Законно ли электронное голосование

Обновлено: 18.05.2024

На протяжении многих лет мы являемся свидетелями дискуссии о том, почему бы нам не перейти на электронное голосование? Такой подход уже активно используется при голосованиях среди ограниченного количества лиц. Так почему оно не может использоваться при массовых голосованиях и выборах?

Пожалуй, лучшим примером использования методов электронного голосования является Эстония. Страна, в которой проживает чуть более 1,3 миллионов жителей, оказалась в авангарде цифровой революции намного раньше других стран мира, и она даже предлагает иностранцам виртуальное пребывание. Кроме того, страна разрабатывает собственную криптовалюту и, конечно же, стала пионером в использовании электронного голосования. Фактически, на последних парламентских выборах в марте этого года 247 232 из 561 131 избирателей проголосовали электронным способом.

Эстония – это пример для многих стран, которые задаются вопросом: могут ли они тоже использовать подобную модель. Но все не так просто. На самом деле, электронное голосование имеет определенные преимущества, но у него имеются также и недостатки. Вот почему этот метод голосования пока не приобрел широкого распространения.

Преимущества электронного голосования

1. Стимул. Это самое очевидное преимущество: простое по своей форме онлайн-голосование облегчает избирателям участие в демократических процессах. Это побуждает их принять участие в голосовании, что существенно повышает явку избирателей. Более того, простота процесса является также дополнительным преимуществом для граждан с ограниченными возможностями или для граждан, которые проживают вдалеке от избирательных участков.

2. Меняющиеся голоса. В отличие от традиционных выборов, когда голосование проводится в течение одного дня продолжительностью от 16 до 24 часов, процедуры электронного голосования, как правило, предоставляют избирателям более широкий временной интервал для голосования (иногда несколько дней). Помимо этого, во время проведения голосования граждане могут изменить свой голос, а это представляет реальное преимущество для неопределившихся с выбором избирателей.

3. Расходы. Электронный процесс голосования подразумевает совершенно другую инфраструктуру. Однако расходы на нее всегда будут намного ниже расходов при традиционном (ручном) голосовании, при этом в избирательных комиссиях будет задействовано намного меньше людей.

Недостатки электронного голосования

1. Фальсификация. Такое случалось уже неоднократно: если электронная система голосования не обеспечивает достаточного уровня гарантий информационной безопасности, кто-нибудь может проголосовать несколько раз с одного и того же IP-адреса или даже подделать новый адрес, чтобы вбросить дополнительные голоса. Можно рассмотреть и противоположный случай: если семья из трех человек живет в одном доме/квартире с одним и тем же IP-адресом, то как мы можем быть уверены в том, что этот адрес используется тремя разными людьми, а не одним человеком, голосующим три раза?

2. Конфиденциальность. В большинстве процессов электронного голосования регистрационные данные пользователей, как правило, шифруются. Однако полной безопасности не существует, поскольку серверы тех, кто управляет голосованием, могут расшифровать исходную информацию. Следовательно, в таких случаях невозможно гарантировать полную конфиденциальность голосования.

3. Уязвимость перед кибер-атаками. Когда системы электронного голосования подвергаются внешним аудитам безопасности, то часто выясняется, что они могут быть уязвимы перед вмешательством в процесс голосования и регистрации. Точно также как ни одна компания не может быть полностью защищена от атак, так и государственные органы подвергаются атакам или сталкиваются с нарушениями их информационной безопасности.

4. Недоверие. Независимо от того, лучше или хуже работает электронное голосование, одно несомненно: электронное голосование, в какой бы оно форме не проводилось, всегда вызывает всевозможные подозрения относительно возможного вмешательства. Даже если оно станет абсолютно безопасным методом, недоверие граждан, скорее всего, помешает его внедрению. По сравнению с электронным подсчетом голосов, традиционный метод (с сотрудниками избирательных участков, членами избирательных комиссий и даже представителями политических партий) по-прежнему пользуется доверием у большинства граждан, если речь заходит о безопасности голосования.

Что необходимо для успешного проведения электронного голосования?

Если мы хотим, чтобы электронное голосование стало доступным в большинстве развитых стран мира, необходимы две составляющие: конфиденциальность и информационная безопасность. Во-первых, мы должны заверить граждан в том, что их голос будет конфиденциален на любом этапе голосования, при этом сам избиратель (и только он!) сможет проверить, что его голос был корректно учтен.

Во-вторых, и это самое сложное, государственные органы, которые внедряют электронное голосование, должны иметь соответствующие инструменты (такие как Panda Adaptive Defense) для защиты своей собственной институциональной информационной безопасности. Если существуют потенциальные способы успешной атаки на нее, то такое электронное голосование будет трудно внедрять и развивать.

Эти два элемента сочетаются с третьим, который охватывает их оба: аудит. Анонимность и институциональная информационная безопасность должны быть защищены кем-то еще помимо администрации, которая управляет процессом электронного голосования. Получается, что эти элементы также должны проверяться внешними общественными институтами, которые могли бы убедиться в том, что ни одна из процедур / шагов электронного голосования не подвержены ошибкам, фальсификации или атакам.

Только при наличии всех этих элементов страна может без каких-либо сомнений сделать выбор в пользу электронного голосования. Потому что если взлом корпоративной информационной безопасности может иметь опасные последствия, то аналогичные действия в отношении институциональной информационной безопасности всей страны поставят под сомнение всю демократическую систему, которая намеревается внедрить электронное голосование. Обеспечение безопасности коммуникаций в процессе электронного голосования и защита конфиденциальности персональных данных граждан являются двумя фундаментальными требованиями для перевода избирательных процессов из физической среды в электронную.

В сентябре российские избиратели будут выбирать депутатов Госдумы РФ, а также региональные и муниципальные органы власти. А 2 августа в семи субъектах РФ начинается запись на дистанционное электронное голосование (ДЭГ). По решению Центральной избирательной комиссии РФ оно будет проводиться в городах Москве и Севастополе, Нижегородской, Ярославской, Курской, Мурманской и Ростовской областях.

Кто может участвовать?

Дистанционное электронное голосование на выборах 2021 года пройдет в семи субъектах РФ: в городах Москве и Севастополе, Нижегородской, Ярославской, Курской, Мурманской и Ростовской областях.

При этом Москва, Нижегородская, Ярославская и Курская области были выбраны как регионы, уже имеющие опыт проведения ДЭГ. Мурманская область и Севастополь включены в список в качестве эксперимента, поскольку, по сведениям ЦИК, многие избиратели из этих регионов в сентябре будут находиться в отъезде.

В Ростовской области в настоящее время находятся и работают жители Донецкой и Луганской народных республик, получившие гражданство РФ в упрощенном порядке, но не имеющие постоянной регистрации на территории России. По мнению ЦИК, эксперимент по проведению там ДЭГ позволит в дальнейшем организовывать дистанционное голосование и за пределами страны. Жители Донбасса, включенные в списки избирателей Ростовской области, но не имеющие постоянной регистрации на территории РФ, могут голосовать на выборах депутатов Госдумы только по федеральному избирательному округу. По словам заместителя председателя комитета Госдумы по делам СНГ, евразийской интеграции и связям с соотечественниками Виктора Водолацкого, на сегодняшний день 611 тыс. 320 человек являются гражданами России на территории Донбасса.

Как стать участником электронного голосования?

Как пройдет голосование?

Анонимизированные результаты волеизъявления избирателей по мере их поступления будут шифроваться с использованием специального ключа шифрования и сохраняться в базе данных специального программного обеспечения ДЭГ Москвы. После завершения голосования они подлежат расшифровке.

К наблюдению за ДЭГ допускаются наблюдатели от избирательных объединений, кандидатов и субъектов общественного контроля (общественных палат и советов), но не более двух от каждого субъекта. Наблюдатели вправе знакомиться со списками участников голосования, присутствовать при формировании ключа шифрования и ключа расшифрования и пр.

Результаты голосования будут включены в систему ГАС "Выборы". В сводной таблице о результатах выборов они будут отображены в отдельной графе с наименованием "Дистанционное электронное голосование".

Как работает электронное голосование?

Дистанционное электронное голосование проводится с применением специального программного обеспечения без бумажного бюллетеня. Для участия избирателю не нужно находиться в дни выборов на территории своего избирательного участка. Проголосовать можно при помощи компьютера или телефона.

Возможность использования такой формы голосования на федеральных выборах была закреплена в российском законодательстве 23 мая 2020 года федеральным законом "О внесении изменений в отдельные законодательные акты Российской Федерации".

ДЭГ проводится на основе ст. 64 федерального закона "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации" и ст. 81 федерального закона "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации".

В соответствии с избирательным законодательством решение о проведении электронного голосования принимает Центральная избирательная комиссия РФ или по ее поручению соответствующая избирательная комиссия субъекта Федерации.

Это первое электронное голосование в России?

Нет. Ранее в России голосование с использованием информационных технологий применялось трижды: в 2019 году на выборах депутатов Мосгордумы, в 2020 году в ходе общероссийского голосования по принятию изменений в конституцию РФ и на дополнительных выборах в Госдуму. При этом, по данным ЦИК, явка на ДЭГ всегда превышала 90%.

Впервые ДЭГ было применено в единый день голосования 8 сентября 2019 года в Москве в ходе выборов депутатов городской думы. Оно проводилось в качестве эксперимента на основе регионального закона от 22 мая 2019 года и федерального закона от 29 мая 2019 года (оба документа имеют одинаковое название — "О проведении эксперимента по организации и осуществлению дистанционного электронного голосования на выборах депутатов Московской городской Думы седьмого созыва"). ДЭГ было организовано в трех столичных избирательных округах из 45: №1 (Зеленоград), №10 (Бибирево, Лианозово, Северный), №30 (Чертаново Центральное, Чертаново Южное). По данным ЦИК, возможностью электронного голосования воспользовались 10,2 тыс. избирателей из 11,2 тыс., подавших заявления. В целом при помощи ДЭГ проголосовали 9,95% от всех принявших участие в выборах.

В ходе общероссийского голосования по поправкам в Конституцию РФ, которое прошло 1 июля 2020 года, ДЭГ по решению ЦИК проводилось в двух субъектах Федерации: Москве и Нижегородской области. Заявки на участие в нем подали 1,19 млн избирателей, проголосовали 1,1 млн (17,5% от принявших участие в общероссийском голосовании). 13 сентября 2020 года в Курской и Ярославской областях при помощи ДЭГ избирали депутатов Государственной думы на дополнительных выборах. Из 31,57 тыс. избирателей, подавших заявления на электронное голосование, своим правом воспользовались 28,9 тыс. (9,67% от принявших участие в выборах).

23 мая 2020 года президент РФ Владимир Путин подписал федеральный закон "О внесении изменений в отдельные законодательные акты Российской Федерации", который сделал допустимым использование дистанционного электронного голосования при проведении выборов в органы государственной власти, органы местного самоуправления, а также референдума субъекта РФ и местного референдума. В тот же день был подписан федеральный закон "О проведении эксперимента по организации и осуществлению дистанционного электронного голосования в городе федерального значения Москве". Позднее, 19 мая 2021 года, в столице был принят закон "О внесении изменений в отдельные законы города Москвы и проведении эксперимента по организации и осуществлению дистанционного электронного голосования на выборах в органы государственной власти города Москвы, органы местного самоуправления в городе Москве в 2021 году".

Содержание

Дистанционное голосование: опыт избирателя

Федеральная платформа

В мае 2021 г. проводилась всероссийская тренировка по использованию ДЭГ (в преддверии единого дня голосования 19 сентября). Основной ее целью было нагрузочное тестирование ДЭГ – проверка системы на прочность, а также безопасность, удобство и функционал. На участие в тренировке было подано 2,5 млн заявлений, проголосовали 1,2 млн избирателей, система ДЭГ обработала более 5 млн транзакций. После сборки ключей итоги голосования были подведены менее чем за 15 минут. Разработчик системы заявляет, что время проведения голосования сбои не были зафиксированы, в пиковые нагрузки система работала устойчиво.

А затем по итогам общероссийской тренировки на заседании ЦИК России 25 мая 2021 года были определены семь регионов, где система ДЭГ будет применяться в единый день голосования 19 сентября 2021.

Безопасность федеральной платформы: некоторые вопросы

Пытливый и хотя бы немного технически подкованный избиратель сможет проверить, что его голос в блокчейне есть, и что итоговая сумма голосов получена именно на этих данных — тоже. Для этого разработчики предусмотрели ряд технических инструментов для наблюдения за голосованием. При этом расшифровать конкретный бюллетень и посмотреть, за кого он отдан, избиратель не сможет.

Это своего рода компромисс между предоставлением избирателю возможности проверить, что его голос учтён, и опасением, что это будет использоваться на местах для подтверждения голосования под давлением или продажи голосов.

Частично открыты коды системы. Так, в рамках раскрытия технической информации о системе ДЭГ, в сентябре 2021 года на ресурсе GitHub были размещены исходные коды основных компонентов системы, которая будет использована голосовании в 2021 году [4] . В частности, доступны коды портала голосования и анонимной зоны портала ДЭГ; утилиты разделения ключей; смарт-контракт и др.

В ЦИК заявили TAdviser, что доверие к ПТК ДЭГ и реализуемым им алгоритмам обработки информации о результатах волеизъявления участников голосования обеспечивается следующими основными мерами:

раскрытием информации о реализуемом ПТК ДЭГ протоколе дистанционного электронного голосования, используемых в нем криптографических алгоритмах и их параметрах;
контролем участника голосования над ПО, выполняющемся на его устройстве, а также раскрытием его исходного кода (образцов исходного кода) и интерфейсов его взаимодействия с ПТК ДЭГ;
контролем избирательной комиссии дистанционного электронного голосования над техническими средствами и выполняющимся на них программным обеспечением формирования, деления и сборки ключей шифрования, контролем над носителями частей ключей шифрования;
предоставлению неограниченному кругу лиц в ходе голосования, при и после подведения итогов голосования информации о поступивших в ПТК ДЭГ зашифрованных результатах волеизъявления участников голосования, а также программного обеспечения с исходными кодами для проверки полноты, целостности и неизменности результатов волеизъявления и корректности подсчета голосов.

Вместе с тем, на портале ЦИК говорится, что раскрытие полного объема исходных текстов ПО ПТК ДЭГ в 2021 году не планируется. До фиксации исходного состояния ПО ПТК ДЭГ возможна публикация только примеров реализации ключевых компонентов ПО, программных библиотек и т.п., пишет ЦИК [5] .

Один вызывающий вопросы момент – теоретически проголосовать за избирателя в ДЭГ может другой человек, если он имеет доступ к логину и паролю пользователя от личного кабинета голосования на «Госуслугах. Система дает возможность проголосовать с тех учетных записей, к которым привязан номер мобильного, оформленный не на голосующего избирателя, а на других лиц. И злоумышленник может, например, изменить номер мобильного телефона для получения СМС-кода, который используется для подтверждения личности избирателя.

А в ЦИК считают некорректным допущение, что кто-то может изменить номер телефона для получения СМС-кода, который используется для подтверждения личности избирателя. Внесение таких изменений требует обладания мобильным телефоном, ранее указанным в учетной записи, либо внесение таких изменений подтверждается способом, аналогичным подтверждению учетной записи, говорят в ЦИК.

Тайна голосования

В ЦИК заявили TAdviser, что не разделяют утверждения о наличии проблемы в данном случае.

Получения избыточной идентифицирующей информации от устройств участника голосования — однако, в системе ДЭГ устройство и передаваемая с него информация находится под контролем самого участника голосования; кроме того, участник голосования на произвольном шаге процедуры ДЭГ может воспользоваться дополнительными средствами анонимизации, в том числе сервисами прокси, виртуальных частных сетей и др.;
Обладания и свободного использования ключей расшифрования некими заинтересованными лицами — но в системе ДЭГ ключи расшифрования, носители их частей и технические средства их формирования, деления и сборки находятся под контролем избирательной комиссии дистанционного электронного голосования и определенных ей лиц, а зависимые от них ключи узлов ПТК ДЭГ — в неизвлекаемой форме в аппаратных средствах шифрования;
Создания вместо ПТК ДЭГ иной системы, задачей которой являлся бы контроль над волеизъявлением участников голосования - запись и обработка избыточной идентифицирующей информации об участниках голосования, произвольный подсчету и расшифрование промежуточных итогов голосования или отдельных бюллетеней. При этом в отношении такой системы было бы невозможно выполнение уже реализованных мер доверия.

Также в качестве мер доверия к ПТК ДЭГ доступ к одному из узлов системы предоставлен группе технического наблюдения Общественной палаты РФ, что позволяет ей контролировать процесс поступления и записи зашифрованных результатов волеизъявления, подведения и расшифрования итогов голосования во всем ПТК ДЭГ. Одновременно в отношении ПТК ДЭГ проведены аттестационные и контрольные испытания, предусматривающие проверку соответствия комплекса рабочей документации и направление отчетной документации по результатам испытаний в уполномоченные госорганы.

А сравнивать все по логам, на серверах – это технически крайне сложная задача, хотя не сказать, что нереализуемая, добавил Олег Артамонов.

Московская платформа

Основными задачами работ, как следует из ТЗ, стали обеспечение процесса подачи гражданами заявлений на участие в ДЭГ, автоматизация рассмотрения заявлений на участие в ДЭГ и уведомление заявителей о его ходе, обеспечение формирования списков граждан, допущенных к ДЭГ, обеспечение тайны и анонимность волеизъявления, автоматизация взаимодействия между пользователями системы.

Также целями заявлены автоматизация предоставления информации о ходе ДЭГ для общественных наблюдателей, процесса получения информации об обращениях и жалобах граждан, процесса формирования статистики о ходе ДЭГ.

Отличия федеральной платформы от московской

Такой механизм страхует избирателя от технических проблем (например, если сел смартфон или завис браузер), а также в некоторой мере защищает от принуждения к голосованию за конкретную партию и/или кандидата: если у избирателя остается хотя бы три часа до окончания голосования, то он успеет переголосовать.

Обе системы используют блокчейн и смарт-контракты. Но одно из технических ключевых отличий – в московской системе при подсчете голосов сначала предполагается расшифровка бюллетеней, после чего их в расшифрованном виде сгруппируют и определят результаты. А в федеральном ПТК ДЭГ отдельные бюллетени не расшифровываются. Они сначала сгруппировываются в зашифрованном виде, а потом происходит расшифровка суммарного бюллетеня. Это возможно благодаря использованию технологии гомоморфного шифрования.

Примечательно, что после окончания процедуры голосования ЦИК 17-19 сентября опубликовал результаты ДЭГ из всех регионов, кроме московского – они появились с существенной задержкой днем 20 сентября. При том что ранее после голосования по поправкам к конституции итоги электронного голосования стали известны уже через час.

Власти Москвы объяснили задержку тем, что результаты ДЭГ в столице были пересчитаны несколько раз к утру 20 сентября. Такая необходимость была связана с возможностью отложенного голосования, которую предоставили только москвичам, сказал глава ДИТ Москвы Эдуард Лысенко [8] .

Кто за что отвечает в ДЭГ

Первым звеном для доступа к ДЭГ является портал госуслуг. Он реализует функцию информирования и подачи заявлений для участия в ДЭГ, а также идентификацию и аутентификацию граждан. Оператором портала госуслуг является Минцифры.

За ДЭГ отвечает ЦИК России – независимый федеральный государственный орган с исключительными полномочиями в сфере подготовки и проведения выборов. Все основные функции – от проверки наличия избирателя в списках участников ДЭГ, предоставления ему возможности проголосовать по конкретным бюллетеням, до учета волеизъявлений, подсчета голосов и подведения итогов голосования, реализуются с использованием программно-технического комплекса ДЭГ.

Программно-технический комплекс ДЭГ отделен от портала госуслуг и инфраструктуры электронного правительства.

Распределение ролей

Оператор единой системы идентификации и аутентификации (ЕСИА) - Минцифры России. В процессе ДЭГ ЕСИА используется в качестве внешней по отношению к ПТК ДЭГ системы идентификации и аутенфикации участника ДЭГ. Администраторы ЕСИА не имеют доступа к ПТК ДЭГ и не совмещают функции администраторов ПТК ДЭГ.

Оператор ЕПГУ - Минцифры России. На ЕПГУ гражданин РФ в электронной форме подает заявление для участия в ДЭГ, отправка которого подтверждается вводом СМС-кода, направленного на номер мобильного телефона, указанный в профиле пользователя ЕПГУ. Заявление в виде xml-файла подписывается электронной подписью ЕПГУ и средствами СМЭВ направляется в ЦИК. Результат обработки заявления отображается в личном кабинете пользователя ЕПГУ. Администраторы ЕПГУ не имеют доступа к ПТК ДЭГ и не совмещают функции администраторов ПТК ДЭГ.

Регистратор - ЦИК России. Регистратор осуществляет обработку поступивших заявлений ДЭГ, а также формирование данных для составления списков участников ДЭГ. Кроме того, он является держателем ключей регистратора по каждому голосованию и сервиса подписи вслепую открытого ключа участника ДЭГ, обеспечивающего доступ к бюллетеню.

генерация ключевой пары и разделение первого ключа шифрования бюллетеня между держателями частей ключа;
загрузка исходных данных о голосованиях, полученных от организующих выборы избирательных комиссий;
загрузка данных о поданных и учтенных заявлениях от регистратора для формирования списка участников ДЭГ;
формирование запроса на создание ключей регистратора по каждому голосованию;
генерация ключевой пары для формирования итогового ключа шифрования бюллетеней для каждого голосования;
запуск и остановка голосования;
сборка ключа из частей, полученных от держателей части ключа;
загрузка собранного ключа расшифрования в блокчейн (ключа комиссии);
запуск подсчета голосов: формирование итогового бюллетеня и его расшифровка;
получение данных об итогах голосования и протокола об итогах голосования;
подписание протокола об итогах голосования с помощью электронной подписи.

Внешний наблюдатель. Любой пользователь, осуществляющий наблюдение за процессом голосования с портала наблюдения, публикующего статистические данные о голосовании в интернете. Имеет возможность получить выгрузку транзакций из сети блокчейн в виде файлов, публикуемых на портале наблюдения. Используя программный инструментарий с открытым кодом, внешний наблюдатель может:

проверить целостность транзакции;
проверить криптографические доказательства корректности бюллетеня;
проверить корректность суммарного шифротекста;
проверить криптографические доказательства корректности расшифровки;
проверить корректность суммирования частичных расшифровок суммарного бюллетеня.

Предыстория и перспективы дистанционного электронного голосования в России

Формат ДЭГ в России впервые применили в трех избирательных округах на выборах депутатов в Московскую городскую думу 8 сентября 2019 года на базе платформы для голосования, разработанной силами ДИТ Москвы. Тогда этот опыт носил экспериментальный характер, и не обошлось без проблем: наблюдались сбои по причине неполадок в работе аппаратуры для шифрования бюллетеней [9] . Установка подобного оборудования предписывается нормативами информационной безопасности.

Платформа для удаленного голосования, разработанная в Москве, также использовалась во время голосования по поправкам к конституции, которое проходило с 25 июня до 1 июля 2020 года: система применялась в Москве и в Нижегородской области. Остальные регионы ЦИК тогда сочла недостаточно подготовленными. Кроме того, московскую платформу применяли на довыборах муниципальных депутатов в сентябре 2020 года.

В сентябре формат онлайн-голосования испытали также на довыборах в Госдуму в Курской и Ярославской областях. А в декабре 2020 года председатель ЦИК Элла Памфилова заявила, что к 2024 году электронное голосование на выборах могут внедрить по всей стране.

А в Минцифры после завершения дистанционного электронного голосования 19 сентября заявили, что их ведомство технически готово масштабировать эту систему на всю страну [13] .

Зарубежный опыт

Ряд стран уже более 10 лет ведут разработки в области систем ДЭГ, однако к масштабному их использованию пока практически никто не перешел. Это связано и с технической сложностью реализации необходимых для голосования требований, в числе которых конфиденциальность волеизъявления, открытость и прозрачность голосования, защита от вмешательства извне, и с особенностями местных выборных законодательств.

Толчок к развитию таких систем дало появление технологии распределенного реестра – блокчейна. Она позволяет закрыть ряд проблемных участков, имеющих отношение к безопасности и прозрачности. Теперь блокчейн используется в качестве основного элемента ДЭГ.

Первой страной в мире, использовавшей систему электронного голосования на республиканских выборах, является Эстония. Собственно, она на данный момент – единственная страна, где полномасштабно применяется дистанционное электронное голосование. Эта опция доступна для всех избирателей в стране.

Данный вид голосования с учитывающимся результатом в Эстонии проводится с 2005 года. В 2019 году около половины избирателей выбрали эту опцию на выборах в европейский парламент в 2019 году [14] . Удаленная аутентификация пользователей реализована с применением электронных удостоверения личности (ID-карт), которые включают сертификаты для электронной подписи.

В Норвегии, к примеру, система ДЭГ разрабатывается с 2008 года. Впервые она использовалась на парламентских выборах в 2011 году. А в 2013 году отдельной группе избирателей в качестве эксперимента разрешили голосовать через интернет в период досрочного голосования. Но в полном масштабе система пока не используется на выборах, так как остались нерешенными до конца вопросы, связанные с обеспечением тайны голосования, а также с защитой от внешних и внутренних угроз.

В США система онлайн-голосования работает в нескольких штатах страны, но летом 2020 года исследователи по кибербезопасности обнаружили в ней ряд уязвимостей. Как выяснилось, злоумышленники могут подделать голоса населения, сделав это максимально незаметно для членов избирательных комиссий. Кроме того, даже если атаки на самом деле не было, власти никак не смогут доказать, что результаты верные, утверждали исследователи из Университета Мичигана и Массачусетского технологического университета [16] . Таким образом, и в США пока не идет речь о том, чтобы разворачивать электронное дистанционное голосование в масштабах всей страны.

Executive summary: В Российских системах Дистанционного Электронного голосования допущена организационная ошибка при постановке задания, позволяющая при использовании побочного канала сбора данных о пользователях (на уровне логов вебсервера) организатору голосования нарушить тайну голосования. Разработчики специально обходят тему наличия и необходимости ликвидации такой уязвимости.

Я уже более двух лет стараюсь внимательно следить за разработкой систем Дистанционного Электронного Голосования (ДЭГ) в России. Пиратская Партия, делегировавшая меня на эту грустную работу, выступает за прямую электронную демократию, но то, что сейчас под видом электронного голосования пытаются внедрять российские власти, не является шагом к электронной демократии, а скорее - очередным элементом строительства цифрового ГУЛАГа.

Разрабатываемые системы обладают от рождения множеством недостатков, с которыми бороться стоит не только техническими, сколько организационными мерами, но как раз такие меры организаторы выборов - заказчики систем - отказываются прорабатывать. К явным недостаткам относятся невозможность контроля за составлением списка избирателей (мёртвые души), невозможность контроля за голосованием лично самим избирателем, “черный ящик” системы голосования, работа над бюллетенями неизвестного и очень широкого круга лиц, невписываемость электронного голосования в существующее законодательство, сохранение тайны голосования.

В самом общем виде требования к организации голосования на выборах описывает Федеральный закон 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации". Его шестой пункт первой статьи гласит, что никакой иной акт, касающийся выборов, не может уменьшать права, гарантированные этим законом.

Статья 1 пункт 6 ФЗ-67

6. Федеральные законы, конституции (уставы), законы субъектов Российской Федерации, иные нормативные правовые акты о выборах и референдумах, принимаемые в Российской Федерации, не должны противоречить настоящему Федеральному закону. Если федеральный закон, конституция (устав), закон субъекта Российской Федерации, иной нормативный правовой акт о выборах и (или) референдуме противоречат настоящему Федеральному закону, применяются нормы настоящего Федерального закона.

Вообще, весь текст закона можно прочитать на сайте ЦИК РФ.

Сейчас я бы хотел поговорить о сохранении тайны голосования. Статья 7 67-ФЗ гласит: “Голосование на выборах и референдуме является тайным, исключающим возможность какого-либо контроля за волеизъявлением гражданина” и, значит, ДЭГ должно исключать возможность контроля. Тайна голосования важна для того, чтобы обеспечить свободу волеизъявления, в частности, не давая возможность наказывать поддерживающих “неправильных” политиков. За свежими примерами далеко ходить не надо - наказание нелояльных работников метрополитена.

Для сохранения тайны голосования в Российском законодательстве оговорены специальные меры: однотипные бюллетени, кабинки для голосования, работа с бюллетенями исключительно независимых комиссий, запрет на фиксацию действий избирателя на участке, и т.п.

Поскольку в случае с голосованиями, проводимыми с помощью информационных систем, меры, применяемые для обычных голосований, не годятся: бюллетени фактически пронумерованы (это вообще-то противоречит 67-ФЗ), от действий пользователей остаётся слишком много следов, то для электронных голосований математиками давно придуманы специальные алгоритмы, позволяющие обеспечивать тайну голосования. А из возможностей, с трудом предоставляемых бумажными выборами, обязательной считается возможность проверки избирателем правильности учёта его голоса - математика даёт такие возможности.

В существующих системах голосования от Департамента Информационных Технологий Москвы (далее ДИТ) и от Ростелекома/ЦИК (РТК) на текущий момент применяется что-то очень похожее на разновидности “протоколов двух агентств”: у ДИТ два агентства с какими-то добавками и протокол Хэ-Су у РТК. Хотя нигде в рекламных материалах и статьях разработчиков они не будут указаны под такими названием, догадаться можно только по косвенным причинам и посмотрев отдельные приоткрытые кусочки кода. (репозитории ДИТ, РТК) И нам об этом предпочтут не рассказать, потому что, помимо красивой математики, для работы такого протокола обязательно требуются “два агентства”: одно выдаёт бюллетени, а второе - проводит подсчёт. И для обеспечения тайности голосования важно, чтобы эти агентства не могли обмениваться информацией. В современных протоколах, например Хэ-Су, заложены меры, усложняющие сговор агентств, но требуются и организационные меры.

В российских же системах двух агентств нет: оба - и ДИТ и РТК - и выдают бюллетени и пересчитывают их. Рекламные материалы и пропагандисты интенсивно рассказывают про какие-то меры, позволяющие охранять тайну голосования, но они аккуратно умалчивают о необходимости двух независимых сущностей для выдачи и подсчёта бюллетеней. А ещё нам не рассказывают о том, что протоколы тайного голосования из статьи в Википедии - это примерно как сферический конь в вакууме: для их аккуратной реализации в жизни требуется множество организационных мер, и эти протоколы не учитывают возможности нарушения тайны голосования с использованием “побочных каналов”. И это даёт возможность нарушить тайну голосования злонамеренному организатору.

А утром понедельника после выборов руководителям бюджетных организаций лягут списки неблагонадёжных работников для принятия мер. Или чуть позже, чтобы не спалиться сразу. И наверняка такой список лежит уже с прошлых голосований.

Расположившись где-то здесь, злоумышленник из числа организаторов выборов вычислит тебя по ИП! А потом и выяснит, как ты проголосовал Об информации о системах Дистанционного электронного голосования

В публичном пространстве информации о системах ДЭГ крайне мало.
Разработчики публикуют её крайне аккуратно, чтобы не вызвать излишний интерес и критику. В основном общие слова, и пиар.

Картина выше о системе разрабатывемой РТК доступна из материалов на сайте Центральной Избирательной Комиссии.

Схемы современной системы от ДИТ в публичном пространстве нет.

Я обращал внимание разработчиков этих систем на наличие подобной уязвимости (ДИТу аж с эксперимента в 2019-м году). К сожалению, в ответ получал или явную неправду или пропаганду:

в 2019-м году обещали сбор бюллетеней и подсчет результата отдать в МГИК. Но на разборе после эксперимента выяснилось, что “ну не смогли”.

На голосовании по поправке победно кричали, что “да хоть Навальному отдадим, но не отдадим, потому что безопаснось”. “И вообще, никто кроме нас (ДИТ/РТК) в России не может обеспечить такую надёжность и безопасность ИТ системы, поэтому ну не может быть у нас второго агентства”.

“Сергуниной клянёмся, что это у нас разные подразделения и никто не может сопоставить логи в такой схеме”.

Пропагандисты подпевают: “это не задача ДИТ/РТК организовывать два агентства, это должны делать МГИК/ЦИК, а раз они ничего не говорят…”

“Если такая уязвимость существует теоретически, то пока в суде не доказано, что её использовали, то и обращать на неё внимания не стоит.” (WAT?)

“Ну пользователь может постараться, скопировать ссылки, получив бюллетень подключиться к другому провайдеру и поменять идентификацию браузера, и тогда никто не узнает” (вы в это верите?)

Зато пропагандисты нам расскажут о многочисленных свистелках и перделках, якобы обеспечивающих безопасность и тайность голосования.

Казалось бы, при чём тут блокчейн? А ни при чём, при правильно организованном по такому протоколу голосовании (как в любимой пропагандистами Эстонии) неизменность и целостность результатов подтверждается иным способом.

Можно рассказать и о других недостатках/уязвимостях применяемых сейчас в России ДЭГ. Вот эта конкретная уязвимость с нарушенной тайной голосований мне кажется наиболее неприятной для голосующих избирателей и наиболее покрываемой разработчиками и пропагандистами.

Из-за того что не только исходные коды или документация на систему не публикуются (хотя про “всё опубликовано” заливаются пропагандисты), но и нормальных описаний криптопримитивов нет, есть подозрение, что в системах могут быть и специально заложенные идентификаторы для отслеживания избирателей.

И ещё, из до сих пор не опубликованного нет деталей и подтверждения корректности работы системы ДИТа в части “отложенного” голосования. Там нельзя быть уверенным в корректности итогового результата.

А РТК ещё в 2020-м году обещал в статье на Хабре рассказать про используемое в его системе доказательство с нулевым разглашением, а воз и ныне там.

К сожалению, вся работа над этими системами электронного голосования серьёзно противоречит основным принципам проведения выборов (тайна, наблюдение, гласность), принципам принятия общественно значимых нормативных актов, принципам разработки и тестирования информационных систем.

UPD: Поступил "Ответ Чемберлену" от пропагандистов

В блоге @AnalogBytes появился ответ на эту статью.

Ответ в части федеральной системы голосования (РТК).

Из этих документов совершенно не следует как будет решаться описанная в моей статье проблема. Ок, у Ростелекома есть 4 датацентра в Москве. И?

Внезапно, над упомянутым и мною и АналогБайтезами документом с кусочком Модели Угроз И Нарушителей надругался известный специалист в области безопасности А. Лукацкий. Советую прочитать это, чтобы понять как именно организаторы ДЭК относятся к подготовке существенных документов. Сравните с вот этим восторженным описанием от авторов ответа.

На самом деле на сайте ЦИК есть официальный график публикации документов, и согласно нему ещё 31 июля должно было быть опубликовано "Описание реализации протокола ДЭГ к выборам, голосование на которых состоится 17, 18 и 19 сентября 2021 г." которое может бы и давало ответы на поставленные мною вопросы, но к сожалению оно так и не опубликовано.
Нам обещают 1 сентября, но состоится ли это? Насколько содержательными будет опубликованное? Насколько опубликованное будет соответствать реальному положению дел? Как это можно будет проверить?

Что касается остальных рассказов про ". ДЭГ обеспечивает тайну голосования. ", без официальных документов это всё из разряда "~~Рабинович~~ Артамонов напел ~~Карузо~~ какую-то теорию", что в сочетании с "Дыра в безопасности несчитово пока её не проэксплуатировали", "Вы всё врёти, редиски" и хвастовством о "квалификации и ресурсах" и позволяет мне считать его частью пропаганды, достойной исторических предшественников.
Надеюсь, вы достойно оцените и такой ответ и его авторов.

31 августа в примерно в 22:00 с задержкой ровно в месяц от ранее заявленного графика опубликовано ещё два документа про федеральную систему ДЭГ:

Про протокол голосования (его надо поанализирровать внимательнее)

И "техническое описание".

"Техническое описание" вызывает странные ощущения и ни разу не добавляет определённости про корректность реализации системы, возможности наблюдения итп.
Зачем-то там СУБД Postgress. У нас же блокчейн, база то зачем? ;)
Часть ПО имеет сертификаты ФСТЭК, часть в реестре импортозамещения, а часть "просто ПО".
Зачем вражеский недоверенный CentOS, если у есть сертифицированный AltLinux?
60 гигабит ДДОСа будет достаточно.

В общем, совершенно не продвигающий нас к повышению уровня доверия к этой реализации Электронного Голосования документ.

Но и это лучше, чем у системы от ДИТА, там не опубликовано даже такого.

03 сентября 2021 года прошла встреча Венедиктова и Костырко со студентами физтеха.

Там один из студентов смело процитировал кусочек про реидентификацию из статьи.

Можно насладиться ответом Костырко: "версия операционки и браузера не позволяет реидентифицировать пользователя". Ага, только вот IP адрес он немного забыл.

Всё это видео прекрасно от начала и до конца. Венедиктов топит за Большого Брата и Цифровой Гулаг.

Читайте также: