Новости

Итоги электронного голосования. Цитаты из пресс-конференции

Итоги элек­трон­но­го голосования

4 июля состо­я­лась пресс-конференция экс­перт­ной груп­пы по про­ве­де­нию дистан­ци­он­но­го элек­трон­но­го голо­со­ва­ния по поправ­кам в Конституцию РФ. На голо­со­ва­нии Партия пря­мой демо­кра­тии не толь­ко высту­па­ла в каче­стве наблю­да­те­лей от Общественной пала­ты РФ в тер­ри­то­ри­аль­ной изби­ра­тель­ной комис­сии дистан­ци­он­но­го элек­трон­но­го голо­со­ва­ния (ТИК ДЭГ), но и сфор­ми­ро­ва­ла экс­перт­ную груп­пу по кон­тро­лю за ходом и резуль­та­та­ми голо­со­ва­ния.

Участники экс­перт­ной группы:

  • Олег Артамонов, член ВКС Партии пря­мой демо­кра­тии, наблю­да­тель на ТИК ДЭГ
  • Мона Архипова, неза­ви­си­мый экс­перт, соучре­ди­тель и опе­ра­ци­он­ный дирек­тор ком­па­нии «Межрегиональный информационно-расчётный центр»
  • Александр Исавнин, неза­ви­си­мый экс­перт, член Пиратской пар­тии России
  • Вячеслав Макаров, гене­раль­ный сек­ре­тарь ВКС Партии пря­мой демо­кра­тии, наблю­да­тель на ТИК ДЭГ
  • Сергей Нестерович, неза­ви­си­мый экс­перт, заме­сти­тель глав­но­го редак­то­ра Агентства Политических Новостей
  • Александр Подшивалов, неза­ви­си­мый экс­перт, член Партии пря­мой демократии
  • Тимофей Шевяков, пресс-секретарь и член ВКС Партии пря­мой демократии
  • Алексей Щербаков, неза­ви­си­мый экс­перт, соав­тор докла­да Романа Юнемана «Электронное голо­со­ва­ние. Риски и уязвимости»

Приглашённый гость:

  • Андрей Ларин, руко­во­ди­тель про­ек­та ДЭГ, ДИТ Москвы

В дан­ной рас­шиф­ров­ке мы при­во­дим выдерж­ки и цита­ты из выступ­ле­ний участников.

Вячеслав Макаров рас­ска­зал о ста­ту­се наблю­да­те­ля в элек­трон­ном голосовании:

Формально наблю­да­те­ли не име­ли вооб­ще ника­ко­го ста­ту­са. Законодательство о наблю­де­нии за ЭГ на сего­дняш­ний момент в сколь-нибудь явном виде не суще­ству­ет. Наша пар­тия под­пи­са­ла согла­ше­ние с Общественной пала­той о нашем наблю­де­нии на выбо­рах, и уже кол­ле­ги из ОП дого­ва­ри­ва­лись о нашем ста­ту­се. Целый ряд лиц шли нам навстре­чу там, где мог­ли. По сути, это резуль­тат доб­рой воли боль­шо­го коли­че­ства людей, участ­во­вав­ших в ЭГ. В реаль­но­сти наш ста­тус наблю­да­те­лей поз­во­лил общать­ся с ДИТ Москвы напря­мую, зада­вать вопро­сы по ходу голо­со­ва­ния и иметь воз­мож­ность пуб­лич­но озву­чить нашу позицию.

Мы уже нача­ли обсуж­де­ние зако­но­да­тель­ства по ДЭГ с Общественной пала­той. Процедуру согла­со­ва­ния еще нуж­но обсуж­дать, но мы наде­ем­ся выра­бо­тать наши пред­ло­же­ния, сфор­му­ли­ро­ван­ные с помо­щью юри­стов, в том чис­ле и по пово­ду досту­па наблю­да­те­лей к сер­ве­рам. По теку­ще­му изби­ра­тель­но­му зако­но­да­тель­ству мы ниче­го не можем тре­бо­вать. Законодательство в части элек­трон­но­го голо­со­ва­ния невоз­мож­но изме­нить по при­чине его отсут­ствия, его нуж­но написать.

И если к сен­тяб­рю 2021 года те про­бле­мы, о кото­рых мы сей­час гово­рим, не будут устра­не­ны, я буду пер­вым, кто вый­дет на пло­щадь с пла­ка­том «ска­жем нет элек­трон­но­му голосованию».

Олег Артамонов высту­пил со спис­ком наблю­де­ний и заме­ча­ний от груп­пы экспертов:

С тех­ни­че­ской точ­ки зре­ния систе­ма рабо­та­ет ста­биль­но. Более того, мы, как экс­пер­ты, были при­ят­но удив­ле­ны таким резуль­та­том – осо­бен­но с учё­том 100-кратного роста нагруз­ки по срав­не­нию с голо­со­ва­ни­ем МГД 2019.

Существенных отка­зов самой элек­то­раль­ной систе­мы не зафик­си­ро­ва­но. Был полу­ча­со­вой отказ утром 25 чис­ла «облож­ки» сай­та голо­со­ва­ния, при этом само голо­со­ва­ние про­дол­жа­ло рабо­тать по пря­мой ссыл­ке. Были два тех­ни­че­ских отка­за систе­мы мони­то­рин­га для наблю­да­те­лей – изби­ра­те­ли при этом ниче­го не заме­ти­ли, слож­но­сти были толь­ко для наблюдателей.

Что вызы­ва­ло недо­воль­ство изби­ра­те­лей: отказ в реги­стра­ции на голо­со­ва­ние. Главной при­чи­ной отка­за изби­ра­те­лям в допус­ке к голо­со­ва­нию ста­ло несов­па­де­ние дан­ных в базах раз­лич­ных ведомств, напри­мер, ошиб­ки в адре­сах, в пас­порт­ных дан­ных. Таких отка­зов было око­ло 40 тысяч.

На вто­ром месте – дуб­ли­ро­ва­ние заяв­ле­ний. Из-за воз­мож­но­сти исполь­зо­ва­ния и mos.ru, и Госуслуг око­ло 26 тыс. изби­ра­те­лей пода­ли заяв­ле­ние через оба сер­ви­са, в более позд­нем им было отка­за­но, удо­вле­тво­ря­лось толь­ко пер­вое подан­ное. Из-за недо­ста­точ­но подроб­но­го инфор­ми­ро­ва­ния мно­гие изби­ра­те­ли реши­ли, что им в голо­со­ва­нии отка­за­но пол­но­стью, а не толь­ко по одно­му из двух заяв­ле­ний, посколь­ку отка­зы были сфор­му­ли­ро­ва­ны недо­ста­точ­но четко.

Возможность про­го­ло­со­вать два­жды, и элек­трон­но, и обыч­ным спо­со­бом – это несты­ков­ки в рабо­те с обыч­ны­ми УИК. Из-за 1,6 млн. откре­пи­тель­ных удо­сто­ве­ре­ний в одной толь­ко Москве (1,1 млн. из них по ДЭГ) в неко­то­рых УИК не успе­ли учесть все откре­пи­тель­ные, в неко­то­рых были лож­но учтён­ные изби­ра­те­ли, напри­мер, при пол­ном сов­па­де­нии ФИО. Такие слу­чае еди­нич­ны, но они есть, их при­чи­ной явля­ет­ся рез­ко воз­рос­шая нагруз­ка на УИКи, не при­вык­шие к тако­му объ­е­му откре­пи­тель­ных заяв­ле­ний. Такая ситу­а­ция воз­мож­на и пол­но­стью оффлайн, напри­мер, неко­то­рые люди голо­со­ва­ли на сво­ем участ­ке и на том, куда взя­ли откре­пи­тель­ный лист.

Около 1,7 % бюл­ле­те­ней выда­ны, но резуль­та­ты по ним не полу­че­ны. Либо чело­век не голо­со­вал, либо не уда­лось отпра­вить резуль­тат. Первое вполне нор­маль­но, на оффлай­но­вых участ­ках так­же есть люди, кото­рые не голо­су­ют и заби­ра­ют с собой бюл­ле­тень. Что каса­ет­ся вто­ро­го вари­ан­та – к сожа­ле­нию, не было доста­точ­но подроб­но­го инфор­ми­ро­ва­ния людей о рабо­те систе­мы – и у тех, кто в слу­чае сбоя пытал­ся закрыть и сно­ва открыть бра­у­зер, систе­ма счи­та­ла, что бюл­ле­тень был исполь­зо­ван изби­ра­те­лем. Повторно выдать его нель­зя, это тре­бо­ва­ние 67-ФЗ.

Поступают еди­нич­ные сооб­ще­ния о голо­со­ва­нии под дав­ле­ни­ем, с обе­ща­ни­ем руко­вод­ства пред­при­я­тий полу­чить спи­сок голо­сов сотруд­ни­ков через Госуслуги. На дан­ный момент у нас нет ника­ких све­де­ний, поз­во­ля­ю­щих утвер­ждать, что это воз­мож­но. В блок­чейне не сохра­ня­ет­ся инфор­ма­ция о лич­но­сти про­го­ло­со­вав­ше­го, по нему невоз­мож­но уста­но­вить, кто имен­но какой голос отдал. Информация о воз­мож­но­сти само­сто­я­тель­ной про­вер­ки подан­но­го голо­са соот­вет­ству­ет дей­стви­тель­но­сти, но про­ве­рить его может толь­ко чело­век, непо­сред­ствен­но этот голос подав­ший, если в момент его пода­чи он запи­сал выдан­ный ему слу­чай­ный идентификатор.

Что каса­ет­ся опа­се­ний под­ме­ны голо­сов, то ни наблю­да­те­ли, ни опе­ра­то­ры систе­мы не зна­ют до само­го кон­ца голо­со­ва­ния, за какой вари­ант вы про­го­ло­со­ва­ли. Отданный голос шиф­ру­ет­ся на вашем устрой­стве, для его рас­шиф­ров­ки нужен ключ, соби­ра­е­мый из несколь­ких частей, кото­рые сей­час нахо­дят­ся у несколь­ких неза­ви­си­мых людей – в том чис­ле у пред­ста­ви­те­лей дви­же­ния «Голос». До окон­ча­ния голо­со­ва­ния узнать его резуль­та­ты невоз­мож­но. После окон­ча­ния, если вы вос­поль­зо­ва­лись упо­мя­ну­той выше инструк­ци­ей, вы смо­же­те сами про­ве­рить, пра­виль­но ли учтён ваш голос.

Что каса­ет­ся сооб­ще­ний о скуп­ке SIM-карт и баз дан­ных для под­став­но­го голо­со­ва­ния, то акка­ун­ты, создан­ные после 5 июня, к голо­со­ва­нию допу­ще­ны не были. Таких акка­ун­тов — око­ло 15 тыс. штук, что отно­си­тель­но немно­го. Тем не менее, это вре­мен­ная, разо­вая мера, в дол­го­сроч­ной пер­спек­ти­ве она неэффективна.

Олег Артамонов о даль­ней­шем раз­ви­тии систе­мы и о том, что необ­хо­ди­мо сделать:

  1. Система долж­на быть выве­де­на на феде­раль­ный уро­вень и рас­пре­де­ле­на меж­ду несколь­ки­ми игро­ка­ми. Полный кон­троль над систе­мой одно­го опе­ра­то­ра – непра­виль­ная ситу­а­ция, так как потен­ци­аль­но этот опе­ра­тор может зло­упо­тре­бить сво­им поло­же­ни­ем с целью ком­про­ме­та­ции систе­мы (фаль­си­фи­ка­ции резуль­та­тов, нару­ше­ния тай­ны голо­со­ва­ния). Технически, по сло­вам авто­ров, систе­ма уже гото­ва к такой эксплуатации.
  2. В систе­ме долж­ны быть реа­ли­зо­ва­ны меры защи­ты в соот­вет­ствии с дей­ству­ю­щим зако­но­да­тель­ством по защи­те инфор­ма­ции ГИС, а по окон­ча­нии реа­ли­за­ции защит­ных мер, но до вве­де­ния систе­мы в про­мыш­лен­ную экс­плу­а­та­цию, она долж­на быть атте­сто­ва­на в каче­стве ГИС и прой­ти про­вер­ку ФСТЭК и дру­гих при­част­ных служб.
  3. Система долж­на быть доку­мен­ти­ро­ва­на, долж­ны быть в соот­вет­ствии с дей­ству­ю­щи­ми ГОСТами и прин­ци­пом доста­точ­но­сти инфор­ма­ции опи­са­ны её пара­мет­ры, алго­рит­мы, про­грамм­ные интерфейсы.
  4. Должна быть про­ду­ма­на, регла­мен­ти­ро­ва­на и вве­де­на систе­ма надёж­ной вери­фи­ка­ции изби­ра­те­ля, напри­мер, воз­мож­ность голо­со­ва­ния толь­ко через вери­фи­ци­ро­ван­ный акка­унт Госуслуг, что­бы устра­нить воз­мож­ность под­став­ных голо­со­ва­ний в будущем.
  5. Система долж­на рас­по­ла­гать­ся в выде­лен­ных спе­ци­аль­но под неё ЦОД, для кото­рых преду­смот­рен режим досту­па наблю­да­те­лей и меры по кон­тро­лю за неиз­мен­но­стью выпол­ня­е­мо­го на сер­ве­рах кода. Сейчас систе­ма рабо­та­ет на обыч­ных ЦОД, в кото­рые допуск наблю­да­те­лей не регламентирован.
  6. Должны быть регла­мен­ти­ро­ва­ны пра­ва и обя­зан­но­сти наблю­да­те­лей на ТИК ДЭГ с учё­том спе­ци­фи­ки элек­трон­но­го голо­со­ва­ния, напри­мер, доступ к дан­ным, поря­док отчёт­но­сти опе­ра­то­ров систе­мы о реа­ги­ро­ва­нии на инци­ден­ты и тех­ни­че­ские сбои, и так далее.
  7. Должно быть суще­ствен­но рас­ши­ре­но и улуч­ше­но инфор­ми­ро­ва­ние изби­ра­те­лей о регла­мен­те про­ве­де­ния ДЭГ, при­чи­нах отка­зов, дей­стви­ях изби­ра­те­ля при этих отка­зах, меха­низ­мах защи­ты резуль­та­тов голо­со­ва­ния, обна­ру­же­ния под­ме­ны голо­сов и т.п.
  8. Должен быть рас­смот­рен вопрос об адап­та­ции изби­ра­тель­но­го зако­но­да­тель­ства к тех­ни­че­ским осо­бен­но­стям ДЭГ, напри­мер, воз­мож­но­сти мно­го­крат­но­го голо­со­ва­ния одно­го и того же изби­ра­те­ля с учё­том толь­ко послед­не­го подан­но­го им голо­са. Это реши­ло бы вопрос и с 1,6 % «испор­чен­ных» бюл­ле­те­ней, и с голо­со­ва­ни­ем под давлением.
  9. Должна быть в явном виде опи­са­на модель угроз ДЭГ и меры по ней­тра­ли­за­ции этих угроз, от тех­ни­че­ских сбо­ев и внеш­них атак до мани­пу­ля­ций со сто­ро­ны обслу­жи­ва­ю­ще­го пер­со­на­ла. Меры как тех­ни­че­ские, так и, напри­мер, регла­мен­ты по анну­ли­ро­ва­нию части бюллетеней.
  10. Применение систе­мы ДЭГ долж­но быть рас­ши­ре­ние на реги­о­наль­ные выбо­ры, а так­же реги­о­наль­ные и феде­раль­ные опро­сы обще­ствен­но­го мне­ния. Должна про­во­дить­ся после­до­ва­тель­ная циф­ро­ви­за­ция УИК.
  11. С целью реа­ли­за­ции этих мер долж­на быть раз­ра­бо­та­на и пуб­лич­но обсуж­де­на с уча­сти­ем экс­пер­тов дорож­ная кар­та по раз­ви­тию и внед­ре­нию ДЭГ в России на пери­од 2020–2024 г.г.

Тимофей Шевяков (не был наблю­да­те­лем на ТИК ДЭГ, но обла­да­ет 25-летним ста­жем в изби­ра­тель­ных кам­па­ни­ях), рас­ска­зы­ва­ет, как оце­ни­ва­ет элек­трон­ную систему:

Результаты элек­трон­но­го голо­со­ва­ния не вызы­ва­ют вопро­сов по их досто­вер­но­сти. По Москве резуль­та­ты элек­трон­но­го и бумаж­но­го голо­со­ва­ния прак­ти­че­ски сов­па­да­ют, в Нижнем Новгороде выше про­цент про­го­ло­со­вав­ших про­тив элек­трон­но, подо­зре­ваю, что это более моло­дые и оппо­зи­ци­он­но настро­ен­ные избиратели.

Если посмот­реть на ста­ти­сти­ку на сай­те ЦИК, то есть вопрос по ряду комис­сий. К при­ме­ру, в Казани явка по всем участ­кам при­мер­но оди­на­ко­вая, а коли­че­ство бюл­ле­те­ней в урнах соот­вет­ству­ет коли­че­ству выдан­ных. По ряду ТИКов идут очень ров­ные циф­ры «за», и это стран­но. Хотя, порой, боль­шой раз­рыв толь­ко кажет­ся подо­зри­тель­ным, а ниче­го тако­го в нем нет. К при­ме­ру, на УИК 3673 в Тверском рай­оне г. Москвы было отда­но 97% за – а это изо­ля­тор вре­мен­но­го содер­жа­ния на Петровке, 38.

Если срав­ни­вать элек­трон­ное и бумаж­ное голо­со­ва­ние, то срав­не­ние полу­чит­ся в поль­зу элек­трон­но­го. За бумаж­ным голо­со­ва­ни­ем слож­нее наблю­дать. Длительное голо­со­ва­ние поз­во­ля­ет моби­ли­зо­вать элек­то­рат по мак­си­му­му, что дает воз­мож­ность обес­пе­чить эффек­тив­ность резуль­та­та, но эта схе­ма уяз­ви­ма имен­но для бумаж­но­го голо­со­ва­ния, так как остав­ля­ет лазей­ку для недоб­ро­со­вест­ных людей.

Могу ска­зать, что за элек­трон­ным голо­со­ва­ни­ем буду­щее. Но впе­ре­ди дли­тель­ный путь, кото­рый, наде­юсь, мы проделаем.

Александр Исавнин, состо­я­щий в экс­пер­тах ДИТ и в отдель­ной экс­перт­ной груп­пе, а так­же участ­во­вав­ший в тех­груп­пе при шта­бе наблю­де­ния при ОП на выбо­рах в Московскую думу 2019 года, счи­та­ет, что раз­ра­бот­чи­ки ДИТ не ста­ли более открытыми:

Открытый код – это лишь малая часть того, что испол­ня­ет­ся в бра­у­зе­ре. Что испол­ня­ет­ся на сер­ве­ре, наблю­да­те­лям неиз­вест­но. ДИТ ссы­ла­ет­ся на инфор­ма­ци­он­ную без­опас­ность, но сама систе­ма голо­со­ва­ния к кри­ти­че­ской струк­ту­ре не относится.

Также мы не зна­ем, что логи­ро­ва­лось и что сохра­ни­лось, у наблю­да­те­лей не было досту­па к этой инфор­ма­ции. Даже регла­мен­та, как долж­ны хра­нить­ся либо уни­что­жать­ся логи голо­со­ва­ния, не существует.

Вся выбор­ная систе­ма – это чер­ный ящик, кото­рый рабо­та­ет неиз­вест­но как.

Основной недо­ста­ток – это пол­ная под­кон­троль­ность выбо­ров пред­ста­ви­те­лям испол­ни­тель­ной вла­сти, соот­вет­ствен­но, неза­ви­си­мо­сти нет.

А глав­ный вопрос – это фор­ми­ро­ва­ние спис­ка изби­ра­те­лей. С бумаж­ны­ми спис­ка­ми изби­ра­те­лей чле­ны комис­сии могут про­ве­рить пас­порт: там и воз­раст, и место реги­стра­ции. А в ЭГ для это­го ниче­го не было сде­ла­но, а часть тре­бо­ва­ний в срав­не­нии с про­шлым годом была ослаб­ле­на. В про­шлом году тре­бо­вал­ся вери­фи­ци­ро­ван­ный акка­унт на Мос.ру, в этом году тре­бо­ва­ние отме­ни­ли, что предо­став­ля­ло тео­ре­ти­че­скую воз­мож­ность тре­тьим лицам заре­ги­стри­ро­вать акка­ун­ты по пер­со­наль­ным данным.

К тайне голо­со­ва­ния отно­сит­ся и сам факт голо­со­ва­ния. На Госуслугах рабо­то­да­тель по номе­ру пас­пор­та мог это про­ве­рить, что нару­ша­ет тай­ну голосования.

Я рабо­таю с ДИТ и ЭГ уже вто­рой раз и не вижу жела­ния у раз­ра­бот­чи­ков делать систе­му про­зрач­нее для наблю­да­те­лей и чет­ко опи­сы­вать все про­то­ко­лы и регла­мен­ты. Выводить эту систе­му на феде­раль­ный уро­вень нель­зя ни в коем слу­чае. Но мы гото­вы про­дол­жать рабо­тать, наде­юсь толь­ко, что систе­ма будет дру­гая, не та, что при­ме­ня­ет­ся сейчас.

Алексей Щербаков, кото­рый был экс­пер­том на голо­со­ва­нии в Мосгордуму, рас­ска­зы­ва­ет, какие видит рис­ки и пер­спек­ти­вы для элек­трон­но­го голосования:

Я вос­при­нял эту систе­му как нефи­наль­ную, посколь­ку она была непро­зрач­ной для наблю­да­те­лей. Нам нуж­но пони­мать, какой код где испол­ня­ет­ся, как устро­е­но логи­ро­ва­ние. Нас при­гла­си­ли за пару недель до голо­со­ва­ния, мно­гое мы про­сто не успе­ва­ли сде­лать. Сама систе­ма рабо­та­ла хоро­шо, но спра­вит­ся ли она? Насколько близ­ко мы при­шли к пре­де­лу воз­мож­но­стей блок­чей­на? Требуется напра­вить боль­ше уси­лий на то, что­бы сде­лать голо­со­ва­ние более про­зрач­ным. Пока люди будут думать, что все кон­тро­ли­ру­ет­ся, они не смо­гут исполь­зо­вать систе­му и ее преимущества.

Александр Подшивалов о том, поче­му мы долж­ны верить в тай­ну голосования:

Тайна голо­со­ва­ния, кото­рая вол­ну­ет доволь­но мно­гих изби­ра­те­лей и экс­пер­тов, дей­стви­тель­но дер­жа­лась на чест­ном сло­ве ДИТа. Это слож­но назвать виной раз­ра­бот­чи­ков и экс­плу­а­тан­тов систе­мы – так уж полу­чи­лось, что зани­ма­ет­ся этим ров­но одно ведом­ство, а надо раз­де­лять систе­му как мини­мум на две части – чуть даль­ше ста­нет понят­но, поче­му, но Александр Исавнин дей­стви­тель­но мно­го раз зада­вал вопрос об этом, а отве­тов луч­ше, чем “поверь­те нам на сло­во” тех­ни­че­ская рабо­чая груп­па так и не полу­чи­ла. Опять же, отме­чу, вслед за Олегом, что фак­тов нару­ше­ния тай­ны голо­со­ва­ния пока никто не зафиксировал.

С дру­гой сто­ро­ны – неко­то­рые тех­ни­че­ские меры для защи­ты тай­ны голо­со­ва­ния были приняты.

Чуть подроб­нее опи­шу про­то­кол голо­со­ва­ния – при этом поста­ра­юсь изло­жить это все мак­си­маль­но упро­щен­но. Основаны все эти про­то­ко­лы на крип­то­гра­фии с откры­тым клю­чом – здесь знать о ней надо лишь то, что исполь­зу­ет­ся пара из откры­то­го и закры­то­го клю­ча, таких, что сооб­ще­ние, зашиф­ро­ван­ное откры­тым клю­чом, мож­но рас­шиф­ро­вать толь­ко с помо­щью закры­то­го, и наобо­рот – если сооб­ще­ние зашиф­ро­ва­но закры­тым клю­чом, то оно рас­шиф­ро­вы­ва­ет­ся откры­тым. Закрытый ключ обыч­но дер­жит­ся в сек­ре­те, а откры­тый досту­пен всем.

Итак, для нача­ла – под­го­тов­ка к голо­со­ва­нию, кото­рая с точ­ки зре­ния крип­то­гра­фии состо­ит в том, что созда­ет­ся пара из откры­то­го и закры­то­го клю­ча. Закрытый ключ раз­де­ля­ет­ся на части, кото­рые пере­да­ют­ся чле­нам изби­ра­тель­ной комис­сии – а они, как и на обыч­ных выбо­рах, пред­став­ля­ют самые раз­ные поли­ти­че­ские силы – напри­мер, в этот раз одним из чле­нов комис­сии был Григорий Мелконянц из “Голоса“. Главное здесь это то, что закры­тый ключ не будет изве­стен нико­му вплоть до момен­та его “сбор­ки” – а откры­тый ключ, наобо­рот, будет опуб­ли­ко­ван во вре­мя голосования.

Дальше про­ис­хо­дит соб­ствен­но голо­со­ва­ние – прой­дя авто­ри­за­цию на “Госуслугах” или mos.ru, изби­ра­тель полу­ча­ет от сер­ве­ра реги­стра­ции уни­каль­ный номер (GUID) и пере­на­прав­ля­ет­ся на сер­вер голо­со­ва­ния. Сервер голо­со­ва­ния – это при­ло­же­ние ballot (обра­ти­те вни­ма­ние, что рабо­та­ло оно на дру­гом домене – авто­ри­за­ция про­ис­хо­ди­ла на 2020og.ru, а соб­ствен­но голо­со­ва­ние – на elec.moscow, мож­но счи­тать это демон­стра­ци­ей воз­мож­но­сти раз­де­ле­ния авто­ри­за­ции и голо­со­ва­ния), Там созда­ет­ся пара из “поль­зо­ва­тель­ско­го” откры­то­го и закры­то­го клю­ча, слу­чай­ным обра­зом выби­ра­ет­ся зна­че­ние nonce, под­пи­сы­ва­ет­ся сооб­ще­ние из выбо­ра изби­ра­те­ля и nonce с помо­щью закры­то­го клю­ча изби­ра­те­ля, и далее пара из зашиф­ро­ван­но­го таким обра­зом сооб­ще­ния и откры­то­го клю­ча изби­ра­те­ля зашиф­ро­вы­ва­ет­ся еще раз, для чего исполь­зу­ет­ся откры­тый ключ систе­мы голосования.

Затем пара из GUID и зашиф­ро­ван­но­го голо­са отправ­ля­ет­ся на сер­вер голо­со­ва­ния, где GUID про­ве­ря­ет­ся на досто­вер­ность – что он дей­стви­тель­но был выдан сер­ве­ром реги­стра­ции, и по нему еще не голо­со­ва­ли, а зашиф­ро­ван­ный голос в слу­чае успеш­ной про­вер­ки сохра­ня­ет­ся – в дан­ном голо­со­ва­нии в блок­чейн, но в прин­ци­пе это может быть любая база дан­ных или вооб­ще фай­лик на дис­ке. Списки про­го­ло­со­вав­ших изби­ра­те­лей досту­пен наблю­да­те­лям, спи­сок зашиф­ро­ван­ных голо­сов – вооб­ще всем (в ходе голо­со­ва­ния на спе­ци­аль­ном сай­те транс­ли­ро­ва­лись тран­зак­ции блок­чей­на, а раз в пол­ча­са они выгру­жа­лись в фай­лы csv).

По окон­ча­нии голо­со­ва­ния соби­ра­ет­ся закры­тый ключ систе­мы голо­со­ва­ния и голо­са изби­ра­те­лей расшифровываются.

Попробуем теперь пере­чис­лить свой­ства такой системы.

Получить GUID и про­го­ло­со­вать могут лишь заре­ги­стри­ро­ван­ные изби­ра­те­ли – это обес­пе­чи­ва­ет­ся не толь­ко крип­то­гра­фи­ей, но и тем, что авто­ри­за­ци­ей поль­зо­ва­те­лей зани­ма­ют­ся “Госуслуги”;

Cервер голо­со­ва­ния не может «вбра­сы­вать» в хра­ни­ли­ще голо­са по сво­е­му усмот­ре­нию – их не может быть боль­ше, чем на сер­ве­ре авто­ри­за­ции было созда­но GUID’ов (спи­сок изби­ра­те­лей с отмет­ка­ми, кто голо­со­вал, а кто нет, досту­пен для про­смот­ра наблю­да­те­лям, как и на обыч­ных «бумаж­ных» выборах);

В ходе голо­со­ва­ния голос поль­зо­ва­те­ля рас­шиф­ро­вать нель­зя (и, допу­стим, откло­нить его под видом тех­ни­че­ской ошибки);

После голо­со­ва­ния голос поль­зо­ва­те­ля нель­зя изме­нить (так как нико­му, кро­ме само­го поль­зо­ва­те­ля, неиз­ве­стен закры­тый ключ – и то для его сохра­не­ния надо пред­при­нять некие усилия);

Каждый голо­со­вав­ший может най­ти свой голос в опуб­ли­ко­ван­ных результатах;

Каждый может само­сто­я­тель­но про­ве­рить пра­виль­ность под­сче­та голосов;

Если сер­вер авто­ри­за­ции не сохра­ня­ет выдан­ные поль­зо­ва­те­лям GUID’ы, а сер­вер голо­со­ва­ния не сохра­ня­ет связ­ку меж­ду GUID и голо­сом (тут при­дет­ся пове­рить раз­ра­бот­чи­кам и экс­плу­а­тан­там на сло­во – но ско­рее все­го, это так) – никто не может узнать, какой голос при­над­ле­жит како­му поль­зо­ва­те­лю. Кстати, обра­щу вни­ма­ние, что для рас­кры­тия тай­ны голо­со­ва­ния тре­бу­ют­ся согла­со­ван­ные дей­ствия опе­ра­то­ров сер­ве­ра авто­ри­за­ции и голо­со­ва­ния – соб­ствен­но, поэто­му этот про­то­кол и назы­ва­ет­ся “про­то­ко­лом двух агентств”.

Собственно, это то, что тре­бу­ет­ся от систе­мы тай­но­го элек­трон­но­го голо­со­ва­ния – и хочу заме­тить, что нигде здесь не тре­бу­ет­ся блок­чейн, мож­но было бы обой­тись лишь выгруз­кой спис­ков изби­ра­те­лей и зашиф­ро­ван­ных голо­сов с неко­то­рым интервалом.

Мона Архипова оце­ни­ва­ет элек­трон­ное голо­со­ва­ние с точ­ки зре­ния инфор­ма­ци­он­ной без­опас­но­сти и защи­ты от внеш­них атак не столь же пози­тив­но, как ее коллеги:

Нам пока­за­ли резуль­та­ты теста на без­опас­ность и с моей точ­ки зре­ния, они неудо­вле­тво­ри­тель­ны. У меня нет вопро­сов к тех­ни­ке, систе­ма улуч­ши­лась. А с точ­ки зре­ния без­опас­но­сти все печально:

Либо внут­рен­ний зло­умыш­лен­ник, либо тех­ни­че­ский спе­ци­а­лист может влезть в эту систе­му изнут­ри. Ряд базо­вых вещей на сете­вом уровне защи­ты так­же не был закрыт, а это про­стые стан­дар­ты без­опас­ной кон­фи­гу­ра­ции сете­во­го оборудования.

К момен­ту стар­та голо­со­ва­ния не была исправ­ле­на часть прак­ти­че­ских вещей. Мы не можем одно­знач­но утвер­ждать, что про­ник­но­ве­ния на сер­ве­ра не было и с ними ниче­го не про­ис­хо­ди­ло. Если бы логи отда­ва­лись на непод­кон­троль­ную ДИТ пло­щад­ку, это мож­но было бы решить. Плюс в пери­мет­ре все сер­ти­фи­ци­ро­ва­но, а логи отда­ва­лись в несер­ти­фи­ци­ро­ван­ное приложение.

Все выгля­дит не так уж и пло­хо, но по без­опас­но­сти рабо­тать и рабо­тать, наде­юсь, ком­мен­та­рии нашей экс­перт­ной груп­пы будут учте­ны и все будет реше­но к сле­ду­ю­ще­му ДЭГ.

В некой ста­тье гово­рит­ся, что пост­фак­тум после про­ве­де­ния голо­со­ва­ния исклю­ча­лись голо­са, если номер теле­фо­на не про­шел проверку.

Андрей Ларин отве­ча­ет на выска­зан­ные экс­пер­та­ми вопро­сы и опа­се­ния и уве­ря­ет, что инфор­ма­ци­он­ная без­опас­ность систе­мы при раз­ра­бот­ке ста­ви­лась во гла­ву угла:

От внут­рен­них нару­ши­те­лей мы бло­ки­ро­ва­ли доступ с помо­щью организационно-технических мер, все систе­мы были зарезервированы.

Что каса­ет­ся про­зрач­но­сти, мы не мог­ли выло­жить опре­де­лен­ные части, неко­то­ры­ми тех­ни­че­ски­ми дета­ля­ми и подроб­но­стя­ми нель­зя делить­ся пуб­лич­но из-за уязвимостей.

Какие логи сер­ве­ра предо­став­лять наблю­да­те­лям? Их было поряд­ка пяти­сот. Непонятно, предо­став­лять ли их все.

Мы все­гда откры­ты к пред­ло­же­ни­ям о том, как сде­лать все еще более пуб­лич­ным, но думай­те об этом в раз­ре­зе инфор­ма­ци­он­ной без­опас­но­сти, мы не можем рас­крыть все, что­бы защи­тить­ся от злоумышленников.

Документация необ­хо­ди­ма, ее нуж­но будет под­го­то­вить и предо­ста­вить. Но опять же, не всю целиком.

У нас есть воз­мож­ность мас­шта­би­ро­ва­ния, в том чис­ле и кодов блок­чей­на. Это не про­бле­ма, а зада­ча. Система реа­ли­зо­ва­на таким обра­зом, что­бы ее мож­но было мас­шта­би­ро­вать до 50 мил­ли­о­нов пользователей.

На дан­ный момент у нас в зако­но­да­тель­стве не закреп­ле­но пра­во про­ве­рить свой голос.

Эксперимент по ЭГ про­длен до 22 года. Хочется ска­зать всем спа­си­бо за ваш боль­шой вклад.

Видео с избран­ны­ми цита­та­ми спи­ке­ров — ниже:

Поделиться

Подписаться на рассылку новостей
Партии прямой демократии

© 2024 Партия прямой демократии
info@digitaldem.ru
Directed by Pixel Imperfect Studio. Produced by Git Force Programming LLC.