Техническое описание голосования в ЦВК 2012
Голосование в КС оппозиции – надёжно ли это?
Электронная демократия на практике
Непосредственным поводом для написания этой статьи стал тот факт, что ко мне обратились с просьбой стать наблюдателем за выборами со стороны националистической курии и выполнить работу “технологического аудитора” по вопросу о надёжности организованного голосования .
Этот текст – отчёт об увиденном и мои оценки сделанной Центральным Выборным Комитетом системы и проделанной ЦВК работы.
В силу жанра самого выступления – аудита безопасности информационной системы, я буду много писать о (гипотетически существующих) уязвимостях. Но для правильной оценки самих выборов нужно различать сам факт существования уязвимости и то, была ли она использована на практике.
Прощу прощения за отсутствие литературных красот в тексте – он готовился в цейтноте, вызванном желательностью быстрой публикацией отчёта после подведения итогов голосования.
1. Как была построена моя работа
У меня не было прямого доступа к информационной системе ЦВК, да он, по большому счёту был бы и бесполезен, даже с правами администратора. Не участвовав в процессе изначальной установки и настройки операционной системы и софта для голосования, я не смог бы гарантировать отсутствие скрытого программного обеспечения, искажающего ход голосования прямо в его процессе.
Поэтому своей задачей я счёл анализ архитектуры системы и процедур, придуманных организаторами, чтобы повысить убедительность голосования, доказать, что подделок всё же не было. Я постарался не получить (и не получил) в свои руки никаких внутренних данных системы, которые не были бы доступны публично, но получал от председателя ЦВК Леонида Волкова необходимые объяснения о внутреннем устройстве системы, организационных процедурах и иную необходимую мне информацию.
Вся эта информация предоставлялась в запрошенном мною объёме и вполне добросовестно.
Так же некоторый объём технической информации о схеме работы системы был опубликован Леонидом по адресу http://leonwolf.livejournal.com/445249.html.
Поскольку, повторюсь, честный анализ безопасности информационной системы не сводится к анализу технической компоненты, но и в обязательном порядке включает в себя анализ организационных процедур – в настоящем документе будет разбор и критика этих самых процедур. Читатель должен понимать, что в этом вопросе я не выхожу за пределы тех действий по аудиту, которые от меня были запрошены.
Читать далее ...[link1]
Ссылки
[link1] http://www.apn.ru/publications/article27389.htm
[link2] http://ibigdan.com/2012/10/12/dedlok-demokratii/#more-22429
[link3] https://www.pgpru.com/forum/politikapravorealjnyjjmir/golosovatjpointernetuneslozhnejjchempoljzovatjsjamikrovolnovkojj
[link4] https://www.pgpru.com/forum/politikapravorealjnyjjmir/obinternetvyborahibezopasnosti
[link5] https://www.pgpru.com/comment49544
[link6] http://www.securitylab.ru/news/431856.php
[link7] https://www.pgpru.com/comment49561
[link8] http://leonwolf.livejournal.com/451157.html
[link9] http://rusrep.ru/article/2013/09/23/german/
Хороший отчёт.
Первое китайское предупреждение: обсуждение технической стороны дела (если есть что обсуждать после такого разбора полёта) — пожалуйста; все посты с малейшим намёком на политоту или оффтопик — в ведро.
Почитал, пока бегло.
Вопрос первый автору статьи. Правильно ли я понял из прочитанного в ЖЖ Леонида, что голосование не является тайным?
Общий алгоритм голосования понятен.
Некоторые моменты в реализации голосования достойны внимания и дальнейшего применения.
Более подробно со статьями ознакомлюсь на досуге.
Да, принцип тайности волеизъявления не соблюдён. ЦВК, по всей видимости, не хранит ФИО избирателей — они хэшируются и отбрасываются — но полной гарантии этого не существует. Также, с учётом того, что номера телефонов всё-таки хранятся, существует принципиальная возможность для восстановления ФИО.
Надо отметить, что некоторые из озвученных в отчёте проблем (включая принцип тайности волеизъявления) заинтересовали меня незадолго до голосования. Также удивило, что доступ к площадке Демократии2, использовавшейся для рейтингового голосования на этапе дебатов, не был защищён SSL. Эти вопросы направил 7 октября в ЦВК, но ответа, увы, так и не получил, хотя SSL спустя день всё же был установлен. (Справедливости ради стоит сказать, что в виду отсутствия в контактах ЦВК явно обозначенной технической службы, писал на адрес, предназначенный для обращений избирателей с просьбой передать более компетентным лицам. Позднее понял, что отправить письмо следовало непосредственно Волкову.)
Я о том, что ФИО в привязке к данному телефонному номеру известны как минимум оператору сотовой связи.
Считайте это танцполом, но видел смски с регистрацией на виртуальных номерах.
Теоретически, возможно, если они такие не банили. Но даже в лучшем случае таковых среди избирателей скорее всего единицы.
"следи за рукой"
1. допускаем ангажмент опсосов
2. трактуем как админ.ресурс
3. берем политический окрас владельцев и вспоминаем разбор голосования из исторического процесса с чубайсом, где голоса зафиксировались.
это к тому, что пусть ядро системы заверит хоть Шнайер, это ни сколь не индульгирует результаты.
а публикация этих образных статей представляет собой подмену понятий.
А есть ли возможность в условиях отсутствия контроля за оператором проведения выборов, но при наличии полного списка проголосовавших осуществить проверку результатов без нарушения тайны волеизьявления (в E2E)?
Не знаю, как в этой схеме, но если изначально закладывать такую возможность, а это обязательно нужно делать, то она теоретически имеется. Одна из ключевых фич же, возможность контроля результатов обществом в целом и любым его членом в частности.
<I>Правильно ли я понял из прочитанного в ЖЖ Леонида, что голосование не является тайным?</i>
Для ЦВК доступна связка телефонов и ID избирателя, а так же связка ID избирателя и хэша от ФИО+дата рождения, который используются для контроля уникальности избирателя и может быть восстановлен словарной атакой. Т.е. строго говоря – да. Единственное что там тайного – так это то, что эта информация не публикуется.
Главная уязвимость большинства систем голосования – волюнтаризм изберкома[link2] на этапе отбора кандидатов.
А где защита от генерирования фейковых избирателей на стороне сервера?
Частично этот вопрос рассмотрен в разделе 5.9.4, но в целом данная схема голосования не защищена от действий ЦВК по заполнению списка избирателей "мёртвыми душами". Это бы потребовало полного анализа исходников платформы и полного контроля за её развёртыванием и последующей эксплуатацией (грубо говоря, за плечом каждого программиста и админа должно стоять по независимому наблюдателю; я не говорю, что это невозможно). Как уже у нас отмечалось, уязвимость процесса регистрации со стороны избирательной комиссии присуща большинству протоколов защищённого голосования.
Если вести речь не о сабже, а об исследовательских разработках в этой области, то это похоже одна из причин, почему исследователям больше удаётся проводить экспериментальное внедрение таких протоколов только среди малых закрытых сообществ: в организациях, университетах, максимум в муниципальных выборах в очень мелком округе, где "все свои и друг друга знают".
При наличии возможности поствыборной проверки полного списка голосования – это возможно, причем без нарушения тайны волеизьявления. Каждый проверяемый, используя секретный ключ, просто отвечает был ли его голос использован правильно. Полнота списка исключает наличие мертвых душ.
Вопрос в том, что кроме себя и круга знакомых, проверяющие участники ничего не знают про остальных людей — те законные избиратели или их завезли из соседнего округа покаруселить. Или это вообще виртуалы. Т.е. кто-то может отвечать и их ключом, а на самом деле все такие подставные ключи будут принадлежать кому-то даже одному.
"Ну блин ё-моё" – ключи надо выдавать по
биективнооднозназначно соответсвующему идентификаторук, паспорту, например.А ключи кто выдаёт? Тот же избирком. А даже и если некий третий орган — откуда доверие к нему?
И опять же, как достоверно узнать, что 100% избирателей нашли свои голоса в протоколе?
Придумать протокол – и то нелёгкая задача, а уж уговорить следовать ему *не заинтересованных* власть имущих...
Доверять надо ПО, для этого ПО должно быть open source, независимая экспертиза, наблюдатели. В каком протоколе? Множество ключей ограничено количеством избирателей, количество выданных ключей видно онлайн, так же как и количество проголосовавших, голосуем с метками времени, подписанными ключом. Опять(снова), ага.
Общие вопросы интернет-голосования лучше обсуждать там[link3] (ещё можно почитать эту[link4] закрытую ветку), а здесь следует вести речь о вполне конкретном протоколе.
Исходя из всего вышесказанного, можно смело полагать (попробуйте докажите противоположное) что 90-95% всех этих хеш-кодов избирателей – виртуалщина. И только от 5% до 10% являются живыми людьми. Кроме того, каждый может проверить только себя. Ведь все данные избирателей хешированы. А обратимо ли хешированы? Вот в чём вопрос.
Это невозможно убедительно доказать, ровно так же, как и Ваше ничем не подкреплённое утверждение — и то, и другое является спекуляцией.
Естественно, что нормальный протокол голосования требует публикации списка всех участников голосования и всех их публичных ключей. Без этого просто говорить не о чем. Конечно же, уже этот пункт в масштабах 140 млн. не реализуем. Но, таки допустим, что свершилось. Пусть каждая бабушка прекрасно знает протокол, сгенерировала ключи, отправила их в БД. Общая БД доступна всем, её количество не может прервышать 140млн, а независимая комиссия и вся общественность следит за отсутствием виртуалов в базе. Только если всё вышеперечисленное верно, можно переходить к следующему шагу — собственно голосованию по аутентифицированному протоколу.
Чтобы проверить легитимность голосования по этому гипотетическому протоколу (пусть даже реально существующему где-то в статьях), нужно скачать всю БД результатов, убедиться, что она консистентна (нет левых ключей/вбросов, достаточное количество участвовавших и т.д.), проверить свой голос и самому пересчитать кто сколько набрал. И тут начинается самое интересное: все проверяют, у всех процент один, а избирком говорит[link5], что у него процент другой, и 140млн просто «ошиблись». И что тут делать? Трусы на палку и на улицы выражать своё несогласие? В чём цель технически защищённого голосования? Чтобы убедить каждого, что выборы прошли с подтасовками? Ну а дальше-то что? Вам и сейчас в этом мало кто возражать будет.
Вот за что я не люблю тупоголовых технарей — так это за то, что они думают, будто бы нетехнические проблемы могут быть решены техническими методами. Честные выборы могут быть организованы только одним способом — соблюдением закона (т.е. системой реагирования на его нарушения в том числе), а не заумными криптопротоколами, которые решают совсем другую задачу. SATtva'а в одном из первых топиков на эту тему сразу написал: система без аудита и реагирования работать не может вне зависимости от всего остального. О чём этот топик? Ни о чём. Опять понесли с говноресурсов на хабр, с хабра — на pgpru. Удивляюсь, как SATtva вообще не закрыл эту (какая она уже по счёту, 5ая?) ветку сразу.
Нужен протокол с распределённым множеством избиркомов (как серверы-директории в Tor), что-бы подтасовки в некоторых не влияли на общий результат :)
Речь не об организации всенародных выборов. Вопрос об организации небольших выборов, но со свободным участием, в этом то и вся слабость идеи. Это нарушение идеи выборов как таковой. У т.н. выборов представителей оппозиции (типа праймериз) принимали участие в голосовании не пересчитанные и учтённые члены партий оппозиции, а все
набежавшиежелающие со всей страны. Логичнее был бы социологический опрос со случайной выборкой, зачем было имитировать выборы, в качестве пародии на государственные что-ли? Но это политический вопрос, оставим в стороне.Мало того, что многим было влом рисковать своими персональными данными для участия в эээ,
сомнительномскажем мягко, не очень понятном мероприятии, им ещё после этого надо и проверки проходить? Может избирателей ещё и обзванивать постфактум?Фактически что-то подобное уже почти произошло[link6].
В протоколе Tor, кто будет его президентом, решает сам клиент. Вы можете его даже модифицировать и использовать свои механизмы получения статистики или исключить какие-то DA из списка. В ситуации же с выборами вам навязывают механизм. В этом вся разница.
А как вы вообще себе представляете такую интересную дичь, как голосование лиц из неформализованного списка? Как тогда каждый избиратель сможет проверить результат, если набор голосующих вообще неопределён, число их нефиксировано и т.д.? Если набор фиксирован, но проголосовали не все, это ещё можно учесть, задавшись каким-то минимальным процентом, а если вообще нефиксирован?
Тайность состоит в том, кто за кого голосовал, а не в том, кто участвовал, а кто — нет. Вот поэтому я и написал, что нужен общий доверенный список всех голосующих. Т.е. поимённый общедоступный список граждан РФ с их PGP-ключами, выращивание доверие к которому — отдельная задача. И в этом списке не должно быть вбросов. Далее, отталкиваясь от этого списка как доверенного, можно строить протокол. И, как вы правильно отметили, в малых сообществах, где все друг друга знают, существование такого списка естественно. Я вообще считаю, что общенародные выборы — фарс по определнию[link7], сама идея бессмысленная, но для случая обсуждений "как формально технически пострелять себе в ногу", я свои замечания высказал.
Представим, что есть очень большое множество потенциальных избирателей A, например все жители страны. Они добровольно изъявляют желание участвовать в некоторых выборах, формируя только самим фактом записи на участие намного меньшее множество B. Избирком отсеивает какую-то часть из B, формируя C, которые и будут допущены к выборам.
Рассмотрим только цепочку A → B → C
Если выборы очень малочисленные, как в данном случае, то множество B < A. Противникам выборов ничто не мешает мобилизовать группу провокаторов B* и внедрить её в B, получив B' = B + B*. Даже избиркому сложно различить B и B', а стороннему наблюдателю — практически невозможно.
Т.е. процедура A → B — это изначально самое узкое место. И B → C — тоже, как было справедливо отмечено выше, т.к. располагает к произволу избиркома. Это не было бы критично, если бы этап A → B был бы придуман лучше и был бы более доверяемым. А так, избирком на огромное потенциальное число нарушений в A → B вынужден действовать чисто эвристически на этапе B → C, поэтому он может массе своих злоупотреблений найти правдоподобное объяснение, т.е. обеспечивает в этом вопросе правдоподобную отрицаемость своим нарушениям.
Т.е. нарушен принцип представительности на всех этапах. Это если ещё в такую самую примитивную модель не введены процедуры выдвижения кандидатов, проверки и опротестовывания голосов и т.д.
Проблему можно решить, если этап A → B рэндомизировать, как делают при создании выборки для соцопроса или выборе присяжных. Только это крайне неэффективный алгоритм в данном случае. Организаторам выборов пришлось бы обзванивать, спамить и др. способами доставать жителей страны из множества A, перебирая их по случайно отсортированным спискам, пока из них не нашлись бы те, кто готов откликнуться и участвовать. И набралось бы приемлемое по количеству множество B. В таком гипотетическом, дорогостоящем и неэффективном сценарии сам избирком был бы уверен в правильности проведения A → B (если все участники и помощники самого избиркома по созданию списков честны и не обманывают некий центральный комитет). Но доказать корректность создания списка третьим сторонам было бы трудно.
Это настолько непрактично и несёт заведомые минусы в анонимности, что фактически вам там тоже всё навязывают. Единственно, что можно сделать, это запустить часть своих узлов и посмотреть, корректно ли они отражаются в общей статистике, а также сравнивать статистику с ежемесячными отчётами, заверенными подписью проекта. Показав фальшивый консенсус, заверенный подписью DA, но не совпадающий с ежемесячным отчётом, можно доказать факт нарушения.
Волков написал[link8] кое-что о проверке базы избирателей на наличие "мёртвых душ":
1. По факту список телефонов голосовавших становится публичным: наблюдатель должен видеть полный список (иначе Волков подсунет только "хорошие" телефоны), наблюдатель может передать данные третьей стороне.
2. Звонок на симки ботов перенаправляется команде ботоводов, там вежливо отвечают на все вопросы наблюдателей.
Это не решение.
Об организации выборов в Германии[link9].
Дикие люди.
Краткий смысл: честность системы держится исключительно на человеческом доверии.
В Швеции и каких-то других европейских странах с выборами вроде так же. Выборы считаются честными фактически только потому, что все якобы ведут себя честно. Никаких наблюдателей, съёмки, хватания за рукав, доскональных проверок на предмет подлога и т.п.
И это касается не только выборов, но и любого типа произвола: судебного, полицейского. Считается, что его просто не бывает в реальной жизни, поэтому никаких особых мер по борьбе с этим и не предпринимается.
Такая наивность для них во многом весьма типична. Например, раньше в Швеции было платное посещение лесов: если зайдёте в лес, то надо положить небольшую сумму денег в ящик с табличкой. Никаких билетов из ящика не выдаётся и никакого наблюдения за тем, положил человек деньги или нет — тоже. Вопрос, "а что будет, если деньги просто не положить?" не укладывался у местных жителей в голове. Максимум, что они были способны ответить "у нас так не принято". Как там сейчас, не в курсе, особенно с использованием кредиток вместо наличности.
Целительная иммиграция и глобализация по-тихоньку спасёт их от такой наивности. Или они себя спасут от миграция ради сохранения своей национальной культуры. Но это политоффтоп, как и прочие нетехнические особенности проведения выборов. Хотя, есть и оборотная сторона такой культурно обусловленной воспитанности: такой честной массе обывателей "нечего скрывать", стойкие криптопротоколы в повседневном применении их не интересуют и ко многим негативным явлениям в общественной жизни у них нет иммунитета, поскольку они с ними за длительный исторический период просто массово не сталкивались.
Думаю, unknown помнит, что во времена СССР билеты в автобусах покупали точно так же: сам опустил монетку, сам отмотал билет. Опасаться было нечего, разве что общественного порицания от зорко глядящих остальных пассажиров, да и смысла мухлевать не было — всё стоило копейки. В современное время, когда у человека есть приличная зарплата, мысли мухлевать с билетами и оплатой вообще в голову не приходят — один риск и ноль прифита, на копейках не разбогатеешь; и совсем другой случай — бедные студенты, у которых каждый рубль на счету, а стипендии едва хватает даже на хлеб. Швеция — одна из самый благополучных стран в плане доходов населения, поэтому неудивительно. Где-то писали, что в Дании, например, в какой-то момент убрали видеокамеры из магазинов по тем соображениям, что поддержка инфраструктуры себя не окупает (воруют всё равно мало, на эти крохи в убытках проще забить).
Да, нет мотивации — нет обучения, и это во всём так, зато они могут выделить время на что-то другое полезное, а не изучать сутками, как обходить государственные файерволлы и бороться за свои права с людьми в погонах.
У них (в Европе) там это не только в плане выборов, а вообще распространённое явление. Тем, кто не жил, не понять царящую атмосферу в этих забытых городках, где такое впечатление, что за последние лет 30-40 не поменялось ровным счётом ничего, разве что провели интернет в дома, но жизнь людей не изменилась ни на йоту. но можно попытаться пересказать.
Вспоминается один случай, когда я пошёл в местный загородный магазин за звуковой картой. Достать старую звуковую, совместимую с BSD, да ещё в Европе — это не так просто. Пришёл в магазин, и мне выкатили 3 б/у штуки, подходящие под мой список. Я думал выбрать что-то из них и уйти, но те сами предложили: сходи домой, протестируй, выберешь, что понравится, потом придёшь заплатишь. У меня не спросили паспорт, как меня зовут, не взяли денег в залог, всё под честное слово. Собственно, я так и сделал: пришёл на работу, посмотрел какая как работает, потом пришёл снова, вернул остальные и заплатил за ту, что оставил себе.
С этим же магазином связана другая история. Шёл как-то оттуда и остановилась женщина на каком-то старом фиате, предложила подвезти. И почему-то она не поленилась сделать огромный круг по всему городу, чтобы довезти меня именно до того здания, куда я шёл (дороги и развязки в горных странах — отдельная история, просто так из одного места в другое часто не проедешь, не дав огромного кругаля). И подвезти предлагали часто, хотя часто было заранее видно, что я иностранец. Ещё один случай запомнился: жил я в то время где-то совсем на отшибе в горах, где даже телефон не ловил, а интернета не было и подавно, иду оттуда в городок, останавливается машина, предлагает довезти, сажусь. Водитель на местном наречии спрашивает меня, откуда я родом. Узнав про Россию, вставляет в магнитолу какой-то диск. В динамиках начинает играть «Золотое Кольцо».
Ну, или вот, совсем из недавнего: стиральную машину переглючило и она съела мой жатон, но так и не завелась; пришлось воспользоваться другой. В принципе я не собирался качать права, что-то требовать и доказывать свою правоту (а её никак не докажешь), просто сообщил, что такая-то машина глючит, иногда едя жатоны, но не включаясь. Но у меня сами спросили, сколько жатонов я потерял. Естественно, я честно ответил, что один (так и было) и мне вернули один жато бесплатно. Т.е. люди всё-таки привыкли друг другу доверять.
Конечно, и в России есть огромная разница между городом и деревней, а также большими городами и маленькими. Припоминается несколько случаев, когда едешь с утра на работу, стоишь на остановке, подъезжает дорогая машина (2-3 раза был глазастый мерс), сажает себе кучу народа и едет до метро. Т.е. очевидно, что водитель это делал не ради денег. И я даже не помню, брали ли с нас деньги вообще. А другой раз останавливаешь несколько машин подряд, и никто не хочет подвезти. Очередной раз я так от этого устал, что сказал водиле «ты же всё равно в ту сторону едешь, ты что-то теряешь что ли?». Молодому джигиту на жигулях не нашлось ничего на это ответить, он психнул, но всё равно меня подвёз, даже денег не взял.
Можно было получить
люлейштраф, если нарваться на контролёра, хотя чувство стыда, пожалуй, действительно было более сильным механизмом защиты. К слову, Шнайер в своей последней книге пишет о подобных социально-психологических системах взаимоконтроля в обществе.Некоторые представители школоты и алкашни кидали копейку или трёшку вместо пятака и откручивали себе билет. А могли и без монетки. Особенно если рядом только полуслепые бабульки, которым могли нахамить, если те замечали что-то. А контролёров боялись не только из-за штрафа, но из-за опасений, что на работу сообщат. Т.е. больше боялись из-за проработки общественным мнением в трудовом коллективе, где начальство и штатные активисты были вынуждены этим заниматься. Опять же, простому спивающемуся работяге-пролетарию на это было пофиг, он мог халявить на своей работе и регулярно сваливать на другое место, если ему что-то не нравится. Для трудовых профессий безработицы не было, как и смысла стараться на работе. Ну а выборы в то время — это понятно ритуал поедания вкусных булочек в буфете, не несущий никакого смысла в глазах избирателей. Особенно всех выбешивало, когда с работы заставляли ходить по домам с надомным голосованием и встречать хамство всяких психов и маргиналов, которых ещё уговаривать нужно было опустить бумажку в урну. Опуститься до подделки явки совесть кстати тоже не позволяла :)
Это уже полнейший оффтопик, но не на тему того, в какое время и где лучше или хуже. Просто везде свои особенности. То, что работает в Европе, не сработает во многих регионах США, что работало в СССР, не сработает во многих регионах России сейчас. В идеале, техническая часть любого протокола должна быть от этого независима, или должны быть чётко ограничены условия — в каких он работает, а при каком поведении сторон его не имеет смысла даже запускать. Но когда в протокол, как с выборами, вовлечено практически всё общество, а результат интересен в плане делёжки каких-то благ, то злоупотреблений или просто неэффективности и абсурдности этой системы избежать трудно.
Кстати, некотрые криптопротоколы основаны на аппеляции к репутационной составляющей атакующих. Есть например понятие, "любопытный, но честный атакующий" — который опасается быть просто обнаруженным.