"Nyvalgsteknologier, der forbedrer integritet, gennemsigtighed og tillid" AAAS Panel Recap

"Nyvalgsteknologier, der forbedrer integritet, gennemsigtighed og tillid" AAAS Panel Recap

Tidsstempel: 23. marts 2023 kl. 12

Valg, der er sikre, sikre og verificerbare af offentligheden, er en væsentlig del af enhver demokratisk regering. Der har været offentlige ramaskrig for ændringer i valgprocessen i USA og rundt om i verden, da borgerne har været frustrerede over manglen på gennemsigtighed. Valgtillid fra flertallet af de public er ikke let at få fat i, men paneldeltagerne i et CCC-organiseret panel på AAAS årsmøde kom med mange forslag til skridt, vi kan tage for at gøre netop dette.

“Emerging Election Technologies Enhancing Integrity, Transparency, and Confidence” AAAS Panel Recap PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Paneldeltagerne i sessionen, "Emerging Election Technologies Forbedring af integritet, gennemsigtighed og tillid” var Philip B. Stark (University of California, Berkeley), Josh Benaloh (Microsoft Research), og Fattige L. Vora (Georgog Washington University). Elizabeth (Liz) Howard (Brennan Center for Retfærdighed) var moderator.

Liz startede sessionen med at beskrive, at demokratier rundt om i verden er under angreb, og det er afgørende for fremtiden for disse systemer, at vi har valgtillid. Hun forklarede, at teknologi kan bekæmpe disse trusler gennem væsentlige beviser for valgintegritet, specifikt med evidensbaserede valg, ende-til-ende-verificerbare stemmesystemer og risikobegrænsende revisioner.

Philip indledte paneldiskussionen med at hævde, at "uanset om du mener, at valget i 2020 var korrekt eller ej, viser det faktum, at mange mennesker ikke, at vi er nødt til at afvikle valg på en måde, der genererer overbevisende beviser for, at rapporterede valgresultater er korrekte." Modgiften mod manglende tillid ifølge Philip? Beviser. Det er ikke nok for valgfunktionærer at afgøre, hvem der vandt et valg og erklære det, thOffentligheden fortjener overbevisende beviser. Ikke alle beviser om valg er bekræftende beviser for, at resultaterne er rigtige. For eksempel kan en retsmedicinsk undersøgelse af afstemningssystemsoftwaren ikke finde nogen malware – men det er ikke bevis for, at resultaterne er korrekte, kun at én slags problem ikke opstod. På samme måde giver en nøjagtig, fuld håndtælling af papirsporet ingen beviser for, at resultatet er korrekt, medmindre der også er bevis for, at papirsporet nøjagtigt afspejler, hvordan folk stemte. Der er flere måder at indsamle overbevisende beviser på, at et valg blev udskrevet korrekt, samtidig med at stemmesedlens anonymitet bevares. Nøglen er, at valg skal være evidensbaseret, ikke procedurebaseret, hvilket er den nuværende standard. En måde at fremlægge bekræftende bevis på er en risikobegrænsende revision (RLA) af sikkert kurerede håndmærkede stemmesedler.

RLA'er kræver et bevisligt troværdigt papirspor. (Pålideligheden afhænger af, hvordan papirsporet skabes, redegøres for og plejes. Ingen revision, der er baseret på utroværdigt papir, kan give bekræftende beviser for, at de rapporterede vindere virkelig vandt.) RLA'er er blevet afprøvet gennem flere valg siden 2008, og Nationale akademier anbefalede dem officielt i 2018. RLA'er er en nøgleingrediens i evidensbaserede valg, fordi de kan generere bekræftende beviser for, at det politiske resultat er nøjagtigt, snarere end blot fejldetektion (f.eks. at bemærke en pr.oblem med tabuleringen). Valg og revisioner har brug for holdbare, fuldstændige og troværdige stemmeoptegnelser, der opbevares fysisk sikret gennem hele kanvasset og revisionen. Så kan valg være offentligt verificerbare, hvilket også er et mål for den næste paneldeltager, Josh.

Josh gentager, at der er en tillidskrise til valget i USA og rundt om i verden, og bebrejder døden af ​​offentlige beviser for disse udbredte spørgsmål. Ved de fleste valg i dag, forklarer han, giver vi ikke vælgerne materielle beviser for, at stemmerne er korrekt talt. Vi beder vælgerne om at stole på lokale valgfunktionærer, udstyret, udstyrsleverandørerne og andre – uanset om disse enheder er troværdige eller ej. Han foreslår en løsning på denne mangel på offentlige beviser: ende-til-ende (E2E) verificerbarhed. Når et valg er E2E-verificerbart, modtager vælgerne direkte beviser på, at deres stemmer blev talt nøjagtigt. Det kræver en verificerbar valgrekord, der gør det muligt for vælgerne at bekræfte den nøjagtige optælling af deres stemmesedler uden at skulle stole på folket eller teknologien, der leder valget. Der er to kerneprincipper for E2E-verificerbare valg:

  1. Vælgere kan kontrollere, at deres egne valg er korrekt registreret
  2. Enhver kan kontrollere, at de registrerede stemmer er talt korrekt

Disse valg gør en afgørende ændring til et typisk valg: Vælgerne modtager en bekræftelseskode, mens de stemmer, som de kan bruge til at bekræfte den korrekte registrering af deres valg. Vælgere kan senere bekræfte på en offentlig hjemmeside, at deres bekræftelseskoder er til stede, og at de anførte bekræftelseskoder stemmer overens med de annoncerede opgørelser. Vælgerne har valget mellem blot at stemme og ikke kontrollere den korrekte registrering og/eller optælling af deres stemmer, eller at tjekke så grundigt, som de ønsker. (Bemærk her, at vælgere ikke kan se indholdet af deres stemmesedler, når først de er afgivet – kun at de ikke er blevet ændret fra det tidspunkt, de blev afgivet og eventuelt verificeret. Dette forhindrer tvang og stemmesalg).

E2E-verificerbarhed kræver generelt avancerede kryptografiske værktøjer som Threshold Homomorphic Encryption, Non-Interactive Zero-Knowledge Proofs og mere. Gældende amerikanske retningslinjer for valgbistand omfatter krav til E2E-verificerbarhed. Denne teknik er begyndt at blive brugt i USA og rundt om i verden i dag og er blevet afprøvet ved flere amerikanske valg siden 2009 (inklusive det amerikanske hus demokratiske Caucus-ledervalg i 2020).

Poorvi udvidede brugen af ​​E2E-verificerbarhed ved andre valg i USA, startende med Takoma Parks kommunalvalg i 2009. Det var det første regeringsvalg i USA med privatlivsbevarende ende-til-ende verificerbar teknologi, hvor enhver kunne bekræfte stemmer korrekt repræsenteret. Vælgeren udfyldte ovaler, der svarede til deres valg til borgmester og rådsmedlem. De brugte specielle kuglepenne, som afslørede bekræftelsesnumre trykt med usynligt blæk i ovalen, og havde mulighed for at skrive dem ned, så de senere kunne tjekke dem på hjemmesiden, eller de kunne bare afgive deres stemme og gå. Valget garanterede vælgerkontrollerbarhed, fordi vælgerne kunne tjekke deres bekræftelsesnumre på valghjemmesiden, og det havde universel verificerbarhed, fordi oplysningerne var offentligt tilgængelige for at kontrollere, at optællingen var korrekt beregnet ud fra bekræftelsestallene. 

Poorvi understregede, at det er vigtigt at opretholde nogle aspekter af de traditionelle valgmetoder: ”Vi ved ikke, hvordan vi kan gøre valg fuldt sikre uden mennesker og fysiske processer. Uden dem kan en vælger, der bemærker et problem, ikke bevise det, og observatører kan ikke skelne en sandfærdig vælger fra en, der lyver." Hun forklarede også, at inkorporeringen af ​​matematiske modeller, som bedre repræsenterer den reelle revisionsproces på stedet, kan forbedre RLA'er.

Poorvi afsluttede panelet ved at fortælle, at lovgivning, der kræver eller tillader RLA'er og andre valgbekræftende krav, i øjeblikket er på plads i mange stater i USA i dag, og det har resulteret i revisioner af mange bindende valg. Der er dog meget, der skal gøres. Det kræver en enorm mængde dedikerede personer at identificere og implementere disse teknikker i miljøer, der kan blive fjendtlige meget hurtigt, men det er afgørende, at vi investerer i disse teknologier for at gøre hvert valg offentligt verificerbart.

Under spørgsmålet og svaret efter panelet spurgte et publikum, om vi nu har flere oplysninger om manglende valgsikkerhed, eller hører vi bare mere om det? 

  • Philip forklarede, at selvom der ikke er tegn på flere problemer i dag end tidligere, har afhængigheden af ​​teknologi ændret sig, hvilket tilføjer flere sårbarheder til valgprocessen, hvilket muliggør engros-fjernangreb, mens det historisk set ville have krævet at ændre et betydeligt antal stemmer. fysisk adgang og talrige medskyldige. Selv når man stoler på teknologi, er det muligt at indsamle bekræftende beviser for at evaluere resultatet, men den svære del er at overbevise embedsmænd om at gøre arbejdet med at generere et pålideligt papirspor, sikre, at det forbliver troværdigt, og bruge det i passende revisioner.
  • Josh bemærkede, at der længe har været valgsvindel i USA og internationalt, men valgembedsmænd har konkluderet, at de sidste par nationale valg i USA har været langt renere end de fleste. Men bare fordi der ser ud til at være meget få beviser for bedrageri, betyder det ikke, at vores valg er sikkert. På grund af de tusindvis af samtidige, individuelt afviklede valg er det faktisk relativt nemt at angribe nogle af dem. Det er ikke let at gøre det uden at efterlade beviser, men der er et presserende behov for teknologi til at lappe huller i den måde, valget i øjeblikket afvikles på. Det er afgørende, at vi udformer valg, så den brede offentlighed kan validere dem.
  • Liz påpegede, at det er vigtigt at anerkende det miljø, som valgfunktionærerne befinder sig i. På trods af manglen på beviser for valgsvindel sagde 77 % af valgfunktionærerne, at de har følt sig utrygge, og 1 ud af 6 var truet. Den gennemsnitlige valgfunktionær er en 50-64-årig hvid kvinde, der tjener en årsløn på 60k, og de forventes at bekæmpe indenlandske og internationale fjender. Det er vigtigt at samarbejde med valgembedsmænd og få dem til at købe ind i disse teknologier på lokalt plan. Decentralisering af valgsystemet er en styrke mod et angreb. Der er mange udfordringer både med at implementere denne teknologi og pålægge procedurer.
  • Josh imødegik Liz' pointe om decentralisering og udtalte, at mange mennesker synes, at vores systemers heterogenitet er en styrke, og det ville være, hvis en angriber skulle angribe dem alle. Men vi tilbyder bare en menu med forskellige systemer, som en hacker kan angribe. Så de kan bare vælge det svageste led og angribe det.

CCC Council-medlem Katie Siek stillede et andet spørgsmål: Hvad gør du for tilgængelighed inden for valgteknologi?

  • Philip: Valgteknologier, der promoveres som "tilgængelige", er det ofte ikke. Desuden kompromitterer nogle stemmemærkningsenheder (BMD'er) privatlivets fred, fordi de udskriver en stemmeregistrering, der ikke ligner en håndmærket stemmeseddel. Nogle siger, at for at bekæmpe dette problem bør vi bruge alle BMD'er, men jeg er uenig: generel brug af BMD'er underminerer papirsporets troværdighed, fordi BMD-udskriften er en registrering af, hvad maskinen gjorde, ikke en registrering af, hvad vælgeren gjorde. De nuværende BMD'er giver ikke vælgere med synshandicap mulighed for at kontrollere, om udskriften nøjagtigt afspejler deres valg: De skal stole på, at det, maskinen "sagde", er det samme som det, den udskrev. En alvorlig fejl ved sikkerhedsmodellen for BMD'er er, at kun vælgeren er i stand til at fortælle, om BMD udskrev deres stemmer nøjagtigt, men hvis en vælger bemærker, at BMD udskrev deres valg forkert, er der ingen måde, vælgeren kan bevise at nogen anden, det gjorde. Vælgeren kan anmode om en ny chance for at udskrive deres valg, men der er ingen måde for den valgansvarlige at kende forskel på vælgerfejl, maskinfejl eller en vælger, der græder "ulv". Hvis en embedsmand mener, at vælgeren ikke fungerer korrekt, er embedsmandens eneste mulighed at aflyse valget og køre et helt nyt, fordi der ikke er nogen måde at sige, hvilke udskrifter der var påvirket af maskinens dårlige opførsel. I tekniske termer er valg, der gennemføres med stemmesedler, ikke "stærkt softwareuafhængige." Systemet kan ikke genoprette efter opdagede fejl.  
  • Josh: Der er forskellige tilgange, men generelt gør vi et beklageligt stykke arbejde i USA for mennesker med syns-, motoriske osv. handicap. De skal normalt bruge en separat enhed i hjørnet. For eksempel er Noel Runyon en teknisk skarpsindig blind vælger, der er ihærdig med at bruge tilgængelige enheder til at stemme og skriver artikler i sin blog om det. Det tager ofte timer for ham at stemme, når det burde være enkelt. En barriere for at gøre det lettere at stemme for mennesker med handicap er, at tilgængelighedssamfundet siger, at papirstemmesedler ikke virker, og sikkerhedssamfundet siger, at papir er den eneste måde.

Dernæst spurgte Daniel Lopresti, formand for CCC-rådet: "Hvordan håndterer du mennesker, der er overbevist om, at disse teknologier er farlige eller utroværdige?" 

  • Josh: De mennesker skal tages alvorligt. Jeg har haft mange diskussioner med valgfunktionærer, og de er meget forsigtige og konservative. Når jeg forklarer ende-til-ende-verificerbarhed for dem, kan de generelt godt lide det selv at indse, at det vil afsløre enhver lille fejl, de laver. Men nogle mennesker stoler mindre på matematik end mennesker, og det er fortsat en udfordring.
  • Philip: Jeg er enig i, at det er et problem, men jeg synes, rammen skal være, at det er et problem for pædagoger; det er min opgave at forklare tingene på en måde, som enhver kan forstå. Jeg bruger meget tid på at finde metaforer, analogier og eksempler. For at forklare tilfældig prøveudtagning – hvordan man kan lære noget nyttigt om en enorm befolkning fra en lille prøve – bruger jeg analogien med at lære, hvordan salt suppe er baseret på at smage kun en skefuld (efter at have rørt suppen godt), uanset hvordan stor gryden.
  • Liz: Det er afgørende for os at kunne forklare, hvordan det virker til publikum, hvis vi ikke kan forklare det i klare vendinger, så nåede vi ikke vores mål.
  • Philip: Mange af os siger, at du ikke skal stole på de leverandører, der i øjeblikket laver programmeringen, men du skal heller ikke stole på os. Vælgerne bør selv kunne kontrollere processen.
  • Josh: Forskellen er i princippet, at du kunne gøre det hele selv; lige nu kan uærlige valgfunktionærer sandsynligvis stjæle et valg. Med denne teknologi kan du vælge, hvem du skal stole på, og tjekke dig selv.
  • Poorvi: At demokratisere informationen omkring valget, inklusive den kode, der bruges, er ideen. Du skriver måske ikke selv koden eller er i stand til overhovedet at behandle den, men oplysningerne vil ikke være begrænset til nogle få. Det ville være nyttigt at samle politiske partier og få dem til at tjekke processen. At have nyhedskanaler til at fremme kontrol af dine bekræftelsesnumre eller observere risikobegrænsende revisioner ville også være godt.

Det sidste spørgsmål på sessionen var "Hvor lang tid tager det at få en risikobegrænsende revision til at ske? Er der nogen undersøgelser, der har set på, om de skifter mening, eller er der andre forvirrende variabler, der alligevel begrænser tilliden?”

  • Philip: Et problem med RLA'er er før valget, du ved ikke, hvor meget arbejde der vil være, fordi der er så mange variabler. Du ved ikke, hvor snævre marginalerne vil være, eller hvor mange fejl du vil finde i revisionen, så det er svært at sige, hvor meget arbejde du kan forvente. Ballparknumre med effektiv revision er, at den første afstemning fra et parti tager 3 minutter, derefter 1 minut pr. stemmeseddel for yderligere afstemninger fra det parti. Du skal finde et parti stemmesedler, kontrollere/registrere seglerne, tælle i en bunke, transskribere data, returnere stemmesedlerne til deres pladser og forsegle igen. Et eksempel på en procentdel af stemmesedlerne, du skal prøve, er i Orange County for 191 individuelle løb er, at de kunne have set på 1.3 % af stemmesedlerne for at kunne validere hvert løb. Metodikken bliver bedre, og det bliver nemmere at køre disse revisioner.
  • Josh: En RLA udføres typisk først, når alle stemmerne er talt. E2E-verifikation kan matche enhver granularitet, der udføres af valgembedsmænd. Hver gang stemmetæller frigives, kan du bekræfte det på det tidspunkt. Normalt gør de det bare til sidst alligevel.

Mange tak til Philip, Josh, Poorvi og Liz for at dele deres viden med fællesskabet om, hvordan computerteknologi kan tjene som en hjælp til at sikre valg. Hold øje med endnu et CCC-sponsoreret AAAS årligt møde videnskabeligt møde i næste uge torsdag.

Tidsstempel:

Mere fra CCC blog