Техническое описание голосования в ЦВК 2012

Голосование в КС оппозиции – надёжно ли это?

Электронная демократия на практике

Непосредственным поводом для написания этой статьи стал тот факт, что ко мне обратились с просьбой стать наблюдателем за выборами со стороны националистической курии и выполнить работу “технологического аудитора” по вопросу о надёжности организованного голосования .

Этот текст – отчёт об увиденном и мои оценки сделанной Центральным Выборным Комитетом системы и проделанной ЦВК работы.

В силу жанра самого выступления – аудита безопасности информационной системы, я буду много писать о (гипотетически существующих) уязвимостях. Но для правильной оценки самих выборов нужно различать сам факт существования уязвимости и то, была ли она использована на практике.

Прощу прощения за отсутствие литературных красот в тексте – он готовился в цейтноте, вызванном желательностью быстрой публикацией отчёта после подведения итогов голосования.

1. Как была построена моя работа

У меня не было прямого доступа к информационной системе ЦВК, да он, по большому счёту был бы и бесполезен, даже с правами администратора. Не участвовав в процессе изначальной установки и настройки операционной системы и софта для голосования, я не смог бы гарантировать отсутствие скрытого программного обеспечения, искажающего ход голосования прямо в его процессе.

Поэтому своей задачей я счёл анализ архитектуры системы и процедур, придуманных организаторами, чтобы повысить убедительность голосования, доказать, что подделок всё же не было. Я постарался не получить (и не получил) в свои руки никаких внутренних данных системы, которые не были бы доступны публично, но получал от председателя ЦВК Леонида Волкова необходимые объяснения о внутреннем устройстве системы, организационных процедурах и иную необходимую мне информацию.

Вся эта информация предоставлялась в запрошенном мною объёме и вполне добросовестно.

Так же некоторый объём технической информации о схеме работы системы был опубликован Леонидом по адресу http://leonwolf.livejournal.com/445249.html.

Поскольку, повторюсь, честный анализ безопасности информационной системы не сводится к анализу технической компоненты, но и в обязательном порядке включает в себя анализ организационных процедур – в настоящем документе будет разбор и критика этих самых процедур. Читатель должен понимать, что в этом вопросе я не выхожу за пределы тех действий по аудиту, которые от меня были запрошены.

На страницу: 1, 2, 3 След.

Комментарии

—	SATtva (25/10/2012 19:55) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Хороший отчёт.

Первое китайское предупреждение: обсуждение технической стороны дела (если есть что обсуждать после такого разбора полёта) — пожалуйста; все посты с малейшим намёком на политоту или оффтопик — в ведро.

—	*Гость* (25/10/2012 20:17) <#>

Почитал, пока бегло.
Вопрос первый автору статьи. Правильно ли я понял из прочитанного в ЖЖ Леонида, что голосование не является тайным?
Общий алгоритм голосования понятен.
Некоторые моменты в реализации голосования достойны внимания и дальнейшего применения.
Более подробно со статьями ознакомлюсь на досуге.

—	SATtva (25/10/2012 20:19, исправлен 25/10/2012 20:20) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Правильно ли я понял из прочитанного в ЖЖ Леонида, что голосование не является тайным?

Да, принцип тайности волеизъявления не соблюдён. ЦВК, по всей видимости, не хранит ФИО избирателей — они хэшируются и отбрасываются — но полной гарантии этого не существует. Также, с учётом того, что номера телефонов всё-таки хранятся, существует принципиальная возможность для восстановления ФИО.

—	*Гость* (25/10/2012 20:28) <#>

не хранит ФИО избирателей — они хэшируются и отбрасываются — но полной гарантии этого не существует. Также, с учётом того, что номера телефонов всё-таки хранятся, существует принципиальная возможность для восстановления ФИО.

хэши, идентифицирующие избирателя, в системе считались немножко по другому принципу (ФИО+дата, без номера телефона)

—	SATtva (25/10/2012 20:32) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Надо отметить, что некоторые из озвученных в отчёте проблем (включая принцип тайности волеизъявления) заинтересовали меня незадолго до голосования. Также удивило, что доступ к площадке Демократии2, использовавшейся для рейтингового голосования на этапе дебатов, не был защищён SSL. Эти вопросы направил 7 октября в ЦВК, но ответа, увы, так и не получил, хотя SSL спустя день всё же был установлен. (Справедливости ради стоит сказать, что в виду отсутствия в контактах ЦВК явно обозначенной технической службы, писал на адрес, предназначенный для обращений избирателей с просьбой передать более компетентным лицам. Позднее понял, что отправить письмо следовало непосредственно Волкову.)

—	SATtva (25/10/2012 20:33) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

не хранит ФИО избирателей — они хэшируются и отбрасываются — но полной гарантии этого не существует. Также, с учётом того, что номера телефонов всё-таки хранятся, существует принципиальная возможность для восстановления ФИО.

хэши, идентифицирующие избирателя, в системе считались немножко по другому принципу (ФИО+дата, без номера телефона)

Я о том, что ФИО в привязке к данному телефонному номеру известны как минимум оператору сотовой связи.

—	*Гость* (25/10/2012 20:39) <#>

ФИО в привязке к данному телефонному номеру известны как минимум оператору сотовой связи.

Считайте это танцполом, но видел смски с регистрацией на виртуальных номерах.

—	SATtva (25/10/2012 20:45) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Теоретически, возможно, если они такие не банили. Но даже в лучшем случае таковых среди избирателей скорее всего единицы.

—	*Гость* (25/10/2012 21:11) <#>

"следи за рукой"
1. допускаем ангажмент опсосов
2. трактуем как админ.ресурс
3. берем политический окрас владельцев и вспоминаем разбор голосования из исторического процесса с чубайсом, где голоса зафиксировались.

это к тому, что пусть ядро системы заверит хоть Шнайер, это ни сколь не индульгирует результаты.
а публикация этих образных статей представляет собой подмену понятий.

—	*Гость* (26/10/2012 00:08) <#>

А есть ли возможность в условиях отсутствия контроля за оператором проведения выборов, но при наличии полного списка проголосовавших осуществить проверку результатов без нарушения тайны волеизьявления (в E2E)?

—	*Гость* (26/10/2012 01:24) <#>

А есть ли возможность в условиях отсутствия контроля за оператором проведения выборов, но при наличии полного списка проголосовавших осуществить проверку результатов без нарушения тайны волеизьявления (в E2E)?

Не знаю, как в этой схеме, но если изначально закладывать такую возможность, а это обязательно нужно делать, то она теоретически имеется. Одна из ключевых фич же, возможность контроля результатов обществом в целом и любым его членом в частности.

—	Сергей_Нестерович (26/10/2012 01:30) <#>

<I>Правильно ли я понял из прочитанного в ЖЖ Леонида, что голосование не является тайным?</i>

Для ЦВК доступна связка телефонов и ID избирателя, а так же связка ID избирателя и хэша от ФИО+дата рождения, который используются для контроля уникальности избирателя и может быть восстановлен словарной атакой. Т.е. строго говоря – да. Единственное что там тайного – так это то, что эта информация не публикуется.

—	*Гость* (26/10/2012 10:18) <#>

Главная уязвимость большинства систем голосования – волюнтаризм изберкома на этапе отбора кандидатов.

это к тому, что пусть ядро системы заверит хоть Шнайер, это ни сколь не индульгирует результаты.
а публикация этих образных статей представляет собой подмену понятий.

—	*Гость* (26/10/2012 10:26) <#>

А где защита от генерирования фейковых избирателей на стороне сервера?

—	SATtva (26/10/2012 11:08) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Частично этот вопрос рассмотрен в разделе 5.9.4, но в целом данная схема голосования не защищена от действий ЦВК по заполнению списка избирателей "мёртвыми душами". Это бы потребовало полного анализа исходников платформы и полного контроля за её развёртыванием и последующей эксплуатацией (грубо говоря, за плечом каждого программиста и админа должно стоять по независимому наблюдателю; я не говорю, что это невозможно). Как уже у нас отмечалось, уязвимость процесса регистрации со стороны избирательной комиссии присуща большинству протоколов защищённого голосования.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]