Движение в защиту прав избирателей. Наша цель — свободные и честные выборы в России. RU EN
Карта сайта Регионы Сервисы EN
Cover
Коллаж: Ксения Тельманова

Как устроены выборы в Эстонии: пример парламентских выборов 2023

Блог | Иван Шукшин
Программист, исследователь выборов. Краснодарский край

В воскресенье, 5 марта 2023 года, в Эстонии прошёл день голосования. Я вёл в твиттере онлайн-репортаж, который может быть интересен любителям твиттер-тредов, видеозарисовок с мест, интересных подробностей и скриншотов электронной системы. Здесь я коснусь особенностей как традиционного голосования, бумажным бюллетенем, так и электронного, через интернет.

По статье 60 Конституции Эстонии выборы проводятся в первое воскресенье марта на четвертый год после предыдущих выборов, то есть голосование по закону идёт один день. Фактически же голосуют целую неделю, и де-юре эти шесть дней перед воскресеньем — предварительное, досрочное голосование.

Наблюдателю из России тяжело воспринять и эти семь дней, и электронное голосование как процедуру, которой можно доверять — все помнят и российский опыт, и переворачивание результатов после неожиданной выгрузки интернет-голосов, и уязвимости, — но вопроса доверия выборам в Эстонии я коснусь позже.

Досрочное голосование

Досрочно можно было голосовать как на участке бумажным бюллетенем, так и электронно через компьютер. На сайте ЦИК на трёх языках были размещены подробные инструкции, как установить программу для голосования и как голосовать. Избиратель мог удостоверить личность двумя способами: через ID-карту и через мобильную подпись, т. е. через получение кода доступа на особую сим-карту, привязанную к ID избирателя.

Скриншот из инструкции

Ридеры для ID-карт можно легко купить в киоске за 5 евро, но многие предпочитают вариант с мобильной подписью. Выборы выпали на время школьных каникул, поэтому партии заблаговременно предупреждали уезжающих в отпуск взять с собой не только ноутбуки, но и ридеры.

Электронное голосование, безусловно, тоже должно быть открыто для общества, и степени его открытости я тоже хочу коснуться. Код электронной системы опубликован на github и последние изменения были за три дня до первого дня голосования, но как выяснилось позже, не было механизма проверки, этот ли код запущен на серверах. К серверам доступа не было ни у наблюдателей, ни у аудиторов, только у организаторов.

Голосование на избирательных участках с понедельника по четверг было лишь в отдельных 116 УИКах, оно проходило с 12:00 до 20:00. А с пятницы было открыто уже более 400 УИКов. Голосовать в интернете можно было с 09:00 понедельника до 20:00 субботы. Переголосовать в интернете можно было неограниченное кол-во раз.

Доверие и безопасность

После голосования через компьютер избирателю выводился QR-код, по которому с помощью отдельного приложения он мог смартфоном проверить свой голос в течение 30 минут после голосования.

Пример выводимого сообщения о голосовании

Переголосование возможно лишь благодаря одной важной детали — в базе данных хранится точное соответствие избирателя, времени голосования и его зашифрованного голоса, которое хранится вплоть до анонимизации голосов при подсчёте.

При подсчёте электронных голосов происходит следующее: убирают все непоследние голоса (так учитывается переголосование), затем удаляют все голоса тех, кто проголосовал бюллетенем на участке (для этого после 20:00 воскресенья список проголосовавших выгружают в систему электронного голосования), и наконец электронные голоса анонимизируют.

Анонимизация производится на процедуре, называемой mixing с помощью программного продукта Verificatum. При этом после подсчёта через т. н. zero-knowledge proof можно строго математически проверить, что голоса до и после этого смешивания идентичны, не раскрывая при этом самих голосов. И лишь после анонимизации проводится расшифровка голосов и их подсчёт.

Организаторы стараются сделать процедуру максимально прозрачной, ЦИК Эстонии проводит семинары, где знакомят с деталями, как проходит электронное голосование. Кроме того, сайт ЦИК наполнен множеством материалов на трёх языках.

16 февраля, за три недели до основного голосования, проходило тестовое голосование. Процедура создания и разделения криптоключей тоже была доступна для наблюдения.

Уведомление на сайте ЦИК о семинаре для желающих наблюдать

ID-карта гражданина Эстонии похожа на банковскую карту с чипом. На участках у избирателя с карты устройством, похожим на ридер штрих-кодов в супермаркете, считывают личный код, отображаемый штрих-кодом на обратной стороне карты. Особо мнительные граждане просят не считывать его, а вбивать в систему вручную.

Внешний вид ID-карты
Фото: Martin Ahven

Аудитом электронной системы занимается внешний аудитор, для этого объявлялся тендер, и в 2023 году аудитором был выбран KPMG, крупная компания с отделениями в 143 странах. Подробно об аудите — на сайте ЦИК.

Партии накануне выборов разыграли, кто же возьмёт первые номера, кто за ними и так далее. Номера 101-226 достались правым, 226-310 — зелёным, и так далее. Внутри партийного диапазона ещё и сортировка по округу. И поскольку у каждого кандидата оказывается свой номер, именно его и размещают на агитационной продукции.

Номера одного и того же кандидата различаются от выборов к выборам

Голосование на участках

В день выборов нет привычной нам тишины, кандидаты спокойно агитируют возле избирательных участков. Кто-то раздаёт сладости, кто-то ручки с логотипом партии, а в красной палатке социал-демократов кандидаты лично наливали горячий грибной суп.

Состав избирательных комиссий заставляет напрячься наблюдателей из России: комиссии наполовину составляются администрациями, а наполовину от партий. Председатели так вообще почти все — работники администраций, мы встретили лишь одного опытного председателя, который не был чиновником. Члены комиссий проходят обучение, которое длится около 4 часов. Люди от партий очень мало хотят идти в члены комиссий, хотя за это и платят что-то около 15 евро в час.

При голосовании избиратель вписывает номер кандидата в маленький бюллетень, размером со смартфон, перед опусканием бюллетеня на него ставится вторая печать.

Интересно, что поскольку список избирателей электронный, то голосовать бюллетенем можно в любом участке округа. При выдаче бюллетеня онлайн проверяют и отмечают факт голосования. Если нет интернета или упала система, голос избирателя запаковывают в конверт, этот конверт кладётся в конверт большего размера, на нем пишут номер избирателя — и в отдельную картонную урну, которую вскроют, когда интернет вернётся, и можно будет проверить, может ли избиратель голосовать.

В случае падения сети, выходит, можно проголосовать много раз, но в отличие от электронного голосования, зачтётся не последний голос, а голос на том участке, где первым восстановится связь. Но на памяти у опрошенных нами членов комиссии нескольких УИК за много лет сбоев не происходило.

Дополнительная картонная урна

Степень открытости на разных участках разная. Где-то комиссии разрешали фотографировать, где-то нет. Где-то с трудом сообщали статистические цифры, где-то даже давали сфотографировать рабочий ноутбук.

Рабочий экран члена комиссии, статистика голосования по дням

В ноутбуки вставлены личные карты членов комиссии, именно через них происходит авторизация в электронной системе. Также с целью контроля логгируется каждое действие члена комиссии в системе, даже простой поиск избирателя по его личному номеру, без выдачи бюллетеня. И этими же ID-картами члена УИК проставляется цифровая подпись на документы комиссии.

Открытость также касается и наблюдения. Наблюдать может любой, даже иностранец. Раньше требовалось регистрироваться и получать бейджик, а в этот раз уже была полная свобода наблюдения. Однако граждане доверяют системе, и нет задачи массово покрыть все участки наблюдателями, как это стараются сделать независимые общественные контролеры в России, Казахстане или Беларуси. Наблюдателя почти невозможно встретить. За всё время мы встретили лишь пару наблюдателей из Японии, забежавших на минутку на один из участков, да одну местную партийную наблюдательницу на подсчёте.

Нам сообщили, что министерство образования постепенно влияет на то, чтобы было меньше избирательных участков в школах, ведь недельное голосование может помешать образовательному процессу, поэтому в течение недели предварительного голосования были открыты в основном участки в торговых центрах и прочих необразовательных зданиях.

Школа с избирательным участком

Поскольку электронное голосование завершилось в субботу, в воскресенье днём можно было провести часть обработки электронных голосов. Желающие понаблюдать за этим процессом могли лично там присутствовать, но мы подключились по ссылке на google meet, которую нам выслали.

Обработка электронных голосов в воскресенье

Обработка заключалась в том, что организаторы выборов на чистой машине с установленной ОС Ubuntu проводили операции с базой зашифрованных голосов, наблюдатели и аудиторы могли видеть экран стоящего отдельно чистого компьютера без жёсткого диска.

Экран с выводом исполняемых команд

Из базы удалили 10787 повторных голосов (всего-то 3% от общего числа), полученный результат записали на чистый оптический диск и компьютер выключили, что удалило все данные на нём. Каждый из файлов подписывали цифровой подписью и считали его контрольную сумму.

Подсчёт бумажных голосов после 20:00 воскресенья

Подсчёт голосов довольно быстрый, в сравнении с польскими или российскими выборами: нет огромного числа галочек, есть лишь маленький бюллетень с трёхзначным номером кандидата. Это довольно легко сортируется, и за полтора часа наш УИК с 397 проголосовавшими уже подготовил итоговый протокол.

Упаковка бюллетеней в конверт с номером кандидата 547

Подсчёт вполне идёт параллельно, что тоже непривычно для российского наблюдателя, но то, что в понедельник голоса заново пересчитают совсем другие люди, служит защитой от фальсификаций. Впрочем, наблюдатели тоже могут видеть, что сортировка идёт корректно.

После подсчёта голоса каждого кандидата упаковываются в конверт с его номером, а затем все конверты партийных помещаются в больший конверт партии. И всё это прямо в пластиковой урне и сохраняется до пересчёта. Протокол при этом подписывается цифровой подписью председателя и отправляется на сервер ЦИК, мы могли прямо на участке сравнить цифры подсчёта с цифрами на сайте. Вот этого в России точно не хватает, особенно для защиты от жуликов по типу фальсификаторов Приморья в 2018 году.

Подсчёт и выгрузка электронных голосов

Когда закрылись участки, из системы электронного списка избирателей выгрузили список проголосовавших и где-то в 20:45, когда все участки отметили, что закрылись, а файл со списком проголосовавших был передан, начался второй этап обработки электронных голосов.

Процедура удаления голосов проголосовавших бумажным бюллетенем — таких 1329

За этим этапом мы наблюдали тоже онлайн, через ноутбук, сидя на подсчёте на участке. Вначале организаторы показали контрольные суммы созданных в обед файлов, затем удалили голоса переголосовавших бюллетенем — и вышло ​​312 184 пока ещё не деанонимизированных голоса.

Когда запустили процедуру перемешивания (mixing), запустили команду htop, показывая, что процесс идёт, все 16 ядер компьютера загружены.

Лишь после перемешивания запустили процедуру расшифровки голосов. Для этого по очереди вставляли ключи, которые были созданы и разделены перед выборами. После вставки 5 из 9 ключей начался процесс расшифровки, минут за 20 создался итоговый json-файл.

Этот json файл подписали цифровой подписью и отправили сотруднице, которая при нас же зашла в админку сайта ЦИК, загрузила этот файл — и мы увидели, как к опубликованным результатам добавились эти данные. В результатах разделены данные с участков и электронные голоса.

Загрузка электронных голосов на сайт с результатами

Статистика голосования

Это были первые выборы в Эстонии, в которых электронных голосов оказалось больше, чем бумажных. На сайте ЦИК приведён исторический график, как росла доля электронных голосов.

Рост доли интернет-голосов

Текущая активность избирателей публиковалась на сайте ЦИК, и я построил график числа бумажных и электронных голосов от времени. Исходные данные можете найти по ссылке.

Активность избирателей в зависимости от времени: бумажные так и не смогли перегнать электронные

Пересчёт голосов в понедельник

Мы также посетили процесс пересчёта. В огромном зале собрались несколько десятков членов комиссий — и проверяли корректность подсчёта какой-то другой комиссии. Столы были расставлены в форме квадрата, внутри — члены комиссий, снаружи могли ходить наблюдатели и следить за пересчётом, очень удобно.

Были замечены несколько исправлений, но совсем небольших.

Электронные голоса тоже пересчитывали в понедельник, но процедура была не совсем такой, как в воскресенье. В этот раз уже работали аудиторы, которые действовали в соответствии со своим планом действий.

Аудитор за компьютером и его экран: видна консоль и на фоне — документ инструкции

Можно ли доверять этим выборам

Доверие выборам, особенно многодневным, особенно электронным — самый сложный вопрос. ОБСЕ в своих отчётах тоже отмечает определённые проблемы. Однако эстонцы в массе своей действительно им доверяют, причём доверие растёт. Отчасти люди доверяют системе просто на основании прошлого опыта, ведь никого никогда не ловили на фальсификациях так явно, как это происходит в России. Отчасти — потому что в целом результаты не отличаются от соцопросов. Ну и самый главный признак — в Парламенте множество партий, нет жуткой монополии у какой-то одной. Более того, лидирующая партия со временем меняется, что в случае системы фальсификаций сразу бы вскрывало методы предыдущего лидера. В России же даже систем электронного голосования несколько, и ни одна из них не привязана к криптографии конкретного человека с конкретным паспортом.

Я за много лет научился и видеть, и даже чувствовать обман организаторов выборов. На процедуре обработки голосов я видел таких же айтишников, как я сам, они вели себя абсолютно так же, как и мои коллеги, у них были свои ошибки как в работе компьютера, так и в выполнении команд, но это всё воспринималось абсолютно естественно. Они отвечали на вопросы иногда сразу, а на один из моих технических вопросов взяли таймаут, и ответили через полчаса.

При этом система электронных выборов в Эстонии не полностью прозрачна, а потенциально так и вообще способна быть инструментом фальсификаций. Но на мою просьбу показывать мне систему я не получал отказа, возникшие сложности при подсчёте решались естественно и без каких-то признаков, что хотят обмануть. Я задал четыре вопроса в процессе обработки голосов — и на все я получил ответы, которые меня удовлетворили.

Словом, либо в Эстонии настолько искусные фальсификаторы, идеально предотвращающие любые утечки улик, что даже опытные российские наблюдатели были ими обмануты, либо действительно в Эстонии нет практики фальсифицирования выборов и пока что социальные механизмы и работающие институты предотвращают использование системы электронных выборов для захвата власти. Я склоняюсь к последнему.