Электронное голосование, безопасность и ботнеты

30. November 2008, 20:24 Безопасность, Интернет, Компьютеры и ПО

Популярная сейчас тема: электронное голосование, да не простое, а через Интернет. Речь не об интернет-опросах, а о настоящем, государственном голосовании на выборах. То есть вместо посещения избирательного участка голосуют с домашнего (или офисного?) компьютера. Понятно, что наиболее привлекательный “транспорт связи” в таком случае – Интернет.

Вообще у подобных схем электронного голосования есть одна очень важная, определяющая, особенность, о которой забывают. Как ни странно, особенность эта довольно хорошо изучена на примере систем контекстной интернет-рекламы. (Правда, не слишком радостные результаты изучения, в случае с интернет-рекламой, как-то не очень популяризируют.) Так вот, особенность в том, что люди не могут голосовать через Интернет – через Интернет голосуют только компьютеры.

Как так? Очень просто: именно компьютер подключен к Сети, поэтому центр сбора и обработки результатов получает “сигнал” именно от компьютера. Что там за человеческий гражданин находился в момент голосования за компьютером, и находился ли он там вообще – об этом ничего не известно.

Да, можно раздать гражданам специальное программное обеспечение (ПО) на избирательных участках. Но если на участке наблюдатели видят, как гражданин размещается в кабине для принятия решения, то в случае интернет-голосования определить, кто там использовал голосовательное ПО – нет возможности.

Понятно, что выбор конкретного голосовальщика можно зашифровать во время передачи по публичным сетям (а Интернет, конечно, делает такую передачу обязательной). Можно практически исключить повторную подачу голоса и изменение результатов злоумышленниками “на лету”. С тайной голосования, правда, возникают трудности: простое решение не даёт никакой анонимности, так как сессии процесса голосования могут сохраняться на многих промежуточных узлах.

В принципе, криптологами предлагались и предлагаются схемы голосования, где выбор остаётся секретным даже при условии хранения и доступности логов. Беда с подобными схемами одна, зато фундаментальная – они вообще не понятны людям без специального образования, соответственно вопрос достоверности результатов для большинства представителей заинтересованных сторон сводится к вопросу о доверии “занудам, разговаривающим непонятными словами о каких-то алгебрах”. Бумажные же бюллетени каждый может пересчитать, даже не математик.

Фиксирование легитимности конкретного голосования, в случае с интернет-подходом, вообще просто провальный момент. И даже не обязательно гражданин осознанно “торгует голосом” и передал кому-то свои реквизиты. Предположим, что домашний компьютер, которым этот гражданин собирается воспользоваться для голосования, заражён вирусом и является частью ботнета. Это специальный вирус, специальный ботнет, настроенные именно для голосований. Когда пользователь вводит какие-то там свои персональные ключи, а программное обеспечение для голосования подключается к центру избирательного комитета, то троянский код просто изменяет ввод пользователя в нужную владельцу ботнета сторону.

Тут важно понимать, что в случае достаточно продвинутого хакерского кода практически нет способов противодействия “перехвату волеизъявления” на стороне голосующего компьютера. Из-за того что между человеком и центром приёма результатов всегда есть неизвестный компьютер, весьма затруднительно проверить, что выбор сделал гражданин, а не хакерская программа, обманувшая гражданина. Особенно если такая проверка должна сохранять тайну голосования. При этом программа злоумышленников может “всплывать” на уровень выше всяких программных систем контроля и защиты, оказываясь строго между человеком и интерфейсом специального ПО голосования. (Собственно, так работают различные сниферы паролей.)

Если в схеме задействован достаточно большой ботнет, то его силами можно довольно быстро набрать нужный материал для анализа используемых в данных конкретных “электронных выборах” протоколов и ключей, что поможет эффективному вредительству. (Понятно, кстати, что протоколы должны бы быть заранее открыты для публики.)

А вот заразить троянцем деревянную кабинку для голосования или бумажный бюллетень, вроде бы, пока хакеры не умеют. Такие дела.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 35

  • 1. 30th November 2008, 23:30 // Читатель Name написал:

    1) Пользователь по бумажной почте получает случайно сгенерированные id для каждого кандидата. Id в каждом письме уникальны. Если кто-то сомневается в анонимности, можно заранее пойти на избирательный участок и вытащить случайный конверт.

    2) В день голосования, пользователь заходит на вебсайт и вводит любое число в качестве пароля и id желаемого кандидата.

    3) Если пользователь хочет убедится в том, что его голос был зарегестрирован правильно, он звонит на специально выделенный номер телефона, вводит свой пароль из пункта (2) и в ответ слышит id кандидата, за которого он голосовал.

    Письма можно заменить на специальные USB устройства или DVD диски. Пользователь получает пакет с дисками, на каждого кандидата один диск. Пользователь вставляет диск нужного кандидата и запускает с него программу. Ничего никуда вводить не надо, программа посылает уникальный id и заканчивает работу. Пользователь звонит по телефону напечатанному на диске и вводит пароль напечатанный на диске, в ответ слышит ответ-подтверждение, так-же напечатанный на диске.

  • 2. 1st December 2008, 02:19 // Читатель sashket написал:

    > Письма можно заменить на специальные USB устройства или DVD диски.

    Можно продолжить: пользователю DHL доставляет на дом специальный компьютер для голосования, местный провайдер проводит пользователю специальную выделенную линию для этих целей)))))

  • 3. 1st December 2008, 10:15 // Александр Венедюхин ответил:

    Пользователь по бумажной почте получает случайно…

    В схеме: почта, куча дисков, ещё больше длинных индексов и мутных паролей, три персональных авторизации (в том числе доступ к Интернет, подтверждаемый, для точности, видимо, телефонным звонком). В общем, как-то это не очень хороший вариант схемы, по-моему.

  • 4. 1st December 2008, 19:50 // Читатель Name написал:

    Телефоным звонком, пользователь может убедится, что его голос был принят правильно, делать это не обязательно, голос все равно будет защитан.

    А конкретные технические возражения есть?

    Типа: не будет работать, потому что посылать DVD диски неоправдано дорого; или пользователь запутается в трех дисках; или слишком много авторизаций (аж еще одна, дополнительно к обычной процедуре и та опциональная, какой кошмар); или сервер не выдержит нагрузки потому что слишком много id; или проверить один кластер на чистоту довольно простого кода, сложнее чем проверить тысячи избирательных участков на моральную безупречность обслуживающего персонала;

  • 5. 1st December 2008, 20:27 // Александр Венедюхин ответил:

    С телефонным звонком проблема в том, что нужно как-то обеспечивать анонимность. Простых схем тут нет.

    Технические моменты всё те же: дисков может быть много (не три, а больше), это сложно для пользователя и диски сложно производить (нужно же будет надёжность гарантировать); голосование с диском через подключение к Интернету опять, как я и писал, поднимает вопрос о гарантиях анонимности (подключения ж персонализированы большей частью); хакеры вмешиваются в процесс (мешают голосовать, как минимум), и это нужно объяснять гражданам (не простая задача), и так далее.

    В случае с бумажной системой этих проблем нет, а “моральная безупречность” тут не важна – есть наблюдатели, сам процесс заполнения бюллетеня тайный, “завёрнут” в понятную гражданам процедуру. Как-то так.

  • 6. 1st December 2008, 23:33 // Читатель Name написал:

    Обеспечить анонимность звонка проще простого. Нужно всего лишь убедится, что на сервере не стоит caller id. Даже если вся остальная цепочка открыта, из перехвата телефонного сообщения никак нельзя узнать за кого голосовал звонивший. Традиционная же схема вообще не дает возможности проверить, что голос был зарегестрирован.

    То, что сложно напечатать и переслать достаточное количество дисков, по-моему, вообще за аргумент не считается. Ничего сложного в этом нет. AOL диски немерянно рассылал в металических коробочках.

    Обеспечить анонимную отсылку через Интернет тоже легко. Главное проверить конечную точку и это сделать можно.

    Главная проблема инертность системы (обучение граждан и т.п.) а вовсе не злобные бот неты. как говорится в статье.

  • 7. 1st December 2008, 23:42 // Александр Венедюхин ответил:

    Нужно всего лишь убедится, что на сервере не стоит caller id.

    Ну а кто будет убеждаться? И как? Вот вам ещё технические трудности: контроль цепочки, аудит процедуры и т.п.

    То, что сложно напечатать и переслать достаточное количество дисков, по-моему, вообще за аргумент не считается. Ничего сложного в этом нет.

    Диски – это не бумажные бюллетени, изготовить диски – сложнее. По-моему, это очевидно. И другой момент: вот избиратель, скажем, жалуется: “Диск не сработал!” – что делать?

    Обеспечить анонимную отсылку через Интернет тоже легко.

    Ну раз легко, то предложите схему, пожалуйста.

    Главная проблема инертность системы (обучение граждан и т.п.)

    Это да, так и есть.

  • 8. 2nd December 2008, 02:51 // Читатель Name написал:

    Ну а кто будет убеждаться? И как?

    Убеждаться должны инженеры, инженерными способами: изучением исходников сервера и аппаратуры. Как такие коммиссии организуются я не знаю, но ведь кто-то проверяет соответствие обычных избирательных будок на соответствие требованиям. Видимо, избирком при контроле потенциальных избранников оплачивает техническую экспертизу. К тому-же убедить иностранных наблюдателей в легитимности таких выборов проще. Я уже не говорю про привлечение механизмов опен сорса со всего мира. Проверить один серверный кластер гораздо легче чем тысячи будок, даже если одну будку проверить проще.

    Диски – это не бумажные бюллетени, изготовить диски – сложнее. По-моему, это очевидно. И другой момент: вот избиратель, скажем, жалуется: ?Диск не сработал!? – что делать?

    Да, изготовить сложн_ее_, но на дворе XXI и такую задачу решить вполне возможно. Хотя я не согласен, что вся процедура в целом сложнее. Изготовить сложнее, зато считать проще. Если диск не сработал, то избиратель идет в обычный избирательный пункт, там этот случай документируется для дальнейших разборок, а избиратель голосует бумажным методом или новым диском уже на месте.

    Ну раз легко, то предложите схему, пожалуйста.

    Зашифрованный канал (https) недоступный для “перлюстрации” никому кроме конечного сервера, проверенного на неведение логов с фамилиями и айпишниками, как описано выше.

    Это да, так и есть.

    а вовсе не злобные бот неты. как говорится в статье. ;)

  • 9. 2nd December 2008, 04:34 // Читатель Name написал:

    Я немного ошибся в последнем сообщении, обеспечивать анонимность передачи голоса через интернет можно еще проще чем я предложил. Программа посылает всего лишь один id и больше ничего. Глядя на этот id нельзя сказать за кого проголосовал юзер, потому-что соответствие id и кандидата хранится на сервере. Т.е. даже зашифровывать канал не надо. А далее по тексту, сервер проверяется на неведение логов с фамилиями и айпишниками, как описано выше.

  • 10. 2nd December 2008, 07:41 // Читатель Путин Андрей написал:

    Во-первых, давайте вспомним, что есть LiveCD, которые заработают на большинстве компьютеров.
    На этом CD только то ПО, которое записано самой Избирательной Комиссией.
    Произвести CD — простая задача. Не забывайте, что бюллетени не из “просто бумаги”, а из специальной, хорошо защищенной бумаги. Стоимость CD может оказаться в массовом производстве аналогичной.
    Достаточно купить диск Linux Ubuntu, и убедиться, что он отлично запускается даже на самых новых ПК, с поддержкой большинства драйверов и т.п. Не нужно забывать, что на время голосования программа для голосования, если запущена не с LiveCD, может проверить количество процессов в ПК и отключить все лишние (например, достаточно знать все “обычные процессы” на Windows XP, и их CRC для разных Service Packs). Без LiveCD решается вопрос так: отображается капча для каждого кандидата, а ты введи нужную.
    Как хакерская программа прочтет капчу, если многие из них и я не могу прочесть? :) + шифрование, определенные меры, и количество строк “вредоносного кода” вырастет в разы. А голосование длится ровно день, за который сложно что-либо сделать.

    Во-вторых, отсутствие определителя номера в центре проверки сообщений проверяется независимыми наблюдателями. Их должно быть меньше, но они должны быть определенной квалификации (это не сложно, Александра Венедюхина пригласим, а он еще с собой кучу людей приведет, и т.п. :).

    Если диск “не сработал”, нужно иметь определенное количество Участков Избирательных Комиссий, которые примут голоса тех, у кого нет компьютера, у кого проблема с Интернетом и т.п. Такие люди всегда будут, вопрос в уменьшении бумаги, выкинутой на ветер, и усложнению фальсификации результатов со стороны государства (мне видится, что именно государство — самый вредоносный хакер, который в бумажном голосовании нам по 108% голосующих выдает в какой-нибудь Башкирии).

    Лично мне бы все очень хотелось объединить с паспортом http://utandr.livejournal.com/13466.html .

  • 11. 2nd December 2008, 17:03 // Читатель arcman написал:

    Самый первый вариант предложенный Name вполне себе хорош.
    Письма (бумажные) с GUIDами кандидатов (уникальных для каждого избирателя) рассылаются избирателям в конвертах наподобии тех в которых ПИН код для пластиковых карт выдают.

    Избиратель заходит на сайт, вбивает свои данные и GUID нужного кандидата.
    Система проверяет данные по базе и выдаёт ответ – голос принят, GUID кандидата такой то.

    ни доп. шифрации, ничего другого не нужно.

  • 12. 2nd December 2008, 20:35 // Читатель зашел в гости написал:

    По-моему, статья замечательно подчеркивает главный недостаток всех электронных систем – непрозрачность.
    Я по профессии – программист, и везде где это только возможно пользуюсь электронными услугами – от кредиток до газет. Несмотря на это, я категорически против электронных систем голосования именно из-за их уязвимости и непроверяемости. Одно дело, когда хакеры украдут с вашего счета немного денег, другое – когда “дыра” в софте ввергнет вашу страну в политический хаос, или приведет к власти какого-нибудь клоуна.
    Хотел бы добавить, что умно написанный троянский код не будет делать тупостей вроде 110%-ной явки на выборах, или отдавать все голоса за одного кандидата, а наоброт, будет “мягко” подтасовывать результаты в ключевых губерниях/городах/штатах, делая проверку результатов выборов еще более сложной и недоступной среднему избирателю. Ведь для достижения “нужного” результата не всегда нужна грубая подтасовка: иногда достаточно перекинуть тысячу-другую голосов, например, от демократов к зеленым, чтобы обеспечить победу республиканского кандидата…

  • 13. 3rd December 2008, 00:35 // Александр Венедюхин ответил:

    Arcman, Name, вы всё упускаете из виду несколько моментов: 1) избиратель не готов вводить GUID, ему нужно выбирать из списка; 2) голосование типа “заходит на сайт” – по умолчанию не анонимное: сохраняются логи доступа (прокси у провайдеров и т.д.); 3) в представленной схеме для предотвращения ошибок (типа, “а у меня не сработало”) и повторного голосования нужно будет сохранять явную связку “избиратель+голос за кандидата”, сюда привязываются логи у провайдеров и выходит, что долой анонимность (либо, да, нужно делать сложную схему). И это далеко не самые большие проблемы.

  • 14. 3rd December 2008, 03:58 // Читатель Н. Дорфин написал:

    Письма с GUIDами кандидатов… Ну, ну… Покупать и продавать голоса будет удобно как никогда.

  • 15. 3rd December 2008, 13:53 // Читатель arcman написал:

    > Александр Венедюхин

    Никто и не предлагает это в жизнь реализовать :)
    Просто инженеры решают инженерные вопросы =)

    > 2) голосование типа “заходит на сайт” – по умолчанию не анонимное: сохраняются логи доступа (прокси у провайдеров и т.д.);

    Тут такое не прокатывает – известно лишь что пользователь голосовал, а за кого – известно только тому кто базу держит, т.е. государству.

    Мне только не совсем понятно требование анонимности воли изъявления.

  • 16. 3rd December 2008, 19:28 // Читатель зашел в гости написал:

    arcman,

    Без анонимности волеизьявление перестает быть таковым, т.к. на избирателя смогут надавить все, кому не лень, от политиков, до работодателей и простого криминала.

  • 17. 3rd December 2008, 22:02 // Читатель Name написал:

    Name, вы всё упускаете из виду несколько моментов: 1) избиратель не готов вводить GUID, ему нужно выбирать из списка; 2) голосование типа ?заходит на сайт? – по умолчанию не анонимное: сохраняются логи доступа (прокси у провайдеров и т.д.); 3) в представленной схеме для предотвращения ошибок (типа, ?а у меня не сработало?) и повторного голосования нужно будет сохранять явную связку ?избиратель+голос за кандидата?, сюда привязываются логи у провайдеров и выходит, что долой анонимность (либо, да, нужно делать сложную схему). И это далеко не самые большие проблемы.

    ——–

    1) я нигде не говорил слова гуид, id может быть легко читаемый типа “мама мыла раму” или менее детский если расчитывать на избирателей не идиотов. А в версии с дисками, вобще ничего вводить не надо, только диск кандидата.

    На (2) уже arcman ответил и я с этим согласен.

    3) Никаких связок нет, кроме как на центральном сервере. Если диск не сработал, то избиратель идет на участок и там на сервер отсылаются все id, которые есть на его дисках, какой id соответствует какому кандидату известно лишь серверу. Отосланные id исключаются из подсчета на сервере. Избирателю выдается новый случайно выбранный пакет с дисками и он уже на месте, на проверенной машине голосует. Либо, если будут возражения по сложности проверки дополнительных компьютеров, голосует бумажным биллютенем, старым способом.

    ——

    И это далеко не самые большие проблемы.

    ——

    Так зачем же Вы об этом говорите? Давайте самые серьезные возражения для начала, потом обсудим второстепенное.

    ——

    Покупать и продавать голоса будет удобно как никогда.

    ——

    Если избиратели готовы за копейки продать свой голос, значит они достойны того правительства, которое их имеет. Кроме того, текущая система не исключает покупки голосов. Я прихожу к Васе и говорю, вот тебе бутылка водки, впишешь в биллютень Сережу и покажешь вот в этот мобильный телефон, процесс твоего голосования, тогда сможешь оставить телефон себе, а я дам тебе еще одну бутылку.

    Современные технологии несут в себе не только плюсы в виде возможности электронного голосования, но и ослабляют плюсы голосования традициооного. Кто может быть уверен, что в будках не стоят видеокамеры с достаточно хорошим разрешением? Кто может быть уверен, что биллютени не сделаны из smart paper?

  • 18. 4th December 2008, 03:04 // Читатель Name написал:

    Никто и не предлагает это в жизнь реализовать :)
    Просто инженеры решают инженерные вопросы =)

    ——

    Именно! Спорить о целесообразности переброски быстроходных катеров, своим ходом, через тихий океан, мне очень сложно. Так же сложно будет спорить об административно психологических задачах внедрения электронного голосования. Но на тему технического обеспечения анонимности и т.п. вполне могу поразмышлять :)

  • 19. 4th December 2008, 09:23 // Александр Венедюхин ответил:

    Никаких связок нет, кроме как на центральном сервере.

    То есть, Вы так и не понимаете, что это фундаментальное изменение всей системы выборов?

    Давайте самые серьезные возражения для начала

    Я думаю, что сперва нужно разобраться с теми вопросами, которые Вы сами поставили.

    Например, отказ от анонимности с поимённым контролем всех поданных голосов на “центральном сервере”. Вот это да, это так сказать, инициатива.

    Показательно, что на каждом этапе контроля у Вас происходит дополнительное “усиление авторизации” – это, между прочим, очень важный момент, благодаря которому простых путей и нет. Судите сами, сейчас у Вас избиратель, заявивший, что у него “не сработал диск” подвергается дополнительной авторизации с удостоверением его личности свидетелями (на избирательном участке) и с последующим дополнительным персональным контролем на “центральном сервере” (“отсылаются все id”).

    Кстати, ещё интересное: а что будет если избиратель принёс диски с “левыми” id? А если он принёс диски, украденные у соседа, после того, как сосед проголосовал? А если через неделю сосед обнаружил пропажу дисков и пришёл жаловаться?

  • 20. 4th December 2008, 15:48 // Читатель arcman написал:

    Ну текущая анонимная система тоже ниразу не идеальная :)
    Чего хотя бы стоят вбросы доп. бюллетеней, в результате которых в некоторых регионах более 100% проголосовавших получается =)
    Подлинная анонимность не даёт возможности проверить достоверность результатов.
    толи это Вася с Петей голосовали, толи это один мешок другим заменили.
    Да и смысла особого в этом фарсе нет – власти манипулируют сознанием граждан как хотят, что у нас, что в “цитадели демократии” =)

  • 21. 4th December 2008, 18:22 // Читатель зашел в гости написал:

    arcman,

    физический подмен бюллетеней – процесс намного более сложный, чем электронное мошенничество. Для замены бумажек их нужно отпечатать, развести по участкам, и т.д. Долго, сложно, много народа вовлечено, да и вляпаться легче, как вы сами заметили (это я о явке выше 100%). С электронным голосованием поймать преступников за руку намного сложнее. Электронные “бюллетени” не нужно физически доставлять никуда, они могут быть размножены или уничтожены мгновенно, в неограниченных количествах, одним нажатием клавиши, и заниматься этим всем могут несколько человек.
    Проверка честности выборов не означает нарушение анонимности. Не обязательно проверять, голосовал ли Вася за кандидата N. Достаточно убедиться, что Вася не принес с собой пачку бюллетеней, что урны с бюллетенями опечатаны, и т.д. Для этого существуют независимые наблюдатели. Если их даже не пускают на избирательные участки, то о честности “выборов” даже речи идти не может.
    Кстати, в “цитадели демократии” наблюдатели сидят на участках, и присутствуют при подсчете бумажек. Я лично знаю одного, он уже много лет “наблюдает” от имени Ральфа Нейдера, независимого кандидата. Может как-то там и мухлюют, но уж бюллетени никто не “подбрасывает” – это точно.

  • 22. 4th December 2008, 21:50 // Читатель sashket написал:

    > Может как-то там и мухлюют, но уж бюллетени никто не ?подбрасывает? – это точно.

    Конечно, не подбрасывают. Зачем опускаться до таких дешевых трюков, если можно заплатить кучке “избирателей”.

  • 23. 4th December 2008, 22:03 // Читатель Name написал:

    То есть, Вы так и не понимаете, что это фундаментальное изменение всей системы выборов?

    —–

    Замена бумажного голосования на электронное “это фундаментальное изменение всей системы выборов” по определению. И я это понимаю. Если бы не было фундаментальных изменений, мы бы до сих пор жили в рабовладельческом строе.

    —–

    Я думаю, что сперва нужно разобраться с теми вопросами, которые Вы сами поставили.

    Например, отказ от анонимности с поимённым контролем всех поданных голосов на ?центральном сервере?. Вот это да, это так сказать, инициатива.

    —–

    Я от анонимности не отказывался, а наоборот, объяснял как ее можно обеспечить техническими методами.

    —–

    Показательно, что на каждом этапе контроля у Вас происходит дополнительное ?усиление авторизации? – это, между прочим, очень важный момент, благодаря которому простых путей и нет. Судите сами, сейчас у Вас избиратель, заявивший, что у него ?не сработал диск? подвергается дополнительной авторизации с удостоверением его личности свидетелями (на избирательном участке) и с последующим дополнительным персональным контролем на ?центральном сервере? (?отсылаются все id?).

    —–

    Центральный сервер, проверен на обеспечение анонимности, как это делается уже было описано. Все остальные цепочки системы могут видеть все id, это никак не влияет на анонимность.

    Да, для нестандартных путей, в процедуре нужна дополнительная авторизация, ну и что? Нестандартные пути есть и сейчас. В США, например, граждане находящиеся зарубежом, могут проголосовать по почте. Кто проверит, что почтальен не вскрыл письмо и не нарушил анонимность? Да и получить такой биллютень сложнее для избирателя, и наверняка, там есть дополнительная авторизация.

    —–

    Кстати, ещё интересное: а что будет если избиратель принёс диски с ?левыми? id? А если он принёс диски, украденные у соседа, после того, как сосед проголосовал? А если через неделю сосед обнаружил пропажу дисков и пришёл жаловаться?

    —–

    Физически украсть диски, в количестве достаточном для изменения исхода голосования, невозможно. А бумажный биллютень нельзя украсть и сунуть в урну два вместо одного?

  • 24. 4th December 2008, 23:30 // Александр Венедюхин ответил:

    Name, фундаментальное изменение – отказ от анонимности, а не переход на другую технологию.

    Физически украсть диски, в количестве достаточном для изменения исхода голосования, невозможно.

    Да дело не в этом. Дело в другом: Ваша схема позволяет одному избирателю изменить результаты голосования другого, да так, что тот не узнает об этом и никак не сможет повлиять на ситуацию. Это – огромный дефект.

  • 25. 5th December 2008, 01:00 // Читатель Путин Андрей написал:

    Александр!

    Я согласен по ключевому вопросу: для того, чтобы не было возможно украсть голос у другого избирателя, нужно напрягаться. Я не утверждаю, что это невозможно. Я считаю, что нужно просто решать этот вопрос. При создании “Электронного государства” такое возможно: существуют персональные ЭЦП, которые могут быть у большой группы людей. В качестве ЭЦП может быть довольно много разных вещей, начиная от обычных устройств, вроде e-token, заканчивая более сложными вещами с отпечатками пальцев, голоса и т.п.
    Это нужно не только для голосования, а для просмотра выписанных штрафов по своему электронному паспорту, и т.д. и т.п.

    Отсутствие БД на провайдере, очевидно, возможно с созданием системы с открытым кодом (нет нужды полностью открывать код для групп наблюдателей, нужно лишь открыть тот код, который общается с пользователем, и убедиться в том, что персонифицированная история голосований нет).

    Самый главный недостаток в том, что не метод голосования определяет демократию и наличие волеизъявления — при наличии демократии любой метод голосования будет хорошим: наличие бот-нетов заставит людей выйти на улицы и пересмотреть результаты.

    Что у нас происходит? У нас мы видим 108% голосов, 99% за ЕР в Чечне, 98% явки в С.Осетии. Многочисленные подтасовки, аресты наблюдателей и прочее. Победила ЕР и Медведев. Но мы его не выбирали. И никакие бот-неты его не выбирали. Его помогали выбирать те самые члены Участков Избирательных Комиссий. Его избирали те префекты и мэры, которые, “натягивая” бизнес, заставляли приносить открепительные с нужными галочками(какая уж тут анонимность?).

    Для чего лично мне необходима электронная система голосования? И, вообще, Электронное государство в частности?
    1. Для снижения спроса на бумагу;
    2. Для упрощения бюрократических процедур;
    3. Для повышения прозрачности.

    ПО проще прочесть, чем выяснить, что случилось с пачкой бюллетеней, которые поехали на пересчет в какое-то другое место.

    Но, опять же, прозрачная система голосования возможна только в стране, где работают СМИ, суды и общественные институты. Вот электронная система голосования США, я думаю, будет являться вполне прозрачной и проверенной.

  • 26. 5th December 2008, 10:34 // Читатель tour3000 написал:

    По поводу анонимности голосования ничего не могу сказать, не програмист, а вот по поводу ключей и паролей есть идейка.
    Электронное голосование есть дело будущего и в ближайшие пару выборов использоваться не будут (массово). Технологии не стоят на месте и окружающая нас техника меняется. Так постепенно вводятся паспорта с биометрической информацией о владельце. Разве сложно предусмотреть, чтобы где-то среди неё были закопаны пароли доступа и ключи шифрования канала доступа к серверу избирательной комиссии? То есть при подключении канал шифруется и перехват информации теряет смысл (при условии стойкости ключа). Можно предусмотреть вариант когда разные части ключа идут через разные узлы. Пароли естественно уникальны. Вопрос в том, что сервер избирательной комиссии может запомнить кто за кого проголосовал, хотя можно сделать так чтобы эта информацич не сохранялась. Только сам факт голосования.
    Естественно комп с которого голосуют должен быть оборудован соответствующим считывателем, но ведь есть ещё несколько лет до внедрения системы.

  • 27. 5th December 2008, 10:45 // Александр Венедюхин ответил:

    Вообще есть теоретические схемы электронного голосования, позволяющие надёжно подсчитывать голоса (несколькими комиссиями), сохраняющие секретность выбора и, при этом, обеспечивающие последующую проверку избирателем правильности учёта его голоса (анонимно, опять же). Криптологи ж не сидят без дела. Вопрос, как я и писал, в том, что это очень сложные для обывателя схемы.

  • 28. 5th December 2008, 16:14 // Александр Венедюхин ответил:

    У нас мы видим 108% голосов, 99% за ЕР в Чечне, 98% явки в С.Осетии. Многочисленные подтасовки, аресты наблюдателей и прочее. Победила ЕР и Медведев. Но мы его не выбирали.

    Ерунду какую-то Вы написали, по-моему. Не по теме и с реальностью не связано.

  • 29. 6th December 2008, 04:40 // Читатель Name написал:

    Name, фундаментальное изменение – отказ от анонимности, а не переход на другую технологию.

    ——

    Я уже несколько раз говорил, что отказываться от анонимности не предлагаю.

    —–

    Физически украсть диски, в количестве достаточном для изменения исхода голосования, невозможно.

    Да дело не в этом. Дело в другом: Ваша схема позволяет одному избирателю изменить результаты голосования другого, да так, что тот не узнает об этом и никак не сможет повлиять на ситуацию. Это – огромный дефект.

    ——

    Единичные нарушения роли не играют и огромным дефектом не являются. Ну украдут у одного растяпы диски, ну допустим он не заметит, значит голосовать он и не собирался. Сейчас у избирателя тоже можно украсть паспорт и проголосовать вместо него. Главное, что массово это осуществить не возможно и на исход голосования это не повлияет.

  • 30. 6th December 2008, 10:37 // Александр Венедюхин ответил:

    Name, я попробую ещё раз объяснить подробно.

    1) В традиционной “бумажной” схеме, чтобы проголосовать вместо конкретного избирателя нужно украсть у него документы, подделать либо документы, либо лицо злоумышленника, обмануть избирательную комиссию и т.д. Всё это нужно проделать до того, как “атакуемый” избиратель проголосовал.

    2) В Вашей схеме ничего подделывать не нужно, а достаточно воспользоваться легальной процедурой. Отменить голосование избирателя, в Вашей схеме, можно после того, как “атакуемый” избиратель проголосовал. (Он, кстати, оказывается ещё должен потом охранять диски, дабы его участие в голосовании не потеряло смысл.) Кстати, “за себя” злоумышленник, отменяющий голосование избирателя, уже мог проголосовать ранее.

    Есть разница?

  • 31. 6th December 2008, 19:11 // Читатель Name написал:

    В Вашей схеме ничего подделывать не нужно, а достаточно воспользоваться легальной процедурой.

    ——

    Воровство дисков не является легальной процедурой. К тому, же это довольно сложная процедура, чтобы повлиять на исход выборов. Диски нужно успеть украсть в небольшой промежуток выборов, а паспорта можно воровать заранее несколько лет подряд.

    В моей схеме, даже через неделю после голосования, избиратель может убедится, что его голос не был отменен. В классической схеме в регистрации голоса убедиться нельзя. Любой “фокусник-акопян” от наблюдателей, с помощью “ловкости рук”, может “отменять” голоса пачками.

  • 32. 7th December 2008, 13:08 // Читатель guest написал:

    А как быть с проблемой, когда у “голосующей” семьи есть всего один компьютер (что весьма распространено в Российских семьях)? То есть в наличие имеются, предположим, четыре человека возраста избирателей и всего один (и хорошо, если он есть) компьютер. Как в этом случае будет различаться голосование? Как будут различать четыре комплекта пришедших дисков? Кроме того, у нас треть страны живет не по тому адресу, по которому зарегистрирована. Почтовая доставка, на мой взгляд, не самая лучшая идея.

  • 33. 7th December 2008, 19:29 // Читатель Name написал:

    Количество компьютеров в семье роли не играет. Каждый избиратель получает пакет дисков и каждый диск имеет уникальный id, который будет отослан, если этот диск вставить в любой компьютер подключенный к Интернету. Теоретически, весь город может проголосовать в одном интернет кафе, различать компьютер, с какого был прислан id не нужно. Если же доступа к Интернету нет вовсе, тогда надо идти на избирательный участок и там голосовать.

    Треть страны? Что правда? Ну тогда не знаю. В США, избиратели обязаны зарегистрировать свой адрес чотобы проголосовать. Вот, например: http://www.sos.nh.gov/vote.htm

  • 34. 7th December 2008, 19:47 // Александр Венедюхин ответил:

    Теоретически, весь город может проголосовать в одном интернет кафе,

    Ага, и голоса всего города, голосующего с чужого компьютера в каком-то интернет-кафе, отправятся в никуда. Просто замечательное у Вас предложение.

  • 35. 7th December 2008, 20:51 // Читатель Name написал:

    Весь город, может проверить, бы ли зарегистрирован голос правильно или отправился в никуда. Как это делается, я уже писал. Кроме того, я сказал “теоретически”. Так что, и в этой ветке, круг дискуссии замкнулся, на взаимном нежелании слушать друг друга.