Сквозные проверяемые системы голосования - End-to-end auditable voting systems

Технология выборов
Терминология
Тестирование
Технологии
Производители

Сквозной аудит или же сквозная проверка избирателя (E2E) системы - это системы голосования со строгими свойствами целостности и сильной сопротивление взлому. Системы E2E часто используют криптографические методы составлять квитанции, позволяющие избирателям удостовериться в том, что их голоса были подсчитаны как поданные, без указания того, за каких кандидатов проголосовали. Таким образом, эти системы иногда называют на основе квитанции системы.[1]

Обзор

Электронное голосование системы приходят к окончательному подсчету голосов с помощью ряда шагов:

  1. у каждого избирателя есть первоначальные намерения,
  2. избиратели выражают свое намерение в отношении бюллетеней (будь то временные, как на дисплее Машина для голосования DRE, или прочный, как в системах с подтверждаемые избирателями бумажные следы ),
  3. бюллетени интерпретируются для создания электронных записей о подаче голосов,
  4. подсчитываются записи о поданных голосах, генерируются итоги
  5. если подсчет проводится на местном уровне, например, на уровне района или округа, результаты каждого местного уровня объединяются для получения окончательного подсчета.

Классические подходы к честности выборов, как правило, сосредоточены на механизмах, которые работают на каждом этапе цепочки от намерения избирателя до окончательной суммы. Голосование - это пример распределенной системы, и в целом разработчики распределенных систем давно знают, что такая локальная фокусировка может упустить одни уязвимости и чрезмерно защитить другие.[нужна цитата ] Альтернатива - использовать концы с концами меры, предназначенные для защиты целостности всей цепочки.[2]

Отказ тока оптическое сканирование Системы голосования для удовлетворения разумных сквозных стандартов были отмечены в 2002 году.[3]

Комплексное освещение честности выборов часто включает несколько этапов. Ожидается, что избиратели подтвердят, что они отметили свои бюллетени должным образом, пересчет или аудит используются для защиты этапа от отмеченных бюллетеней до итогов в урнах, а публикация всех промежуточных итогов позволяет общественности проверить правильность общих итогов с местными итоговыми значениями.[4]

Хотя такие меры, как проверенные избирателями бумажные журналы аудита и ручной пересчет повышает эффективность защиты, они предлагают лишь слабую защиту целостности физических или электронных урн для голосования. Избирательные бюллетени могут быть удалены, заменены или могут быть добавлены к ним (т.е.заполнить недооцененный конкурсы с голосами за желаемого кандидата или за перевесить и портиться голосов за нежелательных кандидатов). Этот недостаток мотивировал разработку обсуждаемых здесь сквозных систем голосования с возможностью аудита, иногда называемых Системы голосования E2E. Они пытаются охватить весь путь от попытки избирателя до итогов выборов с помощью всего двух мер:

  • Возможность индивидуальной проверки, с помощью которой любой избиратель может проверить, правильно ли его или ее бюллетень помещен в электронный ящик для голосования, и
  • Универсальная проверяемость, с помощью которой каждый может определить, что все бюллетени в ящике были правильно подсчитаны.

Из-за важности права на тайное голосование, некоторые схемы голосования E2E также пытаются удовлетворить третье требование, обычно называемое свобода получения:

  • Ни один избиратель не может продемонстрировать, как он или она голосовал, третьему лицу.

Один исследователь утверждал, что сквозную проверяемость и свободу получения следует рассматривать как ортогональные свойства.[5] Другие исследователи показали, что эти свойства могут сосуществовать,[6] и эти свойства объединены в 2005 г. Рекомендации по системе добровольного голосования обнародованный Комиссия по содействию выборам.[7] Это определение также преобладает в академической литературе.[8][9][10][11]

Адресовать вброс бюллетеней, может быть принята следующая мера:

  • Возможность проверки правомочности, с помощью которой каждый может определить, что все подсчитанные бюллетени были поданы зарегистрированными избирателями.

В качестве альтернативы, утверждения относительно вброса бюллетеней могут быть проверены извне путем сравнения количества поданных голосов с количеством проголосовавших зарегистрированных избирателей, а также путем аудита других аспектов системы регистрации и доставки бюллетеней.

Поддержка возможности аудита E2E, основанная на предыдущем опыте ее использования с личными выборами, также рассматривается как требование для удаленного голосования по Интернет многими экспертами.[12]

Использование на выборах

Город Такома-Парк, Мэриленд использовал Скантегрити II на городских выборах 2009 и 2011 годов.[13][14]

Гелиос с 2009 года используется несколькими организациями и университетами для всеобщих выборов, выборов в советы директоров и студенческих советов.[15][16]

Голосование вомбатом использовалось на выборах в студенческий совет частного исследовательского колледжа. Междисциплинарный центр Герцлии в 2011 и 2012 годах,[17][18] а также на первичных выборах израильской политической партии Мерец в 2012.[19]

Модифицированная версия Prêt à Voter использовался как часть системы электронного голосования vVote на выборах штата Виктория в Австралии в 2014 году.[20]

Система STAR-Vote[21] находился в стадии разработки для округа Трэвис, пятого по численности населения округа Техаса, где находится столица штата Остин.[22] Разработка завершилась в 2017 году, потому что ни один подрядчик не пожелал предложить систему с открытым исходным кодом, отвечающую критериям запроса предложений.[23][24]

В DRE-ip система была опробована на избирательном участке в г. Gateshead 2 мая 2019 года в рамках Местные выборы в Великобритании, 2019 г..[25][26]

Предлагаемые системы E2E

В 2004 г. Дэвид Чаум предложили решение, которое позволяет избирателю убедиться, что голос подан надлежащим образом и что голос правильно подсчитан, используя визуальная криптография.[27] После того, как избиратель выберет своих кандидатов, машина DRE распечатает версию избирательного бюллетеня в специальном формате на двух прозрачных пленках. Когда слои сложены, они показывают голосование, удобочитаемое человеком. Однако каждая прозрачность зашифрованный с формой визуальная криптография так что он сам по себе не раскрывает никакой информации, если она не расшифрована. Избиратель выбирает один слой для уничтожения при опросе. DRE сохраняет электронную копию другого уровня и выдает физическую копию в качестве квитанции, чтобы избиратель мог подтвердить, что электронный бюллетень не был впоследствии изменен. Система защищает от изменений в бюллетене избирателя и использует микс-сеть расшифровка[28] процедура, обеспечивающая точный подсчет каждого голоса. Састри, Карлофф и Вагнер указали, что есть проблемы с криптографическими решениями Chaum и VoteHere.[29]

Команда Чаума впоследствии разработала Punchscan, который обладает более высокими защитными свойствами и использует более простые бумажные бюллетени.[30] По бумажным бюллетеням голосуют, а затем часть бюллетеня, сохраняющая конфиденциальность, сканируется оптическим сканером.

В Prêt à Voter система, изобретенная Питером Райаном, использует перемешанный порядок кандидатов и традиционный смешанная сеть. Как и в Punchscan, голоса производятся на бумажных бюллетенях, а часть бюллетеней сканируется.

В Царапина и голосование система, изобретенная Бен Адида, использует очищаемую поверхность, чтобы скрыть криптографическую информацию, которая может использоваться для проверки правильности печати бюллетеня.[31]

В ThreeBallot протокол голосования, изобретенный Рон Ривест, был разработан для обеспечения некоторых преимуществ криптографической системы голосования без использования криптографии. В принципе, он может быть реализован на бумаге, хотя для представленной версии требуется электронный верификатор.

В Скупость и Скантегрити II системы обеспечивают свойства E2E, однако вместо того, чтобы быть заменой всей системы голосования, как в случае во всех предыдущих примерах, они работают как надстройка для существующих систем голосования с оптическим сканированием. Scantegrity II использует невидимые чернила и был разработан командой, в которую входили Чаум, Ривест и Райан.

Система голосования STAR в разработке для Округ Трэвис, Техас - еще один способ объединить систему E2E с бумажными бюллетенями, которые можно проверять обычным способом, в данном случае устройство для маркировки бюллетеней.[32]

Примеры

Рекомендации

  1. ^ «Руководство по системе добровольного голосования, версия 1.0» (PDF). Комиссия по содействию выборам. 2005. Получено 2020-04-07.
  2. ^ Дж. Х. Зальцер, Д. П. Рид и Д. Д. Кларк, Сквозные аргументы в проектировании систем, ACM Trans. по компьютерным системам (TOCS), Том 2, № 4, ноябрь 1984 г., страницы 277-288.
  3. ^ Дуглас У. Джонс, Сквозные стандарты точности в бумажных системах, Семинар по избирательным стандартам и технологиям (альтернативный источник ), 31 января 2002 г., Вашингтон, округ Колумбия.
  4. ^ Дуглас В. Джонс, Перспективы электронного голосования, От отключения электроэнергии до бумажных следов В архиве 2008-11-28 на Wayback Machine (альтернативный источник ), IFES, Вашингтон, округ Колумбия, 2007; стр. 32-46, особенно см. Рисунок 4, стр. 39.
  5. ^ Дуглас В. Джонс, Некоторые проблемы со сквозным голосованием, позиционный документ, представленный на Семинар по системам сквозного голосования, 13–14 октября 2009 г., Вашингтон, округ Колумбия.
  6. ^ Б. Смит, С. Фринк и М. Р. Кларксон, Проверяемость выборов: криптографические определения и анализ Helios и JCJ, Цифровое хранилище Корнелла, Февраль 2017
  7. ^ Руководящие принципы системы добровольного голосования 2005 г. В архиве 2008-06-13 на Wayback Machine, Комиссия по содействию выборам
  8. ^ Джереми Кларк, Алекс Эссекс и Карлайл Адамс. О безопасности бюллетеней в системах голосования E2E В архиве 2012-07-22 в Wayback Machine. Семинар IAVoSS по заслуживающим доверия выборам 2007 г.
  9. ^ Алекс Эссекс, Джереми Кларк, Ричард Т. Карбак III и Стефан Поповенюк. Punchscan на практике: пример из практики выборов E2E. Семинар IAVoSS по заслуживающим доверия выборам 2007 г.
  10. ^ Оливье де Марнефф, Оливье Перейра и Жан-Жак Кискватер. Анализ систем голосования E2E на основе моделирования. Электронное голосование и идентичность 2007.
  11. ^ Ка-Пинг Йи. Создание надежного программного обеспечения для машины для голосования. Кандидат наук. Диссертация, Калифорнийский университет в Беркли, 2007.
  12. ^ «Будущее голосования: сквозное проверяемое Интернет-голосование - Спецификация и технико-экономическое обоснование - Проект E2E-VIV». Фонд голосования США. 2015. Получено 2016-09-01.
  13. ^ «Пилотное исследование системы голосования Scantegrity II, запланированное на выборы в городском парке Такома в 2009 году» (PDF). Архивировано из оригинал (PDF) 19 июля 2011 г.
  14. ^ Хардести, Ларри. «Дебют криптографического голосования». Новости MIT. Получено 2009-11-30.
  15. ^ Хабер, Стюарт (24 мая 2010 г.). "Демонстрация электронного голосования Helios для IACR" (PDF).
  16. ^ Адида, Бен (25 июня 2009 г.). «Выборы президента университета с использованием голосования открытого аудита: анализ реального использования Helios» (PDF).
  17. ^ Ривест, Рон Л. (16 марта 2016 г.). «Проверяемость и проверяемость выборов».
  18. ^ Бен-Нун, Джонатан; Фархи, Нико; Ллевеллин, Морган; Рива, Бен; Розен, Алон; Та-Шма, Амнон; Викстром, Дуглас (2012). «Новая реализация двойной (бумажной и криптографической) системы голосования». S2CID  2015880. Цитировать журнал требует | журнал = (помощь)
  19. ^ «Мерец стремится произвести революцию в электронном голосовании». "Джерузалем пост" | JPost.com. Получено 2020-01-14.
  20. ^ Элдридж, Марк (6 мая 2018 г.). «Надежная электронная система голосования на федеральных выборах в Австралии». arXiv:1805.02202 [cs.CR ].
  21. ^ Белл, Сьюзен; и другие. (2013-08-01). «STAR-Vote: безопасная, прозрачная, проверяемая и надежная система голосования» (PDF). usenix evtvote13. Получено 2018-04-24.
  22. ^ «Округ Трэвис - опубликован запрос предложения STAR-VoteTM». www.traviscountyclerk.org. 2016-10-10. Получено 2018-04-24.
  23. ^ Причард, Калеб (2017-10-04). "STAR-Vote рушится - Austin Monitor". Остин Монитор. Получено 2018-08-04.
  24. ^ Баллард, Джинни (2017-09-28). «Округ Трэвис - STAR-голосование - Изменение планов». traviscountyclerk.org. Получено 2018-08-04.
  25. ^ Уэйкфилд, Джейн (2 мая 2019 г.). «Электронное голосование на местных выборах». Новости BBC.
  26. ^ Хао, Фэн; Ван, Шэнь; Сумка, Самиран; Проктер, Роб; Шахандашти, Сиамак Ф .; Мехрнежад, Марьям; Торейни, Эхсан; Метере, Роберто; Лю, Лана (2020). «Сквозное проверяемое электронное голосование для голосования на избирательных участках» (PDF). Безопасность и конфиденциальность IEEE: 0. Дои:10.1109 / MSEC.2020.3002728.
  27. ^ Чаум, Дэвид (2004). «Квитанции для тайного голосования: подлинные выборы, проверяемые избирателями». Безопасность и конфиденциальность IEEE. 2 (1): 38–47. Дои:10.1109 / MSECP.2004.1264852. S2CID  1015904.
  28. ^ Многоразовые анонимные каналы возврата
  29. ^ Крис Карлоф, Навин Састри и Дэвид Вагнер. Протоколы криптографического голосования: системная перспектива. Материалы четырнадцатого симпозиума по безопасности USENIX (USENIX Security 2005), август 2005 г.
  30. ^ Стивен Черри, Учитывать каждое электронное голосование, IEEE Spectrum, Январь 2007 г.
  31. ^ Скретч и голосование: автономное бумажное криптографическое голосование (2006)
  32. ^ Окунь, Эли (9 июля 2014 г.). «Округ Трэвис создает новую территорию для создания машины для голосования». Техасская трибуна. Получено 2016-09-02.
  33. ^ Система голосования ADDER
  34. ^ Система голосования Helios
  35. ^ Система голосования вомбат
  36. ^ Фэн Хао, Мэтью Н. Кригер, Брайан Рэнделл, Дилан Кларк, Сиамак Ф. Шахандашти и Питер Хён-Джин Ли. «Каждый голос имеет значение: обеспечение честности при крупномасштабном электронном голосовании». Журнал USENIX по избирательным технологиям и системам (JETS)Volume 2, Number 3, июль 2014 г.
  37. ^ Сиамак Ф. Шахандашти и Фэн Хао. «DRE-ip: проверяемая схема электронного голосования без подсчетов». Материалы 21-го Европейского симпозиума по исследованиям в области компьютерной безопасности (ESORICS), LNCS, Vol. 9879, 2016

внешняя ссылка