Криптографічні рішення для безпеки виборів у США: чому вони досі не впроваджені?

Криптографічне рішення для американських виборів все ще залишається на полиці

У 2006 році програміст Міхал Поспєшальскі виявив небезпечні недоліки в системах голосування США — недоліки, які, за його словами, все ще загрожують американським виборам сьогодні.

Запрошений Інститутом виборчої науки, де він обіймав посаду головного технолога, Поспєшальскі був перевезений у штаб-квартиру постачальника виборчих послуг Election Systems & Software (ES&S) в Омасі, Небраска. Його завдання полягало в аналізі системи голосування iVotronic компанії.

Протягом більше тижня Поспєшальскі виявляв широкий спектр проблем, включаючи «погані практики кодування, приховані входи, статичні паролі» і, що найважливіше, те, що він описав як повну відсутність «криптографічних доказів від початку до кінця».

«Найбільше, чого не вистачало, це криптографічних доказів від початку до кінця», — сказав Поспєшальскі в інтерв’ю Decrypt. «Це означає, що немає способу, щоб машина, навіть з ідеальною зовнішньою безпекою, могла знати, чи є бюлетень легітимним, або якщо його рахували двічі, тричі, 10 разів або 1 000 разів.»

Чого не вистачає в сучасних виборчих машинах

Генеральний директор компанії з безпеки блокчейн та програмного забезпечення для ідентифікації MatterFi, Поспєшальскі, сказав, що ця вразливість не є гіпотетичною; її легко експлуатувати будь-кому з доступом до виборчих машин і систем реєстрації виборців.

«Ви можете просто прогнати один і той же бюлетень 10 разів — і це все ще правда сьогодні — і це просто буде рахуватися як 10 голосів», — пояснив він. «А сканер цього не знає, як і табулятор. Табулятор у центральному дільниці, як, `О, це було 10 голосів.`»

Поспєшальскі зазначив, що розділення систем бюлетенів і записів виборців часто ускладнює узгодження безпосередньо з оригінальними паперовими записами.

«Немає анонімної серіалізації кожного бюлетеня, яка дозволила б системі знати, що кожен серіалізований бюлетень повинен бути врахований лише один раз», — сказав він.

Рішення, за словами Поспєшальскі, пов`язане з програмним забезпеченням — а не з апаратним забезпеченням — і базується на криптографічних методах, які вперше були розроблені в 1980-х роках Девідом Чаумом, криптографом, який став піонером цифрових грошей і запровадив сліпі підписи, що дозволяють перевіряти транзакції без розкриття їх змісту.

Чаум пізніше заснував DigiCash, одну з перших цифрових валют, і запропонував криптографічні системи голосування, які зберігають анонімність та дозволяють публічну перевірку. Його робота поклала основи як для безпечного електронного голосування, так і для сучасних криптовалют, таких як Bitcoin.

«Що вам потрібно, так це, щоб машина наприкінці — центральний табулятор або система управління виборами — отримала визначення голосу, і у вас є Чаумова сліпа серіалізація на кожному бюлетені», — сказав Поспєшальскі. «Отже, як в окрузі Лос-Анджелеса, той випущений бюлетень, що друкується, має серійний номер. Цей серійний номер не ідентифікує виборця, але говорить табулятору в центральному дільниці: «Гей, це унікальний бюлетень.»

«Якщо я бачу два з них, то хтось обдурив», — додав він. «Особливо, якщо я бачу 50 з них.»

У пропонованій Поспєшальскі моделі було б три підрахунки: паперові бюлетені, звичайний цифровий підрахунок та третій криптографічний підрахунок.

«Спосіб, як ви бачите обман, це коли цифровий підрахунок говорить, що є 100 голосів, а криптографічний підрахунок говорить, що має бути лише 90», — сказав Поспєшальскі. «Тепер ви знаєте, що хтось вніс 10 голосів.»

Уроки з округу Антрим

У 2020 році Поспєшальскі був запрошений провести судово-медичний аналіз в окрузі Антрим, штат Мічиган, після того, як коротка помилка підрахунку голосів викликала широкі спекуляції.

«В окрузі Антрим був переворот голосування приблизно на 2 000 голосів, де, як один день було 2 000 за Байдена, а наступного дня 2 000 за Трампа», — пригадує він. «Насправді сталося так, що визначення бюлетеня було неправильно налаштоване, тому система думала, що голоси за Трампа були за Байдена.»

Він сказав, що коли бюлетені були повторно відскановані з виправленим файлом визначення, «все повернулося до нормального.»

Поспєшальскі підкреслив, що хоча помилка була технічною, вигляд ситуації підживлював суспільну підозру.

«Не було величезної, ворожої атаки. Але як виборець, який хвилювався від медіа — особливо правих медіа — людям хочеться знати відповідь», — додав він, підкресливши, що така плутанина саме те, що криптографічні докази від початку до кінця призначені запобігти.

Але хоча він не виявив доказів віддаленого хакерства або програмних задніх дверей, Поспєшальскі зазначив, що у своїй аналізі виявив ознаки можливого введення бюлетенів.

«Якщо у вас є бюлетень з 42 варіантами, і в аналізі ви бачите 100 бюлетенів з усіма 42 заповненими однаковим чином, ви думаєте: Мабуть, це не справжнє», — сказав він. «Ось те, що я знайшов деякі докази в окрузі Антрим.»

Запитуваний, чому криптографічна серіалізація бюлетенів не була реалізована, Поспєшальскі вказав на усталені системи та корпоративну неохочість вносити зміни, додаючи, що пропозиції для безпечного голосування часто не набирали популярності, оскільки були надто складними.

«Вони пропонують всілякі дійсно, дійсно важкі у використанні схеми... речі, які для виробників виборчих машин просто не матимуть сенсу», — сказав він.

Кілька технологій прагнуть покращити безпеку та довіру до виборів. У квітні член асамблеї штату Нью-Йорк Клайд Ванел представив законопроект, який використовував би технології блокчейн для захисту записів виборців і результатів виборів. Хоча блокчейн просувається як рішення для безпечного голосування, Поспєшальскі стверджував, що основна проблема не потребує такого рівня складності.

«Усе, що ви намагаєтеся зробити, це вирішити просту проблему: отримати точний підрахунок легітимних голосів», — сказав він. «Додаткова складність не є необхідною. Багато людей просувають блокчейн, оскільки він популярний, але насправді ви його не потребуєте.»

На відміну від цього, Поспєшальскі каже, що його рішення працює з поточними машинами.

«Я просто кажу: подивіться, зробіть це оновлення програмного забезпечення для існуючої системи та працюйте з Dominion, працюйте з ES&S, і ви просто можете вмикати або вимикати його», — сказав він.

Запитаний, як може відбутися впровадження, Поспєшальскі пропонував законодавство або мандати від юрисдикцій, які контролюють вибори.

«Виробники голосувань і їхні клієнти — райони — потребують великих дільниць, щоб вимагати змін», — пояснив він. «Якщо закон говорить, що до 2028 або 2032 року виборчі системи повинні включати криптографічні докази від початку до кінця, ми були б у бізнесі.»

Перевага, за його словами, полягала б у ясності на майбутніх виборах, особливо у гарячих конкурсах, коли довіра є крихкою.