"טכנולוגיות בחירות מתפתחות משפרות יושרה, שקיפות וביטחון" סיכום פאנל AAAS

בחירות בטוחות, מאובטחות וניתנות לאימות על ידי הציבור הן חלק חיוני בכל ממשלה דמוקרטית. היו זעקות ציבוריות לשינויים בתהליך הבחירות בארה"ב וברחבי העולם מכיוון שאזרחים היו מתוסכלים מחוסר השקיפות. אמון בבחירות מרוב עמ'ublic לא קל להשגה, אבל חברי הפאנל של פאנל מאורגן של CCC באסיפה השנתית של AAAS הציעו הצעות רבות לגבי צעדים שאנחנו יכולים לנקוט כדי לעשות זאת.

חברי הפאנל של המושב, "טכנולוגיות בחירות מתעוררותes שיפור היושרה, השקיפות והביטחון". פיליפ בי סטארק (אוניברסיטת קליפורניה, ברקלי), ג'וש בנלוה (Microsoft Research), ו עני ל' וורה (ג'ורג'אוניברסיטת וושינגטון). אליזבת (ליז) הווארד (ברנן המרכז לצדק) היה המנחה.

ליז פתחה את הפגישה בתיאורה שדמוקרטיות ברחבי העולם מותקפות, וזה קריטי לעתיד המערכות הללו שיש לנו אמון בבחירות. היא הסבירה שטכנולוגיה יכולה להילחם באיומים הללו באמצעות ראיות מהותיות לשלמות הבחירות, במיוחד עם בחירות מבוססות ראיות, מערכות הצבעה הניתנות לאימות מקצה לקצה וביקורות מגבילות סיכונים.

פיליפ פתח את הדיון בפאנל בטענה ש"בין אם אתה מאמין שהבחירות ב-2020 היו מדויקות ובין אם לא, העובדה שאנשים רבים לא מראה שעלינו לנהל בחירות באופן שיוצר ראיות משכנעות לכך שתוצאות הבחירות המדווחות נכונות". התרופה לחוסר אמון לפי פיליפ? עֵדוּת. לא מספיק שפקידי בחירות יקבעו מי ניצח בבחירות ויכריזו עליה, ההציבור ראוי לראיות משכנעות. לא כל הראיות לגבי בחירות הן ראיה מתקנת לכך שהתוצאות נכונות. לדוגמה, בדיקה משפטית של תוכנת מערכת ההצבעה עשויה לא למצוא תוכנות זדוניות - אבל זו לא ראיה שהתוצאות נכונות, רק שסוג אחד של בעיה לא התרחש. באופן דומה, ספירת ידיים מדויקת ומלאה של שובל הנייר אינה מספקת הוכחה לכך שהתוצאה נכונה, אלא אם כן יש ראיות לכך ששביל הנייר משקף במדויק את האופן שבו אנשים הצביעו. ישנן מספר דרכים לאסוף ראיות משכנעות לכך שבחירות נערכו כהלכה תוך שמירה על אנונימיות הקלפי. המפתח הוא שבחירות צריכות להיות מבוסס ראיות, לא מבוסס פרוצדורה שהוא התקן הנוכחי. אחת הדרכים לספק ראיות מתקדמות היא ביקורת מגבילת סיכונים (RLA) של פתקי נייר מאוצרים בצורה מאובטחת ביד.

RLAs דורשים שובל נייר מהימן בצורה מוכחת. (האמינות תלויה באופן שבו שביל הנייר נוצר, מתחשב ומטפל בו. שום ביקורת המסתמכת על נייר לא מהימן לא יכולה לתת ראיה חיובית לכך שהזוכים המדווחים באמת ניצחו). האקדמיות הלאומיות המליצו עליהם רשמית ב-2018. RLAs הם מרכיב מפתח בבחירות מבוססות ראיות מכיוון שהם יכולים לייצר ראיות מתקדמות לכך שהתוצאה הפוליטית מדויקת, ולא רק זיהוי תקלות (למשל, הבחנתאובדן עם הטבלה). בחירות וביקורות זקוקות לרישומי הצבעה עמידים, מלאים ומהימנים, שנשמרים מאובטחים פיזית לאורך כל הקנבס והביקורת. אז בחירות יכולות להיות ניתנות לאימות פומבית, וזו המטרה של חבר הפאנל הבא, ג'וש, גם כן.

ג'וש חוזר ומדגיש כי קיים משבר אמון בבחירות בארה"ב וברחבי העולם, ומאשים את מוות הראיות הציבוריות בנושאים הנרחבים הללו. ברוב הבחירות היום, הוא מסביר, אנחנו לא מספקים לבוחרים ראיות ענייניות לכך שהקולות נספרים נכון. אנו מבקשים מהבוחרים לסמוך על פקידי הבחירות המקומיות, הציוד, ספקי הציוד ואחרים - בין אם ישויות אלו אמינות ובין אם לאו. הוא מציע פתרון לחוסר ראיות ציבוריות זה: אימות מקצה לקצה (E2E).. כאשר בחירות ניתנות לאימות E2E, הבוחרים מקבלים ראיות ישירות לכך שהקולות שלהם נספרו במדויק. זה דורש רישום בחירות שניתן לאימות המאפשר לבוחרים לאשר את הספירה המדויקת של פתקי ההצבעה שלהם מבלי לסמוך על האנשים או הטכנולוגיה המנהלת את הבחירות. ישנם שני עקרונות ליבה של בחירות הניתנות לאימות E2E:

1. הבוחרים יכולים לוודא שהבחירות שלהם נרשמו כהלכה
2. כל אחד יכול לוודא שהקולות שנרשמו נאמרו בצורה נכונה

בחירות אלו מבצעות שינוי מכריע אחד לבחירות טיפוסיות: הבוחרים מקבלים קוד אישור בזמן ההצבעה שבו הם יכולים להשתמש כדי לאשר את ההקלטה הנכונה של הבחירות שלהם. מצביעים יכולים מאוחר יותר לאשר באתר ציבורי כי קודי האישור שלהם קיימים ושקודי האישור הרשומים תואמים את הנתונים שהוכרזו. לבוחרים יש את הבחירה פשוט להצביע ולא לבדוק את הרישום הנכונים ו/או ספירת הקולות שלהם, או לבדוק בצורה יסודית ככל שהם רוצים. (שימו לב שכאן, הבוחרים אינם יכולים לראות את תוכן פתקי ההצבעה שלהם לאחר הצבעה - רק שהם לא שונו מרגע ההצבעה ואומתו באופן אופציונלי. זה מונע כפייה ומכירת קולות).

אימות E2E דורש בדרך כלל כלים קריפטוגרפיים מתקדמים כמו הצפנה הומומורפית בסף, הוכחות אפס ידע לא אינטראקטיביות ועוד. הנחיות הסיוע הנוכחיות בבחירות בארה"ב כוללות דרישות לאימות E2E. טכניקה זו מתחילה להיות בשימוש בארה"ב וברחבי העולם כיום, והיא נוסתה במספר בחירות בארה"ב מאז 2009 (כולל הבחירות להנהגת בית הנבחרים הדמוקרטית של בית הנבחרים בארה"ב ב-2020).

Poorvi הרחיב את השימוש ב-E2E-אימות בבחירות אחרות בארה"ב, החל מהבחירות המוניציפליות של Takoma Park בשנת 2009. אלו היו הבחירות הראשונות לממשלה בארה"ב עם טכנולוגיה הניתנת לאימות מקצה לקצה, המשמרת את הפרטיות שבה כל אחד יכול לאשר את ייצג נכון את הקולות. הבוחר מילא אליפסות שהתכתבו עם בחירתו לראש העיר ולחבר המועצה. הם השתמשו בעטים מיוחדים שחשפו מספרי אישור שהודפסו בדיו בלתי נראה באלפסות, והייתה להם אפשרות לרשום אותם כדי שיוכלו לבדוק אותם מאוחר יותר באתר, או שהם יכולים פשוט להצביע בקלפי ולעזוב. הבחירות הבטיחו את אימות הבוחר מכיוון שהבוחרים יכלו לבדוק את מספרי האישור שלהם באתר הבחירות, והייתה לה אימות אוניברסאלי מכיוון שהמידע היה זמין לציבור כדי לבדוק שהספירה מחושב נכון ממספרי האישור. 

פורבי הדגיש כי חשוב לשמור על כמה היבטים של שיטות הבחירות המסורתיות: "אנחנו לא יודעים איך להפוך את הבחירות לבטוחות לחלוטין ללא אנשים ותהליכים פיזיים. בלעדיהם, בוחר שמבחין בבעיה אינו יכול להוכיח אותה, והמשקיפים אינם יכולים להבחין בין בוחר אמת לבין מי שמשקר". היא גם הסבירה ששילוב של מודלים מתמטיים המייצגים טוב יותר את תהליך הביקורת האמיתי בשטח יכול לשפר את ה-RLA.

Poorvi סיכם את הפאנל בכך שסיפר כי חקיקה המחייבת או מאפשרת RLA ודרישות אחרות לאימות בחירות קיימת כיום במדינות רבות בארה"ב, וזה הביא לביקורות של בחירות מחייבות רבות. עם זאת, נותר לעשות הרבה. נדרשת כמות עצומה של אנשים מסורים כדי לזהות ולפרוס את הטכניקות הללו בסביבות שעלולות להפוך לעוינות מהר מאוד, אבל זה חיוני שנשקיע בטכנולוגיות הללו כדי להפוך כל בחירות לניתנות לאימות פומבית.

במהלך השאלות והתשובות בעקבות הפאנל, חבר קהל שאל אם יש לנו מידע נוסף עכשיו על חוסר אבטחת בחירות, או שאנחנו פשוט שומעים על זה עוד? 

• פיליפ הסביר שלמרות שאין עדויות ליותר בעיות היום מאשר בעבר, ההסתמכות על טכנולוגיה השתנתה מה שמוסיף יותר נקודות תורפה לתהליך הבחירות, ומאפשרת התקפות סיטונאיות מרחוק, בעוד שבאופן היסטורי, שינוי של מספר ניכר של קולות היה מצריך גישה פיזית והרבה שותפים. גם כשמסתמכים על טכנולוגיה אפשר לאסוף ראיות מתקדמות כדי להעריך את התוצאה, אבל החלק הקשה הוא לשכנע פקידי ממשל לעשות את העבודה של יצירת שביל נייר מהימן, להבטיח שהוא יישאר אמין, ולהשתמש בו בביקורות מתאימות.
• ג'וש ציין כי קיימת זמן רב הונאת בחירות בארה"ב ובעולם, אך פקידי בחירות הגיעו למסקנה כי הבחירות הלאומיות האחרונות בארה"ב היו נקיות בהרבה מרובן. עם זאת, רק בגלל שנראה שיש מעט מאוד עדויות להונאה, לא אומר שהבחירות שלנו בטוחות. למעשה, בגלל אלפי בחירות בו-זמנית, המנוהלות בנפרד, קל יחסית לתקוף חלק מהן. לא קל לעשות זאת מבלי להשאיר ראיות מאחור, אבל יש צורך דחוף בטכנולוגיה כדי לתקן חורים באופן שבו מתנהלות הבחירות כיום. זה חיוני שנעצב בחירות כך שהציבור הרחב יוכל לאמת אותן.
• ליז ציינה כי חשוב להכיר בסביבה שבה נמצאים פקידי הבחירות. למרות היעדר ראיות להונאת בחירות, 77% מבכירי הבחירות אמרו שהם חשים לא בטוחים, ו-1 מכל 6 אוים. פקידת הבחירות הממוצעת היא אישה לבנה בת 50-64 שמרוויחה משכורת שנתית של 60 אלף, והם צפויים להילחם באויבים מקומיים ובינלאומיים. שיתוף פעולה עם פקידי בחירות ולגרום להם לרכוש את הטכנולוגיות הללו ברמה המקומית היא חיונית. ביזור מערכת הבחירות הוא כוח נגד מתקפה. ישנם אתגרים רבים הן בהטמעת טכנולוגיה זו והן בהליכים המחייבים.
• ג'וש התנגד לטענתה של ליז בנוגע לביזור, וקבע שאנשים רבים חושבים שההטרוגניות של המערכות שלנו היא כוח, וזה יהיה אם תוקף היה צריך לתקוף את כולן. אבל אנחנו רק מציעים תפריט של מערכות שונות להאקר לתקוף. אז הם יכולים פשוט לבחור את החוליה החלשה ביותר ולתקוף אותה.

חברת מועצת CCC קייטי סייק שאלה שאלה נוספת: מה אתה עושה למען נגישות בטכנולוגיית בחירות?

• פיליפ: טכנולוגיות בחירות שמקודמות כ"נגישות" לעיתים אינן. יתרה מכך, חלק מהמכשירים לסימון קלפי (BMDs) פוגעים בפרטיות מכיוון שהם מדפיסים רשומת הצבעה שאינה נראית כמו פתק הצבעה ביד. יש אומרים שכדי להילחם בסוגיה זו עלינו להשתמש בכל ה-BMDs אבל אני לא מסכים: שימוש כללי BMDs מערער את מהימנותו של שובל הנייר, כי תדפיס BMD הוא תיעוד של מה שהמכונה עשתה, לא תיעוד של מה שהבוחר עשה. ה-BMD הנוכחיים אינם מספקים אמצעי לבוחרים עם לקויות ראייה לבדוק אם התדפיס משקף במדויק את הבחירות שלהם: הם צריכים לסמוך שמה שהמכונה "אמרה" זהה למה שהדפיסה. פגם חמור במודל האבטחה של BMDs הוא שרק הבוחר מסוגל לדעת אם BMD הדפיס את קולותיו במדויק, אבל אם בוחר שם לב שהBMD הדפיס את הבחירות שלהם בצורה שגויה, אין שום סיכוי שהבוחר יכול להוכיח מישהו אחר שזה עשה. הבוחר יכול לבקש הזדמנות חדשה להדפיס את הבחירות שלו, אבל אין שום דרך עבור פקיד הבחירות להבחין בין טעות בוחר, תקלה במכונה או בוחר שקורא "זאב". אם פקיד מאמין לבוחר שהמכונה מתקלקלת, האפשרות היחידה של הפקיד היא לבטל את הבחירות ולהריץ בחירה חדשה לגמרי, כי אין דרך לדעת אילו תדפיסים הושפעו מההתנהגות השגויה של המכונה. במונחים טכניים, בחירות שנערכות עם מכשירי סימון פתקים אינן "באופן רב עצמאיות בתוכנה". המערכת לא יכולה להתאושש משגיאות שזוהו.  
• ג'וש: יש גישות שונות, אבל בסך הכל אנחנו עושים עבודה מצערת בארה"ב עבור אנשים עם מוגבלויות ראייה, מוטוריות וכו'. בדרך כלל הם צריכים להשתמש במכשיר נפרד בפינה. לדוגמה, נואל רוניון הוא בוחר עיוור בעל הבנה טכנית, שעקשן בשימוש במכשירים נגישים להצבעה וכותב מאמרים בבלוג שלו על כך. לעתים קרובות לוקח לו שעות להצביע כשזה צריך להיות פשוט. מחסום להקל על ההצבעה לאנשים עם מוגבלות הוא שקהילת הנגישות אומרת שפתקי הצבעה בנייר לא עובדים, ובקהילה הביטחונית אומרים שנייר הוא הדרך היחידה.

לאחר מכן, דניאל לופרסטי, יו"ר מועצת CCC, שאל: "איך אתה מתמודד עם אנשים שמשוכנעים שהטכנולוגיות האלה מסוכנות או לא מהימנות?" 

• ג'וש: צריך לקחת את האנשים האלה ברצינות. היו לי הרבה דיונים עם פקידי בחירות והם מאוד זהירים ושמרנים. כשאני מסביר להם אימות מקצה לקצה, הם בדרך כלל אוהבים את זה אפילו מבינים שזה הולך לחשוף כל טעות קטנה שהם עושים. עם זאת, יש אנשים שסומכים פחות על מתמטיקה מאנשים וזה נותר אתגר.
• פיליפ: אני מסכים שזו בעיה, אבל אני חושב שהמסגור צריך להיות שזו בעיה עבור מחנכים; זה התפקיד שלי להסביר דברים בצורה שכל אחד יכול להבין. אני מבלה זמן רב בניסיון למצוא מטפורות, אנלוגיות ודוגמאות. לדוגמה, כדי להסביר דגימה אקראית - איך אפשר ללמוד משהו שימושי על אוכלוסיה עצומה ממדגם קטן - אני משתמש באנלוגיה של למידה של איך מרק מלוח מבוסס על טעימה של רק כף (לאחר ערבוב המרק היטב), לא משנה כמה גדול את הסיר.
• ליז: זה קריטי עבורנו להיות מסוגלים להסביר איך זה עובד לקהל, אם אנחנו לא יכולים להסביר את זה במילים פשוטות אז לא השגנו את המטרה שלנו.
• פיליפ: רבים מאיתנו אומרים שאתה לא צריך לסמוך על הספקים שעושים כרגע את התכנות, אבל אתה גם לא צריך לסמוך עלינו. הבוחרים צריכים להיות מסוגלים לבדוק את התהליך בעצמם.
• ג'וש: ההבדל הוא עקרונית שאתה יכול לעשות הכל בעצמך; כרגע פקידי בחירות לא ישרים עלולים לגנוב בחירות. בעזרת טכנולוגיה זו אתה יכול לבחור במי לסמוך ולבדוק את עצמך.
• Poorvi: דמוקרטיזציה של המידע סביב הבחירות, כולל הקוד שבו נעשה שימוש, הוא הרעיון. אולי לא תכתוב את הקוד בעצמך, או תוכל לעבד אותו בכלל, אבל המידע לא יהיה מוגבל לכמה בודדים. חיבור של מפלגות פוליטיות ושיבדוק את התהליך יהיה מועיל. זה יהיה טוב גם אם ערוצי חדשות יקדמו את בדיקת מספרי האישור שלך או התבוננות בביקורות מגבילות סיכונים.

השאלה האחרונה של הישיבה הייתה "כמה זמן לוקח לביצוע ביקורת מגבילת סיכונים? האם יש מחקרים שבדקו אם הם משנים את דעתם, או שישנם משתנים מבלבלים אחרים שמגבילים אמון בכל מקרה?"

• פיליפ: בעיה אחת עם RLAs היא לפני הבחירות, אתה לא יודע כמה עבודה תהיה כי יש כל כך הרבה משתנים. אינכם יודעים עד כמה יהיו השוליים צרים או כמה שגיאות תמצאו בביקורת, כך שקשה לומר לכמה עבודה לצפות. מספרי כדורסל עם ביקורת יעילה היא ההצבעה הראשונה של אצווה נמשכת 3 דקות, ולאחר מכן דקה אחת לכל פתק עבור פתקים נוספים מאותה אצווה. יש למצוא קבוצת פתקים, לבדוק/לרשום את החותמות, לספור לערימה, לתמלל נתונים, להחזיר את הפתקים למקומם ולאטום מחדש. דוגמה לאחוז מהקלפיות שתצטרך לדגום היא במחוז אורנג' עבור 1 מירוצים בודדים היא שהם יכלו להסתכל על 191% מהקלפיות כדי להיות מסוגלים לאמת כל מירוץ. המתודולוגיה משתפרת ונעשה קל יותר להפעיל את הביקורות הללו.
• ג'וש: RLA נעשה בדרך כלל רק לאחר ספירת כל הקולות. אימות E2E יכול להתאים לאיזה פירוט שנעשה על ידי פקידי בחירות. בכל פעם שמתפרסמים ספירת קולות, אתה יכול לאמת זאת באותו זמן. בדרך כלל הם פשוט עושים את זה בסוף בכל מקרה.

תודה רבה לפיליפ, ג'וש, פורווי וליז על שחלקו את הידע שלהם עם הקהילה על האופן שבו טכנולוגיית מחשוב יכולה לשמש סיוע בהבטחת בחירות. הישאר מעודכן לסיכום מפגש מדעי של הפגישה השנתית של AAAS בחסות CCC בשבוע הבא ביום חמישי.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://feeds.feedblitz.com/~/732489284/0/cccblog~%e2%80%9cEmerging-Election-Technologies-Enhancing-Integrity-Transparency-and-Confidence%e2%80%9d-AAAS-Panel-Recap/