Научный форум dxdy

У меня опасения основаны ровно на том, что я не знаю всех нюансов. А точнее я ничего не знаю о том, как технически устроено голосование. См. также security through obscurity.
Не упростило бы. Вот вы видите, что вам показывается не тот голос, кторый был. И как вы докажете, что это подделка, а не вы злой тролль, решивший обвинить ни в чем не повинного товарища майора?

Да и подсчет непонятно как проверять. Вот вы проголосовали, потом смотрите статистику по вашему "участку": 1 голос как у вас, 145 миллионов голосов, противоположных вашему, 300 тысяч испорченных бюллетеней. Придраться не к чему.

Ну, я, по крайней мере, именно так понял текст стартового поста (а такая "фича" просто в ужас вгоняет).

Хорошо, если речь была именно об этом.

-- 10.06.2020, 20:09 --


Это вопросы личной безопасности.

Точно также как будет проверены мои претензии к банку. Есть документ, подписанный электронной подписью.


Если голосование не тайное, но выкладывать перс данные все равно нельзя, то выкладываются на общий доступ номера бюллетеней с голосами. Сверку поданных голосов со списком избирателей могут выполнить наблюдатели - они по закону имеют доступ к списку избирателей.

-- 10.06.2020, 20:13 --


Собственно, эти высокие стандарты демократии с опасениями за личную безопасность и связаны.
И даже если сегодня может быть поданный голос и не влечет угрозы для личной безопасности, то не факт что этого не будет завтра.

Более того.

При обычном голосовании (бюллетенями за экраном, или в закрытой комнатке) у Пети нет контроля (и он не может доказать) как голосовал именно Вася, даже если и "купил" его голос. Это дополнительная гарантия которая "уменьшает кпд" для потенциальных покупателей голосов.
В электронном случае даже если и Вася генерирует данные сам (поставил свой отпечаток или еще чего) - нет никакой гарантии что это он не делает под непосредственным присмотром Пети который видит все что делает Вася, и может воочию убедиться что Вася на самом деле не кинет его "продавши" свой голос.

Пете не надо доказывать, доказывать надо Васе.
И он в случае с бюллетенями доказать может: сфотографировать заполненный бюллетень.

Верно, но все-таки передача таких фотографий в принципе доказуема - и является дополнительным риском для Пети (и Васи) если они пошли на такое.

Если я правильно понимаю, то в РФ фотографировать свой бюллетень можно.

Фотография бюллетеня ни о чём не говорит. Во-первых, галочку можно специально для фотографии поставить каким-нибудь синим карандашом, а потом стереть. Во-вторых, банально после фотографирования поставить ещё одну галку в другое поле и тем самым испортить бюллетень. Поэтому эффективность (и, следовательно, привлекательность) скупки голосов или давления тем или иным явным образом на избирателей весьма невелика при существующей системе.
Нынешняя "аналоговая" система голосования кажется гораздо менее уязвимой к разнообразным внешним атакам, чем существующие и гипотетические электронные, что довольно парадоксально.

1. Процедуру распределения ключей берем из Вашей, пункт 1.
Появляется список избирателей, в связке с публичными ключами. Так как публиковать перс. данные нельзя, он не публикуется.
2. В день Д избиратель получает номер бюллетеня, рядом с номером пишет "за" или "против", подписывает и отправляет.
В список избирателей добавляется номер бюллетеня.
3. Избирком проверяет подпись и учитывает голос.
4. По итогам выборов
а) Избирком публикует бюллетени. Каждый может посчитать их количество и количество голосов за и против по каждому участку.
б) Наблюдатели берут списки избирателей (они имеют к ним доступ) и проверяют каждый бюллетень
- по номеру бюллетеня устанавливают избирателя
- по избирателю - его зарегистрированный публичный ключ.
- проверяют тем ли ключом подписан бюллетень
Вроде всё.
Защита от передачи бюллетеня (номера) есть, защиты от передачи ключа одновременно с номером или работы под контролем нет.

Можно еще опубликовать перечень публичных ключей без привязки их к перс. данным избирателей. Тогда каждый может проверить, что все бюллетени подписаны существующими ключами.

-- 10.06.2020, 21:17 --


Более того, как оказалось после довольно поверхностного просмотра КоАПП и УК, можно брать деньги за свой голос и передавать бюллетень третьим лицам. В том смысле, что это ненаказуемые деяния. Наказывается получения бюллетеня или скупка голосов (подкуп избирателей).

EUgeneUS, а, я думал, вы про какую-то надежный вариант, похожий на текущий, если отказаться от анонимности.
Ваша схема требует арбитра в виде наблюдателей, которым доступны все данные. Схем с Трентом можно придумать много.

Я бы хотел обратить внимание публики на то, что по ссылке что я давал ( https://habr.com/ru/article/480152/ ), написано что на выборах в декабре 2019 электронные голоса печатались на принтере и напечатанное физически сыпалось в опечатанную урну на избирательном участке. То есть о подменах "в последнюю минуту" речь не идёт. Менять надо "на ходу", пока принтер не напечатал голос и в урну не упала распечатка.

Вот еще пара статей (две части одной) на хабре на тему
https://habr.com/ru/post/480332/ -- о технологии
https://habr.com/ru/post/481524/ -- о независимой проверке

А можно придумать с Трентом и анонимностью? Трент имеет доступ к спискам избирателей, но голосование конкретного избирателя должно оставаться тайным и для него.
Что-то у меня не придумалось, как бы Трент тут может помочь

Вот , что написано официально на mos.ru.

Электронный бюллетень выглядит также, как бюллетень на бумаге, но получить его вы можете раньше — с 10:00 25 июня до 19:59 30 июня. Если вы получили его в последнюю минуту, у вас есть время до 20:15, чтобы проголосовать. После этого система перестанет принимать бюллетени.

Электронный бюллетень существует только на экране пользователя до окончания голосования. Чтобы сохранить тайну голосования, информация о бюллетене не сохраняется ни в браузере пользователя, ни на сервере администратора. Результат отправляется в блокчейн-систему. Это можно сравнить со входом в метро: турникет проверяет право прохода, а куда едет пассажир — неизвестно никому.

Электронные голоса посчитают прямо в блокчейн-сети — это обеспечит безопасность данных. При необходимости можно будет подсчитать их традиционным способом и потом сравнить с результатами технологии блокчейна. Для этого электронные бюллетени будут распечатывать по мере поступления голосов.

На избирательных участках работают наблюдатели. А как контролируют голосование, которое проходит онлайн?
У каждого электронного бюллетеня есть номер, бюллетени хранятся в порядке этой нумерации, к тому же они зашифрованы. У блокчейн-сети нет единого сервера: чтобы изменить информацию в части бюллетеней, нужно получить одобрение большинства участников сети. Попытка изменить данные на одном из компьютеров сети сразу станет заметна остальным участникам сети, и подозрительные данные будут отвергнуты. Поэтому цепочку блокчейна практически невозможно взломать.

Какие риски остаются в системе электронного голосования?
Единственная угроза успеха электронного голосования — возможность хакерской атаки. Но эта вероятность крайне мала, потому что электронный бюллетень передается по закрытому каналу связи.

Какое техническое решение стало основой электронного голосования?
В основе лежит система электронного голосования с применением технологии блокчейна, разработанная Департаментом информационных технологий г. Москвы. Центральная часть системы − блокчейн- и смарт-контракты, которые в нем реализованы. Используется блокчейн-платформа Exonum.

Блокчейн-технология работает в режиме Proof of Authority. За учет голосов пользователей отвечает смарт-контракт реестра бюллетеней, он будет сохранять зашифрованные голоса участников в блокчейн-системе, а после окончания голосования — расшифровывать и публиковать результаты в блокчейн-системе.


Как защищают голоса при голосовании онлайн?
В системе электронного голосования используют сложный комплекс систем шифрования: гост-алгоритмы, другие алгоритмы асимметричного шифрования, систему шифрования голосов избирателей. Формируется пара ключей шифрования и расшифровки результатов — секретный и открытый.

Ключи шифрования данных − открытые, они создаются в браузере пользователя. После попадания голоса в систему и выхода пользователя из браузера ключ подписи автоматически уничтожается. Секретный ключ шифрования разделяется между должностными лицами организаторов голосования. Он сможет расшифровать результаты только при соединении всех частей ключа. Во время голосования система автоматически зашифровывает голоса прямо на устройствах избирателей и отправляет зашифрованные голоса в блокчейн.

Есть ли техническая возможность соединить отданный голос с персональными данными избирателя?
Нет. На этапе формирования зашифрованного голоса пользовательский браузер создает ключ для подписания транзакции в блокчейн. После попадания голоса в систему и выхода пользователя из браузера ключ подписи автоматически уничтожается. Проследить связь между использованным ключом и пользователем невозможно.

Как система будет защищена от утечки промежуточных итогов голосования?
Каждый голос избирателя защищен ключом шифрования, который создавался на этапе подготовки к голосованию. Этот ключ разделен между членами избирательной комиссии и будет соединен только после окончания голосования.

Как будет сохраняться анонимность голосования?
После запуска процедуры анонимизации в сети формируется уникальная ссылка бюллетеня, которая исчезает (не кэшируется) после окончания работы формы бюллетеня. Ссылка формируется происходит путем одновременной генерации хешей, содержащих случайную «соль» со всех подсистем, которые участвуют в прохождении пользователя до процедуры анонимизации. Это аналог слепой электронной подписи. Хеши, которые используют для формирования ссылки, не связаны с персональными данными участника голосования.

Система генерации бюллетеней, зная правила формирования хешей, проверяет их корректность, в случае подтверждения формирует ссылку на бюллетень.

Будет ли защищен шифрованием канал обмена информацией во время голосования?
Площадка для голосования общая. Для пользователей, у кого установлен Яндекс.Браузер или Спутник, а также криптографическая библиотека КриптоПРО csp, канал будет защищен отечественным шифрованием при помощи алгоритма шифрования, одобренного ФСБ России (ГОСТ Р 34.10-2012, основан на эллиптических кривых).

Для пользователей, которые планируют проголосовать через другие браузеры, действует традиционное шифрование канала с использование SSL-сертификатов.

Будет ли система дистанционного электронного голосования взаимодействовать с ГАС «Выборы» и системой «Мобильный избиратель»?
Да. Принять участие в дистанционном электронном голосовании смогут граждане РФ с активным избирательным правом, зарегистрированные по месту жительства в субъектах РФ, где проводится дистанционное электронное голосование, зарегистрированные на mos.ru или gosuslugi.ru. Данные этих порталов сопоставлены с данными регистра избирателей, участников референдума ГАС «Выборы». А сервис «Мобильный избиратель» — это та инфраструктура, которая позволит желающим записаться на голосование онлайн.

-- 11.06.2020, 10:10 --


Да вы правы, я невнимательно прочитал:

С 05.06.2020 00:01 по московскому времени по 21.06.2020 14:00 по московскому времени проводится прием заявлений на участие в дистанционном электронном голосовании при проведении общероссийского голосования по вопросу одобрения изменений в Конституцию Российской Федерации;
В указанный период можно менять свое мнение (подавать заявление на включение или отзывать заявление), но не чаще 1 раза в сутки;
Включение в список для дистанционного электронного голосования производится по результатам межведомственных проверок сведений, указанных в личном кабинете и в заявлении. В случае отказа во включении в список для дистанционного электронного голосования причины отказа можно посмотреть в разделе "Заявки" или обратиться в службу технической поддержки за разъяснением;
За день до дня голосования вам будет направлен финальный статус с подтверждением вашего права на участие в электронном голосовании в период с 25.06.2020 10:00 по московскому времени по 30.06.2020 20:00 по московскому времени;
Настоящим согласием вы подтверждаете, что действуете осознанно и не находитесь под чужим давлением.

-- 11.06.2020, 10:17 --


Я уже не первый раз сталкиваюсь с тем, что окололиберальная общественность очень напрягается по поводу цифровизации и боится, что она подрывает основы демократии, личной безопасности и ограничивает демократические свободы.
Я пока никаких угроз не вижу. Это конечно тема отдельного обсуждения.
Если вы не спецагент и не занимаетесь противоправной деятельностью, вроде как внедрение цифровых технологий не сильно урезывает вас в правах.
Я только однажды сталкивался со слежкой, это когда купил что-то в реальном (не интернет) магазине, а потом Яндекс прислал мне уведомление оценить работу данного магазина. Ну где-то я использовал в магазине смартфон .
Но на яндекс я не сильно обижаюсь.

Даже использовать не обязательно: смартфон молча обменялся данными с вайфай-сетью магазина.

Ну если разрешить участникам общаться, и надеяться что никто не будет сговариваться с Трентом, то можно. Трент выдает -му участнику подписанные зашифрованные гомоморфным шифрованием и подписанные не гомоморфным шифрованием вектора (число нулей равно числу участников, стоит на позиции с номером участника). Каждый участник выбирает первый или второй вектор в зависимости от того, как он хочет проголосовать, и отправляет всем остальным. Каждый участник, получив голоса остальных, проверяет их подписи, складывает и отправляет Тренту, который расшифровывает и проверяет, что везде получилось одно и то же.
Если договорятся вообще все участники, то они могут обеспечить 146% голосов, но пока хотя бы один участник следует протоколу, голосование фальсифицировано не будет (правда может не состояться). Ну и любой участник, объединившись с Трентом, может выяснить голоса всех.
Нормальную схему я пока тоже не придумал. Нужно гомоморфное шифрование с разделяемым секретом. Возможно можно как-то допилить стандартный протокол через схему Шамира, чтобы Трент контролировал целостность голосов...
А логарифмы они не пробовали?
Это не описание протокола, это какой-то поток сознания. Описание протокола должно позволять любому желающему посчитать на бумажке (или написать код), что куда нужно отправлять, чтобы проголосовать.
В любом случае, даже из этого текста понятно, что взаимодействие будет иметь вид "вы нам шлете данные, а мы вот так их обрабатываем". Правда может быть их обрабатывают и иначе, никак проверить это нельзя.

(Оффтоп)