"Tecnologie elettorali emergenti che migliorano l'integrità, la trasparenza e la fiducia" Riepilogo del panel AAAS

Le elezioni sicure, protette e verificabili dal pubblico sono una parte essenziale di ogni governo democratico. Ci sono state proteste pubbliche per i cambiamenti nel processo elettorale negli Stati Uniti e in tutto il mondo poiché i cittadini sono stati frustrati dalla mancanza di trasparenza. Fiducia elettorale dalla maggioranza del public non è facile da ottenere, ma i relatori di un panel organizzato dal CCC all'incontro annuale dell'AAAS hanno fornito molti suggerimenti sui passi che possiamo intraprendere per fare proprio questo.

I relatori della sessione “Emerging Election Technologies Migliorare l'integrità, la trasparenza e la fiducia”. Filippo B. Stark (Università della California, Berkeley), Josh Benaloh (Ricerca Microsoft) e Poorvi L.Vora (Giorgioe Università di Washington). Elisabetta (Liz) Howard (Brennan Center for Justice) è stato il moderatore.

Liz ha dato il via alla sessione descrivendo che le democrazie di tutto il mondo sono sotto attacco ed è fondamentale per il futuro di questi sistemi che abbiamo fiducia nelle elezioni. Ha spiegato che la tecnologia può combattere queste minacce attraverso prove sostanziali dell'integrità elettorale, in particolare con elezioni basate su prove, sistemi di voto verificabili end-to-end e audit di limitazione del rischio.

Philip ha iniziato la tavola rotonda ipotizzando che "che tu creda o meno che le elezioni del 2020 siano state accurate, il fatto che molte persone non dimostrino che dobbiamo condurre le elezioni in un modo che generi prove convincenti che i risultati elettorali riportati sono corretti". L'antidoto alla mancanza di fiducia secondo Philip? Prova. Non è sufficiente che i funzionari elettorali determinino chi ha vinto un'elezione e lo dichiarino, thIl pubblico merita prove convincenti. Non tutte le prove sulle elezioni sono prove affermative che i risultati sono corretti. Ad esempio, un esame forense del software del sistema di voto potrebbe non trovare malware, ma ciò non è una prova che i risultati siano corretti, solo che un tipo di problema non si è verificato. Allo stesso modo, un accurato conteggio a mano della traccia cartacea non fornisce alcuna prova che il risultato sia corretto a meno che non vi sia anche la prova che la traccia cartacea rifletta accuratamente il modo in cui le persone hanno votato. Esistono diversi modi per raccogliere prove convincenti che un'elezione è stata indetta correttamente mantenendo l'anonimato del voto. La chiave è che le elezioni dovrebbero essere basata sulle evidenze, non basato sulla procedura che è lo standard attuale. Un modo per fornire prove affermative è un audit di limitazione del rischio (RLA) di schede cartacee contrassegnate a mano in modo sicuro.

Gli RLA richiedono una traccia cartacea dimostrabilmente affidabile. (L'attendibilità dipende da come viene creata, contabilizzata e curata la traccia cartacea. Nessun audit basato su carta inaffidabile può fornire prove affermative che i vincitori dichiarati abbiano realmente vinto). Le accademie nazionali li hanno ufficialmente raccomandati nel 2018. Gli RLA sono un ingrediente chiave nelle elezioni basate sull'evidenza perché possono generare prove affermative che il risultato politico è accurato, piuttosto che solo il rilevamento di errori (ad esempio, notare un problem con la tabulazione). Le elezioni e gli audit richiedono registrazioni dei voti durevoli, complete e affidabili che siano mantenute fisicamente al sicuro durante il sondaggio e l'audit. Quindi le elezioni possono essere verificabili pubblicamente, che è anche un obiettivo del prossimo membro del panel, Josh.

Josh ribadisce che c'è una crisi di fiducia elettorale negli Stati Uniti e in tutto il mondo e incolpa la morte delle prove pubbliche per questi problemi diffusi. Nella maggior parte delle elezioni odierne, spiega, non forniamo agli elettori prove sostanziali del corretto conteggio dei voti. Chiediamo agli elettori di fidarsi dei funzionari elettorali locali, delle attrezzature, dei fornitori di attrezzature e di altri, indipendentemente dal fatto che queste entità siano affidabili o meno. Propone una soluzione a questa mancanza di prove pubbliche: verificabilità end-to-end (E2E).. Quando un'elezione è verificabile E2E, gli elettori ricevono la prova diretta che i loro voti sono stati conteggiati accuratamente. Richiede un record elettorale verificabile che consenta agli elettori di confermare il conteggio accurato delle loro schede senza doversi fidare delle persone o della tecnologia che gestisce le elezioni. Ci sono due principi fondamentali delle elezioni verificabili E2E:

1. Gli elettori possono verificare che le proprie scelte siano state registrate correttamente
2. Chiunque può verificare che i voti registrati siano stati correttamente conteggiati

Queste elezioni apportano una modifica cruciale a una tipica elezione: gli elettori ricevono un codice di conferma durante il voto che possono utilizzare per confermare la corretta registrazione delle loro selezioni. Gli elettori possono successivamente confermare su un sito Web pubblico che i loro codici di conferma sono presenti e che i codici di conferma elencati sono coerenti con i conteggi annunciati. Gli elettori possono scegliere di votare e non controllare la corretta registrazione e/o conteggio dei propri voti, oppure di controllare nel modo più approfondito che desiderano. (Si noti qui che gli elettori non possono visualizzare il contenuto delle loro schede una volta che sono state espresse, solo che non sono state modificate dal momento in cui sono state espresse e facoltativamente verificate. Ciò impedisce la coercizione e la vendita di voti.)

La verificabilità E2E generalmente richiede strumenti crittografici avanzati come Threshold Homomorphic Encryption, prove non interattive a conoscenza zero e altro ancora. Le attuali linee guida per l'assistenza elettorale negli Stati Uniti includono requisiti per la verificabilità E2E. Questa tecnica sta iniziando ad essere utilizzata negli Stati Uniti e in tutto il mondo oggi ed è stata sperimentata in più elezioni statunitensi dal 2009 (comprese le elezioni per la leadership del Caucus democratico della Camera degli Stati Uniti nel 2020).

Poorvi ha ampliato l'uso della verificabilità E2E in altre elezioni negli Stati Uniti, a partire dalle elezioni municipali di Takoma Park nel 2009. È stata la prima elezione governativa negli Stati Uniti con la tutela della privacy tecnologia verificabile end-to-end in cui chiunque poteva confermare il il conteggio ha rappresentato correttamente i voti. L'elettore ha compilato gli ovali che corrispondevano alle loro selezioni per il sindaco e il membro del consiglio. Hanno usato penne speciali che rivelavano i numeri di conferma stampati con inchiostro invisibile negli ovali e avevano la possibilità di scriverli in modo da poterli controllare in seguito sul sito web, oppure potevano semplicemente votare e andarsene. L'elezione garantiva la verificabilità degli elettori perché gli elettori potevano controllare i loro numeri di conferma sul sito web delle elezioni e aveva una verificabilità universale perché le informazioni erano pubblicamente disponibili per verificare che il conteggio fosse calcolato correttamente dai numeri di conferma. 

Poorvi ha sottolineato che è importante mantenere alcuni aspetti dei metodi elettorali tradizionali: “Non sappiamo come rendere le elezioni completamente sicure senza persone e processi fisici. Senza di essi, un elettore che nota un problema non può dimostrarlo e gli osservatori non possono distinguere un elettore veritiero da uno che mente". Spiega inoltre che l'incorporazione di modelli matematici che rappresentano meglio il reale processo di audit sul campo può migliorare gli RLA.

Poorvi ha concluso il panel raccontando che la legislazione che richiede o consente RLA e altri requisiti di verifica delle elezioni è attualmente in vigore in molti stati degli Stati Uniti oggi e che ha portato a controlli di molte elezioni vincolanti. Tuttavia, rimane molto da fare. Ci vuole un'enorme quantità di individui dedicati per identificare e implementare queste tecniche in ambienti che possono diventare ostili molto rapidamente, ma lo è È fondamentale investire in queste tecnologie per rendere ogni elezione verificabile pubblicamente.

Durante le domande e risposte seguite al panel, un membro del pubblico ha chiesto se ora abbiamo più informazioni sulla mancanza di sicurezza elettorale o ne abbiamo solo sentito parlare di più? 

• Philip ha spiegato che mentre non ci sono prove di più problemi oggi rispetto al passato, la dipendenza dalla tecnologia è cambiata, il che aggiunge più vulnerabilità al processo elettorale, consentendo attacchi remoti all'ingrosso, mentre storicamente, la modifica di un numero sostanziale di voti avrebbe richiesto accesso fisico e numerosi complici. Anche quando si fa affidamento sulla tecnologia è possibile raccogliere prove affermative per valutare il risultato, ma la parte difficile è convincere i funzionari governativi a svolgere il lavoro di generazione di una traccia cartacea affidabile, assicurandosi che rimanga affidabile e utilizzandola in audit appropriati.
• Josh ha notato che ci sono state a lungo frodi elettorali negli Stati Uniti ea livello internazionale, ma i funzionari elettorali hanno concluso che le ultime elezioni nazionali negli Stati Uniti sono state molto più pulite della maggior parte. Tuttavia, solo perché sembra che ci siano pochissime prove di frode non significa che le nostre elezioni siano sicure. Infatti, a causa delle migliaia di elezioni simultanee, gestite individualmente, è relativamente facile attaccarne alcune. Non è facile farlo senza lasciare prove, ma c'è un urgente bisogno di tecnologia per riparare i buchi nel modo in cui le elezioni sono attualmente condotte. È fondamentale progettare le elezioni in modo che il pubblico in generale possa convalidarle.
• Liz ha sottolineato che è importante riconoscere l'ambiente in cui si trovano i funzionari elettorali. Nonostante la mancanza di prove di frodi elettorali, il 77% dei funzionari elettorali ha affermato di non sentirsi al sicuro e 1 su 6 è stato minacciato. Il funzionario elettorale medio è una donna bianca di 50-64 anni che guadagna uno stipendio annuo di 60 e dovrebbe combattere i nemici nazionali e internazionali. È essenziale collaborare con i funzionari elettorali e convincerli ad acquistare queste tecnologie a livello locale. Il decentramento del sistema elettorale è un punto di forza contro un attacco. Ci sono molte sfide sia nell'implementazione di questa tecnologia che nelle procedure obbligatorie.
• Josh ha ribattuto il punto di vista di Liz sul decentramento, affermando che molte persone pensano che l'eterogeneità dei nostri sistemi sia un punto di forza, e lo sarebbe se un utente malintenzionato dovesse attaccarli tutti. Ma stiamo solo offrendo un menu di diversi sistemi che un hacker può attaccare. Quindi possono semplicemente scegliere l'anello più debole e attaccarlo.

Il membro del consiglio del CCC Katie Siek ha posto un'altra domanda: cosa stai facendo per l'accessibilità nella tecnologia elettorale?

• Philip: le tecnologie elettorali promosse come "accessibili" spesso non lo sono. Inoltre, alcuni dispositivi di marcatura delle schede elettorali (BMD) compromettono la privacy perché stampano un registro delle votazioni che non sembra una scheda elettorale cartacea contrassegnata a mano. Alcuni dicono che per combattere questo problema dovremmo usare tutti i BMD, ma non sono d'accordo: l'uso generale dei BMD mina l'affidabilità della traccia cartacea, perché la stampa del BMD è una registrazione di ciò che ha fatto la macchina, non una registrazione di ciò che ha fatto l'elettore. Gli attuali BMD non forniscono un mezzo per gli elettori con disabilità visive per verificare se la stampa riflette accuratamente le loro selezioni: devono fidarsi che ciò che la macchina "ha detto" è lo stesso di ciò che ha stampato. Un grave difetto con il modello di sicurezza dei BMD è che solo l'elettore è in grado di dire se il BMD ha stampato accuratamente i propri voti, ma se un elettore nota che il BMD ha stampato le proprie selezioni in modo errato, non c'è modo che l'elettore possa dimostrare di chiunque altro che lo ha fatto. L'elettore può richiedere una nuova possibilità di stampare le proprie selezioni, ma non c'è modo per il funzionario elettorale di distinguere tra errore dell'elettore, malfunzionamento della macchina o un elettore che grida "al lupo". Se un funzionario crede all'elettore che la macchina non funziona correttamente, l'unica opzione del funzionario è annullare l'elezione e organizzarne una completamente nuova, perché non c'è modo di dire quali tabulati sono stati influenzati dal comportamento scorretto della macchina. In termini tecnici, le elezioni condotte con dispositivi di marcatura delle schede non sono "fortemente indipendenti dal software". Il sistema non può eseguire il ripristino dagli errori rilevati.  
• Josh: Ci sono diversi approcci, ma nel complesso facciamo un lavoro deplorevole negli Stati Uniti per le persone con disabilità visive, motorie, ecc. Di solito devono usare un dispositivo separato nell'angolo. Ad esempio, Noel Runyon è un elettore cieco tecnicamente astuto che è tenace nell'usare dispositivi accessibili per votare e scrive articoli nel suo blog a riguardo. Spesso gli occorrono ore per votare quando dovrebbe essere semplice. Un ostacolo per rendere più facile il voto per le persone con disabilità è che la comunità dell'accessibilità afferma che le schede cartacee non funzionano e la comunità della sicurezza afferma che la carta è l'unico modo.

Successivamente, Daniel Lopresti, presidente del consiglio del CCC, ha chiesto: "Come gestisci le persone che sono convinte che queste tecnologie siano pericolose o inaffidabili?" 

• Josh: Quelle persone devono essere prese sul serio. Ho avuto molte discussioni con i funzionari elettorali e sono molto attenti e conservatori. Quando spiego loro la verificabilità end-to-end, in genere a loro piace anche rendersi conto che rivelerà ogni piccolo errore che commettono. Tuttavia, alcune persone si fidano meno della matematica delle persone e questa rimane una sfida.
• Philip: Sono d'accordo che è un problema, ma penso che l'inquadramento dovrebbe essere che è un problema per gli educatori; è mio compito spiegare le cose in un modo che chiunque possa capire. Passo molto tempo a cercare metafore, analogie ed esempi. Ad esempio, per spiegare il campionamento casuale – come si può imparare qualcosa di utile su un'enorme popolazione da un piccolo campione – uso l'analogia di apprendere come la zuppa salata si basa sull'assaggiarne solo un cucchiaio (dopo aver mescolato bene la zuppa), non importa quanto grande il piatto.
• Liz: Per noi è fondamentale essere in grado di spiegare come funziona al pubblico, se non riusciamo a spiegarlo in termini semplici allora non abbiamo raggiunto il nostro obiettivo.
• Philip: Molti di noi dicono che non dovresti fidarti dei fornitori che attualmente fanno la programmazione, ma non dovresti nemmeno fidarti di noi. Gli elettori dovrebbero essere in grado di verificare da soli il processo.
• Josh: La differenza è che in linea di principio potresti fare tutto da solo; in questo momento funzionari elettorali disonesti potrebbero probabilmente rubare un'elezione. Con questa tecnologia puoi scegliere di chi fidarti e controllare te stesso.
• Poorvi: L'idea è quella di democratizzare le informazioni sulle elezioni, compreso il codice utilizzato. Potresti non scrivere il codice da solo o essere in grado di elaborarlo affatto, ma le informazioni non saranno limitate a pochi. Riunire i partiti politici e far loro controllare il processo sarebbe utile. Anche avere canali di notizie che promuovono il controllo dei numeri di conferma o l'osservazione degli audit di limitazione del rischio sarebbe positivo.

L'ultima domanda della sessione è stata “Quanto tempo ci vuole per avere un controllo di limitazione del rischio? Ci sono studi che hanno esaminato se cambiano idea o ci sono comunque altre variabili confondenti che limitano la fiducia?

• Philip: Un problema con gli RLA è prima delle elezioni, non sai quanto lavoro ci sarà perché ci sono così tante variabili. Non sai quanto saranno ristretti i margini o quanti errori troverai nell'audit, quindi è difficile dire quanto lavoro aspettarsi. I numeri del ballpark con audit efficienti sono che il primo scrutinio di un lotto richiede 3 minuti, quindi 1 minuto per scrutinio per ulteriori scrutini da quel lotto. Devi trovare un lotto di schede, controllare/registrare i sigilli, contare in una pila, trascrivere i dati, rimettere le schede al loro posto e richiudere. Un esempio di una percentuale di schede che avresti bisogno di campionare è a Orange County per 191 singole gare è che avrebbero potuto esaminare l'1.3% delle schede per poter convalidare ogni gara. La metodologia sta migliorando ed è sempre più facile eseguire questi audit.
• Josh: In genere un RLA viene eseguito solo dopo che tutti i voti sono stati contati. La verifica E2E può corrispondere a qualsiasi granularità eseguita dai funzionari elettorali. Ogni volta che vengono rilasciati i conteggi dei voti, puoi verificarlo in quel momento. Di solito lo fanno comunque alla fine.

Mille grazie a Philip, Josh, Poorvi e Liz per aver condiviso le loro conoscenze con la comunità su come la tecnologia informatica può servire come aiuto per garantire le elezioni. Resta sintonizzato per un altro riepilogo della sessione scientifica della riunione annuale dell'AAAS sponsorizzato dal CCC giovedì della prossima settimana.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://feeds.feedblitz.com/~/732489284/0/cccblog~%e2%80%9cEmerging-Election-Technologies-Enhancing-Integrity-Transparency-and-Confidence%e2%80%9d-AAAS-Panel-Recap/