Системы сквозного проверяемого голосования
Системы сквозного проверяемого или сквозного подтверждаемого избирателями голосования (E2E) представляют собой системы голосования с жесткими свойствами целостности и высокой степенью защиты от несанкционированного вмешательства. Системы E2E голосования часто используют криптографические методы для составления подписей, которые позволяют избирателям проверять, что их голоса были подсчитаны как поданные, не раскрывая при этом, за каких именно кандидатов был подан голос. Как таковые, эти системы иногда называют системами, основанными на подписях[].
Обзор
Электронные системы голосования получают окончательные итоги голосования в несколько этапов:
- каждый избиратель имеет первоначальное намерение,
- избиратели выражают свое намерение в бюллетенях (будь то временные, как на дисплее машины для голосования DRE, или постоянные, как в системах с проверяемыми избирателями бумажными журналами),
- избирательные бюллетени интерпретируются, чтобы создать электронные записи голосования
- записи голосования подсчитываются, генерируя итоги
- там, где подсчет проводится локально, например, на уровне участка или округа, результаты с каждого местного уровня объединяются для получения суммарного итога.
Классические подходы к достоверности выборов имели тенденцию фокусироваться на механизмах, которые работали на каждом этапе цепочки от намерения избирателя до окончательного итога. Голосование является примером распределенной системы, и в целом разработчики распределенных систем давно знают, что такая локальная направленность может упускать некоторые уязвимости, в то же время чрезмерно защищая другие. Альтернативой является использование сквозных мер, которые предназначены для защиты целостности всей цепи. [1]
В 2002 году отмечалось, что существующие системы голосования с оптическим сканированием не соответствуют разумным сквозным стандартам[2].
Комплексное покрытие достоверности выборов часто включает в себя несколько этапов. Предполагается, что избиратели проверят, что они пометили свои бюллетени, как и предполагалось, мы используем пересчёт или аудит, чтобы защитить этап суммирования пометок в бюллетенях к итогам урн для голосования, и мы используем публикацию всех промежуточных итогов, чтобы обеспечить публичную проверку того, что окончательные результаты правильно суммируют локальные результаты. [3]
Хотя такие меры, как проверяемые избирателями бумажные контрольные журналы и ручной пересчёт, повышают эффективность нашей защиты, они обеспечивают лишь слабую защиту достоверности физических или электронных урн для голосования. Бюллетени могут быть удалены, заменены, или могут иметь метки, добавленные к ним (то есть, чтобы дозаполнить незаполненные бюллетени голосами за желаемого кандидата или переполнить и обесценить голоса за нежелательных кандидатов). Этот недостаток мотивировал разработку сквозных проверяемых систем голосования, обсуждаемых здесь, иногда называемых системами голосования E2E . Эти попытки покрыть весь путь от действий избирателей до резултатов выборов всего двумя мерами:
- Индивидуальная проверка, с помощью которой любой избиратель может проверить, правильно ли включен его / ее бюллетень в электронный ящик для голосования, и
- Универсальная проверка, с помощью которой каждый может определить, что все бюллетени в ящике были правильно подсчитаны.
Из-за важности права на тайное голосование некоторые схемы голосования E2E также пытаются выполнить третье требование, обычно называемое свободой подписи :
- Ни один избиратель не может продемонстрировать, как он или она голосовали перед какой-либо третьей стороной.
Один исследователь утверждал, что сквозная проверяемость и свобода подписи должны рассматриваться как ортогональные свойства.[4] Другие исследователи показали, что эти свойства могут сосуществовать[5] и эти свойства объединены в Руководящих принципах системы добровольного голосования 2005 года, обнародованных Комиссией по содействию выборам. Это определение также преобладает в научной литературе. [6] [7] [8] [9]
Для решения вопроса о вбросах бюллетеней могут быть приняты следующие меры:
- Проверка правомочности, с помощью которой каждый может определить, что все подсчитанные бюллетени были поданы зарегистрированными избирателями.
В качестве альтернативы, утверждения относительно вброса бюллетеней могут быть проверены извне путем сравнения количества поданных голосов с числом зарегистрированных проголосовавших избирателей и путем проверки других аспектов системы регистрации и доставки бюллетеней.
Поддержка проверок E2E, основанная на предыдущем опыте их использования с очными выборами, также рассматривается многими экспертами как требование для дистанционного голосования через Интернет[10].
Использование на выборах
Город Такома Парк, штат Мэриленд, использовал Scantegrity II для городских выборов 2009 и 2011 годов. [11] [12]
Система STAR-голосования [13] была разработана для округа Трэвис, пятого по численности населения округа Техаса, где находится столица штата Остин. [14] Разработка завершилась в 2017 году, потому что ни один из подрядчиков не хотел предлагать цену в соответствии с критериями системы с открытым исходным кодом в запросе предложений. [15] [16]
Предлагаемые системы E2E
В 2004 году Дэвид Чаум предложил решение, позволяющее избирателю удостовериться в том, что голос подан надлежащим образом и что голос точно подсчитывается с использованием визуальной криптографии[17]. После того, как избиратель выбирает своих кандидатов, машина DRE распечатывает специально отформатированную версию избирательного бюллетеня на двух прозрачных пленках. Когда слои сложены, они показывают удобочитаемое голосование. Однако каждый прозрачный слой зашифрован с помощью формы визуальной криптографии, так что в единственном экземпляре она не раскрывает никакой информации, пока она не расшифрована. Избиратель выбирает один слой для уничтожения при опросе. DRE сохраняет электронную копию другого уровня и предоставляет физическую копию в качестве квитанции, чтобы позволить избирателю подтвердить, что электронный бюллетень не был впоследствии изменен. Система защищает от изменений в избирательном бюллетене и использует процедуру дешифрования смешанной сети [18], чтобы обеспечить точный подсчет каждого голоса. Састри, Карлофф и Вагнер указали, что существуют проблемы с криптографическими решениями Чаума и VoteHere. [19]
Впоследствии команда Чаума разработала Punchscan, который обладает более сильными защитными свойствами и использует более простые бумажные бюллетени. Голосуют на бумажных бюллетенях, и затем часть избирательного бюллетеня, сохраняющая конфиденциальность, сканируется оптическим сканером.
Система Prêt à Voter, изобретенная Питером Райаном, использует случайный порядок кандидатов и традиционную смешанную сеть . Как и в Punchscan, голоса делаются на бумажных бюллетенях, а часть бюллетеня сканируется.
Система «Scratch and Vote», изобретенная Беном Адидой, использует поверхность соскребания, чтобы скрыть криптографическую информацию, которая может быть использована для проверки правильности печати бюллетеня. [20]
Протокол голосования ThreeBallot, изобретенный Роном Ривестом, был разработан, чтобы обеспечить некоторые преимущества криптографической системы голосования без использования криптографии. Он в принципе может быть реализован на бумаге, хотя представленная версия требует электронного верификатора.
Системы Scantegrity и Scantegrity II обеспечивают свойства E2E, однако вместо замены всей системы голосования, как и во всех предыдущих примерах, она работает как дополнение для существующих систем голосования с оптическим сканированием. Scantegrity II использует невидимые чернила и была разработана командой, в которую вошли Чаум, Ривест и Райан.
Система голосования STAR, находящаяся в стадии разработки для округа Трэвис штата Техас, является еще одним способом объединения системы E2E с обычными проверяемыми бумажными избирательными бюллетенями, которые в этом случае производятся с помощью устройства для разметки бюллетеней[21].
Примеры
- ADDER
- Helios
- Prêt à Voter
- Punchscan
- Scantegrity
- Wombat Voting
- ThreeBallot
- Bingo Voting
- homomorphic secret sharing
- DRE-i (E2E verifiable e-voting without tallying authorities based on pre-computation)
- DRE-ip (E2E verifiable e-voting without tallying authorities based on real-time computation)
Примечания
- ↑ J. H. Saltzer, D. P. Reed and D. D Clark, End-to-End Arguments in System Design, ACM Trans. on Computer Systems (TOCS), Vol 2, No. 4, Nov. 1984, pages 277-288
- ↑ Douglas W. Jones, End-to-End Standards for Accuracy in Paper-Based Systems, Workshop on Election Standards and Technology (alternate source Архивная копия от 7 июня 2011 на Wayback Machine), Jan 31, 2002, Washington DC.
- ↑ Douglas W. Jones, Perspectives on Electronic Voting, From Power Outages to Paper Trails Архивировано 28 ноября 2008 года. (alternate source Архивная копия от 7 июня 2011 на Wayback Machine), IFES, Washington DC, 2007; pages 32-46, see particularly Figure 4, page 39.
- ↑ Douglas W. Jones, Some Problems with End-to-End Voting Архивная копия от 4 июля 2011 на Wayback Machine, position paper presented at the End-to-End Voting Systems Workshop Архивная копия от 5 июня 2011 на Wayback Machine, Oct. 13-14, 2009, Washington DC.
- ↑ B Smyth, S. Frink and M. R. Clarkson, Election Verifiability: Cryptographic Definitions and an Analysis of Helios and JCJ, Cornell's digital repository, Feb. 2017
- ↑ Jeremy Clark, Aleks Essex, and Carlisle Adams. On the Security of Ballot Receipts in E2E Voting Systems Архивная копия от 22 июля 2012 на Wayback Machine. IAVoSS Workshop on Trustworthy Elections 2007.
- ↑ Aleks Essex, Jeremy Clark, Richard T. Carback III, and Stefan Popoveniuc. Punchscan in Practice: An E2E Election Case Study Архивная копия от 1 марта 2021 на Wayback Machine. IAVoSS Workshop on Trustworthy Elections 2007.
- ↑ Olivier de Marneffe, Olivier Pereira and Jean-Jacques Quisquater. Simulation-Based Analysis of E2E Voting Systems (недоступная ссылка). E-Voting and Identity 2007.
- ↑ Ka-Ping Yee. Building Reliable Voting Machine Software Архивная копия от 4 ноября 2019 на Wayback Machine. Ph.D. Dissertation, UC Berkley, 2007.
- ↑ "The Future of Voting: End-to-End Verifiable Internet Voting - Specification and Feasibility Study - E2E-VIV Project". U.S. Vote Foundation. 2015. Архивировано 11 сентября 2016. Дата обращения: 1 сентября 2016.
- ↑ Pilot Study of the Scantegrity II Voting System Planned for the 2009 Takoma Park City Election . Архивировано 19 июля 2011 года.
- ↑ Hardesty. Cryptographic voting debuts . MIT news. Дата обращения: 30 ноября 2009. Архивировано 19 июля 2011 года.
- ↑ Bell. STAR-Vote: A Secure, Transparent, Auditable, and Reliable Voting System . usenix evtvote13 (1 августа 2013). Дата обращения: 24 апреля 2018. Архивировано 13 мая 2016 года.
- ↑ Travis County - STAR-VoteTM Request for Proposal Released . www.traviscountyclerk.org (10 октября 2016). Дата обращения: 24 апреля 2018. Архивировано 25 апреля 2018 года.
- ↑ Pritchard, Caleb (2017-10-04). "STAR-Vote collapses - Austin Monitor". Austin Monitor (англ.). Архивировано 4 августа 2018. Дата обращения: 4 августа 2018.
- ↑ Ballard. Travis County - STAR-Vote - A Change of Plans . traviscountyclerk.org (28 сентября 2017). Дата обращения: 4 августа 2018. Архивировано 4 августа 2018 года.
- ↑ David Chaum. Secret-Ballot Receipts: True Voter-Verifiable Elections (англ.) // IEEE Security and Privacy. — 2004. — Vol. 2, no. 1. — P. 38—47. — doi:10.1109/MSECP.2004.1264852.
- ↑ Reusable anonymous return channels
- ↑ Chris Karlof, Naveen Sastry, and David Wagner. Cryptographic Voting Protocols: A Systems perspective Архивная копия от 23 ноября 2008 на Wayback Machine. Proceedings of the Fourteenth USENIX Security Symposium (USENIX Security 2005), August 2005.
- ↑ Scratch & Vote: Self-Contained Paper-Based Cryptographic Voting (2006) . Дата обращения: 16 декабря 2019. Архивировано 2 июня 2004 года.
- ↑ Okun. Travis County Forges New Territory in Creating Voting Machine . The Texas Tribune (9 июля 2014). Дата обращения: 2 сентября 2016. Архивировано 13 сентября 2016 года.
Ссылки
- Проверка выборов с помощью криптографии — видео 90-минутной технической беседы Бена Адиды (англ.)
- Helios: голосование с открытым аудитом через Интернет — PDF с описанием веб-сайта Бена Адиды Гелиоса (англ.)
- Сайт Helios Voting System (англ.)
- Простая проверяемая и анонимная схема голосования (англ.)
- Исследование систем голосования и верификации на местах голосования — обзор существующих систем электронного голосования и систем их проверки в контролируемых средах. (англ.)