При этом, с помощью портала для наблюдения абсолютно все избиратели смогут проверить свой голос с помощью идентификатора транзакции, который будет доступен по завершении процедуры голосования. По нему, с помощью специального сервиса на портале наблюдения ДЭГ, можно будет найти транзакцию и убедиться в ее наличии в блокчейн. ДЭГ подразумевает сбор голосов граждан без использования бумажных бюллетеней, но с помощью специального программного обеспечения. Есть возможность проверить устройство и браузер на соответствие минимальным требованиям корректной работы портала ДЭГ. Проверить, не произошла ли подмена голосов в период затянувшейся расшифровки и правильно ли были учтены последние голоса избирателей, воспользовавшиеся инструментом «переголосования», — объяснил он.
Как в Петербурге проходит тренировка системы дистанционного электронного голосования
В Москве проверят систему дистанционного электронного голосования (ДЭГ). В последний момент разработчики отказались от создания сервиса для проверки избирателем правильности учёта голоса в системе, а наблюдатели не получили ключ для расшифровки голосов и полный доступ к коду системы. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть (и показать другим). «Криптонит» проверил надежность криптографической защиты федеральной системы ДЭГ. ДЭГ подразумевает сбор голосов граждан без использования бумажных бюллетеней, но с помощью специального программного обеспечения.
Протокол, который невозможен
- Как проголосовать онлайн
- 15 ноября 2023 года начинается Общероссийская тренировка ДЭГ
- Мосгоризбирком прокомментировал новости о перепроверке электронного голосования после иска КПРФ
- Эксперт доказал невозможность подделать бюллетень во время электронного голосования
Россиянам рассказали, как считали голоса в системе ДЭГ в Москве
Технология предполагает при выборке одновременную работу блокчейн-сетей и специализированного криптографического сервиса, которые размещаются в геораспределённом центре обработки данных. Голоса дополнительно проверяются, чтобы убедиться, что были засчитаны именно последние по времени данные, а также чтобы удостовериться в полной корректности результатов голосования. Это требует дополнительного времени. Специалисты «Лаборатории Касперского» отмечают, что время обработки голосов, поданных в большом количестве в режиме отложенного решения, значительно превысило первоначальные ожидания.
Хотя локальные проблемы случались. Тем, у кого есть подтвержденная полная запись на портале mos. А есть она у миллионов москвичей, ведь с помощью этого сайта горожане передают показатели счетчиков, записывают детей в школы, получают еще сотни госуслуг. Страница для электронного голосования на выборах мэра уже создана - elec. Проверить возможность голосовать онлайн можно в личном кабинете. На рабочем столе есть виджет "Сервис проверки доступа к онлайн-голосованию", достаточно нажать кнопку "Получить информацию". Именно здесь проходило тестирование системы.
При входе на эту страницу начинается проверка браузера. У большинства участников голосования все прошло отлично.
При входе на эту страницу начинается проверка браузера. У большинства участников голосования все прошло отлично. Однако в нескольких случаях дисплей во время этой проверки становился белым. Впрочем, тут помогало простое обновление страницы. После подтверждения участия в голосовании появляется поле с кодом. Но этот код автоматически не приходил на смартфон, надо было нажать соответствующую кнопку и вбить полученные данные в окно. Собственно, электронный бюллетень внешне похож на обычный интернет-опрос.
Звучал вопрос так: "Общегородское голосование: какое мероприятие для жителей вы бы выбрали на День города". И ниже варианты ответов - бесплатные музеи, бесплатная парковка, бесплатные аттракционы, пешеходная зона на улице в пределах Бульварного кольца.
Банальные угрозы в целом всем очевидны — хакеры, DDoS, пожар, наводнение, землетрясение и экскаватор в поисках кабеля. Значительно интереснее угрозы, специфические для конкретной системы — те, которые повлекут не просто её отказ, а скажем так, недопустимое поведение: утрату или искажение обрабатываемых данных, раскрытие внутренней информации. В случае электоральных систем они крайне критичны, так как подозрение на успешную атаку на систему может привести к срыву выборов. Вообще говоря, есть три вида угроз: социальная: т. Обсуждаемая модель угроз работает с третьей категорией — она описывает, какие именно угрозы от каких именно злоумышленников, от иностранных спецслужб до недобросовестных сотрудников, могут быть направлены против ПТК ДЭГ. Полный текст модели угроз и нарушителя это примерно полтораста страниц пока что ЦИК России не опубликован, однако на одном из заседаний экспертной группы при ЦИК была представлена презентация с основными тезисами, на базе которых МУиН формируется. На днях была выложена также выписка из модели угроз , но ничего принципиально нового она нам не добавляет. Традиционный вопрос журналистов про МУиН, в принципе, очевиден и предельно банален — «а предусмотрена ли защита от иностранных хакеров?
Однако нас больше интересует вторая часть таблички — это угрозы внутренние. Как можно заметить, в число возможных нарушителей включены все, начиная от уборщицы в ЦОД и заканчивая администраторами системы. Второй слайд — про то, от чего система защищается. По сути, на нём перечислены требования, которым должна удовлетворять любая а не только электронная система голосования: голосование должно быть тайным; избиратель не должен иметь возможности проголосовать дважды; голоса избирателей должны быть учтены именно так, как они были поданы; не должно быть возможности узнать промежуточный результат голосования. Например, в бумажном голосовании это реализуется довольно очевидными способами: на бумажном бюллетене нет никаких отметок, которые позволили бы по нему установить, кому он был выдан; факт голосования отмечается в списке избирателей, где избиратель расписывается в получении бюллетеня; пересчёт бюллетеней производится в присутствии наблюдателей; до окончания голосования бюллетени находятся в опечатанной урне, которую запрещено вскрывать. С электронными системами всё на порядок сложнее. Больше всего вопросов вызывает сочетание первого и второго пунктов — многие, например, просто априори не верят в возможность соблюдения тайны голосования в системах ДЭГ более того, как мы видели на примере эстонской системы, она там действительно соблюдается условно: заполненные бюллетени не анонимны сами по себе, но анонимизируются уже на сервере. Протокол, который невозможен Итак, нам необходимо сначала выдать избирателю бюллетень, а потом принять его уже заполненным — но по пути забыть, как звали этого избирателя. Но при этом быть уверенными, что заполненный бюллетень мы принимаем именно от избирателя, а не от случайного прохожего. С «бумагой» всё достаточно просто — показав паспорт и получив бюллетень, избиратель должен проследовать к урне и опустить его туда.
Если он вместо этого проследовал на выход с участка, то проголосовать он уже не сможет кстати, на каждом УИК есть какое-то ненулевое количество таких избирателей — никто не знает, зачем они так делают, но точное совпадение выданных и полученных бюллетеней политтехнологами даже считается признаком явного вброса: при подсчёте дорисовали недостающее. С цифрой всё намного сложнее — мы не стоим рядом с избирателем, когда он получает бюллетень, мы вообще никак не видим этого процесса. Вот бюллетень выдали — а вот он вернулся заполненным, например, через десять минут. Никакими внешними признаками удостовериться, что вернулся именно выданный бюллетень, невозможно. Соответственно, сам бюллетень должен нести неподделываемый sic! Теоретически, вот уже три десятилетия в академической среде пишутся и публикуются работы по протоколам тайных электронных голосований, краеугольным камнем в которых является так называемый «протокол двух агентств»: одно агентство удостоверяет личность человека и выдаёт некий признак, по которому второе может определить, что этот человек имеет право голосовать, не зная его личность. Критичным — и самым слабым — моментом является независимость этих агентств: если они могут обменяться информацией и выстроить полную цепочку путешествия избирателя по системе, то они смогут и сопоставить конкретный бюллетень с конкретным избирателем, тем самым разрушив тайну голосования. Проблема в том, что эта красивая конструкция со всей очевидностью не может быть перенесена в реальность: ни в одной стране мира нет таких двух агентств, которые и обладали бы техническими ресурсами и квалификацией для поддержания куска инфрасктруктуры ДЭГ, и не вызывали бы подозрений в попытках, например, саботировать выборы, и были бы абсолютно независимы друг от друга. Государственные агентства никогда не бывают полностью независимы, к коммерческим компаниям нет доверия, у конкурирующих партий нет квалификации и ресурсов.
Московский штаб решил пересчитать голоса ДЭГ
Глава ОШ по наблюдению за выборами в Москве, главред «Эха Москвы» Алексей Венедиктов предложил всем сомневающимся провести аудит системы ДЭГ и лично проверить алгоритм подсчета электронных голосов. По нему, с помощью специального сервиса на портале наблюдения ДЭГ, можно будет найти транзакцию и убедиться в ее наличии в блокчейн. Жижин утверждает, что это может использоваться для фальсификаций: если человек при голосовании не поставил галочку в графе «проверить мой голос», то его выбор в системе можно поменять. Как узнать, что вы зарегистрированы на голосование. Это можно проверить на сайте
Председатель ТИК ДЭГ: Результат электронного голосования отследить невозможно
| В «Лаборатории Касперского» рассказали о подсчёте голосов в системе ДЭГ | Подобные испытания уже проходил портал «Госуслуги», и, вероятно, ДЭГ проверят таким же образом, предположил он. |
| Голоса россиян переведут в цифру. Почему голосование через "Госуслуги" становится нормой | Московский штаб принял решение о пересчете голосов дистанционного электронного голосования, сообщил председатель территориальной избирательной комиссии дистанционнного электронного голосования Илья Массух. |
| Общественный штаб рассказал о том, как проверяют голоса с «отложенным решением» | Решение о внедрении ДЭГ было политическим, система создавалась в минимальные сроки. |
Что еще почитать
- Что такое дистанционное электронное голосование
- Общероссийская тренировка системы ДЭГ: когда проходит?
- Photo Gallery
- В ЕДГ инструменты по наблюдению за е-голосованием будут доступны каждому пользователю – эксперт
Валерий Вашура: «Дистанционное электронное голосование не заменяет традиционную форму»
| Как в Петербурге проходит тренировка системы дистанционного электронного голосования | Невозможно проверить, что все недостающие избиратели, включенные на ДЭГ не через, действительно пришли из «Госуслуг». |
| Как проголосовать онлайн | В настоящее время работает над ускорением проверки отложенных голосов в будущих голосованиях. |
| 15 ноября 2023 года начинается Общероссийская тренировка ДЭГ | Еще одно преимущество ДЭГ — это отсутствие человеческого фактора в процессе организации выборов и подсчета голосов. |
Как убедиться в том, что ваш голос учтён при голосовании с помощью ДЭГ?
Тем самым, по мнению истца, был нарушен основополагающий принцип гласности и открытости процедуры голосования. Кроме того, Толстогузов ссылался на отсутствие в открытом доступе выданных ФСБ и ФСТЭК сертификатов и аттестатов, подтверждающих, что оборудование ДЭГ обеспечивает сохранность результатов голосования и достоверно устанавливает его итоги, а также на отсутствие информации о технических данных системы и руководства по эксплуатации, необходимых для членов ТИК, наблюдателей и оператора программно-технического комплекса ДЭГ. Представитель ТИК ДЭГ настаивал, что заявитель не вправе оспаривать итоги голосования со ссылкой на нарушения порядка наблюдения, так как иск подан от имени избирателя, а тот по закону может ссылаться лишь на нарушение порядка составления списка избирателей либо процедуры голосования и подведения итогов выборов. Суд в своём решении фактически повторил эти доводы, дополнив их ссылками на постановление Конституционного суда РФ, который ещё в 2013 году отказал наблюдателям в праве самостоятельно без участия кандидата или выдвинувшей его партии оспаривать итоги голосования. Позиция суда Суд отказался пересматривать итоги ДЭГ на том основании, что оспоривший их гражданин не был допущен на выборы в качестве наблюдателя. Суд отметил, что истец голосовал посредством ДЭГ, хотя была возможность голосовать бумажным бюллетенем.
По поводу жалоб на отсутствие в открытом доступе сертификатов в суде ответили, что ни федеральные законы, ни порядок ДЭГ не предусматривают публикации подобных документов.
Также будут обновлены программные инструменты для работы с публикуемыми на портале данными, добавил Нестеров. Но проблемы остаются: у наблюдателей и членов комиссий нет возможности проверить, что голосуют именно реальные избиратели, говорит он. Также нет возможности проверить валидность и целостность блокчейна по публикуемым на портале для наблюдателей выгрузкам, добавил Нестеров. Кроме того, у избирателя в федеральной системе ДЭГ нет удобного и понятного инструмента проверки, что его голос зашифрован и учтен в соответствии с его волеизъявлением, заключил он. В Москве будут применяться прежние методы наблюдения за ходом электронного голосования, нововведения не планируются, сказал «Ведомостям» руководитель столичного Общественного штаба по наблюдению за выборами президента Вадим Ковалев.
Ни реализация сферического протокола двух агенств в вакууме, ни аудит исходных кодов, ни допуск независимых экспертов в ЦОД — ничто из этого не даёт гарантии, что где-то в системе не осталась хорошо спрятанная закладка, логгирующая и сохраняющая или отправляющая данные, позволяющие идентифицировать избирателя. Поэтому оценка подобной угрозы также делается по косвенным признакам: есть ли основания полагать, что в системе предусмотрена такая возможность? Естественно, на оба вопроса ответ может быть только вероятностный — но, с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят. Ответы на подобные вопросы каждый должен дать себе сам, однако приведём наши варианты вместе со стоящей за ними логикой. Тем не менее, последний вопрос — довольно серьёзный, ведь если такие списки существуют, как утверждает Александр Исавнин в недавней статье, то сам этот факт обнуляет все разговоры о соблюдении тайны голосования. По этой причине мы запросили как у Александра Исавнина, так и у его коллеги, члена ТИК и члена технической рабочей группы ДИТ Москвы по электронному голосованию Евгения Федина, есть ли у них какие-то фактические свидетельства наличия таких списков. Александр Исавнин ответил «Вы — наследники сурковской пропаганды! Наверное, на этом вопрос можно считать закрытым. Соответственно, на данный момент можно с уверенностью говорить, что: в заявленном дизайне системы способов нарушить тайну голосования не наблюдается; так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному; фактических примеров нарушения тайны голосования на предыдущих двух случаях массового использования ДЭГ в России зафиксировано не было. Скрыть нельзя показать: проверка избирателем собственного голоса Ещё один интересный вопрос, косвенно относящийся к тайне голосования — это возможность для самого избирателя проверить, был ли учтён его голос. В московской системе ДЭГ такая возможность есть, хоть и неофициальная — надо было в момент голосования открыть отладочные инструменты браузера и записать передаваемые на сервер параметры, чтобы потом найти по ним свой бюллетень. Бюллетени отправлялись и хранились в блокчейне в зашифрованном виде, однако перед подсчётом голосов они расшифровывались. Такая схема вызывает опасения в том, что проверка голоса может быть использована для обеспечения голосования под давлением или продажи голосов избирателей — в качестве подтверждения «правильности» голосования заказчик потребует предъявить ему результат проверки. По этой причине, в частности, возможность оставалась доступной только для технарей с высокой квалификацией, и не выносилась в интерфейс пользователя. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть и показать другим. Для этого вместо одного ключа шифрования бюллетеня будут создаваться два: единый ключ шифрования, создающийся на отключённом от сети ноутбуке в присутствии СМИ и наблюдателей. Его секретная половина разделяется на части и раздаётся на флэшках нескольким людям, публичная же на флэшке переносится на сервер голосования, после чего либо данные на ноутбуке уничтожаются также в присутствии СМИ и наблюдателей , либо ноутбук опечатывается и убирается в сейф; ключевые пары, генерирующиеся для каждого проходящего голосования, публичная часть которых передаётся на сервера, а секретная остаётся в HSM — аппаратном модуле, которые позволяет выполнить расшифровку загружаемых в него данных, но не позволяет скачать из него ключ. Оба публичных ключа при выдаче бюллетеня передаются вместе с ним на устройство избирателя, где бюллетень шифруется ими. Зашифрованные бюллетени складываются в блокчейн. Просто так взять и расшифровать бюллетени становится невозможным: так как ответная часть одного из ключей хранится в HSM, расшифровка доступна только людям, имеющим к данному HSM доступ. Но для подсчёта голосов это и не требуется: в федеральной ДЭГ используется гомоморфное шифрование, которое позволяет сначала складывать данные, а потом расшифровывать результат. Чтобы подвести итоги голосования: бюллетени, зашифрованные двумя ключами, складываются, в результате чего в силу гомоморфности используемых алгоритмов шифрования получается зашифрованный теми же двумя ключами результат сложения; результат сложения отправляется в HSM, где с него снимается первый ключ; владельцы флэшек с частями второго ключа собираются вместе снова в присутствии СМИ и проводят процедуру сборки ключа из его частей; собранный ключ публикуется, с его помощью окончательно расшифровывается результат голосования. Обратите внимание, что в процессе нигде не производится расшифровка индивидуальных бюллетеней, невозможно это сделать и самостоятельно — для этого нужен доступ к HSM. В результате избиратель может найти в выгрузке блокчейна свой бюллетень и может проверить, что он действительно его и не был никем модифицирован так как бюллетень подписан на устройстве избирателя — но при этом не может посмотреть, а также кому-либо показать, как именно в бюллетене были проставлены галочки. В будущем, по словам разработчиков, это может стать базой для функционала выдачи избирателю криптографически подтверждённой квитанции о том, что его голос учтён принят и загружен в блокчейн. Остаётся вопрос учёта бюллетеня в финальном подсчёте — теоретически можно предположить, что результат может быть подменён при расшифровке суммаризованного бюллетеня в HSM. На практике, однако, это несложно проверить, взяв результат расшифровки он публикуется в блокчейн и зашифровав его обратно публичным ключом данного голосования.
Вот бюллетень выдали —, а вот он вернулся заполненным, например, через десять минут. Никакими внешними признаками удостовериться, что вернулся именно выданный бюллетень, невозможно. Соответственно, сам бюллетень должен нести неподделываемый sic! Теоретически, вот уже три десятилетия в академической среде пишутся и публикуются работы по протоколам тайных электронных голосований, краеугольным камнем в которых является так называемый «протокол двух агентств»: одно агентство удостоверяет личность человека и выдаёт некий признак, по которому второе может определить, что этот человек имеет право голосовать, не зная его личность. Критичным — и самым слабым — моментом является независимость этих агентств: если они могут обменяться информацией и выстроить полную цепочку путешествия избирателя по системе, то они смогут и сопоставить конкретный бюллетень с конкретным избирателем, тем самым разрушив тайну голосования. Проблема в том, что эта красивая конструкция со всей очевидностью не может быть перенесена в реальность: ни в одной стране мира нет таких двух агентств, которые и обладали бы техническими ресурсами и квалификацией для поддержания куска инфрасктруктуры ДЭГ, и не вызывали бы подозрений в попытках, например, саботировать выборы, и были бы абсолютно независимы друг от друга. Государственные агентства никогда не бывают полностью независимы, к коммерческим компаниям нет доверия, у конкурирующих партий нет квалификации и ресурсов. Более того, утечка информации может произойти и вообще без прямого участия одного из агентств: разработчиком может быть попросту поставлена в одно или в оба агентства система с бэкдором, сливающая информацию об избирателях третьей стороне. Даже если система поставляется в исходных кодах —, а это маловероятно, так как накладывает ещё большие требования на квалификацию каждого из агентств в IT — в огромном объёме этого кода бэкдор можно запрятать так, что его не найдут ещё много-много лет. Иногда этот тезис используется как довод в пользу полного отказа от ДЭГ — и, конечно, он бы был справедлив, если бы другие формы голосования были бы лучше. Например, доводы сторонников классического бумажного голосования сводятся к тому, что физически присутствующие на участках наблюдатели могут проконтролировать каждое действие комиссии и избирателей, не допустив никакого беззакония. На практике, однако, в России — примерно 97 тысяч избирательных участков. Чтобы эффективно наблюдать за выборами, особенно с учётом трёхдневного голосования, на каждый участок надо хотя бы по 3 наблюдателя хотя бы от 5 разных партий — то есть почти полтора миллиона человек. Причём это должны быть люди обученные, заинтересованные, знающие формальные процедуры проведения выборов, не состоящие в родстве или подчинённых отношениях с членами комиссии, не состоящие в сговоре друг с другом, и прочая, и прочая. Очевидно, что подготовить такую армию качественных наблюдателей попросту невозможно — в результате наблюдение за голосованием эффективно работает в городах-миллионниках, а дальше, по мере снижения численности населения и значимости населённого пункта, падает до тех пор, пока не начинаются чудеса. Более того, и пересчёт бюллетеней — второе средство, должное спасти выборы — в большинстве случаев не поможет, так как многие способы фальсификации результатов оставляют после себя формально валидную стопку бюллетеней, которые уже можно честно считать и пересчитывать сколько угодно раз. Значит ли это, что выборы вообще надо отменить, так как эффективных средств контроля за ними на практике нет? Очевидно, нет. Ещё Черчилль отметил, что демократия — худшая форма правления, если не считать всех остальных, испробованных человечеством. Вопрос в том, какими средствами можно улучшить существующую систему голосования, снизив вероятность и масштаб фальсификаций в ней. Например, в случае бумажного голосования таким средством могут стать КОИБы комплексы обработки избирательных бюллетеней , подсчитывающие бюллетени в момент их подачи избирателем и тем самым пресекающие постфактумные манипуляции с ними. Да, вопрос доверия к ним — тоже больной см. То же самое касается и ДЭГ. Главный вопрос не в том, что в Википедии описана реализация сферического ДЭГ в вакууме — вопрос в том, можно ли техническими средствами построить достаточно надёжную систему ДЭГ в реальном мире. Ослепление избирателя: обеспечение тайны голосования без двух независимых агентств В Эстонии на данную проблему, как мы выяснили ранее, попросту забили: там избиратель подписывает бюллетень секретной частью ключевой пары, публичная часть которой государству известна и с конкретным физлицом сопоставлена. Потом, уже после завершения голосования, эта подпись уничтожается. В принципе, это всё равно, что вместо записи в книгу избирателей на обычном голосовании прятать свой бюллетень в конверт с ФИО, паспортными данными и подписью — и в таком виде в урну и бросать собственно, аналогия и взята с эстонских государственных порталов. В России, где уровень доверия к выборам и комиссиям и так крайне низок, так вряд ли бы получилось.
Мосгоризбирком прокомментировал новости о перепроверке электронного голосования после иска КПРФ
Используя эту транзакцию, участник онлайн-голосования после завершения теста и сборки прежде разделенного ключа расшифрования может проверить, верно ли был учтен его голос. Зарегистрировавшиеся в ДЭГ могут отдать свой голос через смартфон или компьютер. Ранее сообщалось, что Общественный штаб по наблюдению за выборами в Москве предложил экспертам убедиться в корректности подсчёта голосов, осуществляемого системой дистанционного электронного голосования (ДЭГ), с помощью аудита. В ДИТ и Лаборатории Касперского рассказали, как подсчитывались голоса избирателей в системе электронного голосования в Москве. Мы нашли способ проверить, правильно ли был учтён голос, поданный через систему ДЭГ.
Путин набирает в Москве 89,1% голосов по результатам обработки ДЭГ
| Голоса россиян переведут в цифру. Почему голосование через "Госуслуги" становится нормой | В Мосгоризбиркоме отреагировали на новости о том, что юридическая служба КПРФ готовит судебный иск по поводу дистанционного электронного голосования (ДЭГ). |
| Голоса россиян переведут в цифру. Почему голосование через "Госуслуги" становится нормой | По словам главы ТИК ДЭГ Олега Артамонова, невозможно дистанционно контролировать голос, отданный через систему электронного голосования. |