Сквозное проверяемое голосование

Система голосования

Системы сквозного аудита или сквозной проверки избирателей ( E2E ) — это системы голосования со строгими свойствами целостности и сильной устойчивостью к несанкционированному вмешательству . Системы E2E используют криптографические методы для предоставления избирателям квитанций, которые позволяют им проверить, что их голоса были подсчитаны как поданные, не раскрывая, каких кандидатов поддержал избиратель , внешней стороне. Таким образом, эти системы иногда называют системами на основе квитанций . ^[1]

Обзор

Электронные системы голосования подсчитывают окончательные итоги голосов в ходе ряда этапов:

1. избиратели голосуют либо в электронном виде, либо вручную,
2. Записи поданных голосов подсчитываются для получения итогов,
3. Если выборы проводятся на местном уровне , например, на уровне округа или округа, результаты каждого уровня объединяются для получения окончательного подсчета голосов.

Классические подходы к честности выборов фокусируются на обеспечении безопасности каждого шага в отдельности, от намерения избирателя до окончательной суммы. Такие подходы, как правило, вышли из моды у разработчиков распределенных систем , поскольку эти локальные локальные фокусы могут упускать некоторые уязвимости, одновременно чрезмерно защищая другие. Альтернативой является использование сквозных мер, которые призваны демонстрировать честность всей цепочки. ^[2]

Всестороннее освещение честности выборов часто включает несколько этапов. Ожидается, что избиратели удостоверятся, что они отметили свои бюллетени так, как предполагалось, пересчеты или аудиты используются для защиты шага от отмеченных бюллетеней до итогов в урне для голосования, а публикация всех промежуточных итогов позволяет публично проверить, что общие итоги правильно суммируют итоги в урне для голосования. ^[3] Обычные схемы голосования не соответствуют этому стандарту и, как следствие, не могут окончательно доказать, что ни один голос не был подделан на каком-либо этапе; вместо этого избиратели и аудиторы должны убедиться, что каждый отдельный шаг полностью защищен, что может быть сложно и приводит к многочисленным точкам отказа . ^[4]

Хотя такие меры, как проверенные избирателями бумажные контрольные следы и ручной пересчет голосов, измеряют эффективность некоторых шагов, они предлагают лишь слабое измерение целостности физических или электронных урн для голосования. Бюллетени можно было бы изымать, заменять или на них можно было бы добавлять отметки без обнаружения (например, для заполнения недооцененных конкурсов голосами за желаемого кандидата или для переголосования и порчи голосов за нежелательных кандидатов). Этот недостаток побудил к разработке сквозных проверяемых систем голосования, обсуждаемых здесь, иногда называемых системами голосования E2E . Они пытаются охватить весь путь от попытки избирателя до итогов выборов всего двумя мерами:

• Индивидуальная проверка, благодаря которой любой избиратель может проверить, что его бюллетень правильно помещен в электронную урну для голосования, и
• Универсальная проверяемость, благодаря которой любой может определить, что все бюллетени в урне были подсчитаны правильно.

В связи с важностью права на тайное голосование большинство схем голосования E2E также пытаются выполнить третье требование, называемое отсутствием необходимости в получении бюллетеня :

• Ни один избиратель не может доказать третьей стороне, как он или она голосовал.

Первоначально считалось, что объединение обоих свойств невозможно. ^[5] Однако дальнейшие исследования показали, что эти свойства могут сосуществовать. ^[6] Оба свойства объединены в Руководящих принципах системы добровольного голосования 2005 года , обнародованных Комиссией по содействию выборам . ^[7] Это определение также преобладает в академической литературе. ^{[8] [9] [10] [11]}

Для решения проблемы вброса бюллетеней могут быть приняты следующие меры:

• Проверка права голоса, с помощью которой любой может определить, что все подсчитанные бюллетени были поданы зарегистрированными избирателями. ^{[ необходима цитата ]}

В качестве альтернативы утверждения о вбросе бюллетеней могут быть проверены извне путем сравнения количества имеющихся бюллетеней с числом зарегистрированных избирателей, зарегистрированных как проголосовавшие, а также путем проверки других аспектов системы регистрации и доставки бюллетеней.

Поддержка сквозного аудита, основанная на предыдущем опыте его использования при очных выборах, также рассматривается многими экспертами как необходимое условие для удаленного голосования через Интернет . ^[12]

Предлагаемые системы E2E

В 2004 году Дэвид Чаум предложил решение, которое позволяет каждому избирателю проверить, что его голоса поданы надлежащим образом и что голоса точно подсчитаны с помощью визуальной криптографии . ^[13] После того, как избиратель выбирает своих кандидатов, машина для голосования распечатывает специально отформатированную версию бюллетеня на двух прозрачных пленках. Когда слои накладываются друг на друга, они показывают голос, читаемый человеком. Однако каждая прозрачная пленка зашифрована с помощью формы визуальной криптографии, так что она сама по себе не раскрывает никакой информации, если она не расшифрована. Избиратель выбирает один слой для уничтожения на голосовании. Машина для голосования сохраняет электронную копию другого слоя и выдает физическую копию в качестве квитанции, чтобы позволить избирателю подтвердить, что электронный бюллетень не был впоследствии изменен. Система обнаруживает изменения в бюллетене избирателя и использует процедуру дешифрования смешанной сети ^[14] для проверки того, правильно ли подсчитан каждый голос. Састри, Карлофф и Вагнер указали, что существуют проблемы с обоими криптографическими решениями Чаума и VoteHere. ^[15]

Команда Чаума впоследствии разработала Punchscan , который обладает более высокими свойствами безопасности и использует более простые бумажные бюллетени. ^[16] Голосование проводится по бумажным бюллетеням, а затем часть бюллетеня, обеспечивающая конфиденциальность, сканируется оптическим сканером.

Система Prêt à Voter , изобретенная Питером Райаном, использует перетасованный порядок кандидатов и традиционную смешанную сеть . Как и в Punchscan, голоса подаются на бумажных бюллетенях, а часть бюллетеня сканируется.

Система Scratch and Vote, изобретенная Беном Адидой, использует стираемую поверхность для сокрытия криптографической информации, которая может быть использована для проверки правильности печати бюллетеня. ^[17]

Протокол голосования ThreeBallot , изобретенный Роном Ривестом , был разработан для предоставления некоторых преимуществ криптографической системы голосования без использования криптографии. В принципе, его можно реализовать на бумаге, хотя представленная версия требует электронного верификатора.

Системы Scantegrity и Scantegrity II обеспечивают свойства E2E. Вместо того, чтобы заменять всю систему голосования, как это было во всех предыдущих примерах, она работает как дополнение к существующим системам оптического сканирования голосования, производя обычные бумажные бюллетени, проверяемые избирателями, подходящие для аудитов, ограничивающих риск . Scantegrity II использует невидимые чернила и была разработана командой, в которую входили Чаум, Ривест и Райан.

Система STAR-Vote ^[18] была определена для округа Трэвис, пятого по численности населения округа в Техасе, где находится столица штата Остин. ^[19] Она иллюстрирует другой способ объединения системы E2E с традиционно проверяемыми бумажными бюллетенями, произведенными в этом случае устройством для маркировки бюллетеней . ^[20] В 2016 году проект подготовил подробную спецификацию и запрос предложений , и были получены заявки на все компоненты, но ни один существующий подрядчик с сертифицированным голосованием EAC не был готов адаптировать свою систему для работы с новыми криптографическими компонентами с открытым исходным кодом, как того требовал запрос предложений. ^{[21] [22]}

Основываясь на опыте STAR-Vote, Джош Беналох из Microsoft руководил проектированием и разработкой ElectionGuard, программного обеспечения , которое можно объединить с существующими системами голосования для добавления поддержки E2E. Система голосования интерпретирует выбор избирателя, сохраняет их для дальнейшей обработки, затем вызывает ElectionGuard, который шифрует эти интерпретации и печатает квитанцию ​​для избирателя. Квитанция имеет номер, который соответствует зашифрованной интерпретации. Затем избиратель может дезавуировать бюллетень ( испортить его ) и проголосовать снова. Позже независимые источники, такие как политические партии, могут получить файл пронумерованных зашифрованных бюллетеней и суммировать различные конкурсы в зашифрованном файле, чтобы увидеть, соответствуют ли они итогам выборов. Избиратель может спросить эти независимые источники, есть ли в файле номер(а) на квитанции(ах) избирателя. Если достаточное количество избирателей проверит, есть ли их номера в файле, они обнаружат, были ли пропущены бюллетени. Избиратели могут получить расшифрованное содержимое своих испорченных бюллетеней, чтобы определить, соответствуют ли они тому, что помнит избиратель, что было в этих бюллетенях. Избиратель не может получить расшифрованные копии проголосованных бюллетеней, чтобы предотвратить продажу голосов. Если достаточное количество избирателей проверит испорченные бюллетени, они покажут ошибки в шифровании. ^{[23] [24]} ElectionGuard не обнаруживает вбросы бюллетеней, которые должны быть обнаружены традиционными записями. Он не обнаруживает людей, которые подделывают квитанции, утверждая, что их бюллетень отсутствует или был интерпретирован неправильно. Сотрудникам избирательных комиссий необходимо будет решить, как отслеживать заявленные ошибки, сколько их необходимо для начала расследования, как проводить расследование и как исправлять ошибки. Закон штата может не давать сотрудникам полномочий для принятия мер. ^[24] ElectionGuard не подсчитывает вписанные данные, за исключением недифференцированного итога. Он несовместим с избыточными голосами . ^{[23] [24] [25]}

Использование на выборах

Город Такома-Парк, штат Мэриленд, использовал Scantegrity II на городских выборах 2009 и 2011 годов. ^{[26] [27]}

Helios использовался с 2009 года несколькими организациями и университетами для проведения всеобщих выборов, выборов в совет директоров и выборов в студенческие советы. ^{[28] [29]}

Система голосования Wombat использовалась на выборах в студенческий совет частного исследовательского колледжа Междисциплинарный центр Герцлия в 2011 и 2012 годах, ^{[30] [31]} , а также на предварительных выборах израильской политической партии Мерец в 2012 году. ^[32]

Модифицированная версия Prêt à Voter использовалась как часть системы электронного голосования vVote на избирательных участках на выборах в штате Виктория в Австралии в 2014 году. ^[33]

ElectionGuard был объединен с системой голосования VotingWorks и использовался на весенних предварительных выборах в Фултоне, штат Висконсин , 18 февраля 2020 года. ^[34]

Система DRE-ip была опробована на избирательном участке в Гейтсхеде 2 мая 2019 года в рамках местных выборов в Соединенном Королевстве 2019 года . ^{[35] [36]}

Примеры

• ГАДЮКА ^[37]
• Гелиос ^[38]
• Prêt à Voter
• Punchscan
• Скантегрити
• Голосование Вомбата ^[39]
• ТриБаллот
• Бинго-голосование
• гомоморфное разделение секрета
• DRE-i ^[40] (электронное голосование с возможностью проверки E2E без подсчета голосов на основе предварительных вычислений)
• DRE-ip ^[41] (электронное голосование с возможностью проверки E2E без подсчета голосов, основанное на вычислениях в реальном времени)
• Голосование Ассамблеи X ^{[42] [43] [44]}

Ссылки

1. "Руководство по системе добровольного голосования, версия 1.0" (PDF) . Комиссия по содействию выборам . 2005. Получено 07.04.2020 .
2. JH Saltzer ; DP Reed ; DD Clark (1 ноября 1984 г.). «Сквозные аргументы в проектировании систем». ACM Transactions on Computer Systems . 2 (4): 277–288. CiteSeerX 10.1.1.39.1747 . doi : 10.1145/357401.357402 . ISSN  0734-2071. S2CID  215746877. 
3. Дуглас У. Джонс, Перспективы электронного голосования: от отключений электроэнергии до бумажных протоколов. Архивировано 28 ноября 2008 г. в Wayback Machine (альтернативный источник), IFES, Вашингтон, округ Колумбия, 2007 г.; страницы 32–46, см. в частности рисунок 4, страница 39.
4. Дуглас В. Джонс, Сквозные стандарты точности в бумажных системах, Семинар по стандартам и технологиям выборов (альтернативный источник), 31 января 2002 г., Вашингтон, округ Колумбия.
5. Дуглас У. Джонс , Некоторые проблемы с сквозным голосованием, доклад с изложением позиции, представленный на семинаре по системам сквозного голосования, 13–14 октября 2009 г., Вашингтон, округ Колумбия.
6. Б. Смит, С. Фринк и М. Р. Кларксон, Проверяемость выборов: криптографические определения и анализ Helios и JCJ, цифровое хранилище Корнелла, февраль 2017 г.
7. Руководство по системе добровольного голосования 2005 г. Архивировано 13 июня 2008 г. на Wayback Machine , Комиссия по содействию проведению выборов
8. Джереми Кларк, Алекс Эссекс и Карлайл Адамс. О безопасности квитанций о голосовании в системах голосования E2E Архивировано 22 июля 2012 г. на Wayback Machine . Семинар IAVoSS по вопросам надежных выборов 2007 г.
9. Алекс Эссекс, Джереми Кларк, Ричард Т. Карбак III и Стефан Поповенюк. Punchscan на практике: исследование случая выборов E2E. Семинар IAVoSS по вопросам надежных выборов 2007.
10. Оливье де Марнефф, Оливье Перейра и Жан-Жак Кисквотер. Анализ систем голосования E2E на основе моделирования. Электронное голосование и идентификация 2007.
11. Ка-Пинг Йи. Создание надежного программного обеспечения для машин для голосования. Кандидатская диссертация, Калифорнийский университет в Беркли, 2007.
12. "Будущее голосования: сквозное проверяемое интернет-голосование - Спецификация и исследование осуществимости - Проект E2E-VIV". Фонд голосования США . 2015. Получено 01.09.2016 .
13. Чаум, Дэвид (2004). «Квитанции о тайном голосовании: настоящие выборы, проверяемые избирателями». Безопасность и конфиденциальность IEEE . 2 (1): 38–47. doi :10.1109/MSECP.2004.1264852. S2CID  1015904.
14. Голле, Филипп; Якобссон, Маркус (30 октября 2003 г.). «Анонимные обратные каналы многократного использования». Труды семинара ACM 2003 г. по вопросам конфиденциальности в электронном обществе . Ассоциация вычислительной техники. стр. 94–100. doi :10.1145/1005140.1005155. ISBN 1-58113-776-1. S2CID  3040325 – через цифровую библиотеку ACM.
15. Крис Карлоф, Навин Састри и Дэвид Вагнер. Криптографические протоколы голосования: системная перспектива. Труды четырнадцатого симпозиума по безопасности USENIX (Безопасность USENIX 2005), август 2005 г.
16. Стивен Черри, «Как сделать так, чтобы каждое электронное голосование имело значение», IEEE Spectrum , январь 2007 г.
17. "Бен Адида". ben.adida.net .
18. Белл, Сьюзан и др. (01.08.2013). «STAR-Vote: безопасная, прозрачная, проверяемая и надежная система голосования» (PDF) . usenix evtvote13 . Получено 24.04.2018 .
19. "Округ Тревис - Запрос на предложение STAR-VoteTM опубликован". www.traviscountyclerk.org . 2016-10-10. Архивировано из оригинала 2018-04-25 . Получено 2018-04-24 .
20. Окун, Эли (2014-07-09). «Округ Трэвис осваивает новую территорию в создании машины для голосования». The Texas Tribune . Получено 2016-09-02 .
21. Притчард, Калеб (2017-10-04). "STAR-Vote рушится - Austin Monitor". Austin Monitor . Получено 2018-08-04 .
22. Баллард, Джинни (28.09.2017). «Округ Тревис — ЗВЕЗДНОЕ голосование — Изменение планов». traviscountyclerk.org . Получено 04.08.2018 .
23. Halpern, Sue (2020-07-07). «Могут ли наши бюллетени быть одновременно секретными и безопасными?». New Yorker . Получено 2021-10-14 .
24. МакКим, Карен (2021-03-16). «Защитник выборов, который нам нужен, — это не тот, кого может предоставить Microsoft. Это человек». Wisconsin Election Integrity . Получено 2021-10-15 .
25. "ElectionGuard - Структуры и процессы". www.electionguard.vote . Получено 2021-10-17 .
26. "Пилотное исследование системы голосования Scantegrity II, запланированное для выборов в Такома-Парк-Сити в 2009 году" (PDF) . Архивировано из оригинала (PDF) 2011-07-19.
27. Хардести, Ларри (13 ноября 2009 г.). «Криптографическое голосование дебютирует». Новости MIT . Получено 2009-11-30 .
28. Хабер, Стюарт (24 мая 2010 г.). «Демонстрация электронного голосования Helios для IACR» (PDF) .
29. Адида, Бен (25 июня 2009 г.). «Выборы президента университета с использованием открытого голосования: анализ реального использования Helios» (PDF) .
30. Ривест, Рон Л. (16 марта 2016 г.). «Проверяемость и проверяемость выборов».
31. Бен-Нун, Джонатан; Фархи, Нико; Ллевеллин, Морган; Рива, Бен; Розен, Алон; Та-Шма, Амнон; Викстрем, Дуглас (2012). «Новая реализация двойной (бумажной и криптографической) системы голосования». У Мануэля Дж. Криппа; Мелани Волкамер; Рюдигер Гримм (ред.). 5-я Международная конференция по электронному голосованию 2012 (EVOTE2012) . Бонн: Общество по информатике. ISBN 978-3-88579-299-4. S2CID  2015880.
32. "Мерец стремится произвести революцию в электронном голосовании". The Jerusalem Post . Получено 14.01.2020 .
33. Элдридж, Марк (6 мая 2018 г.). «Надежная электронная система голосования на федеральных выборах в Австралии». arXiv : 1805.02202 [cs.CR].
34. «Смелый крестовый поход клерка округа Техас за изменение того, как мы голосуем». Wired . ISSN  1059-1028 . Получено 10 апреля 2021 г. .
35. Уэйкфилд, Джейн (2 мая 2019 г.). «Электронное голосование опробовано на местных выборах». BBC News .
36. Хао, Фэн; Ван, Шен; Баг, Самиран; Проктер, Роб; Шахандашти, Сиамак Ф; Мехрнежад, Марьям; Торейни, Эхсан; Метере, Роберто; Лю, Лана (2020). «Пробная версия сквозного проверяемого электронного голосования для голосования на избирательных участках» (PDF) . Безопасность и конфиденциальность IEEE . 18 (6): 6–13. doi :10.1109/MSEC.2020.3002728. S2CID  219616040.
37. "Система голосования ADDER" (PDF) . Архивировано из оригинала (PDF) 2010-03-27 . Получено 2012-07-12 .
38. "Голосование Гелиоса". vote.heliosvoting.org .
39. «Система голосования Вомбат».
40. Фэн Хао, Мэтью Н. Кригер, Брайан Рэнделл, Дилан Кларк, Сиамак Ф. Шахандашти и Питер Хён-Джин Ли. «Каждый голос имеет значение: обеспечение честности в крупномасштабном электронном голосовании». Журнал USENIX по избирательным технологиям и системам (JETS) , том 2, номер 3, июль 2014 г.
41. Сиамак Ф. Шахандашти и Фэн Хао. «DRE-ip: проверяемая схема электронного голосования без подсчета голосов». Труды 21-го Европейского симпозиума по исследованиям в области компьютерной безопасности (ESORICS) , LNCS, том 9879, 2016 г.
42. Патачи, Стефан (сентябрь 2019 г.). "Assembly Voting X" (PDF) . assemblyvoting.com . Assembly Voting. Архивировано (PDF) из оригинала 2 марта 2023 г. . Получено 27 апреля 2023 г. .
43. «Основные технологии – Голосование Ассамблеи». 24 апреля 2021 г.
44. «Голосование с помощью черного ящика против сквозного проверяемого голосования – Голосование в Ассамблее». 19 апреля 2022 г.

Внешние ссылки

• Проверка выборов с помощью криптографии — Видео 90-минутного технического доклада Бена Адиды
• Helios: открытое голосование через Интернет — PDF-файл с описанием веб-сайта Helios Бена Адиды
• Веб-сайт системы голосования Helios
• Простая проверяемая и анонимная схема голосования
• Исследование систем голосования и проверки на избирательных участках — обзор существующих систем электронного голосования и систем их проверки в контролируемых условиях.

• статья MIT Media Lab 2020 года о сквозных проверяемых системах голосования, включая обсуждение блокчейнов
• Действительно тайное голосование — статья The Economist