Об интернет выборах и безопасности

Протоколы защищённого голосования существуют, в том числе аналоговые, но по каким-то причинам (каждый может выдвинуть собственный список в меру своей параноидности) они никому не интересны.

На самом деле, главная проблема, решения которой не видно ни в одной из реализаций (всякие там Демократии2, ЦВК2012) — это неотслеживаемость бюллетеня.

На мой взгляд система заслуживает доверие, если любой может ее каким-либо образом наблюдать. В случае открытого голосования я могу найти свой результат, но не могу проверить другие, однако, случайная выборочная проверка может дать оценку с достаточной вероятностью. Но в этом случае возникает неприятная с т.ч. манипулирования избирателя деанонимизация (паспорт, ИНН), вот если бы как-то обойти ее, чтобы идентификатор был надежен, но анонимен.

В закрытом голосовании трудно себе представить наблюдаемость системы. По каким схемам проходит защищенное голосование, в т.ч. аналоговое? Как можно добиться отслеживаемости бюллетеня, распознать "мертвые души", если принять гипотезу о тотально жульничестве?

Т.е. ассиметричный принцип, вот статья подоспела как раз в компьютерре:
http://offline.computerra.ru/2007/712/341919/

А почему в Демократии2/ЦВК2012 не реализованы эти принципы, они сознательно хотят жульничать или неграмотные (в это трудно поверить)?

Часто официальной причиной непринятия подобных схем является якобы идиотизм консерватизм избирателей, дескать, они не способны понять, хотя бы интуитивно, ничего сложнее, чем тыканье в кнопочку Like или засовывание бумажки в урну. (Отчасти правда, но прогресс схем голосования продвинулся достаточно далеко, и те, которые приводил unknown в своём посте по ссылке выше, уже во многом избавлены от лишней машинерии.) Действительно ли они в это верят или только прикрывают этим какие-то интересы, сказать трудно. Тут есть несколько контактных мэйлов, правда, не знаю, подходит ли какой-то из них для адресации таких вопросов.

В E2E не вижу защиты от липовых избирателей: администраторы системы могут вбрасывать фиктивные бюллетени, которые потом некому будет проверить.

Защищённое от злоупотреблений голосование по интернету это очень сложная техническая проблема, которую политики полагают простой

/comment25580

В E2E не вижу защиты от липовых избирателей: администраторы системы могут вбрасывать фиктивные бюллетени, которые потом некому будет проверить.

А тут никакая дистанционная система не поможет. Идентификационный номер человек должен получать публично, для последующей проверки числа голосовавших. Фиксировать можно on-line видеосъемкой лица и государственных удостоверений личности, сканированием сетчатки глаза, отпечатков пальцев и т.п. Только так можно избежать каруселей и вбросов.

Защищённое от злоупотреблений голосование по интернету это очень сложная техническая проблема, которую политики полагают простой

Политики вообще не склонны говорить правду, их задачей является получение власти. Вдвойне не склонны говорить правду те, кто управляет голосованием.

В теории есть протоколы, которые якобы решают все задачи. Все остаются анонимны, но при этом могут проверить свой голос, доказать любое злоупотребление избиркома, показать, что голос был посчитан неправильно (не посчитан), не раскрывая его, защититься от принуждения и т.д.

Но не даром голосование, как и электронные деньги, относят к числу т.н. "эзотерических" или "византийских" протоколов. Слишком сложно (масштабируемость. ресурсоёмкость), а когда дело доходит до реализации, приходиться довольствоваться упрощёнными вариантами.

Плохо и в плане доказуемости. IACR мало того, что перессорился из-за Java-реализации, так ёщё обнаружил ряд атак на свой протокол голосования. Потенциально лучшие криптографы мира не смогли в полной мере создать, внедрить и научиться гладко использовать протокол голосования для себя самих. И при этом не самый навороченный протокол по своим заявляемым возможностям.

Хотя атаки на такие протоколы часто малосущественные, на практике такие голосования всё ещё используют в ограниченном масштабе в тестовых целях. в каком-нибудь единственном мелком муниципальном округе, в учебном заведении соответствующей направленности (и желательно так, чтобы по нему не проходило большинство голосов), по не слишком существенным вопросам и т.д. В качестве проекта какой-нибудь исследовательской команды. Кроме Райвиста, этим занимался Чаум и до сих пор показывает на слайдах какие-то местечковые демо-проекты.

Если уменьшать список требований (например использовать не тайное голосование или тайное, но не со всеми возможными типами проверок злоупотреблений), тогда дело может обстоять проще, но хорошего хоть сколько-нибудь доверяемого стандарта до сих пор нет.

Возможно, когда-нибудь (может даже в любой ближайший момент, а может только в отдалённой перспективе) проблема решится, как с анонимными деньгами: Bitcoin — далеко не идеальная и имеющая массу недостатков валюта, в теории предлагались варианты куда более сказочные по своим возможностям. Но тем не менее среди прочих кандидатов, оказавшаяся наиболее жизнеспособной (если иметь в виду протокол, а не особенности реализации самого проекта или его альтернатив на том же принципе).

Получается, что открытое сетевое голосование с последующим пересчетом не имеет альтернативы.

Не получается.Возможен, например, механизм получения каждым избирателем по паспорту уникального ключа-идентификатору, обеспечивающего доступ в пул голосования, само же голосование-анонимное. Ключами этими, кстати можно вполне свободно обмениваться при желании, каждый ключ обеспечивает только один голос. Как-то так.

P.S.

администраторы системы могут вбрасывать фиктивные бюллетени

Как правило, вбросы производятся массово и быстро, метки времени помогут решить.

P.P.S. Зашел чел в кабину, подписал таймстамп своим ключём, проголосовал анонимно. Bingo!

Анон пришел и с ходу решил проблему, над которой бьются лучшие умы криптографии.