Журнал «Вокруг Света» №12 за 2007 год

Журнал Вокруг Света

Избирательная комиссия в Ричмонде, штат Вирджиния, анализирует распечатки результатов электронного голосования на выборах в сенат

Следует различать электронное голосование с сохранением избирательных пунктов, куда нужно приходить, и удаленное голосование через Интернет. В первом случае вместо урн устанавливаются электронные автоматы, и сэкономить удается только на бумаге (зато надежнее контролируется честность голосования). Во втором случае никуда приходить не надо, и повлиять на судьбы страны можно, не вставая с удобного кресла перед компьютером, но тогда возникает множество трудных вопросов, связанных с обеспечением безопасности всего процесса. Как известно, Интернет — штука ненадежная, там бродят вирусы, рыщут хакеры и хулиганят

спамеры, и в такой вот опасной атмосфере приходится вершить дела государственной важности.

Но в наибольшей степени внедрению прогрессивных новых технологий препятствует то, что по сравнению с шуршащими бумажками компьютерные системы гораздо менее понятны простому обывателю (а ведь именно простые обыватели — основная движущая сила современного демократического процесса, и именно на их соблазнение направлены усилия политиков). В самом деле — на бумаге все видно, а что там происходит внутри компьютера— решительно никому не понятно, кроме загадочных красноглазых программистов. С другой стороны, что происходит внутри избиркома — тоже никому не понятно, включая программистов, но это хоть в принципе можно себе представить. А вот как именно учел ваш драгоценный голос автомат для голосования — тайна, покрытая мраком. Кто защитит простого избирателя, если бездушный автомат подтвердит ему, что голос отдан за Петю, и на самом деле ехидно засчитает его за Васю, а государственная избирательная комиссия, опекаемая Васей же, подтвердит, что все в порядке? Как ни крути, а единственный человек, которому избиратель может доверять при совершении акта голосования — он сам, и у него должна быть возможность собственноручно и достоверно проверить правильность учета его голоса. Системы, которые позволяют осуществлять такую проверку, обозначаются аббревиатурой E2E — от «end-to-end auditable voting systems».

К числу основных способов нарушения честности выборов со стороны их организаторов относятся «мертвые души» (вброс бюллетеней) и «уничтожение улик» (игнорирование неугодных голосов). При бумажном голосовании наблюдатели на протяжении всей процедуры должны внимательно «следить за руками» организаторов. В электронном варианте все проще: достаточно просто публиковать списки всех проголосовавших после подведения итогов выборов (разумеется, без указания, кто за кого голосовал). Каждый избиратель может свериться со списками и проверить, совпадает ли факт его посещения избирательного участка с тем, что по этому поводу думает избирательный комитет. И в случае обнаружения несоответствия — бить в набат.

Этапы процедуры голосования

Определение объектов голосования (по каким принципам партии, кандидаты, инициативы попадают в бюллетени)

Определение субъектов голосования (составление списков избирателей согласно избирательному законодательству)

Доведение информации об объектах голосования до избирателя (тут подключаются СМИ, блоги, листовки, слухи и надписи на заборах)

Обеспечение технической возможности голосования (организация избирательных участков, изготовление и охрана бюллетеней)

Аутентификация избирателей (сверка удостоверения личности с физиономией предъявителя и списком избирателей)

Обеспечение безопасности и анонимности голосования (никто не видит, за кого вы отдали свой голос в кабинке)

Собственно, акт голосования (минутное проставление галочек и крестиков)

Наблюдение за процедурой голосования (независимые наблюдатели во все глаза смотрят, чтобы в урну не подбросили чего лишнего)

Подсчет голосов (и здесь присутствуют независимые наблюдатели, но этого мы с вами уже не видим)

Сбор данных (данные передаются в центр обработки, и там их кто-то суммирует)

Интерпретация результатов (в согласии с законодательством)

Битва за анонимность

Сложнее противодействовать подмене результатов голосования. Каждый избиратель должен иметь возможность проверить, что его голос учтен правильно, но при этом не должна нарушаться анонимность, которая является важнейшим свойством демократической процедуры голосования. Благодаря ей правящий режим не может узнать, кто голосовал против него и преследовать своих противников, и, кроме того, мнение уже проголосовавших граждан не влияет на решение еще не определившихся. Мешает анонимность и продаже голосов (впрочем, тут одной анонимности мало: в Мексике , например, были выявлены случаи продажи голосов, когда в качестве доказательства предъявлялся снимок заполненного бюллетеня мобильным телефоном).

Такие машины для голосования были установлены в Техасе к выборам 2006 года. Согласно требованиям принятого незадолго до того закона их интерфейс позволяет людям с ослабленным зрением и ограниченной подвижностью голосовать без посторонней помощи

К сожалению, при электронном голосовании нередко оказывается, что как раз те методы, которые обеспечивают защиту от мошенничества, зачастую ставят под угрозу анонимность. Тем не менее решить эту проблему можно. Для этого нужно заранее составить, раздать по избирательным участкам и опубликовать в Интернете списки уникальных кодов, которые будут случайным образом выдаваться на экран избирательного автомата сразу после голосования. В простейшем случае код может состоять из номера участка и числа от 1 до N — количества приписанных к участку избирателей. Гражданин, желающий контролировать процесс, записывает или запоминает свой код. По окончании голосования в списке кодов в Интернете появляется информация о сделанном выборе. Она не нарушает анонимности голосования, поскольку никто, кроме самого избирателя, не знает, какой ему достался код. Зато он сам может убедиться, что лично его голос учтен правильно, а видя результаты голосования под другими кодами, проверить, что не было мошенничества при подсчете голосов. Наконец, сверив число отданных голосов с числом зарегистрировавшихся избирателей, можно убедиться в отсутствии «мертвых душ». А вот продавать голоса при такой системе трудно: свой код избиратель видит только на экране и ему нечего предъявить в качестве доказательства сделанного выбора потенциальному скупщику голосов. Ведь даже сами коды известны заранее, неизвестно только, кому какой достанется.

Остается только обеспечить анонимность голосования для самих организаторов. Ведь если автомату нужно предъявлять электронное удостоверение личности, то нет гарантии, что он не сохранит его номер в своих недрах и не свяжет его впоследствии с результатом голосования. Для этого нужно разделить процесс аутентификации избирателя и собственно голосования. В условиях избирательного пункта это можно осуществить, если установить несколько аппаратов для голосования. Тогда удостоверение личности сверяется со списками допущенных к голосованию при входе, а затем избиратель может выбрать любой из автоматов, которым уже не нужно предъявлять паспорт. Но в таком случае важно исключить возможность повторного голосования. Делается это чисто механическим путем — выход из кабинки для голосования возможен только с другой стороны, на улицу (или в буфет). Повторно же зайти в избирательный пункт с тем же самым паспортом уже не получится.

Подобная система обеспечивает надежность, безопасность и анонимность электронного голосования и не требует никаких бумажных документов: все данные, необходимые для подтверждения результатов, публикуются в электронном виде. Но она требует наличия выделенных избирательных пунктов, а не наскоро переоборудованного спортзала в соседней школе.

Выборы для ленивых и занятых

Разработать столь же безупречную систему для голосования через Интернет гораздо труднее. Самой очевидной и, надо сказать, не самой большой проблемой являются вездесущие хакеры, которые в случае внедрения систем электронного голосования могут получить массу предложений о солидной прибавке к пенсии. Современные алгоритмы шифрования достаточно надежны для передачи данных по открытым каналам связи, но у хакеров остается немало способов атаки: например, перехват паролей и ключей шифрования с помощью троянских программ или просто перегрузки систем голосования с целью срыва избирательного процесса. Тем не менее большинство таких проблем может быть решено при грамотном подходе к разработке аппаратных и программных систем, что доказывается успешной работой интернет-банков, где требования к безопасности столь же высоки. К сожалению, на практике многие применяемые системы электронного голосования не отличаются особой надежностью (трудно сказать, по некомпетентности или умышленно), о чем неоднократно предупреждали эксперты в области безопасности.

Но даже при успешном решении других проблем защиты данных и аутентификации избирателя при дистанционном голосовании остается проблема утраты анонимности избирателей перед государством. Следует помнить, что у него есть средства для оперативно-розыскной деятельности, которые делают любую интернет-анонимность весьма условной. И уж чего вовсе не может интернет-голосование — это исключить возможность продажи голосов. Ведь избиратель может голосовать из любого места — хоть из штаб-квартиры правящей партии, при выходе из которой ему вручат небольшой, но ценный подарок.