каждый участник может проверить, правильно ли зачтён его голос. В Москве проверят систему дистанционного электронного голосования (ДЭГ).
Валерий Вашура: «Дистанционное электронное голосование не заменяет традиционную форму»
| Голоса россиян переведут в цифру. Почему голосование через "Госуслуги" становится нормой | По нему, с помощью специального сервиса на портале наблюдения ДЭГ, можно будет найти транзакцию и убедиться в ее наличии в блокчейн. |
| Как на самом деле в ДЭГ обеспечивают тайну голосования - LIVE Биробиджан - Новости ЕАО | ДЭГ подразумевает сбор голосов граждан без использования бумажных бюллетеней, но с помощью специального программного обеспечения. |
| Тренировка для ДЭГ. Как поучаствовать в тестировании системы онлайн-голосования? | В Москве проведут проверку результатов дистанционного электронного голосования (ДЭГ), сообщил руководитель столичного общественного штаба по наблюдению за выборами Алексей Венедиктов. |
| Московский штаб решил пересчитать голоса ДЭГ | Заранее проверить свое устройство и браузер на соответствие минимальным требованиям корректной работы портала ДЭГ. |
Онлайн-выборам продолжают портить репутацию
Он заверил, что партия власти будет последовательно развивать цифровые сервисы, а единороссы станут «апологетами» этого движения, для того чтобы эти сервисы были внедрены на территории всей страны. На самом деле все эти возможности по наблюдению были и раньше, пояснил «Ведомостям» электоральный эксперт, исследователь ДЭГ Дмитрий Нестеров. Сейчас ЦИК формально отделил «цифровых» наблюдателей, которым доступна выгрузка зашифрованных транзакций на портале, от тех, кто физически может наблюдать в ТИК ДЭГ, сказал он. Также будут обновлены программные инструменты для работы с публикуемыми на портале данными, добавил Нестеров.
Но проблемы остаются: у наблюдателей и членов комиссий нет возможности проверить, что голосуют именно реальные избиратели, говорит он.
Значит ли это, что выборы вообще надо отменить, так как эффективных средств контроля за ними на практике нет? Очевидно, нет. Ещё Черчилль отметил, что демократия — худшая форма правления, если не считать всех остальных, испробованных человечеством. Вопрос в том, какими средствами можно улучшить существующую систему голосования, снизив вероятность и масштаб фальсификаций в ней. Например, в случае бумажного голосования таким средством могут стать КОИБы комплексы обработки избирательных бюллетеней , подсчитывающие бюллетени в момент их подачи избирателем и тем самым пресекающие постфактумные манипуляции с ними. Да, вопрос доверия к ним — тоже больной см.
То же самое касается и ДЭГ. Главный вопрос не в том, что в Википедии описана реализация сферического ДЭГ в вакууме — вопрос в том, можно ли техническими средствами построить достаточно надёжную систему ДЭГ в реальном мире. Ослепление избирателя: обеспечение тайны голосования без двух независимых агентств В Эстонии на данную проблему, как мы выяснили ранее, попросту забили: там избиратель подписывает бюллетень секретной частью ключевой пары, публичная часть которой государству известна и с конкретным физлицом сопоставлена. Потом, уже после завершения голосования, эта подпись уничтожается. В принципе, это всё равно, что вместо записи в книгу избирателей на обычном голосовании прятать свой бюллетень в конверт с ФИО, паспортными данными и подписью — и в таком виде в урну и бросать собственно, аналогия и взята с эстонских государственных порталов. В России, где уровень доверия к выборам и комиссиям и так крайне низок, так вряд ли бы получилось. Поэтому в российском ДЭГ был использован значительно более сложный механизм, именуемый «слепой подписью», смысл которого в том, чтобы в двух агентствах — неважно, независимы они или нет — попросту не существовало бы единого признака, по которому они могли бы сопоставить избирателя и его бюллетень.
Если пытаться изложить это максимально кратко, схема выглядит так: Избиратель заходит на сайт голосования и авторизуется через ЕСИА в простонародье «Госуслуги», но мы-то с вами знаем, что это разные системы. Система ДЭГ, получив из ЕСИА данные учётной записи избирателя, проверяет, есть ли он в книге избирателей, и выдаёт бюллетени, соответствующие выборам, проходящим по его месту жительства. На бюллетенях нет никаких идентификационных признаков, они одинаковы до последнего бита у всех избирателей. На устройстве избирателя код выполняется в браузере генерируется ключевая пара — секретный и публичный ключ. Назовём публичный ключ K, а секретный — S. Публичный ключ маскируется — например, домножается на какое-то случайное, также только что сгенерированное, число. Одновременно сервер передаёт на смартфон избирателя свой публичный ключ голосования одинаковый для всех избирателей.
Заполненный бюллетень на устройстве избирателя шифруется публичным ключом голосования и подписывается секретным ключом избирателя S. Зашифрованный и подписанный бюллетень отправляется на сервер приёма бюллетеней, к нему прикладывается публичный ключ избирателя K и полученная в пункте 9 подпись этого ключа С. Так как публичный ключ избирателя был создан на его устройстве при получении бюллетеня «с нуля», то сервер приёма бюллетеней ничего о нём не знает — однако может проверить его подпись C, а после этого — проверить, что бюллетень действительно подписан секретной частью этого же ключа. Если на оба пункта ответ положительный — значит, бюллетень был выдан настоящему избирателю той частью системы, которая ещё знала ФИО этого избирателя. Система отправляет бюллетень на хранение в блокчейн. В этой схеме нет ни одного признака, который присутствовал бы одновременно на сервере, выдающем пустые бюллетени, и сервере, принимающем заполненные бюллетени, и позволил бы установить соответствие между бюллетенем и физлицом, его заполнявшим. Обратите также внимание: анонимизация по сути происходит на устройстве пользователя, большая часть алгоритмов выполняется в его браузере, то есть, их код и состав отправляемых на сервера данных может проверить любой желающий.
Соответственно, даже без знания серверной части кода можно с достаточной уверенностью судить о том, корректно или некорректно реализована эта схема.
Назовём публичный ключ K, а секретный — S. Публичный ключ маскируется — например, домножается на какое-то случайное, также только что сгенерированное, число. Одновременно сервер передаёт на смартфон избирателя свой публичный ключ голосования одинаковый для всех избирателей. Заполненный бюллетень на устройстве избирателя шифруется публичным ключом голосования и подписывается секретным ключом избирателя S. Зашифрованный и подписанный бюллетень отправляется на сервер приёма бюллетеней, к нему прикладывается публичный ключ избирателя K и полученная в пункте 9 подпись этого ключа С.
Так как публичный ключ избирателя был создан на его устройстве при получении бюллетеня «с нуля», то сервер приёма бюллетеней ничего о нём не знает — однако может проверить его подпись C, а после этого — проверить, что бюллетень действительно подписан секретной частью этого же ключа. Если на оба пункта ответ положительный — значит, бюллетень был выдан настоящему избирателю той частью системы, которая ещё знала ФИО этого избирателя. Система отправляет бюллетень на хранение в блокчейн. В этой схеме нет ни одного признака, который присутствовал бы одновременно на сервере, выдающем пустые бюллетени, и сервере, принимающем заполненные бюллетени, и позволил бы установить соответствие между бюллетенем и физлицом, его заполнявшим. Обратите также внимание: анонимизация по сути происходит на устройстве пользователя, большая часть алгоритмов выполняется в его браузере, то есть, их код и состав отправляемых на сервера данных может проверить любой желающий. Соответственно, даже без знания серверной части кода можно с достаточной уверенностью судить о том, корректно или некорректно реализована эта схема.
Итак, зафиксируем первый пункт: в официальном дизайне системы приняты меры к соблюдению тайны голосования даже в том случае, если два агентства не являются независимыми. Атака сбоку: раскрытие тайны голосования через логгирование Тем не менее, все мы понимаем, что теоретически бюллетень и избирателя можно сопоставить по косвенным данным — ведя на серверах системы детальные логи: IP-адрес, браузер, время отправки и получения бюллетеня, а потом сопоставив на одном компоненте их с ФИО избирателя, а на другом — с бюллетенем. Доказать полную невозможность реализации такой схемы нереально. Ни реализация сферического протокола двух агенств в вакууме, ни аудит исходных кодов, ни допуск независимых экспертов в ЦОД — ничто из этого не даёт гарантии, что где-то в системе не осталась хорошо спрятанная закладка, логгирующая и сохраняющая или отправляющая данные, позволяющие идентифицировать избирателя. Поэтому оценка подобной угрозы также делается по косвенным признакам: есть ли основания полагать, что в системе предусмотрена такая возможность? Естественно, на оба вопроса ответ может быть только вероятностный — но с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят.
Ответы на подобные вопросы каждый должен дать себе сам, однако приведём наши варианты вместе со стоящей за ними логикой. Тем не менее, последний вопрос — довольно серьёзный, ведь если такие списки существуют, как утверждает Александр Исавнин в недавней статье, то сам этот факт обнуляет все разговоры о соблюдении тайны голосования. По этой причине мы запросили как у Александра Исавнина, так и у его коллеги, члена ТИК и члена технической рабочей группы ДИТ Москвы по электронному голосованию Евгения Федина, есть ли у них какие-то фактические свидетельства наличия таких списков. Александр Исавнин ответил «Вы — наследники сурковской пропаганды! Наверное, на этом вопрос можно считать закрытым. Соответственно, на данный момент можно с увереностью говорить, что: в заявленном дизайне системы способов нарушить тайну голосования не наблюдается; так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному; фактических примеров нарушения тайны голосования на предыдущих двух случаях массового использования ДЭГ в России зафиксировано не было.
Скрыть нельзя показать: проверка избирателем собственного голоса Ещё один интересный вопрос, косвенно относящийся к тайне голосования — это возможность для самого избирателя проверить, был ли учтён его голос. В московской системе ДЭГ такая возможность есть, хоть и неофициальная — надо было в момент голосования открыть отладочные инструменты браузера и записать передаваемые на сервер параметры, чтобы потом найти по ним свой бюллетень. Бюллетени отправлялись и хранились в блокчейне в зашифрованном виде, однако перед подсчётом голосов они расшифровывались. Такая схема вызывает опасения в том, что проверка голоса может быть использована для обеспечения голосования под давлением или продажи голосов избирателей — в качестве подтверждения «правильности» голосования заказчик потребует предъявить ему результат проверки.
Мы всегда делаем тестовое голосование не трехдневным, а очень коротким, чтобы нагрузка была сопоставимой». Пока вопрос для будущего теста не определен, его выберут из самых интересных. Варианты будут принимать на почту info opmoscow. В предыдущем тестировании, которое состоялось 25 августа 2023 года, поучаствовали почти 430 тыс. Все прошло без инцидентов.
Авторы блокчейн ДЭГ раскрыли алгоритм проверки голосов с «отложенным решением»
Мы нашли способ проверить, правильно ли был учтён голос, поданный через систему ДЭГ. При этом, с помощью портала для наблюдения абсолютно все избиратели смогут проверить свой голос с помощью идентификатора транзакции, который будет доступен по завершении процедуры голосования. Суд отказался пересматривать итоги ДЭГ на том основании, что оспоривший их гражданин не был допущен на выборы в качестве наблюдателя. Глава ТИК ДЭГ на выборах 10 сентября 2023 года Олег Артамонов напоминает, что обычно тест системы идет в несколько этапов.
Эксперт рассказал, как проверить учет голосов при электронном голосовании
| Россиянам рассказали, как считали голоса в системе ДЭГ в Москве | Проверить, доступна ли эта опция, можно на сайте |
| Движение «Голос» – Telegram | В последний момент разработчики отказались от создания сервиса для проверки избирателем правильности учёта голоса в системе, а наблюдатели не получили ключ для расшифровки голосов и полный доступ к коду системы. |
Как в Петербурге проходит тренировка системы дистанционного электронного голосования
Итоги ДЭГ перевернули результаты выборов в столице, после чего многие кандидаты и штабы завалили ЦИК жалобами на манипуляции электронными голосами. Вы можете проверить устройство и браузер на соответствие минимальным требованиям корректной работы портала ДЭГ. Команда разработки в «Лаборатории Касперского» работает над ускорением проверки отложенных голосов в будущих голосованиях. Подсчёт голосов в ДЭГ был сделан какими-то непубличными системами, надо выносить их в паблик.
Общественный штаб рассказал о том, как проверяют голоса с «отложенным решением»
Эксперты объяснили, что технология выборки из голосов, поданных последними и предназначенных для учёта итогов, подразумевает одновременную работу блокчейн-сетей и специализированного криптографического сервиса, которые находятся в геораспределённом центре обработки данных. Для того, чтобы посчитать такие голоса, необходимо было дополнительное время. По словам представителей «Лаборатории Касперского», это связанно с надобностью дополнительной проверки — следует убедиться, что механизм учел именно последнее решение.
Экспертный взгляд на жизнь регионов РФ Информационное агентство «ФедералПресс» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор 21. При заимствовании сообщений и материалов информационного агентства ссылка на первоисточник обязательна. Документ, устанавливающий правила применения рекомендательных технологий от платформы рекомендаций СМИ24.
Об этом сообщил руководитель учреждения Алексей Венедиктов в понедельник, 20 сентября. Отмечается, что мнения воспользовавшихся функцией отложенного решения голосующих будут дополнительно пересмотрены. Такая процедура необходима для корректности результатов.
В этом году патриотизм впервые начнут массово внедрять в школах, свои ответственные за это направление появились и в крупных вузах страны, и даже в министерствах. Так что же такое патриотизм в России?
Может ли патриотизм быть конъюнктурным? Стала ли милитаризация благодатной почвой для патриотизма? Говорим об этом в «Избранном» сегодня в 19:00 мск с антропологом Александрой Архиповой.
Мосгоризбирком прокомментировал новости о перепроверке электронного голосования после иска КПРФ
В Общественной палате РФ смогут проверить, корректно ли учтен голос избирателя в системе дистанционного электронного голосования (ДЭГ) на выборах в сентябре. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть (и показать другим). Разработчики блокчейна дистанционного электронного голосования (ДЭГ) раскрыли технические детали проверки голосов с «отложенным решением».
Как убедиться в том, что ваш голос учтён при голосовании с помощью ДЭГ?
Он подчеркнул: никто не сможет проверить, действительно ли человек проголосовал. Однако они никогда не узнают, за кого этот человек проголосовал, так как система обеспечивает полную конфиденциальность голосования. Об этом пишет RTVI.
Более того, для зарегистрированных наблюдателей будут доступны утилиты для загрузки архивов транзакций и верификации бюллетеней и итогов голосования, а также исходные коды частей программного обеспечения ПТК ДЭГ. Наблюдатели смогут работать со всем массивом информации, зарегистрированной в блокчейне ПТК ДЭГ, в любой удобный им момент времени. Возникли в ходе тестирования и первые вопросы. Так, в Камчатском крае был обнаружен «лишний бюллетень»: число принятых бюллетеней оказалось на один больше числа выданных. Эта ошибка даёт избирателю возможность повторить отправку бюллетеня — что он и сделал.
Обсуждаемая модель угроз работает с третьей категорией — она описывает, какие именно угрозы от каких именно злоумышленников, от иностранных спецслужб до недобросовестных сотрудников, могут быть направлены против ПТК ДЭГ. Полный текст модели угроз и нарушителя это примерно полтораста страниц пока что ЦИК России не опубликован, однако на одном из заседаний экспертной группы при ЦИК была представлена презентация с основными тезисами, на базе которых МУиН формируется. На днях была выложена также выписка из модели угроз , но ничего принципиально нового она нам не добавляет.
Традиционный вопрос журналистов про МУиН, в принципе, очевиден и предельно банален — «а предусмотрена ли защита от иностранных хакеров? Однако нас больше интересует вторая часть таблички — это угрозы внутренние. Как можно заметить, в число возможных нарушителей включены все, начиная от уборщицы в ЦОД и заканчивая администраторами системы. Второй слайд — про то, от чего система защищается. По сути, на нём перечислены требования, которым должна удовлетворять любая а не только электронная система голосования: голосование должно быть тайным; избиратель не должен иметь возможности проголосовать дважды; голоса избирателей должны быть учтены именно так, как они были поданы; не должно быть возможности узнать промежуточный результат голосования. Например, в бумажном голосовании это реализуется довольно очевидными способами: на бумажном бюллетене нет никаких отметок, которые позволили бы по нему установить, кому он был выдан; факт голосования отмечается в списке избирателей, где избиратель расписывается в получении бюллетеня; пересчёт бюллетеней производится в присутствии наблюдателей; до окончания голосования бюллетени находятся в опечатанной урне, которую запрещено вскрывать. С электронными системами всё на порядок сложнее. Больше всего вопросов вызывает сочетание первого и второго пунктов — многие, например, просто априори не верят в возможность соблюдения тайны голосования в системах ДЭГ более того, как мы видели на примере эстонской системы, она там действительно соблюдается условно: заполненные бюллетени не анонимны сами по себе, но анонимизируются уже на сервере. Протокол, который невозможен Итак, нам необходимо сначала выдать избирателю бюллетень, а потом принять его уже заполненным — но по пути забыть, как звали этого избирателя. Но при этом быть уверенными, что заполненный бюллетень мы принимаем именно от избирателя, а не от случайного прохожего.
С «бумагой» всё достаточно просто — показав паспорт и получив бюллетень, избиратель должен проследовать к урне и опустить его туда. Если он вместо этого проследовал на выход с участка, то проголосовать он уже не сможет кстати, на каждом УИК есть какое-то ненулевое количество таких избирателей — никто не знает, зачем они так делают, но точное совпадение выданных и полученных бюллетеней политтехнологами даже считается признаком явного вброса: при подсчёте дорисовали недостающее. С цифрой всё намного сложнее — мы не стоим рядом с избирателем, когда он получает бюллетень, мы вообще никак не видим этого процесса. Вот бюллетень выдали — а вот он вернулся заполненным, например, через десять минут. Никакими внешними признаками удостовериться, что вернулся именно выданный бюллетень, невозможно. Соответственно, сам бюллетень должен нести неподделываемый sic! Теоретически, вот уже три десятилетия в академической среде пишутся и публикуются работы по протоколам тайных электронных голосований, краеугольным камнем в которых является так называемый «протокол двух агентств»: одно агентство удостоверяет личность человека и выдаёт некий признак, по которому второе может определить, что этот человек имеет право голосовать, не зная его личность. Критичным — и самым слабым — моментом является независимость этих агентств: если они могут обменяться информацией и выстроить полную цепочку путешествия избирателя по системе, то они смогут и сопоставить конкретный бюллетень с конкретным избирателем, тем самым разрушив тайну голосования. Проблема в том, что эта красивая конструкция со всей очевидностью не может быть перенесена в реальность: ни в одной стране мира нет таких двух агентств, которые и обладали бы техническими ресурсами и квалификацией для поддержания куска инфрасктруктуры ДЭГ, и не вызывали бы подозрений в попытках, например, саботировать выборы, и были бы абсолютно независимы друг от друга. Государственные агентства никогда не бывают полностью независимы, к коммерческим компаниям нет доверия, у конкурирующих партий нет квалификации и ресурсов.
Более того, утечка информации может произойти и вообще без прямого участия одного из агентств: разработчиком может быть попросту поставлена в одно или в оба агентства система с бэкдором, сливающая информацию об избирателях третьей стороне. Даже если система поставляется в исходных кодах — а это маловероятно, так как накладывает ещё большие требования на квалификацию каждого из агентств в IT — в огромном объёме этого кода бэкдор можно запрятать так, что его не найдут ещё много-много лет. Иногда этот тезис используется как довод в пользу полного отказа от ДЭГ — и, конечно, он бы был справедлив, если бы другие формы голосования были бы лучше. Например, доводы сторонников классического бумажного голосования сводятся к тому, что физически присутствующие на участках наблюдатели могут проконтролировать каждое действие комиссии и избирателей, не допустив никакого беззакония.
Как обеспечивается анонимность онлайн голосования? Для обеспечения анонимности применяется криптографический алгоритм. Электронный бюллетень передается в систему в зашифрованном виде. Какие данные доступны наблюдателям? Наблюдатели видят только статистику голосования — информацию о количестве избирателей, выданных и принятых бюллетеней, а также этапы подсчета голосов. Доступа к содержанию бюллетеней или персональным данным избирателей у них нет Как подсчитываются голоса? Подсчет голосов происходит вместе с их фиксацией в блокчейне.
Общественный штаб: Сомневающиеся могут убедиться в корректном подсчете голосов ДЭГ
Мне же в этой истории более интересно, будет ли текущий блокчейн идентичен блокчейну, использованному в ДЭГ, и можно ли это проверить. Дистанционное электронное голосование (ДЭГ) — онлайн-голосование без посещения избирательного участка. Запись на ДЭГ продолжается, а всего на участках и онлайн потенциально могут проголосовать около 65 миллионов избирателей. В настоящее время команда разработки в «Лаборатории Касперского» работает над ускорением проверки отложенных голосов в будущих голосованиях. То есть кандидат и наблюдатель сталкивается с системой ДЭГ, которую нельзя проверить собственными силами, убедиться в её открытости, прозрачности или гласности. В семи регионах избиратели смогут проголосовать удалённо, используя федеральную систему дистанционного э Смотрите видео онлайн «Как проверить свой голос на электронном голосовании.
Как в Петербурге проходит тренировка системы дистанционного электронного голосования
«Криптонит» (входит в «ИКС Холдинг») провел исследование стойкости трех криптографических механизмов федеральной системы дистанционного электронного голосования (ДЭГ), это было сделано в преддвериии единого дня голосования в 2023 году. Им необходимо заранее проверить актуальность своих данных на портале и там же оставить свой голос. Запись на ДЭГ продолжается, а всего на участках и онлайн потенциально могут проголосовать около 65 миллионов избирателей. Решение о внедрении ДЭГ было политическим, система создавалась в минимальные сроки.
Техгруппа по проверке итогов ДЭГ не выявила наличие фальсификаций
Обратите также внимание: анонимизация, по сути, происходит на устройстве пользователя, большая часть алгоритмов выполняется в его браузере, то есть, их код и состав отправляемых на сервера данных может проверить любой желающий. Соответственно, даже без знания серверной части кода можно с достаточной уверенностью судить о том, корректно или некорректно реализована эта схема. Итак, зафиксируем первый пункт: в официальном дизайне системы приняты меры к соблюдению тайны голосования даже в том случае, если два агентства не являются независимыми. Атака сбоку: раскрытие тайны голосования через логгирование Тем не менее, все мы понимаем, что теоретически бюллетень и избирателя можно сопоставить по косвенным данным — ведя на серверах системы детальные логи: IP-адрес, браузер, время отправки и получения бюллетеня, а потом сопоставив на одном компоненте их с ФИО избирателя, а на другом — с бюллетенем. Доказать полную невозможность реализации такой схемы нереально. Ни реализация сферического протокола двух агенств в вакууме, ни аудит исходных кодов, ни допуск независимых экспертов в ЦОД — ничто из этого не даёт гарантии, что где-то в системе не осталась хорошо спрятанная закладка, логгирующая и сохраняющая или отправляющая данные, позволяющие идентифицировать избирателя. Поэтому оценка подобной угрозы также делается по косвенным признакам: есть ли основания полагать, что в системе предусмотрена такая возможность? Естественно, на оба вопроса ответ может быть только вероятностный — но, с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят.
Ответы на подобные вопросы каждый должен дать себе сам, однако приведём наши варианты вместе со стоящей за ними логикой. Тем не менее, последний вопрос — довольно серьёзный, ведь если такие списки существуют, как утверждает Александр Исавнин в недавней статье, то сам этот факт обнуляет все разговоры о соблюдении тайны голосования. По этой причине мы запросили как у Александра Исавнина, так и у его коллеги, члена ТИК и члена технической рабочей группы ДИТ Москвы по электронному голосованию Евгения Федина, есть ли у них какие-то фактические свидетельства наличия таких списков. Александр Исавнин ответил «Вы — наследники сурковской пропаганды! Наверное, на этом вопрос можно считать закрытым. Соответственно, на данный момент можно с уверенностью говорить, что: в заявленном дизайне системы способов нарушить тайну голосования не наблюдается; так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному; фактических примеров нарушения тайны голосования на предыдущих двух случаях массового использования ДЭГ в России зафиксировано не было. Скрыть нельзя показать: проверка избирателем собственного голоса Ещё один интересный вопрос, косвенно относящийся к тайне голосования — это возможность для самого избирателя проверить, был ли учтён его голос.
В московской системе ДЭГ такая возможность есть, хоть и неофициальная — надо было в момент голосования открыть отладочные инструменты браузера и записать передаваемые на сервер параметры, чтобы потом найти по ним свой бюллетень. Бюллетени отправлялись и хранились в блокчейне в зашифрованном виде, однако перед подсчётом голосов они расшифровывались. Такая схема вызывает опасения в том, что проверка голоса может быть использована для обеспечения голосования под давлением или продажи голосов избирателей — в качестве подтверждения «правильности» голосования заказчик потребует предъявить ему результат проверки. По этой причине, в частности, возможность оставалась доступной только для технарей с высокой квалификацией, и не выносилась в интерфейс пользователя. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть и показать другим. Для этого вместо одного ключа шифрования бюллетеня будут создаваться два: единый ключ шифрования, создающийся на отключённом от сети ноутбуке в присутствии СМИ и наблюдателей. Его секретная половина разделяется на части и раздаётся на флэшках нескольким людям, публичная же на флэшке переносится на сервер голосования, после чего либо данные на ноутбуке уничтожаются также в присутствии СМИ и наблюдателей , либо ноутбук опечатывается и убирается в сейф; ключевые пары, генерирующиеся для каждого проходящего голосования, публичная часть которых передаётся на сервера, а секретная остаётся в HSM — аппаратном модуле, которые позволяет выполнить расшифровку загружаемых в него данных, но не позволяет скачать из него ключ.
Оба публичных ключа при выдаче бюллетеня передаются вместе с ним на устройство избирателя, где бюллетень шифруется ими. Зашифрованные бюллетени складываются в блокчейн. Просто так взять и расшифровать бюллетени становится невозможным: так как ответная часть одного из ключей хранится в HSM, расшифровка доступна только людям, имеющим к данному HSM доступ. Но для подсчёта голосов это и не требуется: в федеральной ДЭГ используется гомоморфное шифрование, которое позволяет сначала складывать данные, а потом расшифровывать результат. Чтобы подвести итоги голосования: бюллетени, зашифрованные двумя ключами, складываются, в результате чего в силу гомоморфности используемых алгоритмов шифрования получается зашифрованный теми же двумя ключами результат сложения; результат сложения отправляется в HSM, где с него снимается первый ключ; владельцы флэшек с частями второго ключа собираются вместе снова в присутствии СМИ и проводят процедуру сборки ключа из его частей; собранный ключ публикуется, с его помощью окончательно расшифровывается результат голосования.
По его словам, отложенным голосованием воспользовалось около 16 процентов зарегистрированных в системе онлайн-голосования граждан. Руководитель общественного штаба подчеркнул, что дополнительная проверка потребует большего количества времени. Однако она необходима для обеспечения честных и прочных выборов, пояснили на официальном сайте Общественной палаты города Москвы.
При заимствовании сообщений и материалов информационного агентства ссылка на первоисточник обязательна. Документ, устанавливающий правила применения рекомендательных технологий от платформы рекомендаций СМИ24.
Напомним, почти два миллиона жителей столицы воспользовались системой ДЭГ на прошедших выборах. В ходе выборов депутатов Госдумы больше всего голосов набрала ЕР.