На протяжении предыдуших полутора-двух десятилетий компьютерные новации самых разных стран в области модернизации избирательных участков сводились, главным образом, к массовому внедрению безбумажных DRE-технологий. Эта аббревиатура расшифровывается как Direct Recording Electronic, т. е. «электроника прямой записи», а означает специализированный компьютер-терминал, заточенный под быстрый и автоматизированный подсчет отдаваемых на выборах голосов – на основе нажимаемых избирателями кнопок и без всякой опоры на «архаичные» бумажные бюллетени.
Однако быстрый и удобный подсчет голосов избирателей – это, как известно, далеко не все и отнюдь не самое главное, что требуется от безусловно важной для демократии процедуры тайного голосования. Куда более существенными здесь принято считать такие аспекты, как обеспечение прозрачности выборов и полное доверие общества к избирательным технологиям. Но вот именно этого DRE-машинам продемонстрировать так и не удалось.
Хуже того, после многих лет тщательного изучения всех доступных для анализа технологий электронного голосования, реально применяемых во многих государствах, эксперты по защите информации не нашли среди них ни одной системы, действительно способной противостоять злоупотреблениям и тайным манипуляциям результатами выборов. Иначе говоря, было констатировано, что по-настоящему честные и безопасные электронные выборы реализовать с помощью компьютерных технологий в их нынешнем виде не представляется возможным.
Государственные власти тех стран, где электронные системы голосования уже массово применяются или же лишь опробуются в экспериментальном порядке, реагируют на подобные выводы по-разному. Скажем, в Нидерландах, Ирландии и Германии, где одно время пытались ввести безбумажные DRE-машины, по здравом размышлении над свидетельствами экспертов полностью отказались от данной технологии как от ненадежной и чреватой злоупотреблениями. В США примерно то же самое сделали местные власти нескольких штатов.
В Бразилии же, напротив, чтобы укрепить пошатнувшееся доверие к массово распространенным в этой стране машинам для голосования, власти устроили нечто вроде открытого конкурса на «лучший хакинг» технологии. А в Индии («самой крупномасштабной демократии на планете», как там любят говорить) независимых компьютерных исследователей, продемонстрировавших вопиющие слабости в массово применяемой электронике для голосования, подвергли самым настоящим репрессиям. Местного индийского активиста-электронщика арестовали, обвинив в «краже» избирательной машины (по знакомству неофициально полученной им на несколько дней для анализа), а его американского коллегу депортировали из страны, не утруждаясь объяснениями своих столь недружелюбных действий...
За всеми этими – порой весьма драматичными – событиями вокруг DRE-машин, можно заметить другой, ныне все более отчетливо проступающий элемент общей картины. В принципе, нет ни малейших сомнений, что компьютерные системы голосования при желании удается весьма эффективно приспосабливать для тайных манипуляций. Однако научно доказано и то, что компьютерные технологии для выборов, как и любой другой инструмент двойного назначения, можно заточить и совсем иначе – под полную прозрачность и проверяемость результатов от начала до конца.
За подобным подходом к выборам ныне уже устойчиво закрепилось название E2E. Данное сочетание символов означает end-to-end audit, что можно перевести как «сквозная проверяемость». Именно это направление новейших разработок в области систем электронного голосования и имеет смысл обсудить подробнее.
Scantegrity II
Для всех, кто в общих чертах знаком с принципами тайного голосования, представляется очевидной парадоксальная самопротиворечивость всей этой процедуры. С одной стороны, голоса отдаются тайно и анонимно, чтобы даже сами избиратели не могли доказать третьему лицу (за деньги или под принуждением), за кого именно отдали свой голос. С другой -- процедура выборов должна быть прозрачной и самопроверяющейся, чтобы исключить жульничество с итоговыми результатами.
Со времени возникновения голосования и вплоть до недавних дней считалось, что ничего лучшего, чем урны и бюллетени, для уравновешивания этих противоречивых требований придумать невозможно. Однако на рубеже XX и XXI вв. сразу несколько известных криптографов-математиков сумели продемонстрировать, что общая процедура тайного голосования может быть существенно улучшена. И теперь, благодаря компьютерам и алгоритмам криптографии, буквально каждый из избирателей может анонимно отдать свой голос и по окончании выборов лично убедиться, что именно его голос был учтен в итоговых результатах, причем учтен правильно.
Таким образом, к настоящему времени были разработаны и несколько раз проверены на реальных выборах такие схемы тайного голосования, при которых проверить честность и правильность всех процедур учета голосов может практически любой желающий. И при этом строго соблюдается тайна голосования – в результате остроумного применения таких известных в криптографии технологий, как цифровая подпись, цифровые наличные, разделение секрета и заблаговременные цифровые обязательства.
В число наиболее отработанных в наши дни примеров E2E-технологий для голосования входит процедура под названием Scantegrity II. Ее создала в США и Канаде довольно большая интернациональная группа ученых с участием таких авторитетных криптографов, как Рон Райвест (соавтор RSA) и Дэвид Чом (один из отцов «цифровых наличных»).
Одна из главных и особенно привлекательных особенностей системы Scantegrity II заключается в том, что она специально создана для усовершенствования уже существующих процедур голосования и работает как бы «поверх» них. Следовательно, если конкретный избиратель не хочет вникать в новации и воспользоваться новыми замечательными функциями системы, он может проголосовать с тем же самым бюллетенем «по-старому».
В основу Scantegrity II положена система голосования с оптическим сканированием бюллетеней, ставшая сейчас доминирующей технологией в США. В своей традиционной форме это решение обычно требует, чтобы избиратель заполнял окошки-кружки, напечатанные на бюллетене рядом с именами кандидатов. После заполнения он сам с помощью специального компьютера сканирует свой бюллетень, а затем бросает его в урну. Таким образом, одновременно обеспечиваются и быстрый подсчет голосов, и «бумажный след», необходимый для перепроверки компьютерных подсчетов.
А вот E2E-надстройка, реализованная в Scantegrity II, работает следующим образом. Здесь избиратель вместо обычной ручки пишет особым фломастером, который проявляет уникальный код, напечатанный внутри кружка невидимыми чернилами. Когда этот бюллетень пропускается через обычный оптический сканер, тот определяет, какой именно из кружков, стоящих напротив кандидатов, был закрашен, т.е. все происходит, как и раньше.
Кроме того, благодаря данной системе, теперь любой избиратель, желающий проверить, что его голос учтен и правильно подсчитан, в процессе выборов записывает код, который был проявлен в кружке бюллетеня, и уникальный серийный номер бюллетеня. А потом забирает эту информацию с собой.
Позднее избиратель может посмотреть свой серийный номер на веб-сайте избирательной комиссии, чтобы убедиться, что он соответствует коду, стоявшему внутри помеченного им кружка. Хотя этот код и вывешен на веб-сайте для всеобщего обозрения, здесь он уже не привязан к имени кандидата, за которого был отдан голос. Вся система выстроена и математически рассчитана таким образом, что даже если всего лишь 2% избирателей проверят и подтвердят свои коды, то статистически окажется практически невозможным, чтобы подделка результатов голосования оказалась невыявленной.
Пример избирательного бюллетеня Scantegrity II. Слева: Образец исходного бюллетеня, в котором невидимые области условно помечены цветом (розовым и желтым). В середине: Напечатанный бумажный бюллетень. Коды подтверждения, написанные специальными чернилами, сначала невидимы. Справа: Отмеченный избирателем бюллетень и его корешок. Пометка кружка фломастером-декодером делает код подтверждения видимым, а на отрывном корешке этот код записывается, чтобы унести его для проверки.
Наверное, если захотеть, можно придумать обходные пути и для такой системы. Например, на публичное обозрение вывешивать одно, а «наверх» отправлять совсем другое. Но это относится уже к иным материям. И когда б их не было, ломать голову над хитрыми машинами и алгоритмами просто бы не пришлось…