_wolki_ (_wolki_) wrote,
_wolki_
_wolki_

Category:

Тайное голосование, результаты которого невозможно фальсифицировать

И. М. Хамитов, CryptoVoter на gmail.com

Version 1.09, 05.11.2008

Что имеем?

Многие вопросы люди решают при помощи голосования: от внутрисемейного голосования по поводу выбора между цирком и зоопарком в качестве цели воскресного похода до выборов президента страны. Голосование обычно проводится при помощи простого “поднятия руки” или при помощи более мудреного метода, использующего бюллетени и урны для их сбора. Метод простого “поднятия руки” и подобные ему методы, не оставляющие доказательных следов голосования (например широко распространенные голосования на Интернет-сайтах или SMS-голосования в телевизионных шоу), мы обсуждать не будем. Голосование при помощи бюллетеней может быть открытым, а может быть тайным. В последнем случае участники голосования заполняют обезличенные бюллетени анонимно, не оставляя на них следов своей индивидуальности. Примером тайного голосования является голосование ученого совета по результатам защиты диссертации или всенародные выборы в Государственную Думу. Голосование может проводиться как с участием счетной комиссии, которая, в частности, проводит подсчет голосов, так и без образования последней. Например, друзья могут покидать записочки (бюллетени) в шапку, а затем вместе подсчитать результат своего голосования. Очевидно, что, когда число участников голосования велико, голосование без счетной комиссии становится непрактичным. Мы ограничим свое рассмотрение голосованием с участием счетной комиссии.

Хотя голосование может использоваться в различных сферах человеческой деятельности, для единообразия обсуждения мы будем придерживаться политической терминологии: участников голосования будем называть избирателями, а счетную комиссию — избирательной комиссией (ИК). Систему тайного голосования с участием ИК, использующую материальные (обычно бумажные) обезличенные бюллетени и урны для их сбора, будем называть традиционной системой тайного голосования.

В случае традиционного тайного голосования избиратели вынуждены доверять ИК. Действительно, избиратели отстранены от подготовки, обработки и подсчета бюллетеней и не могут эффективно контролировать действия ИК, поэтому ИК имеет широкие возможности для фальсификации результатов голосования. Для противодействия фальсификации, избиратели делегируют в ИК самых достойных людей, формулируют особые групповые правила работы с бюллетенями (чтобы затруднить сговор), направляют на финальные стадии процесса дополнительных наблюдателей, организуют повторные пересчеты (как это было относительно недавно в США) и проч. Тем не менее, фальсификация и просто ошибки возможны, так как ИК состоит из людей, “субъективные” действия которых могут оказывать огромное влияние на результат голосования1. Более того, даже если конкретному избирателю совершенно очевидно, что произошла подтасовка результатов голосования, он ничего не может поделать. Например, допустим, что избиратель делает выбор между А и Б в пользу Б, однако ИК объявила, что все голоса поданы за А. Для избирателя очевидно, что произошла подтасовка, но доказать это он не может.



Что может быть?

Современные криптографические методы позволяют построить систему тайного голосования (с использованием ИК2), во многих отношениях значительно превосходящую традиционную систему голосования. Для краткости будем называть такую систему КРИСТОКРИптографическая Система Тайного гОлосования. Некоторые свойства КРИСТО кажутся удивительными на фоне того, что может предложить традиционная система тайного голосования. Важно подчеркнуть, что все свойства КРИСТО, перечисленные ниже, обеспечиваются исключительно криптографическими средствами, а не “честностью и добросовестностью” ИК и программно-аппаратных средств, используемых ею, в частности, недобросовестная ИК не может нарушить тайну выбора участника голосования. Иными словами, при использовании КРИСТО избиратели могут не доверять ИК. Злонамеренная ИК может сорвать голосование, например прекратив работу, но не может повлиять на его результаты!

В процессе следования протоколу3 голосования КРИСТО избиратель должен проводить определенные криптографические вычисления. В настоящее время достаточной вычислительной мощностью для проведения таких вычислений обладают практически любые бытовые электронные устройства: настольные и переносные компьютеры, КПК, коммуникаторы, сотовые телефоны, смарт-карты и проч. Таким образом, для участия в голосовании избиратель должен использовать вычислительное устройство, например компьютер, со специальной программой, которая, взаимодействуя с сервером ИК, проведет избирателя по протоколу голосования.

КРИСТО обладает следующими свойствами.


  1. Избиратель может проголосовать удаленно (например через Интернет).

  2. В голосовании могут принять участие только те лица, которые включены в список избирателей.

  3. Никто не может проголосовать более одного раза.

  4. Никто не может повторно использовать “проголосовавший” бюллетень.

  5. Никто не может изменить выбор, сделанный избирателем.

  6. Никто не может определить, какой выбор сделал данный избиратель.

  7. Избиратель может “испортить” бюллетень (то есть воздержаться).

  8. Никто не может восстановить испорченный бюллетень.

  9. Никто, кроме избирателя, не может “испортить” его бюллетень.

  10. Опциональное свойство: избиратель может, не раскрывая себя, изменить свой выбор в пределах времени, отведенного на голосование, в частности, он может восстановить свой испорченный ранее бюллетень.

  11. Избиратель может убедиться, что его голос правильно учтен в результатах голосования или, наоборот, не учтен или учтен неправильно.

  12. Если избиратель обнаружил, что его голос не учтен или учтен неправильно, то он может, не раскрывая себя, доказать, что он голосовал вовремя, и добиться того, чтобы его голос был правильно учтен в результатах голосования.

  13. Любой желающий, в частности, любой избиратель, может проверить результаты голосования, то есть убедиться в том, что в голосовании приняли участие только те лица, которые включены в список избирателей, проверить действительность каждого бюллетеня и пересчитать поданные голоса.

  14. Избиратель не может доказать третьим лицам, что он проголосовал определенным образом, тем самым, исключается технологическая поддержка купли-продажи голосов.

  15. ИК не может симулировать ошибку, получив бюллетень с выбором, неблагоприятным с точки зрения ИК (не давая тем самым проголосовать “неугодному” избирателю).

  16. Число “проголосовавших” бюллетеней, включая испорченные, не может превышать числа избирателей, принявших участие в голосовании.

Свойства 1, 10–13 (они выделены жирным шрифтом) абсолютно невозможны в рамках традиционной системы тайного голосования, а часть из них (свойства 11–13) поистине удивительны, так как наделяют каждого избирателя беспрецедентным контролем над ИК в условиях тайного голосования. Следует отметить, что при традиционном голосовании публикация, в том числе в Интернете, отчетов участковых избирательных комиссий по результатам голосования4 ни в коей мере не является “реализацией” свойства 13, так как для внешнего наблюдателя связь опубликованных цифр с волей избирателей, первоначально отраженной в поданных бюллетенях, отсутствует.

Отметим, что свойства 11 и 12 позволяют крайне эффективно обнаруживать фальсификацию бюллетеней. Предположим, что фальсифицировано 1% поданных бюллетеней и всего лишь 1% избирателей проверили, что их голоса правильно учтены в результатах голосования. Если общее количество бюллетеней равно 50 000, то вероятность того, что фальсификация пройдет не замеченной, меньше 0,7%. Если же общее количество бюллетеней равно 100 000, то эта вероятность уже меньше 0,005%, то есть она ничтожно мала. В этих условиях незаметная и недоказуемая фальсификация невозможна.

Остальные свойства присутствуют в традиционной системе тайного голосования, однако их реальное выполнение — в отличие от КРИСТО, где они безусловно выполняются, зависит от “честности и добросовестности” ИК. Например, свойство 9 является одним из самых хрупких, так как испортить бумажный бюллетень, несущий неблагоприятный с точки зрения ИК выбор, очень легко одним движением пера.

Протокол голосования КРИСТО состоит в обмене электронными сообщениями между избирателем и ИК и не использует материальные носители наподобие бумажных бюллетеней традиционного голосования, поэтому собственно и возможно удаленное голосование через Интернет (свойство 1). Все сообщения протокола голосования надежно защищены, поэтому их прохождение по открытой сети Интернет и/или сетям телефонных компаний не несет угрозы вмешательства в процесс голосования посторонних лиц или угрозы раскрытия каких-либо сведений, чувствительных для избирателей или ИК. Кроме того, в КРИСТО предусмотрены меры противодействия попыткам внесистемными средствами нарушить тайну выбора избирателя.

Для того, чтобы ИК могла признать удаленного участника голосования в качестве легитимного избирателя (свойство 2), последний должен предъявить электронный сертификат, удостоверяющий личность владельца. Сертификаты избирателям может выдавать организатор голосования, но более предпочтительным и универсальным является подход, состоящий в использовании сертификатов, которые выдаются удостоверяющими центрами, действующими в рамках федерального закона “Об электронной цифровой подписи. В этом случае организатор голосования составляет только список избирателей с указанием их идентификационных данных (например атрибутов паспорта гражданина РФ). Количество удостоверяющих центров в России в настоящее время уже превышает 150, и это количество, несомненно, будет расти по мере возрастания роли электронного документооборота в жизни людей5. Еще более предпочтительным способом идентификации избирателя в будущем должен стать электронный паспорт гражданина России на основе смарт-чипа, содержащего соответствующие сертификаты6.

Обсудим еще свойства 14 и 15, которые хотя и наличествуют в традиционной системе тайного голосования, однако представляют известную трудность для разработчика электронной системы голосования.

Традиционная система тайного голосования не способствует купле-продаже голосов. Хотя Остап Бендер может договориться с избирателем, монтером Мечниковым, о покупке его голоса, у обеих сторон в этой сделке нет никаких гарантий исполнения такого договора: либо монтер Мечников может деньги взять, а проголосовать по-своему, либо Остап Бендер может посулить монтеру Мечникову денег, но не заплатить. Если условия голосования позволяют, перед опусканием заполненного бюллетеня в избирательную урну монтер Мечников может продемонстрировать его Остапу. У Остапа появится уверенность, что он платит не зря, но у монтера Мечникова уверенности в получении денег не будет. Очевидно, что подобный способ купли-продажи голосов возможен в любой системе голосования, однако с точки зрения массовой скупки голосов он нетехнологичен. Такая ситуация проистекает из двух обстоятельств: а) у сторон в сделке не остается объективных доказательств выбора, сделанного избирателем, и б) для таких незаконных договоров отсутствует правовое принуждение к исполнению. Свойство 14 означает, что КРИСТО не ухудшает ситуацию с куплей-продажей голосов по сравнению с традиционной системой тайного голосования. Кроме того, возможность изменить свой выбор в пределах времени, отведенного на голосование (свойство 10), еще более подрывает уверенность покупателя голосов в том, что он платит не зря, так как коварный избиратель-продавец, даже продемонстрировав в присутствии покупателя, как он производит выбор, впоследствии может его изменить.

При неудачной конструкции электронной системы тайного голосования злонамеренная ИК может иметь возможность селективно симулировать ошибку, то есть отказывать в приеме бюллетеня, если он несет выбор избирателя, неблагоприятный с точки зрения ИК, тем самым делая результаты голосования не соответствующими действительной воле избирателей. Свойство 15 означает, что в КРИСТО такая проблема отсутствует.

Все протоколы и спецификации КРИСТО, а также исходные коды клиентской программы голосования, будут открыты (опубликованы) и доступны для анализа экспертами и всеми желающими. Важно подчеркнуть, что открытость протоколов и спецификаций является обязательным требованием к любой системе тайного голосования.

Какая цель?

Справедливые и честные (без фальсификации) тайные выборы являются одним из краеугольных камней правового государства и гражданского общества, поэтому пользу от реализации проекта КРИСТО получат все граждане России. Кроме того, технология КРИСТО может использоваться при неполитических голосованиях, например, при голосовании ученого совета по результатам защиты диссертации, при голосовании внутри клубов по интересам, спортивных организаций, культурных и творческих союзов, неформальных объединений и т. п.

Цель инновационного проекта КРИСТО состоит в создании безопасного и надежного механизма (программно-аппаратного комплекса), обеспечивающего действительно тайное Интернет-голосование, результаты которого невозможно фальсифицировать, и последующее внедрение этого механизма в практику политических выборов, референдумов, а также иных неполитических голосований.

Как не надо делать!

В Эстонии допускается голосование через Интернет7 при помощи ID-карты, содержащей смарт-чип. Нужно иметь в виду, что ID-карта применяется не только при голосовании через Интернет: она играет роль полноценного внутригосударственного удостоверения личности и обязательна для достигших 15-летнего возраста граждан Эстонии и иностранцев, находящихся в Эстонии на основании вида на жительство. С помощью ID-карты можно накладывать цифровую подпись на файлы определенного формата. Использование удостоверения личности, содержащего смарт-чип, является прогрессивным и правильным, однако голосование в Эстонии с технической точки зрения не является тайным, как если бы при традиционном голосовании бумажные бюллетени были бы именными и подписывались участниками голосования. Кроме того, эстонские избиратели не могут проводить аудит (проверку) подсчета голосов. Эстонским избирателям остается надеяться, что ИК не будет злоупотреблять своими возможностями и не будет нарушать тайну их выбора, а также не будет фальсифицировать результаты выборов.

В качестве примеров других реализаций псевдотайного Интернет-голосования можно привести американскую систему SERVE, которая подверглась острой критике независимых экспертов в 2004 году (www.servesecurityreport.org), в результате чего она была закрыта, канадскую систему, продвигаемую компанией Intelivote Systems Inc. (www.intelivote.com), или систему Pnyx испанской компании Scytl (www.scytl.com). 12 октября 2008 года Центральная избирательная комиссия России провела в городе Новомосковске Тульской области экспериментальный “опрос” избирателей через Интернет. Хотя детали этого эксперимента ЦИК РФ не разглашает, но по внешним признакам можно сделать вывод, что использованная в нем система попадает в один ряд с эстонской системой, SERVE, Intelivote, Pnyx и других подобных им систем.

Основной недостаток упомянутых выше систем, как и большинства других реализованных систем Интернет-голосования, состоит в том, что они основываются на принципе: “Избиратель, верь нам! Хотя мы и можем нарушить тайну твоего выбора, а также фальсифицировать результаты голосования, мы этого делать не будем, так как мы честные”! Основной принцип КРИСТО “Избиратель, не верь никому”!

Можно ли заработать?

Представляется, что флагманским приложением КРИСТО являются политические выборы. Это поле деятельности весьма широко. Например, по данным Центральной избирательной комиссии Российской Федерации, 2 марта 2008 года в общей сложности прошло 849 выборов и референдумов: выборы Президента Российской Федерации, депутатов законодательных (представительных) органов государственной власти субъектов Российской Федерации, глав муниципальных образований и депутатов представительных органов местного самоуправления, а также местные референдумы. В 2007 году было проведено 1162 выборов и референдумов. В 2006 году было проведено 1041 выборов и референдумов. Государство и муниципалитеты расходуют изрядные суммы денег на все эти выборы и референдумы.

Чтобы оценить удельные расходы бюджета РФ на проведение выборов можно взять в качестве примера выборы Президента Российской Федерации, проводившиеся 2 марта 2008 года. Количество избирателей составило 107 222 016 человек, расходы участковых избирательных комиссий — 3 652 806 600 рублей (из которых 84% ушло на оплату труда). Итого, получается, что на низовом уровне один избиратель обошелся бюджету в 34 рубля. Еще одну оценку “стоимости” избирателя можно почерпнуть из данных по муниципальным выборам в Галифаксе, Канада, проходивших в октябре 2008 года. Городской совет Галифакса заключил договор с компанией Intelivote Systems Inc. (www.intelivote.com) на сумму C$487 151 по обеспечению электронного голосования через Интернет. Общее число избирателей составило 279 326 человек8. Итого, расходы на электронное голосование на одного избирателя в Галифаксе составили C$1,74 (примерно 42 рубля).

Компания КРИСТО могла бы обслуживать часть избирателей в рамках политических выборов и референдумов за плату (например 25 рублей за одного избирателя, принявшего участие в Интернет-голосовании). Вполне возможно, что уже в следующем цикле выборов в Государственную Думу и выборов Президента Российской Федерации будет образован новый избирательный участок “Интернет” с миллионами избирателей.

Не исключено, что государство выкупит компанию КРИСТО и сделает ее частью Центральной избирательной комиссии Российской Федерации, что также может принести прибыль потенциальному инвестору.

Для неполитических приложений, кроме услуги проведения тайных голосований, компания КРИСТО могла бы предоставлять услуги по проведению открытых (нетайных) голосований, а также продавать программные продукты для проведения голосований. Однако из-за отсутствия аналогов таких услуг в России и доступных данных в других странах трудно оценить спрос на услуги и продукты КРИСТО в рамках неполитических приложений.

Учитывая “засилье” в зарубежных странах псевдотайных, псевдозащищенных от фальсификации систем Интернет-голосования, перспективы продвижения КРИСТО на зарубежные рынки также представляются вполне реальными.

С точки зрения потенциального инвестора риск потери первоначальных инвестиций в проект КРИСТО довольно высок из-за неопределенности политической (законодательной) составляющей проекта.

Что требуется?

Для разработки, реализации и внедрения системы КРИСТО требуются политическая (законодательная) поддержка и инвестиции.

Использование КРИСТО для обслуживания политических выборов и референдумов невозможно без внесения изменений в избирательное законодательство. Текущее избирательное законодательство, разбросанное по ряду федеральных законов (“О выборах Президента Российской Федерации”, “О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации”, “Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации” и др.), явно указывает на то, что бюллетень для голосования представляет собой материальный (нецифровой) объект. Например, пункт 3 статьи 67 Федерального закона “О выборах Президента Российской Федерации” гласит: “В целях защиты избирательных бюллетеней от подделки при их изготовлении используется бумага с водяными знаками или с нанесенной типографским способом надписью микрошрифтом и защитной сеткой либо в этих целях используется специальный знак (марка)...”. Увы, бумагу с водяными знаками в Интернет “не засунешь”, поэтому внедрение КРИСТО требует участия политических партий и общественных организаций для продвижения идеи электронного голосования и лоббирования соответствующих изменений в законодательстве РФ.

Следует подчеркнуть, что КРИСТО — это технологический, а не политический проект, так как его реализация не дает никаких преимуществ ни одной политической силе.

Техническую часть разработки системы КРИСТО можно разбить на три этапа:



    1. дополнительное углубленное изучение текущего состояния теории и технологий электронного голосования в России и за рубежом, исследования в области интеллектуальной собственности и патентной чистоты технологии КРИСТО, юридическое оформление интеллектуальных прав на технологию и ее составляющие, разработка концепции и детализация протоколов и т.п.: 1 год и 6 000 000 рублей;

    2. разработка и реализация пилотного варианта системы, то есть реальной системы, работоспособной в небольших масштабах и с некоторыми ограничениями: 1–1,5 года и 30 000 000 рублей;

    3. разработка, реализация и разворачивание полнофункциональной системы: 2 года и 300 000 000 рублей.


Указанные цифры представляют собой экспертную оценку.

Потребуются также расходы на законотворческую работу (разработка и согласование проектов изменений законодательства, лоббирование этих изменений, проведение семинаров, дискуссий, круглых столов и проч.).

Кратко об авторе

Ильдар Магафурович Хамитов, кандидат физико-математических наук.


  • Имеет опыт разработки с нуля и внедрения сложных масштабных инновационных Интернет-проектов (Яндекс.Деньги в России и Интернет.Деньги на Украине).

  • Является соавтором нескольких российских и иностранных патентов в области финансовой криптографии и платежных систем (RU2144695, RU2153191, RU2157001, RU2202827, US6557759B1, UA51845 и др.).

  • Является автором и соавтором публикаций на темы финансовой криптографии и платежных систем:


  • Хамитов И. М., PayCash — система платежей в Интернете, Конфидент, № 1, 2000, с. 60–66;

  • Мошонкин А. Г., Смирнов А. Л., Хамитов И. М., Запасный выход, Компьютерра, № 15, 2000, http://oldwww.computerra.ru/offline/2000/344/2558/

  • Мошонкин А. Г., Смирнов А. Л., Хамитов И. М., Безопасный протокол использования одноразовых карточек, Конфидент, № 4–5, 2000, с. 106–113;

  • Jon M. Peha, Ildar M. Khamitov, PayCash: a secure efficient Internet payment system, Proceedings of the 5th international conference on Electronic commerce 2003, Pittsburgh, Pennsylvania, September 30 – October 03, 2003, ACM International Conference Proceeding Series; Vol. 50, Pages: 125–130



и др.



  • Выступал с докладами на российских и международных конференциях, посвященных финансовой криптографии и платежным системам в Интернете:


  • Второй Российский Интернет-Форум (РИФ-98), 11-14 марта 1998 г.;

  • Financial Cryptography '99, 22–25 February 1999, Anguilla, BWI;

  • РусКрипто2000, 3–5 февраля 2000 г., Москва;

  • The First Edinburgh Financial Cryptography Engineering Conference, 23–24 June 2000, Edinburgh



и др.


Tags: Философское
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments