Kompleksowe systemy głosowania z możliwością audytu

Część serii dotyczącej
technologii wyborczej
Technologia
Głosowanie nieobecne Czad Maszyna do głosowania DRE Głosowanie elektroniczne Elektroniczna maszyna do głosowania System głosowania ze skanem optycznym Wstępne głosowanie Maszyna do głosowania Papierowa ścieżka audytu zweryfikowana przez głosujących System liczenia głosów
Terminologia
Centralne liczenie lub CCOS Przegłosowanie Liczba okręgów lub PCOS Niedostateczne głosowanie głos lub rezygnacja
Testowanie
Testy akceptacyjne Testy kwalifikacyjne Weryfikacja oprogramowania Test użyteczności
Producenci
Systemy i oprogramowanie wyborcze Hart InterCivic Głosowanie w Dominium Smartmatic
Powiązane aspekty
Certyfikacja maszyn do głosowania Niezależna instytucja badawcza (ITA) NVLAP VVSG Kompleksowe systemy głosowania z możliwością audytu Pomóż ustawie o głosowaniu w Ameryce Niezależne systemy weryfikacji Bezpieczna rejestracja elektroniczna i eksperyment z głosowaniem Niezależność oprogramowania

Część serii Polityka
Głosowanie
Głosowanie Karty do głosowania Głosowanie nieobecne Wstępne głosowanie Przykładowa karta do głosowania Kandydaci i środki głosowania Kandydat wpisowy Elektorat Łupek Bilet Kolekcja Urna wyborcza Głosowanie obowiązkowe Wczesne głosowanie Głosowanie elektroniczne Głosowanie otwarte Lokal wyborczy Głosowanie pocztowe Okolica Centrum głosowania Kabina wyborcza Rachunkowość Popularny głos Zestawienie Maszyna do głosowania
Systemy wyborcze Systemy pluralistyczne i większościowe Głosowanie za pierwszym razem System dwóch rund Głosowanie natychmiastowe Wielokrotne głosowanie Bilet ogólny Zwykły wyrok Układy proporcjonalne i półproporcjonalne Pojedynczy niezbywalny głos Głosowanie skumulowane System dwumianowy Lista imprez Pojedyncze głosowanie zbywalne Wolny głos Systemy mieszane Mieszany członek proporcjonalny Dodatkowy system członkowski Pojedynczy głos mieszany (przeniesienie głosu pozytywnego) Scorporo (negatywny transfer głosów) Przenoszalny głos mieszany Alternatywne głosowanie Plus Dwuczłonowy proporcjonalny Proporcjonalne wieś-miasto System premii większościowych Głosowanie równoległe (większość członków mieszanych)
Strategie głosowania Kwestia głosowania Głosowanie w fuzji Głosowanie podzielone Głosowanie bezpośrednie Głosowanie taktyczne Parowanie głosów Głosy protestacyjne Wstrzymanie się od głosu Głosowanie na osła Bojkot wyborczy Żadne z powyższych Odmówiono głosowania Zepsute głosowanie
Wzorce i efekty głosowania Efekt płaszcza Prawdopodobny wyborca Paradoks głosowania Pasywna agitacja wyborcza Podział głosów Apatia wyborców Zmęczenie wyborców Frekwencja wyborcza Głosy protestacyjne
Oszustwo wyborcze Zbieranie kart do głosowania Farsz do głosowania Pozbawienie praw wyborczych Tłumienie wyborców Klatki wyborców Zapobieganie Atrament wyborczy Tajne głosowanie Rejestracja wyborców
Portal polityczny

typu end-to-end podlegające audytowi lub typu end-to-end z możliwością weryfikacji wyborców ( E2E ) to systemy głosowania o rygorystycznych właściwościach dotyczących integralności i silnej odporności na manipulacje . Systemy E2E często wykorzystują metody kryptograficzne do tworzenia potwierdzeń, które pozwalają wyborcom zweryfikować, czy ich głosy zostały policzone jako oddane, bez ujawniania, na których kandydatów głosowano. W związku z tym systemy te są czasami określane jako oparte na paragonach .

Przegląd

Elektroniczne systemy głosowania dochodzą do ostatecznej sumy głosów, wykonując szereg kroków:

1. każdy wyborca ​​ma oryginalny zamiar,
2. wyborcy wyrażają swoje zamiary na kartach do głosowania (czy to interaktywnie, jak na przejściowym wyświetlaczu maszyny do głosowania DRE , czy też trwale, jak w systemach z weryfikowalnymi przez wyborcę ścieżkami papierowymi ),
3. tłumaczenia kart do głosowania, generowanie elektronicznych protokołów oddanych głosów,
4. rekordy oddanych głosów są liczone, generując sumy
5. tam, gdzie liczenie odbywa się lokalnie, na przykład na poziomie okręgu lub powiatu, wyniki z każdego poziomu lokalnego są łączone w celu uzyskania ostatecznego wyniku.

Klasyczne podejście do uczciwości wyborczej skupiało się na mechanizmach, które działały na każdym etapie łańcucha od intencji wyborcy do ostatecznej sumy. Głosowanie jest przykładem systemu rozproszonego i generalnie rzecz biorąc, projektanci systemów rozproszonych od dawna wiedzą, że takie lokalne skupienie może pomijać niektóre luki, a nadmiernie chronić inne. ^{[ Potrzebne źródło ]} Alternatywą jest użycie kompleksowych miar , które mają na celu pomiar integralności całego łańcucha.

na to, że konwencjonalne systemy głosowania ze skanowaniem optycznym nie spełniają kompleksowego standardu.

Kompleksowa analiza uczciwości wyborów często obejmuje wiele etapów. Oczekuje się, że wyborcy weryfikują, czy zaznaczyli swoje karty do głosowania zgodnie z przeznaczeniem, ponowne przeliczanie głosów lub audyty służą do zabezpieczenia przejścia od oznaczonych kart do głosowania do sumy urn, a publikacja wszystkich sum częściowych umożliwia publiczną weryfikację, czy całkowite sumy poprawnie sumują urnę wyborczą sumy.

Podczas gdy środki, takie jak papierowe ścieżki audytu zweryfikowane przez wyborców i ręczne przeliczanie, mierzą skuteczność niektórych kroków, oferują one jedynie słaby pomiar integralności fizycznych lub elektronicznych urn wyborczych. Karty do głosowania mogą być usuwane, zastępowane lub mogą być dodawane do nich oceny bez wykrycia ( tj. w celu wypełnienia niedostatecznie przegłosowanych konkursów głosami na pożądanego kandydata lub przegłosowania i zepsucia głosów na niepożądanych kandydatów). Ta wada motywowała rozwój omówionych tutaj kompleksowych, podlegających audytowi systemów głosowania, czasami określanych jako systemy głosowania E2E . Próbują one objąć całą ścieżkę od próby wyborców do sum wyborczych za pomocą zaledwie dwóch środków:

• Indywidualna weryfikowalność, dzięki której każdy wyborca ​​może sprawdzić, czy jego karta do głosowania jest prawidłowo włożona do elektronicznej urny wyborczej, oraz
• Uniwersalna weryfikowalność, dzięki której każdy może stwierdzić, że wszystkie karty do głosowania w urnie zostały poprawnie policzone.

Ze względu na znaczenie prawa do tajnego głosowania niektóre schematy głosowania E2E próbują również spełnić trzeci wymóg, zwykle określany jako brak paragonu :

• Żaden wyborca ​​nie może wykazać, w jaki sposób głosował przed jakąkolwiek stroną trzecią.

Pewien badacz argumentował, że kompleksowa audytowalność i brak paragonów powinny być uważane za właściwości ortogonalne. Inni badacze wykazali, że właściwości te mogą współistnieć, a właściwości te zostały połączone w Wytycznych dotyczących dobrowolnego systemu głosowania z 2005 r. , ogłoszonych przez Komisję Pomocy Wyborczej . Definicja ta dominuje również w literaturze naukowej.

Aby rozwiązać problem wypychania kart do głosowania , można zastosować następujące środki:

• Możliwość weryfikacji kwalifikowalności, dzięki której każdy może stwierdzić, że wszystkie policzone karty do głosowania zostały oddane przez zarejestrowanych wyborców.

Alternatywnie twierdzenia dotyczące wpychania kart do głosowania można zweryfikować zewnętrznie, porównując liczbę kart do głosowania w ręku z liczbą zarejestrowanych wyborców zarejestrowanych jako głosujący oraz kontrolując inne aspekty systemu rejestracji i dostarczania kart do głosowania.

Wsparcie audytowalności E2E, oparte na wcześniejszych doświadczeniach z wykorzystaniem jej w przypadku wyborów osobistych, jest również postrzegane przez wielu ekspertów jako wymóg zdalnego głosowania przez Internet .

Proponowane systemy E2E

W 2004 roku David Chaum zaproponował rozwiązanie, które pozwala każdemu wyborcy sprawdzić, czy jego głosy zostały oddane prawidłowo i czy głosy zostały dokładnie zliczone za pomocą kryptografii wizualnej . Po tym, jak wyborca ​​wybierze swoich kandydatów, maszyna do głosowania drukuje specjalnie sformatowaną wersję karty do głosowania na dwóch foliach. Gdy warstwy są ułożone w stos, pokazują głos czytelny dla człowieka. Jednak każda przezroczystość jest szyfrowana za pomocą formy kryptografii wizualnej , dzięki czemu sama nie ujawnia żadnych informacji, chyba że zostanie odszyfrowana. Głosujący wybiera jedną warstwę do zniszczenia w ankiecie. Maszyna do głosowania zachowuje elektroniczną kopię drugiej warstwy i wydaje fizyczną kopię jako pokwitowanie, aby umożliwić wyborcy potwierdzenie, że elektroniczna karta do głosowania nie została później zmieniona. System wykrywa zmiany na karcie do głosowania wyborcy i wykorzystuje mix-net, aby sprawdzić, czy każdy głos jest dokładnie policzony. Sastry, Karloff i Wagner zwrócili uwagę na problemy zarówno z rozwiązaniami kryptograficznymi Chaum, jak i VoteHere.

Następnie zespół Chauma opracował Punchscan , który ma lepsze właściwości zabezpieczające i wykorzystuje prostsze papierowe karty do głosowania. Papierowe karty do głosowania są poddawane głosowaniu, a następnie część karty do głosowania chroniąca prywatność jest skanowana przez skaner optyczny.

Prêt à Voter , wynaleziony przez Petera Ryana, wykorzystuje losową kolejność kandydatów i tradycyjną sieć mieszaną . Podobnie jak w Punchscanie, głosowanie odbywa się na papierowych kartach do głosowania, a część kart do głosowania jest skanowana.

System Scratch and Vote, wynaleziony przez Bena Adidę, wykorzystuje zdrapywaną powierzchnię do ukrycia informacji kryptograficznych, których można użyć do zweryfikowania poprawności wydrukowania karty do głosowania.

Protokół głosowania ThreeBallot , wynaleziony przez Rona Rivesta , został zaprojektowany w celu zapewnienia niektórych korzyści kryptograficznego systemu głosowania bez użycia kryptografii. Można go w zasadzie zaimplementować na papierze, choć przedstawiona wersja wymaga weryfikatora elektronicznego.

Scantegrity i Scantegrity II zapewniają właściwości E2E. Zamiast zastępować cały system głosowania, jak to miało miejsce we wszystkich poprzednich przykładach, działa on jako dodatek do istniejących systemów głosowania ze skanem optycznym, tworząc konwencjonalne, weryfikowalne przez wyborców papierowe karty do głosowania, odpowiednie do audytów ograniczających ryzyko . Scantegrity II wykorzystuje niewidzialny atrament i został opracowany przez zespół, w skład którego wchodzili Chaum, Rivest i Ryan.

System STAR-Vote został zdefiniowany dla hrabstwa Travis, piątego najbardziej zaludnionego hrabstwa w Teksasie i siedziby stolicy stanu, Austin. Zilustrowano inny sposób połączenia systemu E2E z konwencjonalnymi papierowymi kartami do głosowania, które w tym przypadku są wytwarzane przez urządzenie do znakowania kart do głosowania . W ramach projektu opracowano szczegółową specyfikację i zapytanie ofertowe w 2016 r. Otrzymano oferty na wszystkie komponenty, ale żaden istniejący wykonawca z głosowaniem z certyfikatem EAC nie był skłonny dostosować swojego systemu do pracy z nowatorskimi kryptograficznymi komponentami open source, zgodnie z wymaganiami przez zapytanie ofertowe.

Opierając się na doświadczeniu STAR-Vote, Josh Benaloh z firmy Microsoft kierował projektowaniem i rozwojem ElectionGuard, zestawu programistycznego , który można łączyć z istniejącymi systemami głosowania, aby dodać obsługę E2E. System do głosowania interpretuje wybory wyborcy, przechowuje je do dalszego przetwarzania, a następnie wywołuje ElectionGuard, który szyfruje te interpretacje i drukuje pokwitowanie dla wyborcy. Paragon ma numer odpowiadający zaszyfrowanej interpretacji. Wyborca ​​może następnie wyprzeć się karty do głosowania ( zepsuć ją ) i głosować ponownie. Później niezależne źródła, takie jak partie polityczne, mogą uzyskać plik ponumerowanych zaszyfrowanych kart do głosowania i zsumować różne konkursy w zaszyfrowanym pliku, aby sprawdzić, czy pasują one do sumy wyborów. Wyborca ​​może zapytać te niezależne źródła, czy numer(y) na potwierdzeniu(ach) wyborcy pojawiają się w aktach. Jeśli wystarczająca liczba wyborców sprawdzi, czy ich numery znajdują się w aktach, dowiedzą się, czy pominięto karty do głosowania. Wyborcy mogą uzyskać odszyfrowaną zawartość swoich zepsutych kart do głosowania, aby ustalić, czy dokładnie pasują one do tego, co wyborca ​​pamięta na tych kartach do głosowania. Wyborca ​​nie może otrzymać odszyfrowanych kopii głosowanych kart do głosowania, aby zapobiec sprzedaży głosów. Jeśli wystarczająca liczba wyborców sprawdzi zepsute karty do głosowania, wykażą błędy w szyfrowaniu. ElectionGuard nie wykrywa fałszowania kart do głosowania, które muszą być wykrywane przez tradycyjne protokoły. Nie wykrywa osób, które fałszują pokwitowania, twierdząc, że ich karta do głosowania zaginęła lub została błędnie zinterpretowana. Urzędnicy wyborczy będą musieli zdecydować, jak śledzić zgłaszane błędy, ile jest potrzebnych do rozpoczęcia dochodzenia, jak prowadzić dochodzenie i jak naprawić błędy, prawo stanowe może nie dawać personelowi uprawnień do podejmowania działań. ElectionGuard nie zlicza zapisów, z wyjątkiem niezróżnicowanej sumy. Jest to niezgodne z overvotes .

Użyj w wyborach

Miasto Takoma Park w stanie Maryland wykorzystało Scantegrity II podczas wyborów miejskich w 2009 i 2011 roku.

Helios jest używany od 2009 roku przez kilka organizacji i uniwersytetów do wyborów powszechnych, wyborów do zarządu i wyborów do samorządów uczniowskich.

Głosowanie Wombat zostało wykorzystane w wyborach do samorządu studenckiego w prywatnej uczelni badawczej Interdyscyplinarne Centrum Herzliya w 2011 i 2012 roku, a także w prawyborach izraelskiej partii politycznej Meretz w 2012 roku.

Zmodyfikowana wersja Prêt à Voter została wykorzystana jako część elektronicznego systemu głosowania vVote podczas wyborów stanowych w Wiktorii w Australii w 2014 roku.

ElectionGuard został połączony z systemem głosowania firmy VotingWorks i wykorzystany podczas wiosennych prawyborów w Fulton w stanie Wisconsin, które odbyły się 18 lutego 2020 r.

System DRE-ip został przetestowany w lokalu wyborczym w Gateshead 2 maja 2019 r. w ramach wyborów lokalnych w Wielkiej Brytanii w 2019 r .

Przykłady

• SUMATOR
• Helios
• Pret à Voter
• Skaner dziurkacza
• Skąpstwo
• Głosowanie wombata
• Trzy głosowanie
• Głosowanie Bingo
• homomorficzne udostępnianie sekretów
• DRE-i (weryfikowalne e-głosowanie E2E bez liczenia władz na podstawie wstępnych obliczeń)
• DRE-ip (weryfikowalne e-głosowanie E2E bez liczenia władz na podstawie obliczeń w czasie rzeczywistym)

Linki zewnętrzne

• Weryfikacja wyborów za pomocą kryptografii — Wideo przedstawiające 90-minutową rozmowę techniczną Bena Adidy
• Helios: Internetowe głosowanie w ramach otwartego audytu — plik PDF opisujący witrynę internetową Ben Adida Helios
• Witryna internetowa Helios Voting System
• Prosty kontrolowany i anonimowy schemat głosowania
• Badanie dotyczące systemów głosowania i weryfikacji w lokalach wyborczych — przegląd istniejących elektronicznych systemów głosowania i ich systemów weryfikacji w środowiskach nadzorowanych.

• artykuł MIT Media Lab z 2020 r. na temat weryfikowalnych systemów głosowania typu end-to-end zawiera omówienie łańcuchów bloków
• Naprawdę tajne głosowanie — artykuł The Economist