“Emerging Election Technologies Enhancing Integrity, Transparency, And Confidence” AAAS Panel Recap

Újra kiadta Platón

Követő: 0

A biztonságos, biztonságos és a nyilvánosság által ellenőrizhető választások minden demokratikus kormányzat elengedhetetlen részét képezik. Az Egyesült Államokban és szerte a világon nyilvánosan felháborodtak a választási folyamat változásai miatt, mivel a polgárok csalódottak az átláthatóság hiánya miatt. Választási bizalom a p többségétőlAz ublic nem könnyű megszerezni, de az AAAS éves találkozóján a CCC által szervezett panel panel tagjai számos javaslatot tettek arra vonatkozóan, hogy mit tehetünk ennek érdekében.

“Emerging Election Technologies Enhancing Integrity, Transparency, and Confidence” AAAS Panel Recap PlatoBlockchain Data Intelligence. Vertical Search. Ai.

A szekció panel tagjai: „Emerging Election Technologies Az integritás, az átláthatóság és a magabiztosság fokozása” címmel Philip B. Stark (Kaliforniai Egyetem, Berkeley), Josh Benaloh (Microsoft Research), és Poorvi L. Vora (Georgés Washington Egyetem). Elizabeth (Liz) Howard (Brennan Center for Justice) volt a moderátor.

Liz azzal indította az ülést, hogy leírta, hogy a demokráciákat világszerte támadások érik, és ezeknek a rendszereknek a jövője szempontjából kulcsfontosságú, hogy meglegyen a választási bizalom. Kifejtette, hogy a technológia leküzdheti ezeket a fenyegetéseket a választási integritás érdemi bizonyítékaival, különösen bizonyítékokon alapuló választásokkal, végponttól végpontig ellenőrizhető szavazási rendszerekkel és kockázatkorlátozó auditokkal.

Philip a panelbeszélgetést azzal kezdte, hogy „függetlenül attól, hogy a 2020-as választások pontosak voltak-e, vagy sem, az a tény, hogy sokan nem azt bizonyítják, hogy a választásokat úgy kell lebonyolítanunk, hogy meggyőző bizonyítékokat állítsunk elő a bejelentett választási eredmények helyességéről”. Fülöp szerint a bizalomhiány ellenszere? Bizonyíték. Nem elég, ha a választási tisztviselők meghatározzák, ki nyerte meg a választást, és kihirdetik aztA közvélemény meggyőző bizonyítékokat érdemel. Nem minden bizonyíték a választásokkal kapcsolatos megerősítő bizonyíték arra, hogy az eredmények helyesek. Például egy szavazórendszer-szoftver igazságügyi szakértői vizsgálata nem találhat rosszindulatú programokat – de ez nem bizonyíték arra, hogy az eredmények helyesek, csak egyfajta probléma nem fordult elő. Hasonlóképpen, a papírnyomok pontos, teljes leszámolása nem bizonyítja, hogy az eredmény helyes, hacsak nincs bizonyíték arra is, hogy a papírnyom pontosan tükrözi az emberek szavazatát. Számos módja van annak, hogy meggyőző bizonyítékokat gyűjtsön arról, hogy a választást helyesen írták ki, miközben a szavazólapok névtelenségét megőrizték. A kulcs az, hogy választások legyenek bizonyítékokon alapuló, nem eljárásalapú, ami a jelenlegi szabvány. A megerősítő bizonyítékok nyújtásának egyik módja a biztonságosan válogatott, kézzel megjelölt papíralapú szavazólapok kockázat-korlátozó auditja (RLA).

Az RLA-k bizonyíthatóan megbízható papírnyomot igényelnek. (A megbízhatóság attól függ, hogy a papírnyomot hogyan hozták létre, hogyan könyvelik el és hogyan gondoskodnak róla. Egyetlen megbízhatatlan papírra támaszkodó audit sem adhat megerősítő bizonyítékot arra vonatkozóan, hogy a bejelentett nyertesek valóban nyertek.) Az RLA-kat 2008 óta több választáson keresztül tesztelték, és a A nemzeti akadémiák hivatalosan 2018-ban ajánlották őket. Az RLA-k kulcsfontosságú összetevői a bizonyítékokon alapuló választásoknak, mivel megerősítő bizonyítékot generálhatnak arra vonatkozóan, hogy a politikai eredmény pontos, nem csupán a hibafeltárást (pl.oblem a táblázattal). A választásokhoz és auditokhoz tartós, teljes és megbízható szavazási nyilvántartásra van szükség, amelyet fizikailag biztonságosan őriznek a vászon és az audit során. Ekkor nyilvánosan ellenőrizhetővé válhatnak a választások, ami a következő paneltag, Josh célja is.

Josh megismétli, hogy az Egyesült Államokban és szerte a világon választási bizalmi válság van, és a nyilvános bizonyítékok halálát okolja ezekért a széles körben elterjedt problémákért. Magyarázata szerint a mai választások többségében nem adunk érdemi bizonyítékot a választóknak arra, hogy a szavazatokat helyesen számolták. Arra kérjük a választókat, hogy bízzanak a helyi választási tisztviselőkben, a berendezésekben, a felszerelések eladóiban és másokban – függetlenül attól, hogy ezek megbízhatóak vagy sem. Megoldást javasol a nyilvános bizonyítékok hiányára: végponttól végpontig (E2E) ellenőrizhetőség. Ha egy választás E2E-ellenőrizhető, a választók közvetlen bizonyítékot kapnak arra vonatkozóan, hogy szavazataikat pontosan megszámolták. Ellenőrizhető választási jegyzőkönyvre van szükség, amely lehetővé teszi a szavazók számára, hogy megerősítsék szavazatuk pontos megszámlálását anélkül, hogy megbízniuk kellene a választást lebonyolító emberekben vagy technológiában. Az E2E által igazolható választásoknak két alapelve van:

A szavazók ellenőrizhetik, hogy saját választásukat helyesen rögzítették-e
Bárki ellenőrizheti, hogy a rögzített szavazatokat helyesen számolták-e össze

Ezek a választások egy döntő módosítást jelentenek egy tipikus választáson: a szavazók szavazás közben egy megerősítő kódot kapnak, amellyel megerősíthetik a választásuk helyes rögzítését. A szavazók később egy nyilvános weboldalon megerősíthetik, hogy megvannak a megerősítő kódjaik, és a felsorolt megerősítő kódok összhangban vannak a bejelentett összesítéssel. A választók választhatnak, hogy csak szavaznak, és nem ellenőrzik szavazataik helyes rögzítését és/vagy számlálását, vagy olyan alaposan ellenőrzik, ahogy akarják. (Itt meg kell jegyezni, hogy a szavazók nem tekinthetik meg szavazólapjaik tartalmát, miután leadták azokat – csak azt, hogy azokat a leadásuk és opcionálisan ellenőrzésük óta nem változtatták meg. Ez megakadályozza a kényszerítést és a szavazatértékesítést.)

Az E2E-ellenőrzéshez általában olyan fejlett kriptográfiai eszközökre van szükség, mint a küszöb homomorf titkosítás, a nem interaktív nulla ismeretigazolás és még sok más. Az Egyesült Államok jelenlegi választási segítségnyújtási irányelvei tartalmazzák az E2E-ellenőrzhetőség követelményeit. Ezt a technikát ma kezdik alkalmazni az Egyesült Államokban és szerte a világon, és 2009 óta több amerikai választáson is kipróbálták (beleértve a 2020-as amerikai képviselőházi demokrata választmányi vezetőválasztást is).

Poorvi kibővítette az E2E-ellenőrzhetőség használatát más választásokon az Egyesült Államokban, kezdve a Takoma Park 2009-es helyhatósági választásával. Ez volt az első olyan kormányválasztás az Egyesült Államokban, ahol a magánélet védelmét a végpontokig ellenőrizhető technológia során bárki megerősíthette. a szavazatok helyesen képviselték a szavazatokat. A választópolgárok olyan oválisokat töltöttek ki, amelyek megfeleltek a polgármesternek és a képviselő-testületnek. Speciális tollakat használtak, amelyek az oválisokon láthatatlan tintával nyomtatott megerősítő számokat tártak fel, és lehetőségük volt feljegyezni őket, hogy később ellenőrizhessék a honlapon, vagy egyszerűen leadhassák szavazatukat és távozhassanak. A választás garantálta a választópolgárok ellenőrizhetőségét, mert a választók a választási honlapon ellenőrizhették a visszaigazoló számukat, és egyetemes ellenőrizhetősége volt, mivel az adatok nyilvánosan elérhetőek voltak, hogy a visszaigazolási számokból helyesen számították-e ki az összeszámlálást.

Poorvi hangsúlyozta, hogy a hagyományos választási módszerek bizonyos aspektusainak megtartása fontos: „Nem tudjuk, hogyan tehetjük teljes biztonságban a választásokat emberek és fizikai folyamatok nélkül. Nélkülük a problémát észrevevő választó nem tudja bizonyítani, a megfigyelők pedig nem tudják megkülönböztetni az igaz szavazót a hazudozótól.” Azt is kifejtette, hogy a tényleges ellenőrzési folyamatot jobban reprezentáló matematikai modellek beépítése javíthatja az RLA-kat.

Poorvi azzal zárta a testületet, hogy elmesélte, hogy az Egyesült Államok számos államában jelenleg is érvényben vannak olyan jogszabályok, amelyek megkövetelik vagy megengedik az RLA-kat és más választási ellenőrzési követelményeket, és ez számos kötelező érvényű választás ellenőrzését eredményezte. Azonban még sok a tennivaló. Rengeteg elhivatott egyénre van szükség ahhoz, hogy azonosítsa és alkalmazza ezeket a technikákat olyan környezetben, amelyek nagyon gyorsan ellenségessé válhatnak, de kulcsfontosságú, hogy befektessünk ezekbe a technológiákba annak érdekében, hogy minden választás nyilvánosan ellenőrizhető legyen.

A panelt követő kérdezz-felelek során egy közönségtag megkérdezte, hogy van-e most több információnk a választási biztonság hiányáról, vagy csak többet hallunk róla?

Philip kifejtette, hogy bár ma nincs bizonyíték több problémára, mint a múltban, a technológiára való támaszkodás megváltozott, ami további sebezhetőséget jelent a választási folyamatban, lehetővé téve a nagykereskedelmi távoli támadásokat, miközben történelmileg jelentős számú szavazatot kellett volna megváltoztatni. fizikai hozzáférés és számos bűntárs. Még akkor is, ha a technológiára támaszkodunk, lehetséges megerősítő bizonyítékokat gyűjteni az eredmény értékeléséhez, de a legnehezebb az, hogy meggyőzzük a kormány tisztviselőit, hogy végezzék el a megbízható papír nyomvonal létrehozását, a megbízhatóság megőrzését és a megfelelő ellenőrzések során történő felhasználását.
Josh megjegyezte, hogy az Egyesült Államokban és nemzetközi szinten régóta vannak választási csalások, de a választási tisztviselők arra a következtetésre jutottak, hogy az elmúlt néhány nemzeti választás az Egyesült Államokban sokkal tisztább volt, mint a legtöbb. Azonban az, hogy nagyon kevés bizonyíték van a csalásra, még nem jelenti azt, hogy választásaink biztonságosak. Valójában a több ezer egyidejű, egyénileg lebonyolított választás miatt viszonylag könnyű támadni néhányat. Nem könnyű ezt megtenni bizonyítékok hátrahagyása nélkül, de sürgősen szükség van olyan technológiára, amely befoltozza a lyukakat a választások jelenlegi lebonyolításán. Kulcsfontosságú, hogy a választásokat úgy tervezzük meg, hogy a közvélemény hitelesíthesse azokat.
Liz rámutatott, hogy fontos felismerni azt a környezetet, amelyben a választási tisztviselők találják magukat. A választási csalásra utaló bizonyítékok hiánya ellenére a választási tisztviselők 77%-a azt mondta, hogy nem érzi magát biztonságban, és minden hatodik fenyegetett. Az átlagos választási tisztségviselő egy 1-6 éves fehér nő, aki évi 50 ezret keres, és várhatóan hazai és nemzetközi ellenfelekkel harcol. Alapvető fontosságú a választási tisztviselőkkel való partnerség, és rávenni őket, hogy helyi szinten vásárolják meg ezeket a technológiákat. A választási rendszer decentralizálása erősség a támadásokkal szemben. Mind e technológia bevezetése, mind az eljárások kötelezővé tétele számos kihívást jelent.
Josh ellenezte Liz álláspontját a decentralizációról, és kijelentette, hogy sokan úgy gondolják, hogy rendszereink heterogenitása erősség, és az lenne az, ha egy támadónak mindegyiket meg kellene támadnia. De mi csak egy menüt kínálunk különböző rendszerekből egy hacker támadására. Így csak kiválaszthatják a leggyengébb láncszemet, és megtámadhatják azt.

A CCC Tanácsának tagja, Katie Siek újabb kérdést tett fel: Mit tesz a választási technológia akadálymentesítéséért?

Philip: A választási technológiákat, amelyeket „hozzáférhetőként” hirdetnek, gyakran nem. Ezenkívül egyes szavazólap-jelölő eszközök (BMD-k) veszélyeztetik a magánélet védelmét, mert olyan szavazási jegyzőkönyvet nyomtatnak, amely nem úgy néz ki, mint egy kézzel megjelölt szavazólap. Egyesek azt mondják, hogy a probléma leküzdéséhez az összes BMD-t használnunk kell, de nem értek egyet: a BMD-k általános használata aláássa a papírnyomok megbízhatóságát, mivel a BMD-nyomtatás a gép által végzett tevékenységet rögzíti, nem pedig a szavazó által. A jelenlegi BMD-k nem biztosítanak lehetőséget a látássérült választók számára annak ellenőrzésére, hogy a nyomat pontosan tükrözi-e a választásukat: bízniuk kell abban, hogy amit a gép „mondott”, az ugyanaz, mint amit kinyomtatott. A BMD biztonsági modelljének komoly hibája, hogy csak a választó tudja megmondani, hogy a BMD pontosan nyomtatta-e ki a szavazatait, de ha a választó észreveszi, hogy a BMD rosszul nyomtatta ki a választását, akkor a választó nem tudja bizonyítani. bárki más, aki ezt tette. A választó kérhet új lehetőséget a választásaik kinyomtatására, de a választási tisztviselő nem tehet különbséget a választói hiba, a gép meghibásodása vagy a „farkast” kiáltó választó között. Ha egy tisztviselő azt hiszi a választópolgárnak, hogy a gép meghibásodott, akkor a tisztviselő egyetlen lehetősége a választás törlése és egy teljesen új választás lebonyolítása, mert nem lehet megmondani, hogy mely nyomatokat érintette a gép helytelen viselkedése. Technikai értelemben a szavazólap-jelölő eszközökkel lebonyolított választások nem „erősen szoftverfüggetlenek”. A rendszer nem tud helyreállni az észlelt hibákból.
Josh: Különféle megközelítések léteznek, de összességében siralmas munkát végzünk az Egyesült Államokban a látási, mozgássérült stb. fogyatékkal élők számára. Általában külön eszközt kell használniuk a sarokban. Például Noel Runyon egy technikailag ügyes vak szavazó, aki kitartóan használja a hozzáférhető eszközöket a szavazáshoz, és cikkeket ír erről a blogjában. Gyakran órákba telik, mire szavaz, amikor annak egyszerűnek kellene lennie. A fogyatékkal élők szavazásának megkönnyítését akadályozza, hogy az akadálymentesítési közösség azt mondja, hogy a papíralapú szavazás nem működik, a biztonsági közösség pedig azt, hogy a papír az egyetlen út.

Ezután Daniel Lopresti, a CCC Tanácsának elnöke megkérdezte: „Hogyan bánik azokkal az emberekkel, akik meg vannak győződve arról, hogy ezek a technológiák veszélyesek vagy megbízhatatlanok?”

Josh: Ezeket az embereket komolyan kell venni. Sokat beszélgettem a választási tisztviselőkkel, és nagyon óvatosak és konzervatívak. Amikor elmagyarázom nekik a végponttól végpontig ellenőrizhetőséget, általában szeretik, még akkor is, ha rájönnek, hogy ez felfedi az általuk elkövetett apró hibákat. Vannak azonban, akik kevésbé bíznak a matematikában, mint az emberekben, és ez továbbra is kihívást jelent.
Philip: Egyetértek azzal, hogy ez probléma, de úgy gondolom, hogy a keretbe kell foglalni, hogy ez a pedagógusok problémája; az én dolgom, hogy úgy magyarázzam el a dolgokat, hogy bárki megértse. Sok időt töltök azzal, hogy metaforákat, analógiákat és példákat találjak. Például a véletlenszerű mintavétel elmagyarázásához – hogyan tanulhatunk meg valami hasznosat egy hatalmas populációról egy kis mintából – azt a hasonlatot használom, hogy megtanuljuk, hogy a sós leves egy kanál megkóstoltatásán alapul (miután jól felkeverjük a levest). nagy az edény.
Liz: Számunkra kritikus, hogy el tudjuk magyarázni a közönségnek, hogyan működik, ha nem tudjuk egyszerűen elmagyarázni, akkor nem értük el a célunkat.
Philip: Sokan mondjuk, hogy nem szabad megbízni a programozást jelenleg végző gyártókban, de bennünk sem. A választóknak saját maguk ellenőrizhetik a folyamatot.
Josh: A különbség az, hogy elvileg mindent megtehetsz magadnak; jelenleg a tisztességtelen választási tisztviselők valószínűleg ellophatják a választást. Ezzel a technológiával kiválaszthatja, kiben bízik meg, és ellenőrizheti magát.
Poorvi: Az ötlet a választás körüli információk demokratizálása, beleértve a használt kódot is. Előfordulhat, hogy nem saját maga írja meg a kódot, vagy egyáltalán nem tudja feldolgozni, de az információ nem korlátozódik néhányra. Hasznos lenne a politikai pártok összefogása és a folyamat ellenőrzése. Jó lenne, ha hírcsatornák is támogatnák a visszaigazoló számok ellenőrzését vagy a kockázatkorlátozó auditok megfigyelését.

Az ülés utolsó kérdése a következő volt: „Mennyi ideig tart egy kockázatkorlátozó audit megtörténte? Vannak olyan tanulmányok, amelyek azt vizsgálták, hogy meggondolják-e magukat, vagy vannak olyan zavaró változók, amelyek amúgy is korlátozzák a bizalmat?”

Philip: Az egyik probléma az RLA-kkal a választások előtt van, nem tudhatod, mennyi munka lesz, mert nagyon sok változó van. Nem tudja, milyen szűk lesz a margó, vagy mennyi hibát talál az audit során, így nehéz megmondani, mennyi munkára számíthat. Ballpark számok hatékony ellenőrzéssel: az első szavazás egy kötegből 3 percet vesz igénybe, majd szavazásonként 1 percet vesz igénybe az adott kötegből származó további szavazatok esetén. Meg kell találni egy köteg szavazólapot, ellenőrizni/feljegyezni a pecséteket, egy kupacba számolni, át kell írni az adatokat, vissza kell helyezni a szavazólapokat a helyükre, és újra le kell pecsételni. Orange megyében 191 egyéni futam esetében a szavazólapok százalékos arányára példa az, hogy a szavazólapok 1.3%-át megnézhették volna, hogy minden versenyt érvényesíthessenek. A módszertan javul, és egyre könnyebbé válik ezeknek az auditoknak a lebonyolítása.
Josh: Az RLA-t általában csak az összes szavazat megszámlálása után készítik el. Az E2E-ellenőrzés megfelel a választási tisztviselők által végzett bármilyen részletességnek. Valahányszor közzéteszik a szavazatszámlálást, akkor ellenőrizheti azt. Általában úgyis csak a végén csinálják.

Köszönet Philipnek, Joshnak, Poorvinak és Liznek, hogy megosztották tudásukat a közösséggel arról, hogy a számítástechnika miként szolgálhat a választások biztosításában. Maradjon velünk a következő hét csütörtökön, a CCC által szponzorált AAAS éves találkozó tudományos ülésszakának összefoglalójával kapcsolatban.