Движение в защиту прав избирателей. Наша цель — свободные и честные выборы в России. RU EN
Карта сайта Регионы Сервисы EN
Cover
Коллаж: Ксения Тельманова

Интернет-голосование: полезные идеи из эстонской системы

Блог | Дмитрий Нестеров
Эксперт по выборам. Москва

Поскольку институциональный и технологический контексты принципиально различны, наивный перенос эстонской системы интернет-голосования на российскую почву невозможен. Нет практического смысла проводить полное или покомпонентное сравнение с российскими системами ДЭГ. 

Однако если исходить из того, что в России интернет-голосование продолжат развивать и расширять, полезно обсудить, какие концептуальные и процедурные моменты из эстонского опыта стоило бы внедрить в отечественные системы голосования в текущих реалиях, чтобы приблизить их к стандартам традиционного голосования, а какие перенести нельзя — и почему.

Технологические моменты, такие как способы шифрования или хранения голосов, оставлю специалистам. Они, по моему убеждению, второстепенны в условиях, когда системы остаются уязвимыми широкому спектру внутренних атак, часть из которых делают возможным масштабное искажения волеизъявления.

Осмысленное применение интернет-голосования на выборах, как и достижение адекватного доверия системам ДЭГ, невозможно без радикального увеличения прозрачности и проверяемости. Парадоксально, но при наличие политической воли сделать системы ДЭГ защищенными от фальсификаций едва ли не проще, чем поднять российское офлайн-голосование до демократических стандартов. Да, этой воли не было и видно, то скорее был заказ именно на непрозрачные централизованно управляемые системы голосования. Остается надеяться, что сентябрьский скандал вокруг московской системы отрезвит заказчиков, наглядно показав к чему приводят игры в электоральные скатерти-самобранки.

После волны внимания и публичного препарирования систем ДЭГ возникло достаточно широкое осознание необходимости изменения форматов организации и проведения ДЭГ и комплексного изменения его нормативного регулирования. Примечательно, что при этом модернизация самих электронных систем может быть минимальной. Если развитие будет идти инерционным путем, то шанса сделать российские системы защищенными от основных фальсификационных рисков не будет. 

Несколько общих замечаний (и сравнений) по отдельным проблемным вопросам нашего «дистанционного электронного голосования» (ДЭГ):

  • Корректность списка участников ДЭГ, защита от несанкционированного голосования; 
  • Корректность учета голоса избирателя, переголосование;
  • Подведение итогов: публичность, проверяемость; 
  • Децентрализация контроля и федерализация систем ДЭГ; 
  • Критерии успешности ДЭГ, досрочность, отмена результатов ДЭГ;

Корректность списка участников ДЭГ, защита от несанкционированного голосования 

Поставил этот пункт на первое место, поскольку по состоянию на 2021 это один из наиболее непрозрачных и отвратительно урегулированных компонентов российского интернет-голосования. Необходимо концептуально изменить подход к формированию и контролю списка (реестра) электронных избирателей.

В этом вопросе российскому интернет-голосованию придется искать собственные решения, завидуя эстонской инфраструктуре электронного государства.

Аутентификация и верификация избирателя в Эстонии опирается на надежную систему индивидуальных ID-карт, заменяющих паспорт, и надежную национальную электронную базу данных о жителях. ID-карта содержит криптографический чип, в котором записаны приватный и публичный криптографические ключи. Подключается к компьютеру через специальное устройство-считыватель и ПО. 

Связка ID-карт и национальной базы изначально сделала компонент аутентификации/верификации одним из самых надежных элементов интернет-голосования. У избирателя есть доступная только ему криптографическая возможность подписать свой бюллетень (свои бюллетени) своим ключом, у государственных органов (и не только) есть возможность проверить, что бюллетень подписан именно избирателем. Это позволяет сделать невозможным с одной стороны обман системы со стороны голосующего (голосование без ID-карты и кодов к ней), и с другой стороны не позволяет злоумышленнику, в том числе внутреннему, несанкционированно проголосовать или переголосовать за избирателя. 

Регламент и технология использования эстонской национальной базы жителей как критического компонента инфраструктуры электронного государства дает достаточно гарантий от вброса виртуальных избирателей даже внутренним нарушителем. Национальная база контролируются независимыми ведомствами, а протоколы взаимодействия с ней надежны и публичны. В демократических институциональных условиях все это гарантирует ее целостность.

Российскому наблюдателю будет инструктивным сравнение с традиционной системой идентификации избирателя по паспорту. Заметьте, даже в России мы не считаем реальным риск масштабной фальсификации через массовый выпуск фальшивых паспортов и их копий, хотя контроль за паспортной системой в России несопоставимо менее надежный. Почему? Хотя бы потому, что паспортная система слишком важный и глобальный и бюрократически сложный компонент для общественных и экономических процессов, чтобы ее компрометировать даже ради улучшения результата на выборах. Неудивительно отсутствие сомнений эстонцев в более прозрачной и более контролируемой множеством независимых субъектов системе учета и идентификации.

Исходно верификация и аутентификация в эстонском интернет-голосовании были основаны только на ID-карте. Сейчас есть возможность идентифицироваться на выборах и через Mobile-ID, но эту технологию решились ввести после многолетний успешной практики использования ID-карт и тщательного взвешивания технологической и социальной практик использования Mobile-ID. 

В российских условиях такие технологические решения недоступны, а любые их паллиативы, опирающиеся на неконтролируемые государственные базы, не защитят систему голосования от манипуляций больше, чем нынешняя система авторизации через «Госуслуги». Придется искать свой комплексный подход к проблеме корректности и проверяемости списка электронных избирателей (а заодно и ряда других проблем).

У офлайновых УИК и ТИК должен быть онлайн доступ к соответствующей части списка («реестра») участников ДЭГ — электронных избирателей. Что необходимо и для нормальной синхронизации с офлайновыми списками избирателей, и как фактор децентрализации проверки и контроля электронного списка избирателей, и для совершения определенных действий в случае отмены ДЭГ. Как минимум в рамках московской системы реализовать это возможно уже сейчас.

Необходимо изменение регламента формирования и работы электронных комиссий под задачи и функции, связанные с электронным голосованием. Также необходимо дробление электронных избирательных комиссий. Сейчас, когда на одну комиссию приходятся сотни тысяч или миллионы избирателей, даже при наличие инструментов и нормативных возможностей организовать сколько-либо эффективный процесс проверки списка электронных избирателей невозможно. Как невозможно и организовать работу с избирателями в случае возникновения проблем с правом или возможностью голосовать электронно. 

На прошедших в сентябре выборах как минимум сотни москвичей оказались лишены избирательного права, оказавшись исключенными как из бумажных списков избирателей в связи с записью на ДЭГ, так и из системы ДЭГ, и не оказалось полномочного электорального органа, кто мог решить их проблемы. В зависимости от регламента формирования и работы электронных комиссий разумно формировать один УИК ДЭГ на примерно десяток или несколько десятков тысяч избирателей. 

В российских условиях, где нет системы электронного государства и индивидуальных ID-карт избирателей, возможность использования которых надежно контролируют владельцы карт, требуется решить концептуальную проблему нынешних российских архитектур ДЭГ. Сейчас почти все действия избирателя в ДЭГ — начиная от подачи заявки и заканчивая получением электронного бюллетеня — опосредованы аккаунтами в системах госуслуг, которые абсолютно не контролируемы как самими гражданами, так и избирательными комиссиями в рамках ДЭГ.

«Черный ящик» систем авторизации госуслуг сейчас опосредует взаимодействие избирателей и избирательных комиссий, и не позволяет избирателю проконтролировать голосование через «свой» аккаунт. Это источник проблем и с составлением списков электронных избирателей, и невозможности решить проблему несанкционированных голосований/переголосований, когда происходит голосование/переголосование от имени избирателя, а тот не имеет возможности этот факт отследить. 

Не уверен, что есть надежное решение в российских реалиях. Идеи в сторону использования биометрии, операторами которых неминуемо будут примерно те же государственные институции, при ближайшем рассмотрении способны породить еще больше рисков нарушения прав избирателей. И в итоге это уменьшит прозрачность системы ДЭГ. 

Простая мера, позволяющая частично снять отчуждение живого избирателя от происходящего от его имени в ДЭГ и создать неэлектронный след избирателя при подаче заявки, заключается в приложении к электронной форме заявления на участие в ДЭГ, заполняемой, через «Госуслуги», скана или фото простого бумажного заявления на участие в ДЭГ с номером паспорта и собственной подписью избирателя. Эти же заявления (после проверки и одобрения заявок со стороны ЦИК) должны электронно приходить в офлайновые участковые избирательные комиссии, на основании чего должны проставляться специальные пометки в бумажных списках избирателей об участии избирателей в ДЭГ. 

Эта мера как минимум технически затруднит и сделает более рискованным внесение большого объема виртуальных избирателей в реестр ДЭГ.

Еще одной мерой, способной затруднить несанкционированное голосование/переголосование от имени избирателей, может стать право избирателей прийти или в свой офлайн УИК (где должен быть онлайн доступ к реестру) или в УИК ДЭГ и при предъявлении паспорта проверить информацию о фактах и времени выдачи электронных бюллетеней на его аккаунт. Эта информация содержится в реестре электронных избирателей, и должна быть доступна только членам комиссий и самому избирателю. 

Корректность учета голоса избирателя, переголосование 

Следует сделать полноценными и согласованными процедуры проверки собственного голоса избирателем и полноценную проверяемую возможность переголосования. Без этого невозможен полноценный контроля целостности голосования избирателей. 

Пиар, сопровождавший внедрение российских систем ДЭГ, часто приводил в пример эстонскую систему интернет-голосования (естественно, других аналогичных примеров и нет). Однако адекватно реализовать аналогичные базовые возможности контроля интернет-голосования так не спешат. Как и не спешат делать систему такой же открытой и понятной. 

Между тем, возможность переголосования была продумана и предусмотрена с самого начала применения эстонской системы в 2005 году. Эту особенность электронных систем атаковали противники введения интернет-голосования, включая президента Эстонии, но необходимость и адекватность такой возможности была закреплена решением Конституционного суда.

Систему проверки правильности учета собственного голоса была введена к 2013 году, после рекомендация БДИПЧ ОБСЕ (2011 г.) и требований местных электронных активистов. Это необходимый компонент контроля целостности голосования избирателя с его стороны, и дополнительная мера идентификации потенциальных вирусных атак на устройства пользователей. Кроме того, она помогает убедиться в завершенности голосования в случае технического сбоя или сомнений в правильности заполнения. И в целом, наличие такой возможности благотворно сказывается на общем доверии системе интернет-голосования.

Интересным выглядит эстонское решение разрешить проверку собственного голоса в течение обычно получаса после голосования. Тут есть свои резоны за и против. 

С одной стороны, это дополнительно усложняет организацию подконтрольного голосования и без того бессмысленного в силу наличия переголосования. В российском случае подобное решение позволило бы избежать необходимости сохранять конфиденциальность факта переголосований (как дополнительную защиту от административного давления), и реализовать в системе механизм получения избирателем информации о всех выданных ему электронных бюллетенях (что пресекло бы возможность незаметного несанкционированного переголосования за избирателя). 

С другой стороны, реализованная в концепции московской системы возможность видеть свой сначала зашифрованный, а затем расшифрованный бюллетень в публичном блокчейне позволяет избежать незаметной подмены голосов в системе и дает возможность избирателю понятно и прозрачно убедиться в корректности учета его голоса. Но одновременно затрудняет совмещение защиты от административного давления с возможностью официально проверять факты выдачи бюллетеня аккаунту избирателя. 

В эстонской системе такой дилеммы нет, поскольку там до начала подсчета электронный бюллетень хранится в «двух виртуальных конвертах», внешний из которого «подписан» его электронным ключем, и потому не может быть изменен. И это же гарантирует невозможность несанкционированного голосования/переголосования за избирателя. 

Проверка голоса делается через открытое ПО с мобильного устройства (голосовать пока можно только с ноутбука или компьютера), что ненавязчиво обеспечивает разделение устройств голосования и проверки.

Приходится напоминать канонические вещи про необходимость проверки собственного голоса и переголосования третий год подряд: без этих двух взаимосвязанных возможностей система интернет-голосования не защищена даже от подмены голосов, не говоря уже о практиках административного подконтрольного голосования и подкупа. Это нарушает и базовые избирательные права и делает само голосование непроверяемым — и потому бессмысленным.

В дополнение (но не в замену проверки собственного голоса!) в системах интернет-голосования иможно добавить математические алгоритмы доказательства (проверки) целостности голосования. Эстонцы ввели эту дополнительную степень защиты к 2017 году в ходе большого апгрейда системы электронного голосования. К введению дополнительной криптографической проверки целостности интернет голосования призывали международные и локальные эксперты, это было прописано и в рекомендации БДИПЧ ОБСЕ в 2015.

Как и многое другое, полноценное внедрение систем переголосования и проверки собственного голоса сложно представить в рамках нынешнего избирательного законодательства, заточенного на процедуры офлайн голосования бумажным бюллетенем. 

Замечу, что адекватных законодательных изменений требуют и уже существующие системы ДЭГ, ибо сейчас нормативное регулирование ДЭГ неполно и недостаточно конкретно, что усугубляется запутывающей терминологией. Интернет-голосование базируется на иных физических принципах и процессах, и потому плохо «вписываются» в процедурные моменты, подробно прописанные в 67-ФЗ для офлайн голосования. Чтобы соответствовать принципам демократических выборов, заложенным в третью статью ФЗ-67 и закрепленных международными конвенциями, надо как раз прекратить натягивать сову на глобус и нормально законодательно прописать концепцию интернет-голосования, гарантии прав участников избирательного процесса, не забыв ввести адекватные сопутствующие процедуры и использовать понятную и соответствующую электронным процессам терминологию.

Подведение итогов: публичность, проверяемость 

Концепцию и процедуры подведения итогов однозначно имеет смысл позаимствовать у эстонцев. Публично, понятно, воспроизводимо. Такое подведение итогов заведомо надежнее и безопаснее, чем автоматические операции внутри неконтролируемой электронной системы.

Подведение итогов должно вестись на основе публичных воспроизводимых операций с данными. Данные — зашифрованные электронные бюллетени — должны контролируемо извлекаться из системы ДЭГ после завершения голосования. Итоги следует подводить по регламентированной прозрачной процедуре на отдельном, изолированном от внешних коммуникаций, компьютере.

Получаемые данные (исходные и промежуточные, публикуемые и непубликуемые) должны подписываться на каждом этапе. Для большей безопасности и надежности подведение итогов следует разделить, или задублировать часть операций между напрямую не связанными «независимыми агентствами».

В Эстонии подсчет интернет-голосования проводится на основе массива зашифрованных бюллетеней, переданных из «Коллектора» бюллетеней. Все операции с данными выполняются публично на отдельном, не связанном с интернет компьютере. 

Общая логика простая и в чем-то аналогичная аналогичная обычному почтовому голосованию. 

Электронные бюллетени изначально лежат в двух [виртуальных] конвертах. Внешний «конверт» подписан электронной подписью избирателя, внутренний «конверт» анонимен и содержит зашифрованный бюллетень.

Сначала проверяются внешние подписанные конверты — что голосовали жители, имеющие право голосовать на данных выборах, что сертификаты избирателей подтверждены.

Отбирается последние голоса переголосовавших избирателей, аннулируются голоса проголосовавших бумажным бюллетенем. Затем снимаются внешние «конверты» (происходит анонимизация) — и остаются анонимные зашифрованные бюллетени, массив которых миксуется. 

Далее собирается разделенный ключ расшифрования и проводится расшифровка бюллетеней и подсчет голосов (для исходного и замиксованного массива).

Целостность каждой ключевой операции дополнительно проверяется. Массивы бюллетеней, промежуточные документы и результаты, протоколы процедур по мере появления подписываются электронными подписями или комиссии или аудитора. Необходимые данные и документы копируются на компакт-диски, которые или передаются на хранение в Республиканскую избирательную комиссию, в качестве избирательной документации или публикуются. 

Каждая операция с данными выполняется в отдельном каталоге. Каждый скрипт запускается из текстовой строки. Код скриптов зафиксирован и открыт, алгоритм их запуска и параметры досконально прописаны (есть файлы сценариев, но скрипты могут запускаться и вручную из текстовой строки). Перед запуском проверяются целостность данных, а также целостность/неизменность запускаемых программ через проверку хеш-сумм.

Все это происходит неспешно, последовательно, и происходящее на экране компьютера и файл с алгоритмом действий демонстрируется на больших проекционных экранах. Дополнительно с нескольких камер ведется запись происходящего в помещении подведения итогов. Эта запись должна быть доступна в интернете. Председательствующий по ходу процесса комментирует происходящее и отвечает на возникающие вопросы. Большую часть операций проводит член избирательной комиссии, часть проводит независимый аудитор, обычно привлекаемый из уважаемой международной организации (сейчас это KPMG).

Некоторые подготовительные операции проводятся в воскресенье в первую половину дня. Среди них: проверка целостности данных, определение и отсев переголосованных бюллетеней, удаление электронных бюллетеней избирателей, которые проголосовали на офлайн участках в ходе досрочного голосования (напомню, само интернет-голосование тоже досрочное, на прошедших выборах оно завершалось в субботу). 

Основное подведение итогов начинается сразу после завершения основного голосования и занимает примерно пару часов. Операции осуществляются с анонимизированными, разбитыми по округам бюллетенями, с исходными и замиксованными наборами бюллетеней.

В конце процедуры подведения итогов подписанные итоговые данные по округам передаются в Республиканскую комиссию, представитель которой тут же копирует их в электронную системы выборов (аналог нашего ГАС «Выборы») и они становятся доступными, как и данные с участков. 

На следующий день все основные операции подведения итогов, в том числе электронного голосования, повторяются по аналогичной процедуре. Бюллетени с офлайн участков, напомню, независимо пересчитываются в специальных открытых окружных центрах.

Кроме представителя комиссии, аудитор и наблюдатели могут повторить почти все процедуры, которые выполняла комиссия. Единственное, поскольку они допускаются к работе в том числе с неанонимизированными данными, копировать данные они не могут. Массив анонимизированных замиксованных бюллетеней позволяет проверять подсчет в публичных средах. Тот факт, что миксование произошло без изменения результата, проверяется аудитором во еще во время процедуры.

Подобная процедура, ее понятность, открытость, логичность и проверяемость действительно снимает большую часть вопросов к этому этапу, эффективно исключает возможность коррумпирования и искажения результатов, что в итоге укрепляет доверие результатам интернет-голосования.

Почему в Эстонии невозможно случившееся на ДЭГ в Москве, когда не получилось подвести итоги голосования в соответствии даже с существующим регламентом, а затем выяснилось, что данные недоступны для проверки? 

Прежде всего потому, что эстонская система устроена так, что исходные данные голосования (зашифрованные электронные бюллетени) собираются, и в конце голосования в формате, целостность которого контролируема, извлекаются и переносятся на отдельную чистую систему для обработки. Отделяемость данных от компонентов электронной системы заложена технологически и процедурно. 

Далее с данными голосования публично производятся регламентированные действия. С этими же данными могут работать и провести независимые проверки/подсчеты иные субъекты (без возможности раскрытия персональных данных). Обезличенные данные голосования доступны для более широкой проверки.

Если по какой-то форсмажорной причине отсутствует целостность исходных данных голосования, что можно обнаружить и в процессе, и сразу после завершения интернет-голосования, то есть опция отменить электронную часть голосования и позвать электронных избирателей в основной день голосования на избирательные участки. Если целостность массива зашифрованных бюллетеней есть, то во время подсчета уже ничего не может помешать подвести итоги. Все скрипты просты, открыты, публичны, подписаны, то есть достаточно хорошо проверены заранее. Если ломается контрольный компьютер, чистая система может быть установлена на другое физическое устройство и так далее. 

Децентрализация контроля и федерализация

Вернемся к российским особенностям. В суровых институциональных условиях максимальная децентрализация контроля и определенная «федерализация» электронной части избирательной системы будут весьма полезны для увеличения прозрачности и защищенности системы от внутренних атак. 

Должен быть децентрализован внешний и внутренний контроль не только за электронными списками избирателей, но и за функционированием программно-аппаратного комплекса ДЭГ. Это при прочих равных усложнит политическое коррумпирование организаторов и сделает более рискованными фальсификации.

В текущей российской ситуации это основной реалистичный способ ограничения использования систем электронного голосования в качестве электоральной скатерти-самобранки. Сейчас отсутствуют возможности внешней проверки большинства параметров целостности/добросовестности российских систем ДЭГ. Не реализовано и полноценное отделения данных от системы при подведении итогов: итоги подводит электронная система внутри себя в закрытом непрозрачном режиме. Внутренний «контроль» завязан на непубличное взаимодействие непубличных людей и агентств, подчиняющихся одному политическому начальству.

Системы интернет голосования кроме непубличности процесса обладают еще одним опасным свойством — сверхцентрализацией. Именно централизация делает масштаб многих рисков вмешательства или сбоев гигантским и неограниченным, а легкость коррумпирования обескураживающей. Для запуска нерегламентированных процессов или для изменения нескольких строчек кода, способных повлиять на работу системы со всеми голосами сразу (а на федеральных выборах это могут быть голоса всех электронных избирателей страны!), достаточно коррумпировать одного или нескольких непубличных людей, имена и сведения об уровне доступа к систему которых не знают даже избирательные комиссии. Именно поэтому система интернет-голосования должна быть максимально прозрачна, а контроль за ней максимально диверсифицирован, тонко сбалансирован и избыточен, т. е. ключевые элементы должны проверяться разными способами независимыми субъектами.

В технологической части даже на федеральных выборах стоит делать отдельные блокчейны на регионы, ставить полноценные ноды на соответствующие блокчейны в региональные избирательные комиссии. 

В процедурной части подведение итогов (по примеру эстонцев) имеет смысл разделить на два этапа: публичного подведения первичных итогов и публичной независимой проверки. Подведение первичных итогов сразу после завершения голосования имеет смысл делать по данным ноды ИКСРФ, заверяя все электронными подписями ИКСРФ. В течение следующих двух суток специальный орган при ЦИК публично проводит перепроверки с другими аудиторами по нодам ЦИК тех же блокчейнов, подписывают данные своими ЭЦП, дублируя опубликованные данные и протоколы.

Анонимизированные данные бюллетеней, коды, запускаемые скрипты системы, коды подписанных приложений для проверок собственного голоса должны быть открыты для анализа и независимых проверок. Сами процедуры должны быть просты и алгоритмизированы, чтобы быть понятными и официальным лицам, проводящим подсчет, и желающим самостоятельно проверить результаты наблюдателям/избирателям. 

Критерии успешности ДЭГ, досрочность, возможность отмены результатов ДЭГ 

Еще один важный и недоосмысленный в России концептуальный момент, связанный с электронным голосованием. Спасибо эстонскому интернет-голосованию, что напомнило и дало повод о нем вспомнить.

Риски технологии интернет-голосования потенциально сколь угодно большого масштаба не могут быть контролируемы на 100%, тем более в силу нынешней непрозрачности и незащищенности российских систем интернет-голосования от внутреннего вмешательства. Поэтому необходимо или сужать рамки использования интернет-голосования ограниченными категориями граждан — живущими или пребывающими за границей, командированными, временно проживающими в других регионах, работающих в удаленных местностях, на кораблях в плавании и прочим. Или, если по примеру Эстонии такие ограничения не вводить и оставлять право всем избирателям регистрироваться на электронное голосование, то онлайн-часть голосования должна проводиться в рамках досрочного голосования.

Например, проводиться в субботу. В то время как основной день голосования, воскресенье, должен проходить уже без интернет-голосования.

Есть несколько резонов, почему широкое голосование должно быть досрочным. Один из самых понятных и очевидных: если что-то пойдет не так — система зависнет, будет обнаружена широкомасштабная атака на голосование — должен остаться день, чтобы позвать электронных избирателей на офлайн избирательные участки.

Кстати, федерализация полезна и для этого момента, в разных регионах выборы заканчиваются в разное время. В соответствии с региональным временем проведения голосования должны запускаться/останавливаться блокчейны, относящиеся к голосованию в данном регионе и первичное подведение итогов должно проводиться по региональному времени.

И реестр электронных избирателей на обычные участки надо проводить, чтобы локальные члены комиссии могли с утра воскресенья связаться с электронными избирателями, сообщить об отмене интернет-голосования и пригласить их на обычные участки.