Криптография и выборы в США: как решить проблемы безопасности голосования

Криптографическое решение для выборов в США по-прежнему ждет своего часа

В 2006 году инженер-программист Михал Поспieszальски обнаружил опасные недостатки в голосующих машинах США — недостатки, которые, по его словам, по-прежнему угрожают американским выборам сегодня.

Поспieszальски, нанятый Институтом науки о выборах, где он работал в должности главного технолога, был отправлен в штаб-квартиру поставщика выборов Election Systems & Software (ES&S) в Омахе, штат Небраска. Его задачей было проанализировать систему голосования iVotronic компании.

В течение более одной недели Поспieszальски выявлял широкий спектр проблем, включая «плохие практики программирования, скрытые лазейки, статические пароли», и, что наиболее важно, полное отсутствие «криптографических доказательств от начала до конца».

«Самая большая вещь, которой не хватало, — это криптографические доказательства от начала до конца», — сказал Поспieszальски в интервью Decrypt. «Это означает, что даже при идеальной внешней безопасности машина не может знать, легитимен ли бюллетень или был ли он подсчитан дважды, трижды, 10 раз или 1 000 раз.»

Что отсутствует в современных голосующих машинах

Генеральный директор компании по безопасности блокчейнов и программного обеспечения для идентификации MatterFi, Поспieszальски отметил, что такая уязвимость не гипотетическая; она легко эксплуатируется любым человеком, имеющим доступ к голосующим машинам и системам регистрации избирателей.

«Вы можете просто пропустить один и тот же бюллетень 10 раз — и это все еще актуально сегодня — и это будет считаться 10 голосами», — объяснил он. «Сканер не знает об этом, так же, как и табулятор. Табулятор в центральном округе скажет: «О, это было 10 голосов.»

Поспieszальски добавил, что разделение систем бюллетеней и записей избирателей часто делает согласование невозможным без обращения к оригинальным бумажным записям.

«Нет анонимной сериализации каждого бюллетеня, которая позволила бы системе знать, что каждый сериализованный бюллетень должен быть подсчитан только один раз», — сказал он.

Согласно Поспieszальски, решение включает программное обеспечение, а не оборудование, и строится на криптографических методах, разработанных в 1980-х годах Дэвидом Чаумом, криптографом, который стал пионером цифровых денег и ввел слепые подписи, позволяя проверять транзакции, не раскрывая их содержимого.

Чаум позже основал DigiCash, первую цифровую валюту, и предложил криптографические системы голосования, которые сохраняют анонимность, позволяя при этом публичную верификацию. Его работа положила ключевую основу как для безопасного электронного голосования, так и для современных криптовалют, таких как Bitcoin.

Предложенная модель

«Что вам нужно, так это чтобы машина в конечном итоге — центральный табулятор подсчета голосов или система управления выборами — получила определение голоса, и у вас есть Чаумовская засвеченная сериализация на каждом бюллетене», — сказал Поспieszальски. «Так что, как в округе Лос-Анджелес, этот выходной бюллетень, который печатается, имеет серийный номер. Этот серийный номер не идентифицирует избирателя, но говорит табулятору в центральном округе: «Эй, это уникальный бюллетень.»

«Если я вижу два из них, значит, кто-то обманул», — добавил он. «Тем более, если я вижу 50 из них.»

В предложенной модели Поспieszальски будет три подсчета: бумажные бюллетени, обычный цифровой подсчет и третий криптографический подсчет.

«Способ, которым вы видите обман, заключается в том, что цифровой подсчет показывает 100 голосов, а криптографический подсчет говорит, что должно быть только 90», — заявил Поспieszальски. «Теперь вы знаете, что кто-то ввел 10 голосов.»

Уроки из округа Антрим

В 2020 году Поспieszальски был нанят для проведения судебно-медицинского анализа в округе Антрим, штат Мичиган, после того как ошибка подбора голосов вызвала широко распространенные спекуляции.

«Произошло изменение голосов в округе Антрим примерно на 2000 голосов, когда, как бы, один день было 2000 за Байдена, а на следующий — за Трампа», — вспомнил он. «На самом деле произошло то, что определение бюллетеня было неверно сконфигурировано, так что система думала, что голоса за Трампа это голоса за Байдена.»

Он сообщил, что когда бюллетени были повторно отсканированы с исправленным файлом определения, «все вернулось в норму.»

Поспieszальски подчеркнул, что хотя ошибка была технической, оптическая сторона ситуации подогревала общественное подозрение.

«Не было огромной, враждебной атаки. Но как избирателю, который возбуждается медиа — особенно правыми средствами массовой информации — людям захотелось бы получить ответы», — сказал он, добавив, что такое заблуждение именно то, что криптографические доказательства от начала до конца должны предотвращать.

Хотя он не нашел доказательства удаленного взлома или лазеек в программном обеспечении, Поспieszальски сказал, что во время своего анализа наткнулся на признаки возможного внедрения бюллетеней.

«Если у вас есть бюллетень с 42 вариантами, и в анализе вы видите 100 бюллетеней, заполненных все 42 одинаковым образом, вы думаете: наверное, это не правда», — сказал он. «Вот то, что я нашел в некотором количестве в округе Антрим.»

Спрошенный, почему криптографическая сериализация бюллетеней не была внедрена, Поспieszальски указал на укоренившиеся системы и корпоративную неохоту вносить изменения, добавив, что предложения по обеспечению безопасности голосования часто не пользовались успехом, потому что были слишком сложными.

«Они предлагают всякие действительно сложные схемы использования... вещи, которые просто не имеют смысла, если вы производитель голосующих машин», — сказал он.

Несколько технологий нацелены на улучшение безопасности выборов и доверия. В апреле член Ассамблеи штата Нью-Йорк Клайд Ванел представил законопроект, который использует блокчейн-технологию для обеспечения безопасности записей избирателей и результатов выборов. Хотя блокчейн был продвинут как решение для безопасного голосования, Поспieszальски утверждает, что основная проблема не требует такого уровня сложности.

«Все, что вы пытаетесь сделать, это решить простую проблему: получить точный подсчет легитимных голосов», — сказал он. «Лишняя сложность не нужна. Многие люди продвигают блокчейн, потому что он популярен, но на самом деле он не нужен.»

В отличие от этого, Поспieszальски говорит, что его решение работает с текущими машинами.

«Я просто говорю: смотрите, сделайте это обновлением программного обеспечения для существующей системы и работайте с Dominion, работайте с ES&S, и вы можете просто включить это или выключить», — сказал он.

Спрошенный, как может произойти принятие, Поспieszальски предложил законодательство или мандаты от органов, контролирующих выборы.

«Производители голосующих устройств и их клиенты — округа — должны настоятельно призывать к изменениям», — объяснил он. «Если бы закон предписывал, что к 2028 или 2032 году системы голосования должны включать криптографические доказательства от начала до конца, мы бы уже были в бизнесе.»

По его словам, преимущество заключалось бы в ясности на будущих выборах, особенно в напряженных соревнованиях, где доверие крайне хрупко.