В США Федеральный закон требует, чтобы на избирательных участках была хотя бы одна электронная машина для голосования. На президентских выборах 2020 года 30 % голосов было отдано с помощью такой машины. Сторонники говорят, что электронные системы голосования могут быть относительно безопасными, улучшать доступность и упрощать голосование и подсчёт голосов. Между тем критики утверждают, что машины для голосования небезопасны и должны использоваться как можно реже.

В последнее время этот ранее нишевый спор был подхвачен хором сторонников теории заговора, которые утверждают, что скомпрометированные машины стоили Дональду Трампу президентства. На фоне этих опасений по поводу технологии выборов разные новаторы ищут решение: простую в использовании машину для голосования, которую значительно сложнее взломать, чем существующие модели.

Профессор информатики Университета Флориды, Хуан Гилберт, после 19 лет исследования и тестирования разработал Prime III — «самую безопасную технологию голосования из когда-либо созданных».

Prime III — это мультимодальная система электронного голосования с открытым исходным кодом, которая обеспечивает безопасность и целостность системы в удобном интерфейсе для пользователя независимо от его способностей. Если человек неграмотен, не может видеть, слышать, или например, если у него артрит, он может проголосовать с помощью Prime III в приватной, безопасной среде без посторонней помощи.

Доктор Гилберт назвал систему Prime III таким образом, потому что она считается устройством для голосования третьего поколения. Голосование первого поколения проводилось с помощью механического оборудования и бумаги (например, рычажных машин, перфокарт и т. д.). Голосование второго поколения использует компьютеры (например, оптическое сканирование, электронную машину для голосования с прямой записью (Direct Recording Electronics, DRE)). Устройства третьего поколения являются мультимодальными (например, AutoMark).


Система с оптическим сканированием


В бюллетенях с маркировкой, также известных как бюллетени с оптическим сканированием, указываются имена кандидатов, напротив которых необходимо закрасить овал, квадрат или круг. После этого избиратели могут отнести свой бюллетень к сканеру, который засчитывает их голос, распознавая тёмную метку. Эта форма голосования не требует сложного обучения и легко реализуемо. Однако проблемы возникают, когда сканер не может правильно распознать тёмную метку, поэтому нет никакой гарантии, что голос будет засчитан правильно. Существует также проблема хранения миллионов бумажных бюллетеней с маркировкой. Кроме того, бумажные бюллетени неудобны для использования инвалидами или неграмотными избирателями.

Электронные машины прямой записи (DRE)


DRE, такие как сенсорные экраны, являются новейшими системами в технологии электронного голосования. Избиратели голосуют, коснувшись имени кандидата из списка на экране. В большинстве DRE голоса подсчитываются самой системой. Сведённые в таблицу голоса хранятся либо в локальной БД, либо в удалённой БД, которая подключена к сети. Существует ряд рисков связанных с DRE; уязвимость от хакеров, злонамеренные работники, ошибочный код, отсутствие возможности пересчёта и человеческий фактор.

Согласно Help American Vote Act (HAVA), все американцы должны иметь равные возможности голосовать. Тем не менее, современные системы оптического сканирования и DRE не могут быть использованы избирателями, которые неграмотны, имеют инвалидность, которая не позволяет им использовать сенсорный экран или ручку с бумагой. Из-за большого количества проблем и отсутствия решений и был разработан проект под названием Prime III, отвечающий требованиям HAVA.

Процесс голосования с Prime III


Чтобы проголосовать с помощью Prime III, избиратель вводит бумагу в принтер и получает доступ к онлайн-системе удалённой оценки бюллетеней по ссылке или QR-коду. Избиратель может проголосовать отвечая на подсказки системы, либо коснувшись экрана или же может использовать аудио-тактильный интерфейс. Prime III также поддерживает телеголосование, что позволяет избирателю голосовать с помощью системы удалённой оценки бюллетеней, будучи подключённым к сотруднику избирательного участка, который в конечном итоге получает и распечатывает бюллетень с пометкой избирателя.


Избиратели, использующие гарнитуру для голосования, получат подсказки об отображаемых в данный момент параметрах бюллетеня. Каждому варианту случайным образом присваивается номер. Например, возьмём двух рандомных избирателей, Джона и Дженис, которые зашли в отдельные кабины для голосования. Если подслушать их, можно услышать, как Джон говорит «пять, семь, три, восемь», а Дженис говорит «два, пять, один, девять». В этом сценарии Джон и Дженис могут голосовать за одних и тех же кандидатов, однако никто этого не узнает, так как каждому избирателю одни и те же кандидаты даются под разными цифрами.

Речевой интерфейс Prime III также реализует взаимодействие, при котором избирателю не нужно озвучивать имя кандидата. Каждый вариант представляется избирателю через гарнитуру в случайном порядке; когда избиратель слышит нужный вариант, он говорит «голосую» или просто дует в прикреплённый микрофон. Когда избиратели не хотят выбирать текущий вариант, они молчат, и система переходит к следующему кандидату. Ниже приведен пример такого взаимодействия:

Prime III: — «Чтобы проголосовать за Республиканскую партию, скажите «голосую».
Молчание.
Prime III: — «Чтобы проголосовать за Демократическую партию, скажите «голосую».
Избиратель: — «Голосую».


Prime III — единственная система голосования, которая использует преимущества речевого интерфейса с помощью автоматического распознавания речи. Во время голосования избирателю требуется дважды подтвердить свой выбор. После этого результат будет сохранён на жёсткий диск, и приложение для голосования закроется. При этом вся сессия будет записана на на видеорегистратор. В реализации не используются видеокамеры. На видео не записывается ни избиратель, ни голос избирателя, только экран и звук Prime III. Личность избирателя остаётся анонимной.


Модель безопасности Prime III


Система Prime III физически не находится в кабине для голосования; она находится в отдельной выделённой зоне под охраной. Удаление системы из кабины для голосования предотвращает вмешательство в систему во время выборов.

Система может работать как в среде Windows, так и в SELinux (Security Enhanced Linux). Помимо ограниченного доступа пользователей, Prime III использует комбинацию папок-импостеров и шифрование для обеспечения безопасности выборов. Папки-импостеры — это папки для голосования, расположенные случайным образом в системе.


Концепция папки-импостера

В корневом каталоге есть несколько папок-импостеров, каждая с разными именами и не идентифицируемыми закономерностями в именах. Каждаясодержит 500 подпапок. Каждая вложенная папка содержит зашифрованные портативные изображения бюллетеней для голосования в формате документа (PDF). Эти бюллетени содержат только выбор избирателя. Каждый бюллетень содержит отметку даты и времени, когда был подан бюллетень. Зашифрованные файлы бюллетеней в формате PDF назначаются в одну из 500 подпапок на момент записи. В то же время несколько других случайно сгенерированные зашифрованные бюллетени записываются случайным образом в другие папки. Есть только одна настоящая папка для голосования, и эта папка определяется ключом ввода, установленным должностным лицом избирательной администрации.

В комплект Prime III входит устройство с сенсорным экраном, гарнитура, принтер и двухкнопочный текстурированный переключатель. Prime III обеспечивает несколько режимов, включая очное голосование, заочное голосование и табулирование голосования. Prime III использует безопасную цветовую схему для дальтоников и включает опции для слабовидящих пользователей, так как только 12 % слепых умеют читать шрифт Брайля.

Машина распечатывает бюллетень, который можно проверить. Одно из давних опасений по поводу этих бумажных следов заключается в том, что избиратели на самом деле не проверяют, соответствует ли то, что напечатано в их бюллетене. Сенсорный экран прозрачен, что позволяет избирателям наблюдать за тем, как машина печатает их бюллетени, в режиме реального времени и замечать любые проблемы.


Вся машина также заключена в полностью прозрачное стекло, что затрудняет вставку, скажем, вредоносного USB-накопителя. А операционная система машины, программное обеспечение, подключение принтера и информация о бюллетенях хранятся на диске Blu-ray, доступном только для чтения. В отличие от обычного жёсткого диска, которым, по словам скептиков технологии голосования, можно манипулировать, чтобы изменить голос человека, диск нельзя перезаписать, модифицировать или каким-либо образом изменить.

Чтобы ещё больше гарантировать, что USB-порты нельзя использовать для загрузки вредоносного кода, машина Гилберта перезагружается после каждого поданного голоса.

Конечной целью систем электронного голосования должна быть единая конструкция, позволяющая каждому голосовать конфиденциально и независимо. Хотя Prime III не реализует эту цель для всех избирателей, он предоставляет механизм, позволяющий многим избирателям с ограниченными возможностями голосовать с большей конфиденциальностью и достоинством, чем большинство используемых в настоящее время систем.

Создание отдельных систем или машин делает их более уязвимыми для взлома, объясняет доктор Гилберт. Но если одна система предназначена для универсального использования всеми людьми, становится легче обнаруживать ошибки и уязвимости.


Prime III был разработан в 2003 году доктором Хуаном Гилбертом как доступная безопасная система голосования. В 2015 году Prime III был выпущен как программное обеспечение с открытым исходным кодом, что позволило любому желающему загрузить программное обеспечение и использовать его. Prime III использовался в Нью-Гэмпшире на избирательных участках в качестве устройства для маркировки бюллетеней под названием One4All. В 2018 году округ Батлер, штат Огайо, начал предлагать Prime III в качестве своей системы удаленной оценки бюллетеней. В 2020 году округ Батлер, штат Огайо, остается единственной юрисдикцией, предлагающей Prime III в качестве системы удаленной оценки бюллетеней для иностранных и военных избирателей, а также для избирателей с ограниченными возможностями. Prime III также сертифицирован для использования в Калифорнии.

В 2020 году Хуан Гилберт призвал ведущих экспертов Америки по кибербезопасности протестировать и взломать Prime III. Система должна пройти тщательную проверку со стороны экспертов по безопасности со всей страны. Целью экспертов по безопасности было взлом машины и изменить подсчёт голосов. Они также должны были сравнить модель безопасности Prime III с моделями безопасности поставщиков систем DRE. Это должно было повысить доверие избирателей к системе.

Но к 2022 году доктор Гилберт так и не получил ответа ни от одного эксперта. По словам профессора: «Они берутся только за то, что могут взломать. Если у них то, что они не могут понять, то они не будут к этому притрагиваться».

Комментарии (21)


  1. v1000
    03.11.2022 13:14
    +5

    По словам профессора: «Они берутся только за то, что могут взломать. Если у них то, что они не могут понять, то они не будут к этому притрагиваться».

    а может они не хотят лезть туда, где могут обвинить посягательстве на демократию? ну к примеру, протестировать систему, а затем доказывать, что ты не нашел никаких проблем с безопасностью, либо сообщил о всех найденных, а не утаил часть из них, чтобы затем продать их врагам демократии.


    1. sanalex76
      03.11.2022 16:26
      +2

      Там же открытый исходный код. Что мешает тебе загрузить анонимно и извращаться с ним? Если ничего не получится - никто и не узнает.


  1. vadimr
    03.11.2022 13:24

    Ниже приведен пример такого взаимодействия:

    Prime III: — «Чтобы проголосовать за Республиканскую партию, скажите «голосую».Молчание.Prime III: — «Чтобы проголосовать за Демократическую партию, скажите «голосую».Избиратель: — «Голосую».

    А если это тормозной республиканец, который ответил на первый вопрос, когда уже был задан второй?


    1. TilekSamiev Автор
      03.11.2022 13:29

      Во время голосования избирателю требуется дважды подтвердить свой выбор. До подтверждения можно откатить свой выбор


      1. dso
        03.11.2022 21:58

        То есть, первый раз стормозил, а второй раз уже нет? А если это дважды тормозной республиканец?


        1. vassabi
          03.11.2022 22:00

          ну, если он настолько тормозной .....


        1. xkb45bkc4
          04.11.2022 09:00
          +3

          Значит он демократ.


      1. SquareRootOfZero
        04.11.2022 08:47
        +2

        "Thank you! "Not" is correct. Is "Sure" correct?"



  1. lmxrm
    03.11.2022 13:40
    +2

    неграмотные в США?

    погуглил, я просто в шоке
    Количество неграмотных людей в США перешагнуло за 20%


    1. sintech
      03.11.2022 16:44

      Вот вот, вместо того, чтобы с помощью технологий сделать людей грамотнее, они придумывают переусложненные устройства, чтобы эти люди могли ни в чем себе не отказывать. На тему неграмотности в США есть хороший фильм Precious 2009 года.


    1. oxff
      03.11.2022 17:22
      +6

      Здесь имеется в виду, конечно же, English literacy. Многие из этих людей хорошо владеют родным письменным языком. Им английский по сути вообще не нужен, потому что они живут и работают в этнических комьюнити.


      1. BlackMokona
        03.11.2022 23:40

        Ещё есть один вид неграмотности в такой статистике. Это невозможность выполнять сложную интеллектуальную работу и действовать не по шаблону. Там в неграмотных даже людей с вышкой записывают на раз ,два


        1. oxff
          04.11.2022 00:26

          Не могу с вами согласиться. Это звучит довольно субъективно и оценочно. Не думаю, что это можно формализовать, измерить, и включить в статистику.

          Кроме того, перед моими глазами много примеров того, как сотрудники, выполняющие качественно свою неинтеллектуальную шаблонную работу, ценятся, и получают достойную компенсацию. Они надёжны, на них можно положиться. Мечта управленца.


          1. BlackMokona
            04.11.2022 09:35
            +3

            Мне в одном споре тоже выкатили что в США горы неграмотных. Я попросил пруф и мне его дали, очень удивился и прочитал внимательно. А там сноска кого автор статистики неграмотными считает.

            Ну и тут можно вспомнить аналог этого, голодающие. Вот подумайте можно ли жиробасов из Мака признать голодающими? Которые весят по 200 кило и жрут круглые сутки? Да можно, и такая статистика тоже есть. Только голод определяется по получению всех необходимых веществ, микроэлементов, витаминов и прочего. Неправельно питаешься значит голодаешь.

            Я уже привык каждый раз когда слышу про неграмотных, бедных, больных, голодных и прочих отверженных в развитых странах, сразу интересоваться критериями оценки


            1. oxff
              04.11.2022 14:02

              Интересненько! Я и говорю, это уже получается не формальный научный подход, а оценочное суждение ???? Похоже на подгон результата под требования заказчика.


              1. BlackMokona
                05.11.2022 04:45
                +1

                Там во многом смещение для продолжения бесконечной борьбы. Мы боролись с голодом и нужно убедить общество у которого главная проблема это ожирение что борьба ещё не выйграна, смещаем критерии оценки и вуаля голод во все поля. Тоже с неграмотностью, угнетением, дискриминацией,бедностью и тд

                А то финансирование поотменяют, поддержка в обществе упадёт инициатив и тд

                Например мировой уровень бедности это 1.9$ в сутки на человека установленный всемирным банком, даже если сделать поправку на разницу цен с мировыми то результат всё равно не очень. Какая такая бедность в США при таких критериях? Нулевая.А бороться надо.


  1. pacific_man
    03.11.2022 18:17

    Как и всегда, при любом взломе, самая уязвимая единица - человек)


  1. 0xd34df00d
    03.11.2022 19:35
    +4

    В последнее время этот ранее нишевый спор был подхвачен хором сторонников теории заговора, которые утверждают, что скомпрометированные машины стоили Дональду Трампу президентства.

    А разве не было в 2016-м ещё теорий заговора, что русские хакеры всё похакали, что стоило Хиллари Клинтон президенства?


  1. slavanikolsky
    03.11.2022 22:37
    +2

    Все хорошо, но есть — НО!

    В США существует децентрализованная система организации и проведения федеральных выборов, каждый из 50 штатов, федеральный округ Колумбия и 6 территорий имеют обособленное законодательство о выборах президента США. Отличия в регламентирующем законодательстве и процедурах существуют даже среди округов одного штата. При этом значительный объем функций избирательных органов законодательно возложен на органы исполнительней власти штатов, а правовое регулирование проведения предвыборной агитации кандидатов практически отсутствует.

    ПС

     «не важно, как проголосуют, а важно то, как посчитают»

    (С) Наполеон III


  1. lxsmkv
    04.11.2022 04:21

    "Пока я тут считаю голоса, что ты сделаешь, а?"
Thomas Nast (1871)
    "Пока я тут считаю голоса, что ты сделаешь, а?" Thomas Nast (1871)

    Карикатура посвященная периоду беспрецендентной политической коррупции в Нью Йорке во второй половине 19 века, под руководством Уильяма Твида.

    Поэтому совершенно неважно насколько надежен процесс сбора голосов, важно чтобы их подсчет был прозрачным, и защищенным от манипуляции. Что нибудь типа голосования с помощью электронной подписи. Голос сразу учитывается и выводится публично в общую статистику, никакого процесса "подсчета" не нужно. Чтобы "вбросить" голоса в такую систему придется создавать дополнительные ключи для несуществующих граждан.

    Если конечно все последовательно перевести на такую электронную систему учета, то вместе с прозрачностью выборов, люди начнут жаловаться что за ними следят на каждом шагу, потому что любую гражданскую операцию придется подтверждать ключом, смену места жительства, смену паспортных данных и.т.п. И потом как быть с утеряной картой. Что делать в случае смерти. Есть шанс что карты/ключи не будут надлежащим образом уничтожаться и будет опять пул ключей который можно будет использовать для манипуляции. Но если использование голоса/ключа возможно только по месту жительства, и соответственно машина будет принимать только ключи со своего избирательного участка, то чтобы добвить голоса "мертвых душ", придется эти лишние карты распределять по всей стране, это уже неудобно как минимум. Ну и конечно машина регистрирует время отдачи голоса, и если данные прозрачны и открыты то последовательный быстрый ввод голосов можно засечь статистически в данных. Короче, наверняка можно это сделать если сильно захотеть. Как минимум систему более прозрачную чем сейчас.

    Интересно еще, если граждане сами создадут такую открытую децентрализованую электронную систему, можно заставить государство признать ее официально? Вот это была бы демократия.