Как гарантировать безопасность электронного голосования?

Давайте представим, человек участвует в электронном голосовании. Какой главный вопрос всплывает у большинства участников? Будет ли учтён мой голос: не потеряется ли он при обработке и как можно проверить после голосования, что мой голос повлиял на результаты голосования?

В марте 2023 года EKRE подала против избирательной комиссии судебный иск, посчитав, что электронное голосование нарушает 60-ю статью Конституции и Закон о выборах в Рийгикогу.

Не так давно компания Norstat проводила исследование по вопросу доверия населения Эстонии к результатам электронного голосования. Выводы исследования оказались столь неоднозначны, что Рийгикогу собирается обратиться к Венецианской комиссии, чтобы получить ее заключение об избирательной системе с применением электронного голосования. Для вынесения решения потребуется провести всесторонний аудит: и на соответствие законодательства Эстонии европейскому регламенту, и на соответствие разработанных программных средств местным законам, и на механизмы сбора цифровых подписей на голосованиях.

Обратимся к технологиям, которые используются в цифровой подписи. ID карта содержит ключи: открытый – используется для авторизации, закрытый – используется для шифрования. Начиная с 2017 года применяются обновлённые алгоритмы (ECDSA), разработанные Агентством национальной безопасности США с длиной ключа 192 бит и более. На простом языке это значит, что на сегодня не существует технических решений гражданского назначения, способных «взломать защиту», используя совокупную вычислительную мощность всех выпущенных процессоров на земле за всё время развития полупроводников. Таким образом, примем как аксиому, что цифровая подпись не может быть подделана гражданским лицом без владения ключом.

Ключи генерирует и передаёт для прошивки в ID-карту Удостоверяющий центр (SK ID Solutions AS – квалифицированный поставщик трастовых услуг). Европейское требование предусматривает ответственность поставщика трастовых услуг за нанесённый ущерб, то есть порядок информирования и выплаты компенсации пользователям в случае компрометации ключей или корневых сертификатов, а значит в рамках правового поля данный субъект может рассматриваться как надёжный.

Другим ключевым элементом является порядок сбора и хранения голосов. Соотношение голоса с кандидатом защищены цифровой подписью, но остаётся вопрос учёта собранных голосов. На примере местной системы электронного голосования проведём анализ.

Из открытых источников можно оценить текущую архитектуру программного обеспечения и сделать следующие выводы: нынешняя система электронного голосования гарантирует использование аутентичных голосов, но сам порядок сбора и хранения голосов не построен на принципах «нулевого доверия» (zero trust).

Что значит принцип «нулевого доверия» в контексте системы голосования? Он означает, что построение цепочки голосов и её достоверность должны быть обеспечены исключительно инструментами криптографии и не должны зависеть ни от одного объекта организации и администрирования голосования. Почему это так важно?

Причина в том, что в такой системе невозможно удалить голоса. Почему невозможно, это же компьютер, в Word возможно, а здесь почему нет? Потому что каждый голос связан с последующим, порядок их защищён с помощью криптографических методов и не может быть подделан с помощью обычного копирования, добавления или удаления. То есть физически нет возможности внести изменения, не нарушив целостность всех данных.

Есть ли возможность определить, построена ли система сбора голосов по принципу «нулевого доверия»? Да, существует практика, сложившаяся в области безопасности. Зашифрованные данные протокола голосования можно предоставить в публичный доступ, где при использовании ключа автор сможет найти в цепочке свой голос. При этом не будут раскрыты персональные данные других участников и не будет возможности изменить файл с зашифрованными данными протокола голосования, не нарушив его целостность. Таким образом, система по принципу «нулевого доверия» подразумевает разглашение данных третьей стороне с сохранением анонимности участников.

Для обеспечения такой модели потребуется так называемый блокчейн, в котором уже имеется требуемый функционал для безопасного сбора и проверки голосов. Технология блокчейн рекомендована Агентством Европейского Союза по кибербезопасности (ENISA) в документе «Data Protection Engineering» от 27 января 2022 года как удовлетворяющая требованиям GDPR.

Какие преимущества появятся при построении цепочки голосов с использованием блокчейн?

1.Обеспечение целостности результатов голосования. Подразумевает механизм криптографии, когда голос, однажды помещённый в цепочку, не может быть ни изменен, ни удалён.

2.Проверка хронологии появления голосов и их уникальность. Будет возможность увидеть распределение голосов по кандидатам и посмотреть на голоса реальных людей, не раскрывая их персональные данные.

3.Зашифрованный результат голосования будет доступен всем участникам, при этом будет обеспечена анонимность, а избиратели смогут найти и проверить свой голос в общей цепочке голосов.

Как для пользователя должен выглядеть процесс безопасного голосования?

Пользователь выбирает кандидата и ставит цифровую подпись, получая в ответ уникальный ключ. Этот ключ и является гарантом участия в голосовании и используется для проверки сохранности голосов в протоколе.

По окончании голосования всем участникам обязательно становится доступен зашифрованный полный протокол голосования, в котором любой желающий может найти свой голос. Полученный при голосовании ключ сравнивается с вычисляемым ключом, следуя по цепочке голосов до момента записи своего голосования, и гарантирует, что результаты до текущего момента не были «пересобраны»: голоса ни добавлены, ни удалены и расположены в той последовательности, в которой были приняты. Формат протокола голосов документирован, чтобы энтузиасты смогли дополнительно проверить соответствие ключей в собственном программном обеспечении и в итоге перепроверить количество голосов за каждого кандидата.

В текущей модели сбора голосов на достоверность результата может влиять человеческий фактор, хотя и предусмотрено участие сторонних наблюдателей за обработкой. Протокол голосования недоступен для участников голосования и уничтожается в короткий срок. Усугубляет ситуацию опция повторного голосования (изменение в пользу другого кандидата) в нынешней системе, в результате чего появляется дополнительный риск манипуляций.

Как выглядит картина гарантий безопасности сейчас:

1.Безопасность цифровой подписи и способ выдачи ключей обеспечены на уровне алгоритмов шифрования, где сама стойкость алгоритмов является гарантией.

2.Безопасность сбора и подсчёт голосов обеспечены на законодательном уровне, в котором не используется концепция «нулевого доверия».

Таким образом, на сегодня имеется надёжный инструмент в виде цифровой подписи для проведения электронных голосований, но не представлен ни сам протокол, ни инструменты для проверки его целостности и количества собранных голосов. Как следствие, это может влиять на степень доверия к результатам электронного голосования.

Подводя итоги, можно сказать, если механизм сбора и хранения голосов будет регламентирован строго криптографическими решениями по принципу «нулевого доверия» вне зависимости от человеческого фактора, то будет гарантирована надёжность. Если зашифрованный протокол будет предоставлен участникам голосования, то будет обеспечена проверяемость. Технологии для этого есть, вопрос в желании их внедрить и использовать.

Организация системы электронного голосования в Европейском Союзе регулируется местным законодательством в стране, где проходят выборы, а любая гражданская инициатива полезна для открытого общества.