На сайте выходило несколько статей о протоколах безопасного голосования и о криптографически сложных схемах проведения выборов. Протокол рассматриваемый в статье довольно простой и эффективный. Подробности ниже:
Кратко:
Избиратель получает от аппарата защищенный квиток со своим порядковым номером.
В кабинке, в поле бюллетеня и на свой квиток пишет выдуманный 16-значный ключ.
После опубликования результатов, может проверить свой голос, оставаясь анонимным.
Подробнее о количестве избирателей и квитке с ключом
Количество избирателей:
а) Избиратель вводит ФИО и паспортные данные в аппарат. После проверки на принадлежность участку получает защищенный квиток с порядковым номером.
б) Порядковый номер на экране аппарата виден наблюдателям, и транслируется на камеру в интернет.
в) Аппарат сохраняет пару номер/фото на жесткий диск, для последующей проверки на дублирование лиц наблюдателями.
Квиток с ключом и голосование:
а) В бюллетене будет будет поле для 16 значного ключа, и пример допустимых символов (как в ЕГЭ).
б) Избиратель пишет 16-значный ключ в бланк и на свой квиток.
в) Проходит проверку у наблюдателей, что ключи на квитке и на бюллетене равны.
Выводы:
Протокол голосования повышает эффективность выборов по нескольким причинам:
- публичное значение количества действительно пришедших на участок
- возможность проверить голос, оставаясь анонимным
- возможность заявить о нарушении.
Протокол не решает проблемы продажи голоса, и защиты от давления с требованием показать квиток. Но даже при этом факте, при небольших материальных затратах со стороны государства можно обеспечить прозрачные выборы.
Жду вопросы и критику в комментариях.
Комментарии (59)
Sadler
21.03.2017 21:29И зачем кому-то внедрять такую систему, когда текущая их полностью устраивает? Если так подходить, в качестве фантазии можно начать с модификации урн для голосования, чтобы те не пропускали, скажем, более одного бюллетеня в минуту. Сразу несколько поубавит пыл любителей вбросить пачку в 200 листов.
EvGenius1424
21.03.2017 21:46Имхо, основная проблема текущих выборов в том что после 20:00 при каких-то магических обстоятельствах, количество проголосовавших резко возрастает. Люди дописываются в журнал. Как минимум хорошо бы знать, что если на участок пришло 200 человек то проголосовало 200 или меньше. А не 2 тысячи.
vanxant
21.03.2017 22:04Для решения этой проблемы достаточно делать фотографию каждого, получающего бюллетень. Даже без приписки «это Петров И.И., проживающий Ленина 1 кв. 2». Просто тупо количество фотографий. Всё.
Pakos
22.03.2017 12:14Это не решает вопрос каруселей — несколько автобусов объезжает участок и голосует на каждом по типа-открепительным, нужна единая база проголосовавших, чтобы пассажир такого автобуса по результатам голосования на 4х участках четвертовался (2 РКН: без членовредительства) или помещался в психушку как обладатель расстройства личности, раз уж он голосовал многократно.
PS. На каком-то сайте был анализ странного поведения графиков изменения голосов, но является ли он результатом вброса или просто интересной особенностью можно сказать только имея физические носители выражения общественного мнения.
caveeagle
21.03.2017 22:56+3Нет. Проблема текущих выборов в том, что при любом исходе реального голосования власти нарисуют нужную цифру. Ни фотофиксация, ни блокчейны, ни элементарная математика не помогут этого избежать.
EvGenius1424
22.03.2017 06:22Согласен. Но если все-таки каждый проверит свой голос, он хотябы будет уверен что с ним все в порядке. И система его не обманула.
impetus
22.03.2017 11:03+1Пять человек — проверили свои голоса, каждому система рассказала, что его голос учтён за кандидата Б. Итог система публикует как: «за А — 4, за Б — 1».
Вот пока эти «все» не смогут собраться вместе и потребовать — это всё бестолку, а когда смогут — то, в общем, уже и незачем.EvGenius1424
22.03.2017 11:15Все ключи в публичном доступе и голос. Каждый может пересчитать. Хоть на стене участка результаты вывесить.
PEgorov
22.03.2017 16:50Ну ок, там будут вывешены 100 голосов живых людей и 9900 голосов фейков, неотличимых от голосов живых людей. И что? Да, в теории 100 живых людей смогут встретиться и удостовериться, что их голоса учтены, но на конечный результат это никак не повлияет.
Zergos_Z
22.03.2017 11:07Твой голос покажут правильно, но ты ведь не сможешь проверить каждый голос и сам их пересчитать. Подтасовка будет идти на уровне подсчета. Вариант один — отказаться от тайны голосования. Тогда все данные будут в открытом доступе.
vanxant
21.03.2017 21:38+4Нет, остающийся квиток с кодом точно хоронит всю идею. Голосование сразу перестаёт быть тайным.
В существующей сейчас системе голос можно попытаться купить (вариант: заставить голосовать «правильно), но достаточно сложно проверить факт голосования за купленного кандидата. В этом смысл тайности.
Иначе бюджетников, военных и т.д. будут привозить автобусами (как сейчас) и тупо на выходе собирать квитки. Сейчас они пусть и понимают, что от них хотят голосования за кандидата Иванова, но могут из вредности (если там зарплату задержали, например) проголосовать и за Петрова. Проверить нельзя. Даже если требуют фотографировать бюллетень перед опусканием в урну, всё равно остаётся возможность этот бюллетень испортить или тупо унести/выбросить. В вашем варианте этого шанса нет.lopatoid
22.03.2017 10:20>Проверить нельзя
Можно.
Суть «карусели» заключается в передаче избирателю перед входом на избирательный участок уже заполненного избирательного бюллетеня, который избиратель должен опустить в урну для голосования, а новый, чистый бюллетень вынести и обменять у организатора «карусели» на деньги или другие материальные ценности (часто — алкогольные напитки). Чистый бюллетень заполняется и отдаётся очередному избирателю.chieftain_yu
22.03.2017 10:22Кто помешает в кабинке испортить предоставленный организатором карусели бланк, допроголосовав за всех кандидатов?
vanxant
22.03.2017 10:54Ещё лучше — не бросать в урну, особенно если договориться большим количеством товарищей заранее. Это самый жёсткий для карусельщиков вариант, если они не ожидают его заранее. Все бюллетени посчитаны, и если из урны достали сильно меньше, чем должно быть по журналам — это сразу ЧП.
ggrnd0
21.03.2017 21:53> возможность заявить о нарушении.
В том и проблема, что нельзя опротестовать нарушение расскрыв личность и за кого голосовал.EvGenius1424
21.03.2017 21:56Ну если копнуть глубже, то можно, раскрывая анонимность, доказать за кого ты голосовал. Алгоритм немного усложняется, правда: Ты внутри кабинки пишешь на квитке «Петров» и ставишь печать, которая есть внутри кабинки поверх своего почерка. Этим ты доказываешь, что находясь внутри кабинки голосовал за такого-то кандидата.
Но это уже сложный кейс.
old_bear
21.03.2017 22:22+6В кабинке, в поле бюллетеня и на свой квиток пишет выдуманный 16-значный ключ.
Я себе сразу представил бабушку-пенсионерку, которая выдумывает произвольный ключ по предложенным правилам…
Но даже при этом факте, при небольших материальных затратах со стороны государства можно обеспечить прозрачные выборы.
При наличии желания у этого самого государства и квитков никаких не понадобится.spc
22.03.2017 09:09А я только что представил себе завершение анекдота, когда из кабинки, зажав в кулачке квиток, выходит благообразный старичок с немного растерянным выражением лица.
К нему тут же подскакивает консультант, который понимает, что проблем, очевидно у в условиях «уникальный» и «16».
— Так, что тут у нас? 1111? ххххх?
— Hq^`D`[9(/>ji2Zc
— А, это вы, Евгений Валентинович!EvGenius1424
22.03.2017 10:52Да ладно вам, там в бланке будут примеры букв, выбирай любую и перерисовывай. Даже буквы знать не нужно.
Areso
21.03.2017 22:50+1пишет выдуманный 16-значный ключ
И тут начнется: самые популярные 16 значные ключи этого сезона это шестнадцать нулей, шестнадцать других повторяющихся цифр, 16 одинаковых букв, неприличное слово, повторенное кратно...
ClearAirTurbulence
21.03.2017 23:43Где-то у американцев встречал описание гораздо более примитивного и удобного способа.
Но главные минусы те же:
— если ты можешь проверить, учтён ли твой голос, это может сделать любой за тебя, имея твой квиток
— никто никогда не будет внедрять такое голование, т.к. это невыгодно
— приписки и вбросы остаются
dimalu85
21.03.2017 23:55+1Несмотря на некоторое понимание человеческой социальной природы в части желания мстить недоброжелателям, я скажу что честное голосование — открытое голосование. Тайное голосование показывает то, что у одних людей есть скрытые (незаконные, необъективные и т.п.) возможности влияния на других людей. И тут надо не улучшать протокол выборов, а бороться с возможностью «неадектватного» влияния.
В тайном голосовании по сути две проблемы:
1. Обеспечить целостность содержимого накопителя голосов в течении процесса выборов и после в архивном состоянии.
2. Обеспечить прозрачность подсчета результатов.
И это все при ограничении — обеспечить тайну волеизъявления.
1. Технически решается просто — урна должна принимать строго один бланк за раз. Как счетчик купюр. При этом должен сразу вестись подсчет количества бланков. Это количество должно быть общедоступным.
2. Тут сложнее. Т.к. предусмотрена процедура оспаривания результатов и пересчета голосов. Предложение: бланки из одной урны должны строго по одному извлекаться, учитываться и сразу же отправляться в другую урну.
Как минимум количество останется неизменным. Но что делать с результатом выбора?
Вот тут и пригодиться идея с маркировкой. При выдаче бланка из урны, бланк должен каким либо способом маркироваться. Например, как талоны в общественном транспорте при гашении билета. Так исключится возможность подлога одного бланка другим.
Но в вопросе проведения государственных выборов прежде всего влияние оказывает текущая политическая обстановка. Если бы стояла задача провести честные выборы, то их бы и проводили. Но людям на самом деле не нравится жить в честном мире. Люди не любят друг друга. Так что все ок, гоним волну и делаем хорошую мину при плохой игре. Игре в людей, в общество, государство и т.д.Pakos
22.03.2017 12:401я урна — прозрачная, бланк складывается вдвое, толщина бумаги известна — проверяется что он один (сделать щель, куда можно засунуть один лист, но засунуть просто и без застревания, имхо, сложновато). Во вторую урну лист кидается открытым, там сканер (бланки стандартные, знаки в одном месте, знак только один — перцептрон достаточно прост и надёжен), бланки извлекаются из первой урны, бабушки со счётами, тьфу, т.е. члены комиссии, наделённые полномочиями и ответственностью, читают бланк и ставят палочки в протоколе — «Обама, Обама, Обама, Иванова, Обама» (Ц) Калининская обл., а урна считает своё.
chieftain_yu
22.03.2017 13:39Как гарантировать, что заполнение одного и другого бюллетеня идентично?
Scarred
22.03.2017 15:57Самокопирующиеся бланки.
Хотя лучше печатать готовые бланки со случайной строкой.chieftain_yu
22.03.2017 16:07Что помешает мне подложить лист жесткого пластика между слоями?
Ну и перьевая ручка на таких бланках не срабатывает.Scarred
22.03.2017 16:25Хм… Ничего… И даже если вы стилусом напишите одно строку, а потом подложив пластик уже ручкой — другую, этому тоже ничего не помешает…
Ведь квиток и кодовая строка нужна вам для проверки учета своего голоса. Не хотите проверять — можете сразу квиток уничтожить.
Мне показалось нужна защита от случайной ошибки, т.к. целенаправленно можно сломать любую систему…chieftain_yu
22.03.2017 16:37Тут эти две урны каким-то хитрым способом нужны были для защиты от подтасовок.
Но я лично не понял ни смысла этих двух урн, ни защиты их от злонамеренного влияния на результаты.
Сторонники неких политических взглядов могут целенаправленно запускать в урны заполненные по-разному бюллетени для аннулирования результатов на конкретных избирательных участках из-за несовпадения результатов в урнах…Scarred
22.03.2017 16:43Хм… Отсканировать все бюлетени и выложить в открытый доступ.
Кому надо — пусть считают.
Полностью от подтасовок не защитит, но произвольные цифры в протоколах вписать уже не получится.chieftain_yu
22.03.2017 16:50Как защититься от вброса?
Scarred
23.03.2017 10:24Сделать вброс технически сложным.
На входе урны ставится что-то вроде податчика бумаги от принтера или купюроприемника, так что бы больше одного бланка за раз нельзя было запихнуть.
Это не исключит вброс полностю, но стоять и запихивать сотни бюллетеней станет гораздо сложнее.chieftain_yu
23.03.2017 10:37Какое дополнительное финансирование потребуется для дооснащения всех урн в стране сканерами и податчиками?
Мне кажется — грандиозных. Подрядчик будет очень доволен вашим предложением.Scarred
23.03.2017 11:51А это смотря что надо — организовать изготовление урн с податчиками или распилить бабло.
Хотя в любом случае сумма не малая, но мы же хотим обеспечить честные выборы :)
Видеонаблюдение на участки поставили, теперь урны с податчиками надо сделать.
Pakos
22.03.2017 16:40Нет, при подсчёте бюллетень достаётся, учитывается тёплым ламповым комитетом человеков и кладётся в урну-сканер, который пикает "+1 за Иванова", в момент подсчёта. Можно сканировать и сразу, но тогда можно сканировать «ага, Олег Иванович смотри-ка за кого проголосовал», потому в первую помещаются неанонимно и закрытые, а во вторую переносятся анонимно, но открытые.
PS. Правда можно достать один, положить другой. а запись действа утерять (или вообще «кто их смотрит», но это надо быть более Гудини, чем сейчас.
Sadler
22.03.2017 15:28> сделать щель, куда можно засунуть один лист, но засунуть просто и без застревания, имхо, сложновато
Протяжка от любого принтера с этим неплохо справляется. Если даже один бюллетень зажуёт, это не критично.Pakos
22.03.2017 16:43Лист должен быть сложен, дабы скрыть отметку от наблюдателей, потом в задаче лист двойной, а где двойной, там и четверной.
chieftain_yu
22.03.2017 09:31+1а) Избиратель вводит ФИО и паспортные данные в аппарат. После проверки на принадлежность участку получает защищенный квиток с порядковым номером.
…
в) Аппарат сохраняет пару номер/фото на жесткий диск, для последующей проверки на дублирование лиц наблюдателями.
То есть в системе хранятся данные о том, а) Какое ФИО взяло какой квиток, б) Какой квиток отдан за какого кандидата, в) и даже фото есть.
Вы уверены, что при таком комплекте информации голосование будет продолжать оставаться тайным?tmin10
22.03.2017 09:40А ещё консультант видит кто протягивает ему свой квиток для проверки кода. Это точно не тайное голосование.
EvGenius1424
22.03.2017 11:01-1Амм, аппарат знает кто был под 42 номером. Это знают все и сейчас, кто сидит в интернете и считает людей смотря на камеру). В журналы тоже люди записываются по порядку.
А вот за кого проголосовал 42 номер никто не знает. Пункт б) в вашем комментарии не работаетchieftain_yu
22.03.2017 11:07Стоп.
Если за кого проголосовал №42, никто не знает, то как этот самый №42 может потом проверить, верно ли учтен голос?
Я предполагал, что некая БД «какой номер за кого голосовал» все же есть…EvGenius1424
22.03.2017 11:2142 придет домой, посмотрит в БД или в газете или еще где-то. Что его ключ Фы34№23 — и рядом стоит Петров.
И может пересчитать голоса по всей стране, они в публичном доступе, но имен за ними нет, только ключ.chieftain_yu
22.03.2017 13:371) Как человек получает доступ к своему голосу?
Вводит номер квитка и свой (самостоятельно выбранный!) ключ?
Или просто по номеру ключа?
Если второй вариант — то сколько будет вариантов по ключу, скажем, 111111?
2) Возможности убедиться, что а) за каждым из ключей есть реальный человек и б) что за каждым человеком ровно один ключ — я лично не обнаружил. Есть возможность проверить только себя, любимого.EvGenius1424
22.03.2017 15:181) Просто посмотреть в газете я не знаю публичную базу. Или на сайте. Увидеть что напротив твоей абракадабры стоит Иванов
2) Комбинаций число с тридцатью нулями. Сколько на одном участке голосует две тысячи человек? Какова статистическая вероятность коллизии.
То что за каждым ключом есть человек можно убедиться сравнив количество проголосовавших и опуликованных по участку. Их хотябы будет не больше (как сейчас)chieftain_yu
22.03.2017 15:471)Отлично.
Берем газету, находим нужного нам человека. Узнаем его абракадабру.
Идем на сайт и получаем, за кого он проголосовал.
Это точно тайное голосование?
2) Статистическая вероятность коллизии зависит от распределения.
Если автоматом назначать каждому его ключ путем генерации — можно добиться случайности. У генерящих пароли людей — крайне маловероятно.
Из всех восьмисимвольных паролей почему-то лидирует password… Хотя там нулей в количестве комбинаций — тоже прорва.Sadler
22.03.2017 15:55находим нужного нам человека. Узнаем его абракадабру.
Как это сделать в общем случае? Телепатию и паяльник не предлагать. Он же не предлагает в газете или на сайте публиковать фамилии проголосовавших.chieftain_yu
22.03.2017 16:09Если в газете прописано соответствие ФИО и абракадабры.
Цитирую:
1) Просто посмотреть в газете я не знаю публичную базу.
Sadler
22.03.2017 16:21Я думаю, речь всё-таки о том, что в газете публикуется та самая абракадабра и фамилия того, за кого проголосовали.
chieftain_yu
22.03.2017 16:49Ну, допустим.
Что печатать в случае, если десять по-разному проголосовавших человек выбрали в качестве ключа 1111111111111111?
По любому варианту — простой смертный может проверить только то, что его голос учтен верно.
Но проверить, что все голоса учтены верно, и что нарушения протокола голосования (те же карусели) не совершалось — он не может.
И как выше заметили — если у человека есть какая-то информация, позволяющая произвольному лицу (при получении этой информации) проверить, за кого голосовал человек, вполне может быть ситуация «Работники! После голосования каждый сдает свой квиток своему начотдела. Начотдела — мне. Кто проголосовал за Иванова получит подарок». Ну или кто неправильно проголосовал или не предоставил квиток — не получает премию.
В моногородах и прочем подобном может давать очень интересные эффекты.
GreatRash
22.03.2017 09:49+11) голосование не тайное, у ТС проблемы с терминологией
2) если юзер на терминале будет заполнять свои паспортные данные сам, то голосование продлится минимум неделю (если не больше), особенно если это будет бабушка лет под восемьдесят.
Выборы всё ближе… Представляю как попрут подобные статьи через год.
Wandy
22.03.2017 10:48+1Идеальным изменением системы тайного голосования будет удаление из неё всех промежуточных этапов между голосованием каждого человека и появлением в СМИ результатов. Чем меньше людей в этой цепочке, тем честнее выборы. Пока из этой структуры пытаются удалить только избирателя ;-) Действительно, ТИК может отправить абсолютно любой протокол в вышестоящий центр обработки — избиратель в таком случае не нужен. Тайна голосования, в начале избирательного права защищавшая избирателей от преследования за политические убеждения, в текущей ситуации препятствует проверке результатов. Поэтому система в ближайшее время изменена не будет.
Но такие задачи надо постоянно ставить перед собой, потому что никто не знает как изменится ситуация в будущем. Поэтому задачи типа: идеальная система тайного голосования, непротиворечивая система законодательства вообще (малоизвестная юридическая игра: надо придумывать непротиворечивые законы в рамках текущего законодательства и способы их обхода, а то и всю систему, начиная с Конституции), кейс отсутствия представительной законодательной власти (всё решается электронными референдумами), методика оценки платёжеспособности государства, образовавшегося на месте более крупного государства — всё это имеет право на существование как тренировка для профессионала в соответствующей области. А ну как пригодится?
ukrazzz
22.03.2017 13:06Сложность для отдельных категорий граждан
Сложность последующей оцифровки 16-значных рукописных кодов
Выход — программный механизм, генерирующий штрих-коды. Но тогда возникает проблема тайности (сложность — обеспечить прозрачность, но при этом тайность выдачи номеров).
В предложенном виде идея практически нереализуема на практике
Mimizavr
1. Проблема дубликатов произвольных номеров
2. Их последующий сбор по выходу с голосования
EvGenius1424
1. Проблема коллизии нет, потому что айдишники рассматриваются в пределах одного избирательного участка. И нужны они только для учета. Ну и все пространство комбинации такое огромное, что коллизия маловероятна.
2. Квиток уничтожается по хорошему, не обязательно его хранить.
Pakos
Вы, наверное, из мира где пользователи не вводят пароли 123 и 111, в нашей реальности хорошо если будет ABCD… или ZDESBILMISHA.
И ещё Вы не решили вопроса перебора стандартных комбинаций и выдаче чужого квитка за свой (как я уже сказал — полный рандом никто не будет генерировать, тем более запоминать).
Pakos
PS. Пропустил что остаётся квиток с кодом. Но это не решает проблемы 11111, т.к. при большом размере участка покажут что квиток был проголосован 3 раза за А, 5 раз за Б, если их вообще заполнят — большинство будет пустыми. Судя по паролям на одних этих можно будет подтасовать нужно количество, поскольку сейчас считают вручную, пишут на камеру, а результаты зачем-то меняются.