Электронное голосование: долговременный проект
Швейцарцы должны уже в 2015 г. получить возможность голосовать в удаленном режиме. Пока же система «e-voting» остается весьма уязвимой. Не исключено, что сделать процесс голосования полностью электронным не получится.
«Применяемые в настоящее время в Швейцарии системы никоим образом не позволяют избирателю проверить, что случилось с его голосом. У него нет иного выбора, кроме как полагаться на технику», — указывает Рольф Хенни (Rolf Haenni), профессор информатики из «Научно-исследовательского Института безопасности информационного общества» («Research Institute for Security in the Information Society» — «RISIS») при кантональном «Бернском политехническом институте» в городе Биль («Berner Fachhochschule Biel»).
«Конечно, с самого начала реализации этого проекта особое внимание уделялось именно аспектам безопасности, но в целом системам первого поколения не хватает важнейшего свойства, а именно, верифицируемости. То есть избиратель не имеет возможности проверить, попал ли его голос именно туда, куда он был им направлен», — подтверждает коллега Рольфа Хенни, директор «RISIS» Эрик Дюбюи (Eric Dubuis).
Когда «да» означает «нет»
Вся система электронного голосования состоит, если говорить очень упрощенно, из центрального компьютера, который обрабатывает голоса избирателей, и удаленных компьютеров самих голосующих. Теоретически, результат выборов может быть сфальсифицирован как в результате хакерской атаки на центральный компьютер, так и из-за вируса на компьютере избирателя. Вредоносные программы могут привести к тому, что избиратель, ничего не замечая и не подозревая, проголосует «да», а в центральную базу данных поступит ответ «нет».
В выборах и при голосованиях речь идет в основном об интересах определенных общественных и политических групп. Теоретически одна заинтересованная сторона может заразить вирусом тысячи компьютеров и тем самым сфальсифицировать результат волеизъявления. От такого сценария ученые предостерегают уже более десяти лет, то есть с самого начала реализации проекта «e-voting».
Самым простым решением стала бы рассылка с центрального компьютера каждому избирателю подтверждения о получении его голоса, подобно той, которую мы обычно получаем, заказывая что-либо в интернет-магазине. Однако об этом не может быть и речи, потому что «голосование должно оставаться тайным. Ни сама система, ни системный администратор не должны знать, как я голосую. И это обстоятельство весьма усложняет всё дело», — считает Р. Хенни.
Большая часть швейцарцев, живущих на ПМЖ за рубежом, должна будет иметь возможность уже в 2015 г. принять участие в выборах нового состава федерального парламента в удаленном режиме на основе сети интернет. Федеральное руководство Швейцарии намерено добиться этой цели во что бы то ни стало.
В июле этого года проект «электронного голосования» стал предметом критической общественной дискуссии, в центре которой находились вопросы обеспечения безопасности в сети. Накануне, в ходе проведенных «стресс-тестов», в системе швейцарского «E-Voting» были обнаружены серьезные прорехи.
Для властей Швейцарии все это не стало сюрпризом, в конце-концов они всегда подчеркивали, что при реализации проекта «электронного голосования» основной акцент будет сделан не на скорости его реализации, но на обеспечении надлежащего уровня безопасности и защиты от нападения хакеров. Именно поэтому пока удалённо голосовать может лишь очень небольшая часть «зарубежных швейцарцев».
По данным федеральных органов власти Швейцарии по всей стране доступ к системе «E-Voting» имеют только 10% зарегистрированных избирателей; в каждом отдельном кантоне пока в таком формате имеют право голосовать не более 30% от списочного состава избирателей. Реально же к этой системе подключены пока только 3% швейцарских избирателей, в основном из числа проживающих на ПМЖ за рубежом.
Многие депутаты федерального парламента высказывают серьезные сомнения в принципиальной реализуемости проекта «E-Voting». Они требуют остановить все работы в этой сфере, по крайней мере до тех пор, пока не будут созданы программы, гарантирующие безопасность голосования в сети. С похожими инициативами выступают депутаты и многих кантональных парламентов.
В настоящее время в сфере удаленного голосования существуют два стандарта: «женевский» и «цюрихский». Кантон Невшатель имеет свою собственную систему. После того, как была обнародована информация о проблемах с обеспечением безопасности, два кантона (Ури и Обвальден) приняли решение о приостановке своего участия в этом проекте (на основе «женевского» стандарта).
Верной дорогой…
В 2014 г. в Швейцарии должно начаться постепенное внедрение второго поколения систем электронного голосования. Нововведение заключается в том, что избиратели, вместе со всеми положенными предвыборными информационными материалами, будут получать еще и индивидуальный четырехзначный код, который позволит теоретически обеспечить анонимность голосования.
После того, как гражданин проголосовал, система отправит ему так называемый «код подтверждения». Его можно сравнить с другим кодом – на материале для голосования. Любая нежелательная манипуляция сразу станет заметной.
«Корабль в настоящее время идет в верном направлении», – говорит Э. Дюбюи. «Ведь если граждане будут замечать манипуляцию, хакеры поймут, что рассылать вредоносные программы теперь просто бессмысленно. И в этом состоит огромная разница с нынешней системой, в рамках которой манипуляция может остаться незамеченной».
Прозрачные урны
Впрочем, и во втором поколении системы удаленного голосования затраты на централизованную защиту данных и на правильный подсчет голосов все еще остаются весьма значительными.
Нельзя полностью исключить и манипуляции, а также ошибки, например, при наборе кода. Поэтому Э. Дюбюи и Р. Хенни настоятельно выступают за полное изменение всей парадигмы, в частности, за переход на принцип «отрытых данных», и в особенности за полное обнародование поданных кодированных голосов.
Но даже и в этом случае остается еще проблема возможного отслеживания хакерами пути, проделанного информацией, вплоть до полной персональной идентификации избирателя и его вотума, то есть в данном случае речь идет о том, как избежать выхолащивания принципа тайного голосования.
Решением могут стать… прозрачные урны для голосования, как во Франции. «Мы видим, что сначала они пустые, потом в урну падают бюллетени, урну встряхивают — и уже никто не может идентифицировать, кто и как голосовал», — указывает Э. Дюбюи.
Пилотный проект в Норвегии
Точно такой же принцип можно было бы применить и в рамках системы удаленного электронного голосования. На языке программистов это означает «переход к раскрытию зашифрованных данных при анонимизации этих данных перед их расшифровыванием».
«В этом случае информация подвергается многократному криптографическому „перемешиванию“, так же, как в прозрачных урнах перемешивают бумажные бюллетени. Обработанные таким образом голоса нельзя уже будет сравнить с поступившими голосами, но по содержанию они останутся теми же самыми, соотношение „за“ и „против“ не поменяется, что можно будет доказать математически. Это научно сертифицированная, признанная специалистами и действительно на сто процентов надежная процедура. И к тому же она полностью сохраняет тайну голосования», — указывает Р. Хенни.
Он признает, правда, что «такая система «смешивания» очень сложна. Мы осознали это, тестируя ее у нас в вузе в ходе выборов в студенческие советы. Но мы продолжаем работать. Готового решения пока нет нигде на мировом рынке IT-услуг, кроме, может быть, Норвегии, которая недавно проводила пилотные эксперименты с такой системой «крипто-смешивания». Э. Дюбюи предполагает, что похожая система — при наличии соответствующеего политического решения — может быть внедрена в Швейцарии уже через 2-3 года.
Электронное голосование является относительно новой технологией. Эксперименты с ней во время выборов и голосований проводились пока лишь в нескольких странах. В Европе, наряду со Швейцарией, к таким новаторам относятся Норвегия, Эстония и Франция.
Отдел «Политические права граждан» Федеральной канцелярии Швейцарии и команда проекта «Vote électronique» («Электронное голосование») работают совместно с международными профильными объединениями и делятся швейцарским опытом в этой сфере.
Они принимают участие в международных конференциях и поддерживают контакты с другими странами, которые еще только планируют, или уже проводят, эксперименты с «электронным голосованием», надеясь получить и освоить ценный зарубежный опыт.
Бумага как «слабейшее звено»
У системы остается только один, но существенный недостаток. Несмотря на применение компьютерных и электронных технологий и методов, «для большего доверия к ней со стороны избирателей все равно пока необходимы услуги почты», — подчеркивает Р. Хенни. Персональные коды обязаны сейчас поступать к избирателям в письменном виде на бумаге, электронный способ доставки кодов пока нельзя использовать по соображениям безопасности.
Поэтому ученые вот уже многие годы трудятся над третьим поколением системы электронного голосования, которая будет основана на дополнительном, – наряду с центральным компьютером и компьютером избирателя, – «третьем» устройстве. «Компьютер или смартфон теоретически всегда могут «обмануть» меня, сработать нештатно. До конца им доверять нельзя — и эту проблему, увы, не решить в принципе. Поэтому нужен «посредник», — продолжает Р. Хенни.
Два года назад, по заказу Федеральной канцелярии (аппарата федерального правительства Швейцарии) исследователи из «RISIS» разработали полностью электронную систему удаленного голосования, исключающую дорогой и трудоемкий почтовый канал доставки необходимой для голосования кодовой информации.
Решение: дополнительное устройство
Решение заключается в дополнительном устройстве, аналогичном тем, что банки выдают в Швейцарии своим вкладчикам для управления системой «Клиент-Банк» («direct banking»). «Это должно быть устройство с минимумом функций, без подключения к интернету, обходящееся без программирования, а главное — недорогое», — описывает этот прибор Р. Хенни.
Он будет сканировать «голос» избирателя, — возможно, это будет так называемый «бар-код», или матричный двухмерный штрих-код («QR-code»), обозначающий «да» или «нет», — прямо на экране монитора, затем отправлять его через USB-кабель или по беспроводной связи на домашний компьютер, а уже оттуда информация будет поступать на центральный компьютер.
Данные на протяжение всего процесса будут оставаться зашифрованными. Кроме того, доступ к «третьему» устройству будет также защищен посредством пин-кода.
Доверие как к банкнотам
«У граждан должны будут появиться основания доверять этим устройствам в такой же степени, в какой сейчас они доверяют швейцарским банкнотам. Задача их сертификации будет возложена на Федеральную канцелярию», — говорит Э. Дюбюи.
Он признает, что «некоторые проблемы» все еще остаются открытыми. Однако их решение уже не является «несбыточной мечтой или необоснованной фантазией. Необходимо, правда, еще провести целый ряд исследований. Кроме того, это ведь и вопрос политической воли. Нужно будет также поразмышлять над тем, каким конкретно набором функций должно будет обладать «третье устройство».
Открытыми остаются не только вопросы логистики, но и проблемы как в сфере производства и распространения данных устройств, так и в области технической поддержки, – ведь пин-код можно забыть, сам прибор, который, что понятно, будет использоваться только время от времени, можно потерять, а аккумулятор к нему может разрядиться.
Э. Дюбюи размышляет в перспективе о некоем устройстве, которое дало бы гражданину возможность иметь он-лайн контакты не только с Центральной избирательной комиссией, но и с другими властями, а также, одновременно, с собственным банком. И почему бы при этом не использовать прибор, который почти каждый всегда имеет при себе — а именно, смартфон?
«Производители смартфонов могли бы устанавливать на них второй, параллельный, не программируемый контур. Технически это выполнимо», — поясняет Р. Хенни. Первый контур (операционную систему смартфона) можно будет и дальше синхронизировать с приложениями и другим программным обеспечением, в том числе, к сожалению, и с вредоносными программами. А вот второй, не программируемый контур, был бы недоступным для хакеров, а потому полностью безопасным.
Это, конечно, пока только идеальная картинка. Ее вряд ли удастся воплотить в жизнь. «У вендоров (поставщиков мобильных гаджетов и прочего IT-оборудования — прим. ред.) перед глазами весь мир. Швейцария в этом глобальном контексте слишком невелика для того, чтобы играть для них хотя бы мало-мальски значимую роль», — подводит итог Э. Дюбюи.
Перевод с немецкого и адаптация: Надежда Капоне.
В соответствии со стандартами JTI
Показать больше: Сертификат по нормам JTI для портала SWI swissinfo.ch
Обзор текущих дебатов с нашими журналистами можно найти здесь. Пожалуйста, присоединяйтесь к нам!
Если вы хотите начать разговор на тему, поднятую в этой статье, или хотите сообщить о фактических ошибках, напишите нам по адресу russian@swissinfo.ch.