателем бюллетень подписывается созданным на его устройстве ключом (секретным), шифруется публичным ключом системы голосования, к нему прилагается сделанная ранее слепая подпись публичного ключа избирателя, а также сам публичный ключ, но уже со снятой маской — и всё это отправляется на сервер.

Таким образом, в российских системах:

  • заполненный бюллетень подписан секретной частью ключевой пары избирателя, сгенерированной на его устройстве;

  • то, что этот избиратель имеет право голосовать, подтверждается подписью публичной части ключевой пары ключом системы голосования, причём используется механизм слепой подписи, при котором ключ избирателя в систему голосования передаётся в замаскированном виде;

  • перед отправкой ключа избирателя вместе с заполненным бюллетенем с него снимается маска (подпись при этом сохраняется), поэтому сопоставить его с подписывавшимся замаскированным ключом невозможно;

  • бюллетень зашифрован публичным ключом системы голосования.

Маскирование ключа и механизм слепой подписи здесь важны именно для сохранения тайны голосования: подпись накладывается в той части системы, которая знает ФИО данного избирателя (и удостоверяет, что он имеет право голосовать). Этот компонент не должен иметь технической возможности сохранить сопоставление публичной части ключевой пары и ФИО — потому что далее публичная часть в немаскированном виде становится известна второй части системы, которая принимает бюллетень. Без маскирования можно было бы взять пару ключ-ФИО из первой части и сопоставить с парой ключ-бюллетень из второй.

Чтобы обеспечить невозможность подведения промежуточных итогов голосования — это нужно, чтобы устранить мотивы для проигрывающей стороны так или иначе повлиять на ход голосования — при создании пары ключей системы голосования секретный ключ разделяется на несколько частей, каждая записывается на отдельную флэшку, флэшки раздаются разным людям — и пока они не соберутся вместе и не соберут обратно полный ключ, расшифровать бюллетени не удастся (точнее, у ключа есть некоторая избыточность — он допускает потерю одной или двух частей). Ноутбук, на котором генерировался ключ, либо сразу же очищается, либо вообще пломбируется и убирается в сейф под видеокамерой.

Бумага важнее

Однако у эстонской «полуанонимной» системы есть и плюс. После того как избиратель проголосовал электронно в ходе предварительного голосования (в Эстонии онлайн-голосование проходит в качестве досрочного и не проводится в день выборов), он может отдать свой голос на избирательном участке, тогда в ходе подсчета голосов его электронный голос будет аннулирован. Если бы анонимизация в Эстонии происходила перед отправкой заполненного электронного бюллетеня, то чисто технически было бы невозможно осуществить подобное двойное голосование.

В российских системах избиратели, проголосовавшие электронно, на обычных избирательных участках исключаются из списка избирателей и проголосовать там не могут (в 2020 при голосовании по поправкам к Конституции были накладки, в основном связанные с попыткой стыковки электронной системы с бумажными книгами избирателей на участках в реальном времени; сейчас, чтобы такого не допустить, подавшие заявление на ДЭГ из списков избирателей на участках исключаются безусловно).

Хакни себя сам

Помимо вопросов, связанных с тайной голосования, к эстонской системе были претензии, непосредственно затрагивающие безопасность ID-карт. После выборов 2011 года в Рийгикогу гражданин Эстонии Пааво Пихельгас подал иск в суд. Истец отметил, что третья сторона может поместить в компьютер избирателя программное обеспечение для слежки, чтобы установить личность избирателя и отданный им голос. Более того, Пихельгас такой троянец и создал, и протестировал его работоспособность. При установке на компьютер троянец отправлял на сервер Национальной избирательной комиссии Эстонии голоса только за тех кандидатов, которых «одобрил» его автор. Из соображений безопасности у троянца отсутствовал механизм распространения. Пихельгас проиграл иск, так как, по мнению суда, действия автора вредоносного ПО не повлияли на гарантии избирательных прав граждан (троянец находился только на компьютере Пихельгаса и тестирование происходило после выборов), более того, участие самого Пихельгаса в собственном эксперименте по мнению суда не нарушало его избирательные права, так как в данном случае лицо, имеющее право выбирать метод голосования, путем заражения своего компьютера троянцем, блокирующим передачу голосов за «неугодных» кандидатов, сознательно поставило себя в подобное положение.

От себя заметим, что такая уязвимость является общим слабым местом любых систем электронного голосования, не использующих для этого специализированные доверенные устройства — однако в общем случае её широкомасштабная эксплуатация очень маловероятна, так как требует массового заражения личных устройств избирателей, причём в короткий период непосредственно перед выборами (иначе троянец с высокой вероятностью будет обнаружен заранее). Кроме того, в аудитируемых системах электронного голосования — впрочем, эстонская, в отличие от российских, к таким не относится — избиратели могут самостоятельно проверить, что их голос учтён в финальном подсчёте, так что массовое вмешательство будет также обнаружено.

Другой инцидент произошел в 2017 году, когда группа исследователей проинформировала эстонские власти об уязвимости, которая потенциально может повлиять на цифровое использование эстонских ID-карт. Уязвимость затронула почти 750 тысяч карт, выпущенных с 2014 года. В картах, выпущенных ранее, использовался другой чип, поэтому потенциальная угроза на них не распространялась. Интересно, что ряд политиков высказались тогда за перенос выборов, назначенных на 15 октября 2017 года, потому что в среднем по статистике голосует электронно 30-40 процентов эстонских граждан. Уязвимость затрагивала ключи шифрования, поэтому сертификаты, связанные с затронутыми ID-картами, были отозваны и впоследствии обновлены.

В связи с вышеперечисленными фактами можно сделать вывод, что корни эстонской системы аутентификации лежат в ее изначальном предназначении для нужд получения гражданами государственных услуг, когда между взаимодействующими субъектами нет никаких тайн. В случае с голосованием должны применяться иные стандарты защиты информации, но вся система, завязанная на ID-карты, настолько закрепилась в государстве, что, например, недавнее исследование не рекомендовало внедрять в Эстонии биометрическую аутентификацию, так как это потребовало бы фундаментальных изменений в существующей системе цифровой идентификации. В России изначально пошли по другому пути, создавая федеральную систему ДЭГ максимально приближенной к нуждам процесса голосования с обязательным соблюдением его тайны — Госуслуги в ней используются только как внешний сервис аутентификации избирателя. К слову, внедрить в России биометрическую систему аутентификации для ДЭГ, в отличие от Эстонии, технически ничто не мешает, кроме отсутствия биометрической базы избирателей значимого размера.

Мы просто посмотреть

И если с технической точки зрения российская система оказывается превосходящей эстонскую, то в вопросах наблюдения — а это также крайне важный элемент голосования — она пока что отстаёт, в первую очередь с организационной точки зрения.

 В Эстонии за онлайн-голосованием может наблюдать любой гражданин. Так как процесс наблюдения в ДЭГ существенно отличается от обычного наблюдения на выборах и требует определенных компетенций, Государственная служба по организации выборов в Эстонии проводит для наблюдателей обучение перед началом электронного голосования. Помимо участия в семинарах, наблюдатели также могут следить за процессом настройки системы электронного голосования и присутствовать при подсчете голосов вечером в день выборов. Даты проведения обучения для наблюдателей за электронным голосованием регулярно публикуются в эстонских СМИ.

В России процесс наблюдения за ДЭГ выстроен несколько иначе — или, точнее, пока что не выстроен вообще: ни Общественная плата, ни операторы системы ДЭГ до сих пор не занимались подготовкой наблюдателей, большинство политических партий также игнорируют эту тему, а технический инструментарий наблюдения не формализован и может меняться по усмотрению разработчиков. Это, разумеется, не означает, что сейчас за ДЭГ вообще никто не наблюдает — но работающих с ДЭГ экспертов нужно больше, и их нужно качественно подготавливать уже сейчас. В планах ЦИК России и Ростелекома стоит публикация технических инструментов наблюдения за ДЭГ в конце августа — то есть, попробовать их можно будет на очередном тестировании федеральной ДЭГ 7-9 сентября, обсуждаются и планы по проведению обучающих семинаров для наблюдателей, однако пока что это — лишь самое начало пути.

Парадоксально, что этим вопросом довольно мало заинтересованы политические партии — по крайней мере, большинство из них никаким явным образом не выказывает желания готовить наблюдателей самостоятельно, их представителей нет и на встречах и в чатах рабочих групп с участием разработчиков ДЭГ (довольно большая группа независимых экспертов постоянно действует при ДИТ Москвы, встречи разработчиков и заинтересованных ведомств проходят в рамках рабочей группы ЦИК РФ, недавно начались встречи с разработчиками «Ростелекома»). Парадоксально — потому что реализация ДЭГ обеспечивает огромные возможности по наблюдению силами даже небольшой группы экспертов, чем радикально превосходит обычные голосования, которые в масштабах России требуют подготовки буквально сотен тысяч наблюдателей, физически присутствующих в каждой УИК и ТИК.


На этом на сегодня всё, а к тем, кто дочитал до конца — вопрос: что вы хотели бы ещё почитать про ДЭГ в России и не только в России? Какие у вас есть вопросы, на которые мы могли бы попробовать найти ответ?

Комментарии (38)


  1. vesper-bot
    18.08.2021 17:21

    Что такое "открытый ключ маскируется"? Нет ли здесь потенциального бэкдора, т.е. возможности "снять маску" на стороне сервера, выдающего бюллетень?


    1. AnalogBytes Автор
      18.08.2021 17:56

      Это та часть, которую при желании можно хоть самому проверить — так как весь код выполняется в браузере на клиентском устройстве, то можно оценить используемые алгоритмы и библиотеки.


  1. Griboks
    18.08.2021 21:10
    +3

    Новая система настолько продвинута, что ещё исходный код не успели выложить, а уже проводят голосование.

    Не, на бумаге на 85% действительно безопасно, но на одной вере без исходников (особенно серверов) и грамотной реализации далеко не уедешь. Мне вот больше нравиться голосовать в багажнике на УИК 838))


    1. AnalogBytes Автор
      19.08.2021 12:49
      +1

      Частично исходники лежат на гитхабе Центральная избирательная комиссия Российской Федерации · GitHub

      Свежие выложат в начале сентября

      Ну и в серверных исходниках в федеральной системе смотреть особо не на что, практически всё реализовано на клиентской сторон — сервер делает проверку гражданина по ЕСИА, слепую подпись его ключа, выдаёт бюллетень, потом принимает этот бюллетень уже заполненный и зашифрованный и кладёт в блокчкейн. В московской системе, где ради отложенного голосования прикрутили аж два блокчейна, сложнее — там появилась логика перекладывания из блокчейна в блокчейн, которая отбрасывает дублирующиеся голоса; её обещали в ближайшем будущем (до выборов) показать.


      1. Gordon01
        18.09.2021 16:18
        +1

        Что мешает серверу выдать тысячу левых бюллетеней?


    1. Protos
      19.08.2021 15:08
      +3

      Ну есть у вас исходники, тогда вам нужен доступ на сервер системы голосования с правами чтения для сверки контрольных сумм конечных файлов собранных из исходников, иначе и исходникам грош. Ну либо в онлайне отображать работу системы мониторинга их контрольной суммы да и там можно намухлевать.


  1. ainu
    18.08.2021 22:12
    +4

    Если кратко, то не верится.

    Если полно, то докажите картинки.


    1. AnalogBytes Автор
      19.08.2021 11:35

      Большая часть того, что на картинках, в момент выборов выполняется прямо на устройстве пользователя в браузере.

      До реального голосования потыкать в это можно будет на публичном тестировании 7-9 сентября, плюс, мы надеемся (это в ЦИК РФ сейчас в обсуждении), в начале сентября систему откроют для желающих её похакать в специальном режиме (обсуждалась, например, серия коротких голосований, по 4-6 часов, вместо одного многодневного) на недельку.


  1. kranid
    18.08.2021 22:16
    +4

    Каким образом заэтим голосованием возможно наблюдать?


    1. MacIn
      19.08.2021 01:37

      Вот, тот же вопрос. И что вообще предлагается пронаблюдать?
      При бумажном голосовании мы можем следить за тем, чтобы голоса, отданные за Иванова не зачислили Петрову, чтобы бюллетени за Иванова не выкинули в мусорку и не отметили как испорченные, что не привезли пачку бюллетеней за Сидорова, которые вбросили в урну. А здесь что? Вот radiobutton, испортить бюллетень нельзя, каждое голосование — через аутентификацию, возможно ровно раз. Что наблюдать? Что система верно сложила A1+А2+… Аn по участкам?

      kdma

      А номера РФ за границей уже блокировать что-ли начали?

      Вы полагаете, что у каждого гражданина РФ, постоянно проживающего за границей, есть российская симка? На кой она ему? У него и паспорта внутреннего нет.

      — Вообще, замечательно. Поступь прогресса; дай бог, цифровизация будет только шириться, и староверы «мы верим только бумаге» останутся маргиналами (в это слово не вложено никакого негативного смысла — прим.)


      1. AnalogBytes Автор
        19.08.2021 11:24
        +1

        При бумажном голосовании мы можем следить за тем, чтобы голоса, отданные за Иванова не зачислили Петрову, чтобы бюллетени за Иванова не выкинули в мусорку и не отметили как испорченные, что не привезли пачку бюллетеней за Сидорова, которые вбросили в урну

        Да, но нет. То есть теоретически вы следить можете — но практически это звучит примерно как «исправить ошибки в программе можно очень просто — возьмите её исходный код, прочитайте и исправьте все ошибки».

        В России примерно 97 тысяч УИКов, чтобы наблюдение реально работало — надо хотя бы на 80 % из них подготовить наблюдателей от 5-6 партий на каждый. Наблюдатели должны знать свои права и обязанности, знать порядок проведения выборов и подсчёта голосов, уметь правильно оформлять свои замечания, не состоять в родстве или подчинённости с председателем УИК, не состоять в сговоре друг с другом...

        В общем, это нереально. Это надо минимум полмиллиона подготовленных и проверенных людей на Россию. Даже парламентские партии такое не вытянут, не говоря уже про второй эшелон.

        В результате наблюдение за «бумагой» работает в крупных городах, в первую очередь в Москве, а начиная с областных центров творятся истинные чудеса (десятки процентов испорченных бюллетеней, УИКи, где бюллетеней получено ровно столько, сколько выдано, и так далее). Политтехнологи оценивают, что чисто региональным творчеством где-то 10 % можно пририсовать даже на больших выборах.

        И что вообще предлагается пронаблюдать?

        Три этапа:

        • до выборов — оценка архитектуры системы, возможных слабых мест и уязвимостей, вообще формирование понимания, как она работает и чем именно обеспечивается целостность процесса (сегодня выложим про это обзорную статью на примере федеральной системы)

        • в процессе голосования — контроль непрерывности работы системы, выгрузка промежуточных результатов (в федеральной системе текущие транзакции показываются на морде портала наблюдения, в московской ещё и каждые полчаса формируется CSV-файл с ними)

        • по окончании — сверка промежуточных результатов с финальными (совпадение транзакций), самостоятельная расшифровка и подсчёт голосов в финальной выгрузке, изучение статистики выдачи и приёма бюллетеней по времени (она посекундная), изучение жалоб избирателей.

        На ближайших выборах у федеральной системы будет выделенный ТИК ДЭГ (это больше дань формальности, там сидит комиссия, которая официально удостоверяет результат выборов), группа технического наблюдения в Общественной палате РФ (с прямым доступом к ноде блокчейна), плюс на внешнем портале наблюдения текущие транзакции блокчейна будет видно. У московской системы — observer.mos.ru, там текущие транзакции и выгрузки блокчейна в CSV.

        Плюс к этому могут подключиться обычные наблюдатели на участках, выборочным обзвоном контролирующие, что открепившиеся на ДЭГ избиратели действительно это сделали сами и действительно проголосовали в ДЭГ.

        Вообще, по наблюдению «из дома» напишем статью, наверное, в начале сентября. По фактической работе ТИК ДЭГ и ГТН ОП РФ можем после выборов сделать обзор, у нас и там, и там планируются наши люди.


        1. kranid
          19.08.2021 12:40

          Какой вообще смысл в блокчейне, если у наблюдателей нет возможности поднять независимые ноды? И как проконтролировать возможность государства просто нарегать кучу фейковых аккаунтов и проголосовать с них как им хочется?


          1. AnalogBytes Автор
            19.08.2021 12:46

            Блокчейн сильно упрощает внутренную механику для разработчиков, логика системы делается на смарт-контрактах, защита от модификации данных идёт «из коробки».

            И как проконтролировать возможность государства просто нарегать кучу фейковых аккаунтов и проголосовать с них как им хочется?

            Во-первых, это не просто «куча фейковых аккаунтов», а «куча верифицированных аккаунтов Госуслуг, сверенных с базами данных МВД и ЦИК России и внесённых в список избирателей». То есть, внезапно заводить толпу несуществующих граждан должны будут сразу несколько ведомств синхронно. Это, скажем так, маловероятное событие — они до сих пор существующие базы друг с другом сопоставить-то до конца не могут.

            Во-вторых, нельзя просто вбросить голоса пачкой, это будет видно на графике их поступления, он посекундный. Более того, после расшифровки можно построить посекундную динамику голосов за каждого кандидата.

            В-третьих, их ещё и надо будет регистрировать на голосование, потому что при типовой явке в районе 95 % много не вбросишь.


            1. Wingtiger
              19.08.2021 13:42

              нельзя просто вбросить голоса пачкой

              таймер.интервал = рандом(диапазон);

              если (есть что в очереди) отправить 1 шт;


        1. Gordon01
          18.09.2021 16:20
          +2

          до выборов — оценка архитектуры системы, возможных слабых мест и уязвимостей, вообще формирование понимания, как она работает и чем именно обеспечивается целостность процесса (сегодня выложим про это обзорную статью на примере федеральной системы)

          А как мне убедится до выборов мне дали посмотреть на то же самое, что используется во время выборов?


    1. AnalogBytes Автор
      19.08.2021 11:36

      Мы сделаем про наблюдение отдельную статью. В т.ч. про то, что и как можно смотреть, не будучи ни членом ТИК ДЭГ, ни членом группы технического наблюдения ОП РФ.


  1. anonymous
    00.00.0000 00:00


    1. AnalogBytes Автор
      19.08.2021 11:25

      У многих их просто нет и не было никогда. Зачем, если, например, в России бываешь раз в пару лет?


  1. gapel
    19.08.2021 10:33

    Хм, подождите, а как же бесплатный эстонский SmartID? Почему он не упоминается?


    1. AnalogBytes Автор
      19.08.2021 11:26

      На официальном сайте нет, где почитать? Или оно на выборах не применяется.

      Для электронного голосования необходимы ID-карта или mobiil-ID и компьютер. На смарт-устройствах электронное голосование невозможно. Более подробное описание можно найти в разделе «Требования к избирателю и компьютеру»


      1. gapel
        19.08.2021 11:38

        Озадачили, пойду искать, а то выборы на носу


      1. maxgo1
        20.08.2021 12:40
        +1

        Официально пока ничего не описывается о системе SmartID. Если вы хотите чуть побольше почитать по поводу SmartID, то вам следует посмотреть тут и тут, так как всеми операциями с ключами и подписями занимается SK Solutions и Департамент Государственной Инфо-системы.

        А вообще изучая вопрос о том, как государство решает с вопросом о единой аутентификации, заметил кое что интересное. За последний год-два государство начало связывать разные сервисы под единую систему аутентификации (Riigi Autentimisteenus) под кодовым названием Tara. Как гражданин Эстонии, использующий разные дигитальные услуги государства, скажу, что они перевели большую часть уже на эту единую систему. И так как эта "Тара" поддерживает новый SmartID, то я уверен, что систему электронного голосования тоже свяжут с данным сервисом, иначе это будет накладно и неэффективно для государства.


  1. Raimo
    19.08.2021 11:04

    Странно, что автор не упомянул систему Smart-ID, которая популярнее mobil-id. Это приложение на телефон позволяющие условно зарегистрировать свою ID карту в телефон. После можно пользоваться практический всеми услугами с помощью телефона, где нужно себя индетефицировать. Никаких карт, считывателей, сим карт за 1 евро.


    1. kyberorg
      23.08.2021 16:10

      Наверное, потому что через Smart-ID пока нельзя голосовать.

      https://www.valimised.ee/ru/elektronnoe-golosovanie
      Для электронного голосования необходимы ID-карта или mobiil-ID и компьютер. На смарт-устройствах электронное голосование невозможно.

      Как выше написал @maxgo1: если к выборам прикрутят "Tara", то да, через Smart-ID тоже можно будет.


  1. gus26
    19.08.2021 11:04
    +1

    А что там с взломом ГосУслуг, когда за ЕР голоса ушли на парймериз. Кто-то ответил?


    1. AnalogBytes Автор
      19.08.2021 11:05
      -1

      Двухфакторную авторизацию включать надо на Госуслугах. Ну и пароль нормальный.


      1. gus26
        19.08.2021 17:25

        Да хоть трехфакторную включай. Если замешаны сотрудники, как это поможет? А судя по тому, что никаких последствий не последовало, то так оно и есть. Что-то тут точно не чисто...


        1. AnalogBytes Автор
          20.08.2021 12:41

          Откуда взяты данные о замешанных сотрудниках?


  1. diomas
    19.08.2021 20:08
    +3

    А зачем в российской системе вообще блокчейн, если все ноды контролируются одной стороной? Ведь, я так понимаю, никто посторонний не может поднять свою ноду и принять участие в этом блокчейне? Чем такой подход отличается от просто использования какого-то центрального сервера с закрытым кодом?

    Если бы это был настоящий блокчейн, то по идее была бы гарантия того, что код, выполняющийся на серверах избирательной коммиссии (или кто там ими заведует?), соответствует тому открытому коду, который выложен в общий доступ - т.к. если он не соответствует, то начали бы вылезать несовпадения с нодами, запущеными сторонними наблюдателями.


  1. mr_bag
    20.08.2021 00:03

    1. Как любой голосовавший может проверить не как сохранился его голос, а как он был учтён? Есть такой механизм?

    2. Почему до сих пор голосование тайное? Что такого, чтобы голосование было именным?

    3. Почему до сих пор не реализован механизм голосования на основе блокчейна?

      Как я понимаю, после сохранения голоса в цепочке его изменить уже нельзя?


    1. AnalogBytes Автор
      20.08.2021 12:44

      1. В московской системе голоса расшифровываются, можно в финальной выгрузке блокчейна а) найти свой голос и б) посчитать самостоятельно сумму голосов за каждого кандидата. В федеральной системе всё сложнее, там бюллетени не расшифровываются, проверка основана на математических доказательствах — напишем об этом механизме подробнее в одной из следующих статей, а на тестах системы в начале сентября можно будет попробовать.

      2. Чтобы вас не уволили за неправильно сделанный выбор.

      3. Во всех российских системах ДЭГ, от государственных до коммерческих (Polys Касперского) используется блокчейн.


      1. Wingtiger
        20.08.2021 16:08

        П.2. При этом всегда во всех бюджетных организациях даются рекомендации за кого голосовать. А в армии - приказы


        1. alexeyrom
          18.09.2021 16:02

          Преподаю в бюджетном университете, ни разу за 18 лет не слышал даже намёка на такую рекомендацию. (Я не спорю, что во многих случаях даются, только против квантора всеобщности.)


  1. event1
    20.08.2021 01:06

    на выдающий бюллетень сервер, где подписывается публичным ключом голосования.

    Далее уже заполненный избирателем бюллетень подписывается созданным на его устройстве ключом (секретным), шифруется публичным ключом системы голосования, к нему прилагается сделанная ранее слепая подпись публичного ключа избирателя ...

    Можно сохранить подпись замаскированного ключа и ФИО на сервисе авторизации и сверить эту подпись с той, что гражданин прикрепил к бюллетеню на сервере голосования. Таким образом тайна голосования будет нарушена.

    P.S. tele2 конечно славно придумали за пользование сим-картой евро в месяц брать. "А если б каждый из сограждан дал мне по рублю..."


    1. AnalogBytes Автор
      23.08.2021 00:21

      На самом деле нет, если описывать протокол слепой подписи корректнее — то на стороне избирателя в результате снятия маски получается новая подпись, идентичная подписи, которую сделал бы сервер для немаскированного ключа.


  1. Gryphon88
    20.08.2021 17:43
    +1

    Вроде уже неоднократно обсуждалась достаточность проверок и прозрачности. В итоге в РФ требуют городить систему, скорее всего невозможную по организационным причинам, а в США никого долгое время не напрягало, что на избирательном участке документы показывать не надо.


  1. Jetmanman
    24.08.2021 14:32

    Непонятно как осуществляется анонимность. И если голоса можно проверить, то откуда анонимность или проверить все-таки нельзя?

    Во вторых непонятно кто может эту систему проверить на то, что все равботает как заявлено, а не иначе?

    И есть ли у кого-то особый доступ к изменению голосов в системе или каких-то вбросов?

    Что будет, если вдруг окажется, что система имеет дыру и некий хакер ее эксплуатировал, об этом стало известно в процессе голосования. Что тогда? Отмена электронного голосования или кто-то воспользуется своими админ правами и все исправит по быстрому как посчитает нужным? Например отменив чьи-то голоса как фальшивые? Или еще как-нибудь?


    1. AnalogBytes Автор
      24.08.2021 17:52

      Про тайну голосования и проверку голоса подробнее: Протокол, который невозможен: как на самом деле в ДЭГ обеспечивают тайну голосования / Хабр (habr.com)

      Что будет, если вдруг окажется, что система имеет дыру и некий хакер ее эксплуатировал, об этом стало известно в процессе голосования. Что тогда?

      Отмена результатов ДЭГ.

      Например отменив чьи-то голоса как фальшивые?

      Это невозможно сделать незаметно.