Безопасные протоколы голосования: различия между версиями

Безопасные протоколы голосования — это протоколы обмена данными, которые позволяют провести выборы, защищённые от фальсификации итогов голосования. Целью таких протоколов является обеспечение соблюдения необходимых требований при проведении голосования. Данные протоколы являются академическим исследованием и не претендуют на прямое практическое применение^[1].

В начале двадцать первого века известный специалист в области криптографии, компьютерной и сетевой безопасности^[2] Рональд Ривест описал в своих работах^[1][3] безопасные протоколы голосования, решающие проблемы проведения честных выборов.

При создании безопасного протокола голосования необходимо учитывать ряд требований, некоторые из которых носят явно противоречивый характер. Например, такое требование как конфиденциальность избирателя, противоречит требованию проверяемости результатов голосования. Варианты протоколов голосования, представленные здесь, являются попыткой удовлетворить этим ограничениям, не используя криптографических методов. Основной идеей представленных протоколов является реализация публичной базы бюллетеней.

Публичная база бюллетеней^[1] - публичный веб-сайт, где официальные должностные лица опубликовывают в открытом виде копии всех поданных бюллетеней, избиратели могут посмотреть копии всех поданных бюллетеней и отдельный список с именами избирателей, которые проголосовали. В частности, такой приём используют следующие протоколы: "ThreeBallot", "VAV" и "Twin". Они обеспечивают возможность проверки изибирателем как учтён его голос и гарантируют отсутствие вмешательства в проведение выборов лиц, заинтересованных в фальсификации результатов.

1. Каждый избиратель получает бюллетень, состоящий из трёх частей, каждая из которых покрыта специальными водяными знаками и имеет уникальный и случайный идентификатор, сгенерированный из различных символов.
2. Для голосования "ЗА", избиратель маркирует выбранного им кандидата в любых двух частях бюллетеня, а для голосования "ПРОТИВ" - отмечает кандидата только в одной из частей бюллетеня, где он указан. В случае отсутствия хотя бы одной отметки за каждого кандидата, бюллетень считается недействительным.
3. Далее избиратель помещает бюллетень в валидатор, проверяющий выпонение следующего условия: число маркировок для каждого кандидата больше или равно одному и не превышает двух.
4. После этого, валидатор возвращает копию одной из частей бюллетеня избирателю в качестве квитанции, для того, чтобы после окончания выборов, избиратель мог проконтролировать правильность учета его голоса.
5. После окончания выборов и подсчёта голосов список проголосовавших избирателей и все части бюллетеней публикуются в публичной базе бюллетеней. Согласно протоколу, число бюллетеней в три раза больше числа избирателей, принявших участие в голосовании и правильно заполнивших бюллетени.
6. Число отданных голосов за каждого кандидата вычисляется как разность между числом отметок за кандидата и числом правильно заполненных бюллетеней, поделённого на три.

Основным преимуществом данного протокола является то, что избиратель может проконтролировать, правильно ли учтен его голос, сравнив копию части бюллетеня, находящегося у него на руках, с находящейся в публичной базе бюллетеней, и в то же время не может продать свой голос, так как не сможет доказать, за кого из кандидатов он голосовал, поскольку для доказательства необходимо знать отметки избирателя на каждой части бюллетеня.

К сожаленю, данный протокол не будет являться безопасным в случае взлома или хакерской атаки на валидатор либо при попытке одного из избирателей злоумышленно пытаться доказать, что его квитанция отсутствует в публичной базе бюллетеней.

Алгоритм голосования протокола "VAV" схож с алгоритмом протокола "ThreeBallot" за исключением того, что правила маркировки выбранных кандидатов несколько отличаются. Для голосования "ЗА", избирателю необходимо промаркировать кандидата в одой из "V" частей бюллетеня, а для голосования "ПРОТИВ" - избиратель отмечает кандидата в "A" части бюллетеня. В случае, если избиратель не промаркировал некоторых кандидатов ни в одной из частей бюллетеня, голос избирателя отдаётся тому кандидату, для которого избиратель не проставил отметки в бюллетене “A”, но поставил отметку в бюллетене “V”.

Система голосования "VAV" обладает схожими преимуществами с системой "ThreeBallot", однако согласно критерию Кондорсе протокол является более безопасным, в сравнении с протоколом "ThreeBallot".

Единственной проблемой данной системы является то, что каждый бюллетень не должен содержать большое количество уникальной информации, которая позволила бы с большой вероятностью идентифицировать избирателя, таким образом давая возможность избирателю продать свой голос, который после окончания выборов может быть идентифицирован в публичной базе избирателей, но данная проблема скорее относится к бюллетеням с большим количеством кандидатов.

1. Каждый избиратель получает бюллетень, который ему необходимо заполнить.
2. Далее избиратель передаёт заполненный бюллетень сотруднику избирательного комитета для проверки на соответствие заявленной форме и отсутствие пометок, по котором можно было бы распознать избирателя.
3. После проверки сотрудник передает отсканированную копию бюллетеня в публичную базу бюллетеней, где бюллетень получает случайный номер, который лстаётся в тайне как для избирателя так и для сотрудника избирательного комитета.
4. После того, как бюллетень попал в публичную базу бюллетеней, избиратель, может получить распечатанную копию бюллетеня, но не свою, а одного из избирателей, который проголосовал до него. Полученную копию он сможет использовать в качестве квитанции для контроля правильности учёта голоса другого избирателя.

Протокол голосования "Twin" обеспечивает выполнение принципов честных выборов. Продажа голоса избирателем евозможна, поскольку уникальный номер его бюллетеня ему неизвестен, а копия бюллетеня не несёт никакой ценной информации для злоумышленника. Возможность проверки голоса избирателя, отсутствие вброса бюллетеней и контроль наличия лиц, не участвующих в голосовании обеспечивается благодаря опубликованным отсканированным копиям избирательных бюллетеней с уникальным номером. Необходимо отметить, что при исользовании протокола "Twin" сохраняется инфраструктура классических выборов, а также упрощается распространение бюллетеней, в следствие чего, возможно, повысится уровень явки избирателей, поскольку бюллетень теперь можно доставить по электронной почте.

В 2006 году была опубликована статья, в которой Charlie E M Strauss рассказал о возможных атаках^[5] на протокол "ThreeBallot", после этого события Рональд Ривест внёс изменения в спецификацию протокола, которые закрыли дыры в безопасности "ThreeBallot".

Описанные схемы голосования позволяют избирателям убедиться, что их голоса засчитаны соответственно их выбору, и проверить, что их голос будет включен в окончательный подсчет. Все результаты голосования опубликовываются(при этом не разглашая голос конкретного избирателя), поэтому любые манипуляции с голосами могут быть обнаружены. Принципы, используемые в описанных протоколах голосования просты для понимания, а любая из трёх схем может быть применена в комбинации с классическими выборами, что позволяет легко обновить и использовать уже существующую инфраструктуру для проведения выборов.

• Протоколы тайного голосования

1. Real-World Electronic Voting: Design, Analysis and Deployment
2. SOFSEM 2008: Theory and Practice of Computer Science

Это заготовка статьи. Помогите Википедии, дополнив её. Это примечание по возможности следует заменить более точным.