МНЕНИЕ | Юрий Трофимов: электронное голосование, кто гарант безопасности?
Допустимо ли влияние человеческого фактор при подсчёте электронных голосов на выборах? Как обеспечить гарантию целостности протокола голосования? Существуют ли принципы и технологии, которые смогли бы предложить математическое доказательство невозможности фальсификации? В теме разбирался специалист по управлению рисками информационной безопасности Юрий Трофимов.
Автор статьи провёл исследование на тему доступных технологий при организации тайного голосования электронным способом и делится наблюдениями с читателями. Тема касается всех видов коллективного принятия решений, включая голосование, аукционы, опросы, где имеет значение достоверность выбора с гарантированной проверкой на отсутствие фальсификаций.
Давайте представим, человек участвует в электронном голосовании. Какой главный вопрос возникает у большинства участников? Будет ли учтён мой голос: не потеряется ли он при обработке и как можно проверить после голосования участие моего голоса в результатах голосования? Попробуем разобраться: как современные технологии могут гарантировано дать избирателю ответ на вопрос: „учтён ли мой голос“.
Хочется вспомнить суть судебного иска EKRA под номером 5-23-20 в марте 2023 г. против Избирательной комиссии. EKRA выразила претензию к нарушению статьи 60 Конституции и статьи 1 части 2 Закона о выборах в Рийгикогу. Приведённые статьи создают предпосылки к системе электронного голосования, которая должна обеспечивать надёжность и быть проверяемой.
Не так давно компания Norstat проводила исследование по вопросу доверия населения Эстонии к результатам электронного голосования. Выводы исследования оказались столь не однозначные, что Рийгикогу собирается обратиться к Венецианской Комиссии (Европейская Комиссия за демократию через право) для заключения об избирательной системе с применением электронного голосования. Результатом такого запроса, хочется верить, будет польза обществу, потому что для вынесения решения потребуется провести всесторонний аудит: и на соответствие законодательства Эстонии регламенту № 910/2014 (ЕС), и на соответствие разработанных программных средств местным законам, и на механизмы сбора цифровых подписей на голосованиях. Есть надежда получить больше сведений о соответствии разработанной инфраструктуры для голосования требованиям Европейского Союза.
Цифровую подпись подделать не получится
Обратимся сначала к технологиям, которые используются в цифровой подписи. ID карта содержит ключи: открытый – используется для авторизации, закрытый – используется для шифрования. Начиная с 2017 года применяются обновлённые алгоритмы (ECDSA), разработанные Агентством национальной безопасности Америки с длиной ключа 192 бит и более. На простом языке это значит, что на сегодня не существует технических решений гражданского назначения, способные „взломать защиту“, используя совокупную вычислительную мощность всех выпущенных процессоров на земле за всё время развития полупроводников. Таким образом, примем как аксиому то, что цифровая подпись не может быть подделана гражданским лицом без владения ключом.
Ключи генерирует и передаёт для прошивки в ID карту Удостоверяющий центр (SK ID Solutions AS – квалифицированный поставщик трастовых услуг). По требованию 910/2014 (ЕС) в законодательстве предусмотрена ответственность поставщика трастовых услуг за нанесённый ущерб, то есть порядок информирования и компенсации пользователям в случае компрометации ключей или корневых сертификатов, а значит данный субъект может рассматриваться, как надёжный в границах правового поля.
Подделать голос за конкретного кандидата невозможно
Другим ключевым элементом является порядок сбора и хранения голосов. Соотношение голоса с кандидатом защищены цифровой подписью, но остаётся вопрос учёта собранных голосов. На примере местной системы электронного голосования проведём анализ. Из открытых источников можно оценить архитектуру программного обеспечения и сделать следующие выводы: нынешняя система электронного голосования гарантирует использование аутентичных голосов, но сам порядок сбора и хранения голосов не построен на принципах „нулевого доверия“ (zero trust). Что значит принцип „нулевого доверия“ в контексте системы голосования? Значит то, что построение очереди голосов и её достоверность должны быть обеспечены исключительно инструментами криптографии и не должны зависеть ни от одного объекта организации и администрирования голосования. Почему это так важно?
Каждый голос связан с последующим, порядок их защищён с помощью криптографических методов и не может быть подделан с помощью обычного копирования, добавления или удаления.
Причина в том, что в такой системе невозможно удалить голоса. Почему невозможно, это же компьютер, в MS Word возможно, а здесь почему нет?! Потому что каждый голос связан с последующим, порядок их защищён с помощью криптографических методов и не может быть подделан с помощью обычного копирования, добавления или удаления. То есть физически нет возможности внести изменения, не нарушив целостность всех данных.
Есть ли возможность определить, построена ли система сбора голосов по принципу „нулевого доверия“? Да, существует практика, сложившаяся в области безопасности. Признаком является возможность свободного предоставления зашифрованных данных протокола голосования в публичный доступ, где при использовании ключа автор сможет найти в цепочке свой голос. При этом не будут раскрыты персональные данные других участников и не будет возможности изменить файл с зашифрованными данными протокола голосования, не нарушив его целостность. Таким образом, система по принципу „нулевого доверия“ подразумевает разглашение данных третьей стороне с сохранением анонимности персональных данных участников.
Для обеспечения такой модели потребуется так называемый блокчейн, в котором уже имеется требуемый функционал для безопасного сбора и проверки голосов. Технология блокчейн рекомендована Агентством Европейского Союза по кибербезопасности (ENISA) в документе „Data Protection Engineering“ от 27.01.2022, как удовлетворяющая требованиям GDPR.
Какие преимущества появятся при построении очереди голосов с использованием блокчейн?
Целостность результатов голосования. Подразумевает механизм криптографии, когда голос помещённый в цепочку однажды не сможет быть ни изменен, ни удалён.
Проверка хронологии появления голосов и их уникальность. Будет возможность увидеть распределение голосов по кандидатам и посмотреть на голоса реальных людей, не раскрывая их персональные данные.
Зашифрованный результат голосования будет доступен всем участникам, в котором обеспечена анонимность с возможностью автором найти и проверить свой голос в общей цепочке голосов.
Как для пользователя должен выглядеть процесс безопасного голосования?
Пользователь выбирает кандидата и ставит цифровую подпись, далее, получает в ответ уникальный ключ. Этот ключ и является гарантом участия в голосовании и используется для проверки целостности голосов в протоколе. По окончании голосования всем участникам обязательно становится доступен зашифрованный полный протокол голосования, в котором любой желающий может найти свой голос. Полученный на голосовании ключ сравнивается с вычисляемым ключом следуя по цепочке голосов до момента записи своего голосования и гарантирует, что результаты до текущего момента не были „пересобраны“: голоса ни добавлены, ни удалены и расположены в той последовательности, в которой были приняты. Формат протокола голосования документирован, чтобы энтузиасты смогли проверить соответствие ключей в собственном программном обеспечении и в итоге посчитать и перепроверить количество голосов за каждого кандидата.
В текущей модели сбора голосов на достоверность результата может влиять человеческий фактор, хотя и предусмотрено участие сторонних наблюдателей за обработкой. Протокол голосования не доступен для участников голосования и уничтожается в короткий срок. Усугубляющей является опция повторного голосования (изменение в пользу другого кандидата) в нынешней системе, где появляется дополнительный риск манипуляций.
Как выглядит картина гарантий безопасности сейчас:
Безопасность цифровой подписи и способ выдачи ключей обеспечены на уровне алгоритмов шифрования, где сама стойкость алгоритмов является гарантией.
Безопасность сбора и подсчёт голосов обеспечены на законодательном уровне, в котором не используется концепция „нулевого доверия“.
Таким образом, на сегодня имеется надёжный инструмент в виде цифровой подписи для проведения электронных голосований, но не представлен ни сам протокол, ни инструменты для проверки его целостности и количества собранных голосов. Как следствие, это может влиять на степень доверия к результатам электронного голосования.
Подведя итог можно сказать, если механизм сбора и хранения голосов будет регламентирован строго криптографическими решениями по принципу „нулевого доверия“ вне зависимости от человеческого фактора, то будет гарантирована надёжность. Если зашифрованный протокол будет предоставлен участникам голосования, то будет обеспечена проверяемость. Технологии для этого есть, вопрос в воли их внедрения и использования.
Хочется верить, что любая гражданская инициатива по развитию мыслей – полезна для открытого общества.
* Мнение автора может не совпадать с мнением редакции
* Редакция RusDelfi приглашает к сотрудничеству авторов, имеющих собственное мнение по политическим, экономическим, социальным и культурным вопросам. Пишите нам на адрес rus@delfi.ee с пометкой „в рубрику мнений“!
