Россия vs Эстония: сравнение электронных голосований
В последнее время про дистанционные электронные голосования (ДЭГ) говорят много – на сентябрьских выборах ДЭГ будет использоваться в семи регионах, в нём ожидают до 2 млн. избирателей, и Москва уже развернула широкую рекламно-информационную кампанию.
При этом – по очевидной причине – данная кампания, как и большинство других материалов, направлены на обычного избирателя, и в основном подчёркивают удобство ДЭГ для него. Материалов для IT-специалистов и экспертов по-прежнему, прямо скажем, негусто, а те, что есть – например, в блоге «Ростелекома» на Хабре — наоборот, ударяются в другую крайность, будучи переполненными техническими деталями.
Начиная с сегодняшнего материала, мы попробуем рассказать про то, как работают российские системы ДЭГ (их две!), пытаясь соблюсти баланс между популярностью изложения и техническими подробностями.
Стартуем с международного опыта: при разговорах о ДЭГ часто всплывает Эстония, как один из пионеров электронных голосований масштаба государства – там ДЭГ применяется с 2005 года, и применяется успешно.
Как соотносятся российские и эстонские системы с точки зрения концепции реализации, функционала, надёжности в контексте голосования? Изучить этот вопрос мы попросили нашего эксперта, члена ВКС Партии прямой демократии Андрея Филиппова.
Отложить нельзя переголосовать
Одна из новых возможностей дистанционного электронного голосования, представленная в ходе недавнего тестирования московского ДЭГ – это функция так называемого «отложенного решения», позволяющая изменить свой выбор в ходе многодневного голосования (по сути – переголосовать заново, но в силу стилистическо-юридических причин такой термин не используется), но с единственной оговоркой: нельзя изменить решение за три часа до окончания голосования. Так, 29 июля эта опция была недоступна с 20:59, а 30-го – уже с 16:59. Отложенное решение отличает ДЭГ Москвы от федеральной системы дистанционного электронного голосования, разрабатываемой Ростелекомом для ЦИК РФ – в остальном функционал этих систем с точки зрения избирателя одинаков. Это не означает, что федеральная система ДЭГ технически в чем-то отстает от Москвы – просто некоторые дополнительные возможности, по мнению ЦИК, на данный момент удобно тестировать в Москве, электронное голосование в которой проводится по специально принятым для этого законодательным актам. Сам вопрос реализации отложенного решения сугубо технический, о чем недавно сообщил заместитель министра цифрового развития, связи и массовых коммуникаций Олег Качанов: «Технически мы прекрасно понимаем, как это можно сделать. Более того, технически, если бы такая задача была поставлена, мы были бы готовы реализовать хоть в этом году».
«Отложенное решение» интересно с двух точек зрения. Во-первых, оно даёт избирателю возможность и время решить какие-то технические проблемы, из-за которых он не может отправить бюллетень (например, на голосовании по поправкам в Конституцию летом 2020 была редкая проблема с одним из плагинов в Яндекс.Браузере). Без отложенного решения выданный бюллетень «протухает» через некоторое время, после чего система просто считает гражданина решившим не голосовать; выдача ему нового бюллетеня невозможна. Во-вторых, отложенное решение теоретически может позволить бороться с голосованием под давлением: если начальник требует от вас проголосовать определённым образом, вы можете сделать это прямо у него на глазах – а потом, уже дома, поменять свой выбор.
Начать, впрочем, следует с того, что само по себе отложенное решение придумали даже не разработчики московского ДЭГ – такой функционал уже давно существует в Эстонии. В связи с этим давайте посмотрим, как устроено онлайн-голосование в Эстонии и что из этого опыта может быть востребовано в России.
«Эстонское» отложенное решение при онлайн-голосовании применяется достаточно давно. Впервые изменить свой выбор эстонские избиратели смогли в 2005 г. на тех самых выборах, когда онлайн-голосование в Эстонии было применено впервые и это хорошо показывает статистика. В 2005 году функцией воспользовались 3,9 % избирателей от общего числа проголосовавших онлайн. На выборах в Рийгикогу в 2019 г. данный показатель уже составлял 2,5 %. Как видно из статистических данных, возможностью отложенного решения избиратели пользуются, но процент ее использования крайний низкий – и существенно отличается от показателя при тестировании отложенного решения в Москве, когда данный функционал использовали 10 % избирателей, принимавших участие в тестировании. Более высокий московский показатель востребованности функции отложенного решения при онлайн-голосовании объясняется, скорее всего, сочетанием широкого информирования избирателей об этой функции и естественного интереса к новому для российских голосований функционалу.
Однако чтобы делать дальнейшие выводы на основе статистики и проводить какие-либо параллели с Эстонией, необходимо больше данных, поэтому интересно будет посмотреть на востребованность использования отложенного решения в ходе единого дня голосования, а также на будущих выборах, если данная опция в дальнейшем будет доступна.
ЕСИА против SIM-карты
Смотреть сходства либо различия российского ДЭГ с эстонским онлайн-голосованием с технической точки зрения нужно прежде всего в системе аутентификации. В России для аутентификации используется учетная запись в ЕСИА/Госуслугах (для московского ДЭГ – учетная запись на mos.ru). В Эстонии для этих целей служит ID-карта гражданина, представляющая из себя пластик с чипом, в комплекте к которому обязательно нужен подключаемый к компьютеру кардридер. С 2011 года эстонским гражданам также стали доступны специальные SIM-карты, так называемый Mobile-ID, позволяющие пройти аутентификацию при помощи смартфона без использования физической ID Card и кардридера. Стоит SIM-карта 1 евро в месяц, основной функционал коротко представлен в видеоролике. По состоянию на июль 2021 года в обращении находится свыше 1,4 млн действующих ID-карт, Mobile-ID — почти у 250 000 человек. В общей сложности 98 % эстонцев имеют ID-карту.
В России голосовать можно с любого подключённого к интернету компьютера, планшета или смартфона. SIM-карта с российским номером требуется – но только для получения подтверждающих действия SMS (зарубежные номера на данный момент не работают, так что, увы, для россиян за рубежом электронное голосование пока что остаётся недоступным).
Два из трёх
На этапе выдачи чистого и получения заполненного бюллетеня система голосования должна решать три базовые задачи, без которых говорить о её применимости для проведения выборов неразумно:
- проверить, что бюллетень действительно получен от имеющего право голоса избирателя (защита от вбросов);
- сохранить содержимое бюллетеня в тайне (защита от раскрытия промежуточных итогов голосования);
- анонимизировать бюллетень (сохранение тайны голосования).
Эстонская система решает технически две из этих трёх задач (третья решается организационно, об этом ниже), российская – все три.
В основе электронной идентификации избирателя в Эстонии лежит инфраструктура PKI, основывающаяся на двух криптографических ключах – секретном и открытом, позволяющих шифровать и подписывать документы. В случае с электронным голосованием бюллетень в Эстонии шифруется отдельным ключом системы голосования, генерирующимся на сервере голосования и выдаваемым вместе с бюллетенем, и подписывается секретным ключом ID-карты избирателя. При приёме заполненного бюллетеня сервер проверяет подпись, используя известный государству публичный ключ ID-карты избирателя, а расшифровка содержимого бюллетеня производится только после окончания голосования. По сути, бюллетени в эстонской системе не являются анонимными, так как они подписаны персональными ключами избирателей, публичная часть которых государству известна и с конкретным физлицом сопоставлена.
С целью соблюдения тайны голосования анонимизация бюллетеней выполняется на сервере голосования перед их расшифровкой и подсчётом голосов (стр. 25, раздел 4.1.3) путём удаления из них криптографической подписи. То есть, тайна голосования в электронной системе в Эстонии обеспечивается не столько технически, сколько процедурно – доверием к тому, что оператор системы проведёт анонимизацию и безвозвратно уничтожит персонализированные бюллетени.
При этом такая анонимизация затрудняет реализацию популярной в ДЭГ функции аудирования – проверки избирателем, что его голос действительно учтён. В российских системах эта возможность технически присутствует, хотя и не представлена в интерфейсе пользователя в явном виде.
Слепое, маскированное, гомоморфное, <del>плацебо-контролируемое</del>
Российские системы ДЭГ устроены заметно сложнее, зато решают чисто техническими способами все три задачи. В них избиратель для получения бюллетеня аутентифицируется через ЕСИА/Госуслуги (все говорят «Госуслуги», но мы с вами понимаем, что здесь задействуется ЕСИА, а сами Госуслуги голосованию совершенно параллельны, это абсолютно разные системы) или mos.ru, после чего на его устройстве генерируется ключевая пара; публичный ключ из этой пары маскируется и отправляется на выдающий бюллетень сервер, где подписывается публичным ключом голосования.
Далее уже заполненный избирателем бюллетень подписывается созданным на его устройстве ключом (секретным), шифруется публичным ключом системы голосования, к нему прилагается сделанная ранее слепая подпись публичного ключа избирателя, а также сам публичный ключ, но уже со снятой маской – и всё это отправляется на сервер.
Таким образом, в российских системах:
- заполненный бюллетень подписан секретной частью ключевой пары избирателя, сгенерированной на его устройстве;
- то, что этот избиратель имеет право голосовать, подтверждается подписью публичной части ключевой пары ключом системы голосования, причём используется механизм слепой подписи, при котором ключ избирателя в систему голосования передаётся в замаскированном виде;
- перед отправкой ключа избирателя вместе с заполненным бюллетенем с него снимается маска (подпись при этом сохраняется), поэтому сопоставить его с подписывавшимся замаскированным ключом невозможно;
- бюллетень зашифрован публичным ключом системы голосования.
Маскирование ключа и механизм слепой подписи здесь важны именно для сохранения тайны голосования: подпись накладывается в той части системы, которая знает ФИО данного избирателя (и удостоверяет, что он имеет право голосовать). Этот компонент не должен иметь технической возможности сохранить сопоставление публичной части ключевой пары и ФИО – потому что далее публичная часть в немаскированном виде становится известна второй части системы, которая принимает бюллетень. Без маскирования можно было бы взять пару ключ-ФИО из первой части и сопоставить с парой ключ-бюллетень из второй.
Чтобы обеспечить невозможность подведения промежуточных итогов голосования – это нужно, чтобы устранить мотивы для проигрывающей стороны так или иначе повлиять на ход голосования – при создании пары ключей системы голосования секретный ключ разделяется на несколько частей, каждая записывается на отдельную флэшку, флэшки раздаются разным людям – и пока они не соберутся вместе и не соберут обратно полный ключ, расшифровать бюллетени не удастся (точнее, у ключа есть некоторая избыточность – он допускает потерю одной или двух частей). Ноутбук, на котором генерировался ключ, либо сразу же очищается, либо вообще пломбируется и убирается в сейф под видеокамерой.
Бумага важнее
Однако у эстонской «полуанонимной» системы есть и плюс. После того как избиратель проголосовал электронно в ходе предварительного голосования (в Эстонии онлайн-голосование проходит в качестве досрочного и не проводится в день выборов), он может отдать свой голос на избирательном участке, тогда в ходе подсчета голосов его электронный голос будет аннулирован. Если бы анонимизация в Эстонии происходила перед отправкой заполненного электронного бюллетеня, то чисто технически было бы невозможно осуществить подобное двойное голосование.
В российских системах избиратели, проголосовавшие электронно, на обычных избирательных участках исключаются из списка избирателей и проголосовать там не могут (в 2020 при голосовании по поправкам к Конституции были накладки, в основном связанные с попыткой стыковки электронной системы с бумажными книгами избирателей на участках в реальном времени; сейчас, чтобы такого не допустить, подавшие заявление на ДЭГ из списков избирателей на участках исключаются безусловно).
Хакни себя сам
Помимо вопросов, связанных с тайной голосования, к эстонской системе были претензии, непосредственно затрагивающие безопасность ID-карт. После выборов 2011 года в Рийгикогу гражданин Эстонии Пааво Пихельгас подал иск в суд. Истец отметил, что третья сторона может поместить в компьютер избирателя программное обеспечение для слежки, чтобы установить личность избирателя и отданный им голос. Более того, Пихельгас такой троянец и создал, и протестировал его работоспособность. При установке на компьютер троянец отправлял на сервер Национальной избирательной комиссии Эстонии голоса только за тех кандидатов, которых «одобрил» его автор. Из соображений безопасности у троянца отсутствовал механизм распространения. Пихельгас проиграл иск, так как, по мнению суда, действия автора вредоносного ПО не повлияли на гарантии избирательных прав граждан (троянец находился только на компьютере Пихельгаса и тестирование происходило после выборов), более того, участие самого Пихельгаса в собственном эксперименте по мнению суда не нарушало его избирательные права, так как в данном случае лицо, имеющее право выбирать метод голосования, путем заражения своего компьютера троянцем, блокирующим передачу голосов за «неугодных» кандидатов, сознательно поставило себя в подобное положение.
От себя заметим, что такая уязвимость является общим слабым местом любых систем электронного голосования, не использующих для этого специализированные доверенные устройства – однако в общем случае её широкомасштабная эксплуатация очень маловероятна, так как требует массового заражения личных устройств избирателей, причём в короткий период непосредственно перед выборами (иначе троянец с высокой вероятностью будет обнаружен заранее). Кроме того, в аудитируемых системах электронного голосования – впрочем, эстонская, в отличие от российских, к таким не относится – избиратели могут самостоятельно проверить, что их голос учтён в финальном подсчёте, так что массовое вмешательство будет также обнаружено.
Другой инцидент произошел в 2017 году, когда группа исследователей проинформировала эстонские власти об уязвимости, которая потенциально может повлиять на цифровое использование эстонских ID-карт. Уязвимость затронула почти 750 тысяч карт, выпущенных с 2014 года. В картах, выпущенных ранее, использовался другой чип, поэтому потенциальная угроза на них не распространялась. Интересно, что ряд политиков высказались тогда за перенос выборов, назначенных на 15 октября 2017 года, потому что в среднем по статистике голосует электронно 30–40 процентов эстонских граждан. Уязвимость затрагивала ключи шифрования, поэтому сертификаты, связанные с затронутыми ID-картами, были отозваны и впоследствии обновлены.
В связи с вышеперечисленными фактами можно сделать вывод, что корни эстонской системы аутентификации лежат в ее изначальном предназначении для нужд получения гражданами государственных услуг, когда между взаимодействующими субъектами нет никаких тайн. В случае с голосованием должны применяться иные стандарты защиты информации, но вся система, завязанная на ID-карты, настолько закрепилась в государстве, что, например, недавнее исследование не рекомендовало внедрять в Эстонии биометрическую аутентификацию, так как это потребовало бы фундаментальных изменений в существующей системе цифровой идентификации. В России изначально пошли по другому пути, создавая федеральную систему ДЭГ максимально приближенной к нуждам процесса голосования с обязательным соблюдением его тайны – Госуслуги в ней используются только как внешний сервис аутентификации избирателя. К слову, внедрить в России биометрическую систему аутентификации для ДЭГ, в отличие от Эстонии, технически ничто не мешает, кроме отсутствия биометрической базы избирателей значимого размера.
Мы просто посмотреть
И если с технической точки зрения российская система оказывается превосходящей эстонскую, то в вопросах наблюдения – а это также крайне важный элемент голосования – она пока что отстаёт, в первую очередь с организационной точки зрения.
В Эстонии за онлайн-голосованием может наблюдать любой гражданин. Так как процесс наблюдения в ДЭГ существенно отличается от обычного наблюдения на выборах и требует определенных компетенций, Государственная служба по организации выборов в Эстонии проводит для наблюдателей обучение перед началом электронного голосования. Помимо участия в семинарах, наблюдатели также могут следить за процессом настройки системы электронного голосования и присутствовать при подсчете голосов вечером в день выборов. Даты проведения обучения для наблюдателей за электронным голосованием регулярно публикуются в эстонских СМИ.
В России процесс наблюдения за ДЭГ выстроен несколько иначе – или, точнее, пока что не выстроен вообще: ни Общественная плата, ни операторы системы ДЭГ до сих пор не занимались подготовкой наблюдателей, большинство политических партий также игнорируют эту тему, а технический инструментарий наблюдения не формализован и может меняться по усмотрению разработчиков. Это, разумеется, не означает, что сейчас за ДЭГ вообще никто не наблюдает – но работающих с ДЭГ экспертов нужно больше, и их нужно качественно подготавливать уже сейчас. В планах ЦИК России и Ростелекома стоит публикация технических инструментов наблюдения за ДЭГ в конце августа – то есть, попробовать их можно будет на очередном тестировании федеральной ДЭГ 7–9 сентября, обсуждаются и планы по проведению обучающих семинаров для наблюдателей, однако пока что это – лишь самое начало пути.
Парадоксально, что этим вопросом довольно мало заинтересованы политические партии – по крайней мере, большинство из них никаким явным образом не выказывает желания готовить наблюдателей самостоятельно, их представителей нет и на встречах и в чатах рабочих групп с участием разработчиков ДЭГ (довольно большая группа независимых экспертов постоянно действует при ДИТ Москвы, встречи разработчиков и заинтересованных ведомств проходят в рамках рабочей группы ЦИК РФ, недавно начались встречи с разработчиками «Ростелекома»). Парадоксально – потому что реализация ДЭГ обеспечивает огромные возможности по наблюдению силами даже небольшой группы экспертов, чем радикально превосходит обычные голосования, которые в масштабах России требуют подготовки буквально сотен тысяч наблюдателей, физически присутствующих в каждой УИК и ТИК.