Информационная служба «Хабра» посетила первое заседание экспертов по технологиям дистанционного электронного голосования (ДЭГ). Заседание проходило при участии специалистов из «Ростелеком», представителей Центральной избирательной комиссии РФ, специалистов «Криптонит» и специалистов «КриптоПРО». Модератором заседания был Алексей Лукацкий. Само заседание выложено на Youtube‑канале компании «Криптонит».

Открыл заседание модератор, известный блогер и бизнес‑консультант по безопасности Positive Technologies Алексей Лукацкий. Он рассказал, как будет проходить заседание и какие вопросы на нём будут освещаться.

Темы, обсуждаемые на заседании:

• технологии ДЭГ и их особенности;

• обеспечение информационной безопасности и осуществление устойчивости ДЭГ к кибератакам;

• возможные варианты дальнейшего развития систем ДЭГ.

После вступительного словам модератора выступал Иван Киреев из Управления инновационных технологий в избирательном процессе ЦИК России. Он рассказывал об изменениях в порядке ДЭГ в 2023 году. В частности, электронное голосование проводилось с 2020 года в рамках эксперимента, систему разработало ПАО «Ростелеком». До 2022 года технология электронного голосования применялась только в рамках определённых выборов. В марте 2022 года в закон «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» от 12.06.2002 N 67-ФЗ были внесены поправки, связанные с ДЭГ. Также в 2022 году был принят порядок голосования с применением дистанционной системы. В 2022 году в выборах с применением ДЭГ участвовало 7 регионов, в 2023 году — 25. Причём в 2022 году, чтобы подвести итоги, ЦИК дожидалась окончания голосования во всех регионах, а это три часовых пояса. В 2023 году часовых поясов уже будет пять, поэтому были приняты «точечные» изменения регламента голосования. Теперь итоги ДЭГ по завершению голосования на конкретном участке.

Далее взял слово главный архитектор системы ДЭГ в «Ростелекоме» Юрий Сатиров. Его доклад был посвящен техническому развитию ДЭГ за три года. Начал Юрий с рассказа о том, как создавалась система ДЭГ, как она эволюционировала и в каком состоянии она находится сейчас.

В 2020 году была создана первая версия системы с нуля. При создании системы разработчики использовали протоколы тайного голосования, используемые в криптографии, а точнее остановились на одном протоколе — Хе‑Су. Этот протокол был взят за основу. Именно термины и технологии, используемые в протоколе, были взяты для дальнейшего создания ДЭГ. Например, из протокола была взята процедура анонимизации. Как заявил Сатиров, в ДЭГ нет сложной системы запутывания и разъединения, в ДЭГ есть подход подпись вслепую ключа подписи избирателя.

Однако «Ростелеком» добавили и другие криптографические механизмы. Разработчики решили не расшифровывать индивидуальные бюллетени, они решили производить операции над зашифрованными данными или гомоморфное шифрование. Однако для того, чтобы было понять, правильно ли заполнение бюллетень или нет, нужно использовать другой механизм. Для этого было использовано доказательство с нулевым разглашением. Это процедура представляет собой разделение ключей на несколько частей для держателей ключей. Вот такая системы была создана в 2020 году.

В 2020 году также был проведён тест системы в Ярославской области. В тесте участвовало 30 тысяч человек. В 2021 году вышла статья On the (in) security of ROS от криптографов из Google и Беркли. При этом у статьи не было широкой огласки. Однако, по словам Юрия Сатирова, это был «взрыв бомбы». В этой статье доказывалось, что, если брать криптографический протокол и внедрить его в информационную систему, где есть не один пользователь (как Алиса и Боб в стандартной схеме), а несколько, то в таком случае выясняется, например, что при реализации протокола слепой подписи, если у нарушителя есть возможность открыть какое‑то количество параллельных сессий, возникает возможность получить ещё одну подпись, то есть ещё один бюллетень. Статья была основана на 256 параллельных сессиях и в ней атака вполне была осуществима на обычных ноутбуках.

Для разработчиков ДЭГ статья означала полную перестройку используемых криптографических механизмов. И в итоге «Ростелеком» ушёл от слепой подписи Шнора к слепой подписи RSA 4096 с добавлением хеш‑функции Стрибог.

Далее в 2021 году разработчики убрали сложнопроверяемые механизмы и приступили к решению вопроса процедуры анонимизации со слепой подписью. И на конец 2021 года была найдена нужная подпись под названием Abe.

В 2022 году ДЭГ применялась, как уже говорил представитель ЦИК Иван Киреев, в 7 регионах в единый день голосования. Как утверждает Сатиров, именно 2022 год дал толчок для развития ДЭГ. Во‑первых, вышла статья двух исследователей Тессаро и Жу о реализации слепой подписи на эллиптических кривых. Она дала рабочее решение для ДЭГ. Во‑вторых, благодаря статье Тессаро‑Жу и последующим исследованиям от компаний «КриптоПро», «Ростелеком» и «Криптонит», появился документ под названием «Модель угроз и нарушителя для анализа криптографических механизмов ДЭГ». Документ рассказывает о моделях угроз и нарушителях в части криптографии. В итоге к концу 2022 года разработчики пришли к выводу, что ДЭГ можно рассматривать как единое сложное криптографическое СКЗИ.

Ну и в 2023 году прорыв, совершённый в 2022 году, был закреплён программно‑аппаратными СКЗИ. Все эти комплексы сертифицированы ФСТЭК и ФСБ, и допущены к единому дню голосования.

В конце выступления Сатиров рассказал о специальном чемодане, используемом для генерации ключей. Первичная генерация ключей, которая будет происходить в комиссии, будет происходить с помощью аппаратного датчика случайных чисел.

Потом Сатиров немного раскрыл рассказ Киреева о регламенте голосования по ДЭГ в 24 регионах:

• у каждого региона будет разная продолжительность голосования (где два дня, где‑то три дня, а завершиться одинаково в 20:00 по местному времени в воскресенье);

• в 2023 году исходные данные будут загружаться со всеми параметрами, а потом в автоматическом режиме каждый час будет стартовать голосование и для каждого пояса будут отдельные ключи;

• для обеспечения прозрачности и доверия к системе, используется распределённый реестр по технологии блокчейна. Блокчейн будет отображать все действия всех участников по исполнению функции ДЭГ.

Протокол ДЭГ будет публиковаться на сайте электронного голосования, его можно будет скачать и ознакомиться.

После выступления Сатирова, было выступление руководителя лаборатории криптографии компании «Криптонит» Василия Шишкина. Его выступление посвящено проведённому исследованию надёжности криптографических механизмов ДЭГ. Результаты «Криптонит» опубликовала в своём блоге на Хабре. Всего в системе ДЭГ семь криптографических механизмов «Криптонит» проверяла три. Первой была схема аддитивно‑гомоморфного шифрования, вторая — доказательство с нулевым разглашением, третья — доказательство принадлежности интервалу.

В ходе работ тестирующие занимались разработкой математических моделей и анализом стойкости этих механизмов. Кроме того, специалисты компании «Криптонит» занимались разработкой и формированием документации в экспертные организации.

К сентябрю 2021 года были разработаны модели и проведён анализ стойкости схемы аддитивно‑гомоморфного шифрования. К ноябрю 2022 всё то же самое проведено с доказательством с нулевым разглашением и доказательством принадлежности интервалу. Разработка документации и отчётности продолжает и по настоящее время.

Шишкин подробнее рассказал для чего используются, исследуемые его компанией, механизмы. Доказательство принадлежности интервалу используются для доказательства корректности содержимого бюллетеня. Схема аддитивно‑гомоморфного шифрования обеспечивает конфиденциальность вычислений. Для получения суммы голосов не надо расшифровывать каждый бюллетень, достаточно сложить шифр текста и суммарный шифр бюллетеней даст общее количество голосов. Доказательство с нулевым разглашением нужно для доказательства корректности суммы голосов.

Далее Шишкин рассказал свойства системы безопасности шифрования:

• конфиденциальность (злоумышленник не получит никакой нетривиальной информации об открытом тексте);

• неподатливость (злоумышленник не построит по заданному наборы шифртекстов новый шифртекст, чтобы пройти корректность шифрования);

• корректность (злоумышленник не сформирует шифротекст, дающий возможность корректно расшифровать открытый текст).

После представителя компании «Криптонит» выступили сразу два сотрудника компании «КриптоПРО» — заместитель генерального директора Станислав Смышляев и начальник отдела криптографических исследований Евгений Алексеев. Они продолжили рассказ о проведённом исследовании надёжности криптографических механизмов ДЭГ.

Первым выступал Станислав Смышляев, его коротенькое выступление было посвящено развитию науки и непосредственно криптографии. Вторым выступал Евгений Алексеев. Он продолжил рассказа о тестировании механизмов криптографии, используемых в ДЭГ. Специалисты компании «КриптоПРО» исследовали ещё три механизма — подпись вслепую, разделение секрета с доверенным дилером и схема обязательств.

Подпись вслепую — это расширение классической электронной подписи в сторону увелечения предоставляемых свойств. Клиент взаимодействует с подписывающим и подпись он может получить только от подписывающего. Кроме того, с этой подписью подписывающий не сможет узнать, что он подписал. В качестве подписи в РФ использует подпись RSBS (ядро подписи представляет собой схема Тесарро‑Жу, озвученная Юрием Сатировым).

Разделение секрета с доверенным дилером — схема, где есть доверенный дилер, генерирующий общий ключ и распределяющий компоненты ключа по участникам. Компоненты сделаны таким образом, что определённое количество участников могут собрать ключ, а уже меньшая группа нет. В системе ДЭГ такая схема используется для разделения ключей одного из компонентов шифрования бюллетеней и за счёт этого обеспечивается конфиденциальности итогов голосования.

И последнее — схема обязательств. В этой схеме также есть заявитель и проверяющий. Заявитель для определённых данных генерирует обязательства и отдаёт проверяющему По этому обязательству проверяющий не должен ничего узнать о значении некоторых персональных данных избирателей. Также тот кто генерировал это обязательство не может изменить или поменять данные, указанные в обязательстве. Для проверки этих механизмов были сформированы модели безопасности с учётом особенностей применения механизмов, далее формирование математических моделей и оценка стойкости механизмах в сформированных моделях. Для всех механизмов были получены оценки стойкости, при которых реализации модели угроз предельно малы.

Последним выступающим был политолог, эксперт независимого общественного мониторинга Владислав Фёдоров. Его рассказ был посвящён опыту применения ДЭГ в России и за рубежом.

Фёдоров выступал онлайн и рассказал о своём видении электронного голосования. По словам эксперта, есть четыре направления исследования электронного голосования — юридические, социологические, политические и технические. Фёдоров уточнил, что фокус внимания первого заседания на технической составляющей криптографии, обеспечения сохранности данных и так далее, фокус внимания эксперта больше сконцентрирован на влияния ДЭГ на политические процессы.

Фёдоров перечислил страны лидеры по ДЭГ — это Индия и Бразилия. Сейчас в более чем 40 странах используется система ДЭГ. Из 40 стран на общенациональном уровне ДЭГ используют — Эстония, Россия и Швейцария. На региональном уровне дистанционное голосование используют порядка 10 стран и для граждан‑избирателей, живущих за рубежом.

Далее эксперт перечислил преимущества ДЭГ:

• возможность голосования со смартфона;

• отсутствие привязки к месту (не надо идти на конкретный участок) и, как следствие этого, экономия времени;

• расширение сроков голосования;

• экономию ресурсов и средств (изготовление бюллетеней, оплата труда членов комиссии и так далее).

Фёдоров уточнил, что играет роль политический запрос от различных формаций о теме доверия к подсчёту голосов людьми. Поэтому ДЭГ выполняет функции независимого счётчика без ангажированности к какой‑либо политической силе. В Эстонии система ДЭГ развивалась 15 лет и в 2023 году на парламентских выборах было больше электронных избирателей (51%), чем офлайн‑избирателей.

По мнению Фёдорова, по сравнению с другими странами в РФ есть широкие возможности для общественного наблюдения за электронным голосованием, а также для наблюдения различными политическими силами за системой. Система ДЭГ никак не влияет на явку избирателей и, если посмотреть на другие страны с ДЭГ, то в этих странах система обеспечивает прирост явки избирателей за счёт перечисленных ранее преимуществ.

После выступления Фёдорова, была сессия вопросов от представителей СМИ и интернет‑изданий, их я освещать не буду, посмотреть можно здесь.

Данное заседание было интересно тем, что в нём рассказывались интересные механизмы криптографии, используемые в системе голосования. Да, как человек, не глубоко разбирающийся в вопросе, я не всё понимал. Однако был удивлён, например, использованию технологии блокчейн в позитивном ключе. Ведь буквально год‑два назад разговоры про блокчейн‑заработок от NFT до криптовалют были практически везде. Но ажиотаж спал и технология ушла обратно свою нишу.

Довольно интересно будет послушать второе заседание комиссии, если на нём также будет много технических деталей.