В последний момент разработчики отказались от создания сервиса для проверки избирателем правильности учёта голоса в системе, а наблюдатели не получили ключ для расшифровки голосов и полный доступ к коду системы. Команда разработки в «Лаборатории Касперского» работает над ускорением проверки отложенных голосов в будущих голосованиях. То есть кандидат и наблюдатель сталкивается с системой ДЭГ, которую нельзя проверить собственными силами, убедиться в её открытости, прозрачности или гласности. Запись на ДЭГ продолжается, а всего на участках и онлайн потенциально могут проголосовать около 65 миллионов избирателей.
Инструкция как проголосовать ДЭГ
Столичные власти дали всем желающим возможность расшифровать и проверить результаты дистанционного электронного голосования (ДЭГ), проводившегося 17-19 сентября в Москве. На выборах Президента Российской Федерации дистанционное электронное голосование применяется в 28 регионах на федеральной платформе ДЭГ и в одном регионе (Москва) – на региональной платформе ДЭГ. Запись на ДЭГ продолжается, а всего на участках и онлайн потенциально могут проголосовать около 65 миллионов избирателей. То есть можно получить некий набор символов, а потом проверить, верно ли учтен голос. То есть кандидат и наблюдатель сталкивается с системой ДЭГ, которую нельзя проверить собственными силами, убедиться в её открытости, прозрачности или гласности.
Авторы блокчейн ДЭГ раскрыли алгоритм проверки голосов с «отложенным решением»
Система отправляет бюллетень на хранение в блокчейн. В этой схеме нет ни одного признака, который присутствовал бы одновременно на сервере, выдающем пустые бюллетени, и сервере, принимающем заполненные бюллетени, и позволил бы установить соответствие между бюллетенем и физлицом, его заполнявшим. Обратите также внимание: анонимизация по сути происходит на устройстве пользователя, большая часть алгоритмов выполняется в его браузере, то есть, их код и состав отправляемых на сервера данных может проверить любой желающий. Соответственно, даже без знания серверной части кода можно с достаточной уверенностью судить о том, корректно или некорректно реализована эта схема. Итак, зафиксируем первый пункт: в официальном дизайне системы приняты меры к соблюдению тайны голосования даже в том случае, если два агентства не являются независимыми. Атака сбоку: раскрытие тайны голосования через логгирование Тем не менее, все мы понимаем, что теоретически бюллетень и избирателя можно сопоставить по косвенным данным — ведя на серверах системы детальные логи: IP-адрес, браузер, время отправки и получения бюллетеня, а потом сопоставив на одном компоненте их с ФИО избирателя, а на другом — с бюллетенем. Доказать полную невозможность реализации такой схемы нереально. Ни реализация сферического протокола двух агенств в вакууме, ни аудит исходных кодов, ни допуск независимых экспертов в ЦОД — ничто из этого не даёт гарантии, что где-то в системе не осталась хорошо спрятанная закладка, логгирующая и сохраняющая или отправляющая данные, позволяющие идентифицировать избирателя. Поэтому оценка подобной угрозы также делается по косвенным признакам: есть ли основания полагать, что в системе предусмотрена такая возможность? Естественно, на оба вопроса ответ может быть только вероятностный —, но с другой стороны, и ответ на вопрос «нет ли на избирательных участках над кабинкой скрытой камеры, подключённой к системе распознавания лиц» — тоже вероятностный, обследовать помещение вас в общем случае не пустят.
Ответы на подобные вопросы каждый должен дать себе сам, однако приведём наши варианты вместе со стоящей за ними логикой. Тем не менее, последний вопрос — довольно серьёзный, ведь если такие списки существуют, как утверждает Александр Исавнин в недавней статье, то сам этот факт обнуляет все разговоры о соблюдении тайны голосования. По этой причине мы запросили как у Александра Исавнина, так и у его коллеги, члена ТИК и члена технической рабочей группы ДИТ Москвы по электронному голосованию Евгения Федина, есть ли у них какие-то фактические свидетельства наличия таких списков. Александр Исавнин ответил «Вы — наследники сурковской пропаганды! Наверное, на этом вопрос можно считать закрытым. Соответственно, на данный момент можно с увереностью говорить, что: в заявленном дизайне системы способов нарушить тайну голосования не наблюдается; так как значительная часть алгоритмов реализована на устройстве пользователя, даже не имея доступа в ЦОД к серверной части системы, можно убедиться, что фактический дизайн системы в части алгоритмов обеспечения тайны голосования соответствует заявленному; фактических примеров нарушения тайны голосования на предыдущих двух случаях массового использования ДЭГ в России зафиксировано не было. Скрыть нельзя показать: проверка избирателем собственного голоса Ещё один интересный вопрос, косвенно относящийся к тайне голосования — это возможность для самого избирателя проверить, был ли учтён его голос. В московской системе ДЭГ такая возможность есть, хоть и неофициальная — надо было в момент голосования открыть отладочные инструменты браузера и записать передаваемые на сервер параметры, чтобы потом найти по ним свой бюллетень. Бюллетени отправлялись и хранились в блокчейне в зашифрованном виде, однако перед подсчётом голосов они расшифровывались.
Такая схема вызывает опасения в том, что проверка голоса может быть использована для обеспечения голосования под давлением или продажи голосов избирателей — в качестве подтверждения «правильности» голосования заказчик потребует предъявить ему результат проверки. По этой причине, в частности, возможность оставалась доступной только для технарей с высокой квалификацией, и не выносилась в интерфейс пользователя. В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть и показать другим. Для этого вместо одного ключа шифрования бюллетеня будут создаваться два: единый ключ шифрования, создающийся на отключённом от сети ноутбуке в присутствии СМИ и наблюдателей. Его секретная половина разделяется на части и раздаётся на флэшках нескольким людям, публичная же на флэшке переносится на сервер голосования, после чего либо данные на ноутбуке уничтожаются также в присутствии СМИ и наблюдателей , либо ноутбук опечатывается и убирается в сейф; ключевые пары, генерирующиеся для каждого проходящего голосования, публичная часть которых передаётся на сервера, а секретная остаётся в HSM — аппаратном модуле, которые позволяет выполнить расшифровку загружаемых в него данных, но не позволяет скачать из него ключ. Оба публичных ключа при выдаче бюллетеня передаются вместе с ним на устройство избирателя, где бюллетень шифруется ими. Зашифрованные бюллетени складываются в блокчейн. Просто так взять и расшифровать бюллетени становится невозможным: так как ответная часть одного из ключей хранится в HSM, расшифровка доступна только людям, имеющим к данному HSM доступ. Но для подсчёта голосов это и не требуется: в федеральной ДЭГ используется гомоморфное шифрование, которое позволяет сначала складывать данные, а потом расшифровывать результат.
Электронное голосование проводилось в семи субъектах Федерации: городах Москве и Севастополе, Курской, Мурманской, Нижегородской, Ростовской и Ярославской областях. Все избиратели — участники ДЭГ должны были быть зарегистрированы на портале госуслуг с подтвержденной учетной записью. Закон 2022 года о единых правилах проведения дистанционного электронного голосования 11 марта 2022 года Госдума приняла законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации", который касается в том числе единых правил применения на выборах и референдумах дистанционного электронного голосования. В тот же день документ был одобрен Советом Федерации и 14 марта 2022 года подписан президентом России.
Поправки были внесены, в частности, в закон "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации". Новые нормы предусматривают, что при проведении выборов и референдумов голосование может проводиться в дистанционной электронной форме по решению ЦИК РФ или соответствующей избирательной комиссии. Решение о применении ДЭГ на федеральных выборах принимает Центризбирком, он же устанавливает требования для электронных систем голосования. Зарегистрироваться для участия в онлайн-голосовании нужно через специальный интернет-портал.
Проголосовать можно только один раз. Он может воспользоваться техническими средствами для участия в ДЭГ непосредственно в помещении для голосования или ином помещении в случаях, которые определены порядком такого голосования. Для участия в электронном голосовании на федеральной платформе избирателю необходимо зарегистрироваться на портале vybory. Подать заявление на участие в ДЭГ можно в период от 45 до 3 дней до дня голосования.
Голосование проходит с 08:00 первого дня голосования до 20:00 последнего дня по местному времени. Для подготовки и проведения онлайн-голосования формируется территориальная избирательная комиссия ДЭГ. В Москве онлайн-голосование проводится с использованием специального программного обеспечения регионального портала государственных и муниципальных услуг, который является частью государственной информационной системы "Дистанционное электронное голосование". Электронное голосование в 2022 и 2023 годах В сентябре 2022 года во время единого дня голосования система ДЭГ применялась в восьми регионах.
Впервые в системе дистанционного электронного голосования в Москве, развитием блокчейна которой занимается «Лаборатория Касперского», реализован функционал отложенного решения, который позволяет избирателю повторно проголосовать в случае обрыва связи или иного сбоя при подаче голоса. Технология выборки из голосов, поданных последними и предназначенных для учёта результатов голосования, предполагает одновременную работу блокчейн-сетей и специализированного криптографического сервиса, которые размещаются в геораспределённом центре обработки данных ЦОД. Процедура расшифровки голосов избирателей, воспользовавшихся новой функцией, потребовала дополнительного времени. Эти голоса дополнительно проверяются, чтобы убедиться, что при использовании нового функционала были засчитаны последние по времени данные, а также чтобы удостовериться в полной корректности результатов голосования.
По мнению эксперта, дистанционное электронное голосование в ряде случаев даже более надежно, чем традиционное. И, что самое важное, никто не может знать, какой конкретно избиратель за кого проголосовал: тайну голоса обеспечивает система шифрования и другие компоненты», — ответил на критику системы эксперт.
Руководитель проекта ДЭГ «Лаборатории Касперского» Александр Сазонов подчеркнул, что «абсолютно защищенных электронных систем не бывает», но при разработке ДЭГ были внедрены такие механизмы защиты, которые «сведут сбои и влияние атак к минимуму». Главными преимуществами применения дистанционного электронного голосования на выборах являются увеличение электоральной активности и, как следствие, явки избирателей, доступность голосования для удалённых регионов и людей с ограниченными возможностями, снижение затрат на организацию выборов, а также уменьшение времени при подсчёте голосов, отметил менеджер по продукту компании Waves Enterprise Иван Косарев.
В Москве проведут пересчет результатов электронного голосования
| Валерий Вашура: «Дистанционное электронное голосование не заменяет традиционную форму» | «Криптонит» проверил надежность криптографической защиты федеральной системы ДЭГ. |
| Как проголосовать онлайн | «Криптонит» (входит в «ИКС Холдинг») провел исследование стойкости трех криптографических механизмов федеральной системы дистанционного электронного голосования (ДЭГ), это было сделано в преддвериии единого дня голосования в 2023 году. |
| Как проголосовать онлайн | Рабочую группу по аудиту дистанционного электронного голосования (ДЭГ) возглавляет сопредседатель движения "Голос"* Григорий Мельконьянц, а также представители. |
| Россиянам рассказали, как считали голоса в системе ДЭГ в Москве | «Избиратель действительно может проверить технически свой голос в системе ДЭГ. |
| Авторы блокчейн ДЭГ раскрыли алгоритм проверки голосов с «отложенным решением» | — Они будут наблюдать за голосованием в течение всех трёх дней голосования, а также за день до начала голосования, когда проверяются все технические моменты, и после подсчёта голосов, чтобы проверить, что в системе ДЭГ всё нормально. |
Московский штаб решил пересчитать голоса ДЭГ
В федеральной системе ДЭГ решили совместить несовместимое — и дать пользователю возможность проверить, что его голос действительно хранится в блокчейне, но не давать возможности этот голос посмотреть (и показать другим). В рамках третьего вебинара «Школы наблюдателей ДЭГ» IT-эксперт Олег Артамонов на конкретных примерах показал, как происходит наблюдение за дистанционным электронным голосованием и как абсолютно все избиратели смогут проверить свой голос. Кроме того, у избирателя в федеральной системе ДЭГ нет удобного и понятного инструмента проверки, что его голос зашифрован и учтен в соответствии с его волеизъявлением, заключил он.
Разработчики ДЭГ раскрыли детали проверки голосов с «отложенным решением»
Глава ОШ по наблюдению за выборами в столице, главред «Эха Москвы» Алексей Венедиктов предложил всем сомневающимся провести аудит системы ДЭГ и лично проверить алгоритм подсчета электронных голосов москвичей. Ранее сообщалось, что Общественный штаб по наблюдению за выборами в Москве предложил экспертам убедиться в корректности подсчёта голосов, осуществляемого системой дистанционного электронного голосования (ДЭГ), с помощью аудита. Глава ОШ по наблюдению за выборами в Москве, главред «Эха Москвы» Алексей Венедиктов предложил всем сомневающимся провести аудит системы ДЭГ и лично проверить алгоритм подсчета электронных голосов. Это позволит заранее ознакомиться с процедурой и проверить совместимость работы портала и браузера устройства. Кто может принять участие Те, кто подал заявление на участие в ДЭГ на Госуслугах и получил статус «Учтено» до 23:59 3 марта.
Голоса россиян переведут в цифру. Почему голосование через "Госуслуги" становится нормой
При электронном голосовании в век высоких технологий возможность вмешательства как изнутри, так и извне, очень повышается. Лучшей гарантией будет предоставить гражданину возможность пусть не в этот же день, а на следующий, на сайтах ЦИКа убедиться, что его голос, отданный открыто, зафиксирован», - сказал Нилов. Ранее, в августе прошлого года, партия КПРФ подготовила проект Избирательного кодекса, предлагающий отказ от ДЭГ, многодневного голосования и восстановление графы «против всех» в бюллетенях. Тогда разработчики отмечали, что в законодательство предлагается ввести порядка 20 основных нововведений, часть из которых «фактически отменяет недавно введенные правила и возвращает избирательную систему к прежним требованиям», сообщает НСН.
Если о получении данных о голосовании в конкретном регионе в 20.
Для этого достаточно хранить голоса федерального ДЭГ не в одной общей «электронной урне», а в 24 разных урнах. И иметь отдельные ключи шифрования для каждого региона. Если же речь идет о получении конкретных данных о голосовании, кроме значения явки, то закон это прямо запрещает». Правда, он уверен, что возможность отследить каждый голос — кем персонально и за кого он подан «была, есть и будет во всех существующих и перспективных системах ДЭГ», поскольку «они строятся на том, что одна организация создает бюллетени, присваивает им номера, отправляет эти пронумерованные бюллетени избирателям, а затем собирает эти бюллетени с номерами и считает голоса».
Дело в том, что в том виде, в котором система существует, она принципиально не контролируется обществом. И хотя положения разделов законов и постановлений, которые касаются общественного контроля, изобилуют утверждениями об обратном, их цель — создание видимости такой возможности. Однако эти нормы не обеспечивают получение информации для анализа всех транзакций, которые проходили, и использованных алгоритмов. Отдельный вопрос — это список избирателей.
Хотя его возможно проверить, на чем и будут акцентировать внимание организаторов выборов, невозможно проверить добровольность самого голосования включенных в него лиц». Что же касается подведения итогов отдельно по регионам в разное время, то это вполне возможно, ведь списки избирателей разделены. Такой подход для федерального Центра станет их проверкой на надежность», — полагает Бузин.
Например, избиратель может убедиться, что его зашифрованный голос учтён в системе.
Но то, что это именно его голос, знает только сам избиратель. Ни система, ни наблюдатель, ни член ТИК не знают, кому принадлежит этот голос. Также невозможно с помощью ДЭГ проголосовать дважды или за кого-то. Как рассказал Юрий Сатиров, для взлома ДЭГ приглашали хакеров, устраивали специальный конкурс, чтобы они обнаружили слабые места системы, но таких не оказалось.
Мы способны в полной мере обеспечить безопасность и надёжность системы, тайну голосования и тотальный общественно-гражданский контроль за его ходом, — заверила Элла Памфилова. Кроме экспертной группы, которая следит за электронным голосованием в Общественной палате, в каждом регионе в ТИК ДЭГ будут находиться свои наблюдатели. Третья группа наблюдателей работает на портале наблюдения удалённо. Таким образом, нет никаких административных барьеров, никто не сможет отфильтровать наблюдателей, — пояснила Элла Памфилова.
Такая максимальная открытость нужна для продвижения электронного голосования, не скрывает Элла Памфилова.
Судя по всему, разворачиваемые левыми протесты связаны с недавними решениями Центризбиркома, который поправил свое постановление о порядке проведения ДЭГ. Чтобы уже в ходе нынешнего единого дня голосования ЕДГ субъекты РФ имели доступ к собственному голосованию и могли подводить его общие итоги по местному времени, не ожидая по несколько часов общего дедлайна, поставленного по московскому времени. Эти поправки связаны с действиями, которые проводит с электронными списками и голосами одна на всю страну специальная территориальная избирательная комиссия ТИК ДЭГ. Кстати, если по-честному, то она частично формируется из представителей партий, в нее могут быть направлены и наблюдатели от политструктур. Но практика показывает, что уловить что-то реальное в действиях программы внешнему зрителю никак не возможно. По поводу же последних поправок ЦИКа возникает много вопросов: означают ли эти изменения, что каким-то образом при онлайн-голосовании можно отслеживать конкретные региональные данные? Вроде бы прежде утверждалось, что доверие к ДЭГ опирается как раз на полную зашифрованность волеизъявления. Теперь же как бы выходит так: если теоретически можно отследить, откуда пришел голос, то тогда ведь получится определить и аккаунт, с которого он ушел?
А затем, может быть, — и как этот аккаунт проголосовал? То есть нет ли здесь нарушения тайны голосования? При этом, например, нет объяснений, почему раньше регионам не давали результатов в реальном времени, а теперь дадут? На участие тогда было подано 110,9 тыс.