Your browser is out of date. It has known security flaws and may not display all features of this websites. Learn how to update your browser[关闭]

电子系统可靠性能研究


全虚拟、又安全的电子投票:前路迢迢



作者:Andreas Keiser




安全方面的漏洞给目前的电子投票系统招来各种批评之声。从技术角度讲,百分百安全的纯电子化投票是可行的,但它的实现之路并非坦荡。在下一阶段的投票中,纸张依然是舍弃不了的载体。

伯尔尼高等专科学院“信息社会安全研究所”(RISIS)的Rolf Haenni教授评论说:“在瑞士现有的系统中,选民无法检验自己选票的去向。他们只能信任投票系统,别无他法。”

RISIS研究所的所长Eric Dubuis表示:“我们在安全性上下了很多工夫,但系统依然还未具备我们几年来一直想实现的‘可验证功能’,也就是说,投票人能够确认其选票‘没有被做手脚’的可能。”

如果“支持”变成“反对”

用简化的语言来形容,现在的电子投票系统的运作就是:一台中央电脑在收集并分析从选民个人电脑中发出的声音。

从理论层面上看,如果黑客袭击主机,或者恶意软件(malware)污染了个人电脑,那么投票结果就有可能被改动。这种情况下,选民无法察觉到他用键盘敲进的“支持”会在中央电脑中被显示成“反对”。

投票或选举涉及的通常是大事要事。因此会有利益集团企图通过对成千上万不设防的电脑做手脚,以达到扭转投票结果的目的。10年多来,专家们都在提防着这种情况的发生。

最简单的解决办法就是:中央电脑向每位选民发回投票确认信息,但这并不可行。“因为必须得保证投票的不记名性。系统不可以知道我是如何投的票,系统管理员也不行。这让事情一下儿变得复杂多了,”Rolf Haenni解释道。

正确的方向

第二代网上投票系统将被逐步引入瑞士,而且很可能就在2014年。到时候,选民们将会收到他们的投票材料和两个四位数的个人密码,一个为了投“赞成票”,另一个则是投“反对票”。

只要选民投出了他的一票,中枢系统就会回寄给他一个“验证码”,投票人可以将此密码同自己原有的密码相比对,如有错误则会立即被发现。

Eric Dubuis评价说:“我们的方向是正确的,这种可视性可以抵制黑客的任何企图。这同现有系统的区别很大,现在人们可没有办法对搞鬼现象进行检测。”

联邦委员会-坚持到底

大部分海外瑞士人应该能够在2015年选举时通过网络进行投票。尽管批评声重重,联邦委员会仍然坚守这一目标 。

2013年日内瓦出现的投票安全漏洞引发讨论:一位电脑技术人员公开指出系统的一大隐患。

有关当局早在很久之前就已了解到系统的弱点,因此,只有一部分选民拥有参与网上投票的权利。

目前,最多10%的瑞士选民可以通过电子途径参与投票。对于需要拥有多数州支持才能通过的政策,各州电子投票选民的比例上限为30%。整体来看,电子投票体系仅对3%的瑞士选民具有实际意义,其中大多数为海外瑞士人。

4位来自不同党派的国民院年轻议员最近表态说系统不够安全,他们要求中止项目,至少直到研发出更可靠的软件。类似要求在某些州也曾被提出。

日内瓦的问题出现之后,乌里(Uri)及上瓦尔登(Obwald)两州中断了电子投票项目。

目前瑞士有3个电子投票系统:日内瓦系统也被应用于伯尔尼州、卢塞恩州和巴塞尔城市半州;另有8个州取用苏黎世系统;而纳沙泰尔州则拥有自己的电子投票体系。

透明投票箱

在安全性以及选票的确切统计方面,这一系统也可达到很高标准。理论上说,绝对避免偏差是不可能的,比如人们可以在印刷密码时耍花招。两位专家力挺对系统的改良,具体来讲,就是实现“开放的信息提交,尤其是‘密码化’的投票”。

剩下问题就是对反馈给投票者的验证信息进行监控,这就牵扯进了投票的不记名问题。解决办法的灵感来自于在法国普遍使用的透明投票箱。Eric Dubuis明确道:“一开始,我们要核实投票箱是空的,投票过后,人们会摇晃箱子,以至于没人知道谁投了什么票。”

也就是说,密码形式的投票信息公开上传后被解码,之后再被匿名化。“数据会根据密码学多次混合,投票情况也因此无法从形式上辨认,但内容保持不变。这个可以通过数学理论验证。这一过程得到了科学的证实,可信度达100%,”Rolf Haenni补充道。

该安全专家承认,这样的系统会“极其复杂”。他介绍说:“我们在大学学生会的选举中引入了这一系统,并对系统加以调试,因为没有现成的办法。最近,挪威进行了几次先锋实践。”Eric Dubuis 估计,如果政界表示兴趣,该体系可以在近2、3年内推向瑞士。

扰人的纸张

该体系的不便之处在于,为了向选民传递密码,依然要使用纸张,并通过邮递渠道实现-出于安全考虑,电子路径已被排除。

研究人员多年来在研究第三代电子投票技术,它立足于一部辅助设备。

Rolf Haenni说:“从理论上说,电脑或智能手机总是可以泄露出一些东西,它们并不是百分之百的可靠。我们没法解决这个问题。”也正因如此,两年来受瑞士联邦秘书处(Chancellerie fédérale) 委任的两名RISIS研究所专家已经设计出了一套完全电子化的投票模式-它可以绕开邮寄的渠道,既节省时间,又节省金钱。

这个新方式需要引入一个附加设备-它类似于银行为了网上转账而提供给顾客的小仪器。它是一个“功能尽可能少,体积尽可能小,造价尽可能低,并不联网的机器”。

这个仪器将电脑屏幕上标有密码的投票表格拍摄下来;之后,投票人通过外接硬盘或一种无线传递技术将投票信息传给投票系统,以便数据中心之后向其进行反馈。该模式中,投票信息全程加密,而且,要想使用附加仪器也须先输入密码。

像纸币一样可靠

“这样的仪器应该像瑞士纸币一样可靠。它需要得到联邦秘书处的认证,”Eric Dubuis透露说:“还存在一些未知数,但整个体系不是凭空想像出来的。我们还得做几项研究,而同时,这其实也是一个政治意愿的问题。”

具体来说,关于仪器的分发还存在一些问题要解决;还有生产和运送成本,以及行政上的支出,因为有人会丢失开机密码或小仪器本身,因为它们的使用并不频繁;抑或电池漏电等状况。

Eric Dubuis还在构思一种同时与其他公共服务系统及银行建有电子联系的机器。这一功能可以直接设置在智能手机上,为什么不呢?Rolf Haenni指出:“技术上讲,厂商完全有能力制造出‘无法编程、又可抵御恶意软件’的第二代开发系统。”

这是一个理想的解决办法,但它却难以实现,因为“生产商的目光瞄准的是世界,而瑞士在他们眼里微不足道,”Eric Dubuis说。


(译自法文:郭倢), 瑞士资讯swissinfo.ch



链接

×