"Emerging valgteknologier som forbedrer integritet, åpenhet og selvtillit" AAAS Panel Recap

"Emerging valgteknologier som forbedrer integritet, åpenhet og selvtillit" AAAS Panel Recap

Tidsstempel: 23. mars 2023 12:33

Valg som er trygge, sikre og verifiserbare av offentligheten er en viktig del av enhver demokratisk regjering. Det har vært offentlige skrik for endringer i valgprosessen i USA og rundt om i verden ettersom innbyggerne har vært frustrert over mangelen på åpenhet. Valgtillit fra flertallet av public er ikke lett å få tak i, men paneldeltakerne i et CCC-organisert panel på AAAS årsmøte kom med mange forslag til tiltak vi kan ta for å gjøre nettopp det.

"Emerging Election Technologies Enhancing Integrity, Transparency and Confidence" AAAS Panel Recap PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

Paneldeltakerne på sesjonen, "Emerging Election Technologies Enhancing Integrity, Transparency and Confidence” var Philip B. Stark (University of California, Berkeley), Josh Benaloh (Microsoft Research), og Dårlig L. Vora (Georgog Washington University). Elizabeth (Liz) Howard (Brennan Senter for rettferdighet) var moderator.

Liz startet sesjonen med å beskrive at demokratier rundt om i verden er under angrep, og det er avgjørende for fremtiden til disse systemene at vi har valgtillit. Hun forklarte at teknologi kan bekjempe disse truslene gjennom materielle bevis på valgintegritet, spesielt med bevisbaserte valg, ende-til-ende-verifiserbare stemmesystemer og risikobegrensende revisjoner.

Philip startet paneldiskusjonen med å si at "uansett om du tror valget i 2020 var nøyaktig eller ikke, viser det faktum at mange mennesker ikke at vi trenger å gjennomføre valg på en måte som genererer overbevisende bevis for at rapporterte valgresultater er riktige." Motgiften mot mangel på tillit ifølge Philip? Bevis. Det er ikke nok for valgfunksjonærer å avgjøre hvem som vant et valg og erklære det, thOffentligheten fortjener overbevisende bevis. Ikke alle bevis om valg er bekreftende bevis på at utfallet er riktig. For eksempel kan en rettsmedisinsk undersøkelse av stemmesystemprogramvare ikke finne skadelig programvare – men det er ikke bevis på at resultatene er korrekte, bare at en type problem ikke oppstod. På samme måte gir en nøyaktig, full håndtelling av papirsporet ingen bevis for at resultatet er riktig med mindre det også er bevis for at papirsporet nøyaktig gjenspeiler hvordan folk stemte. Det er flere måter å samle overbevisende bevis på at et valg ble innkalt riktig, samtidig som stemmeseddelens anonymitet opprettholdes. Nøkkelen er at valg skal være bevisbasert, ikke prosedyrebasert som er gjeldende standard. En måte å gi bekreftende bevis på er en risikobegrensende revisjon (RLA) av sikkert kuraterte håndmerkede stemmesedler.

RLAer krever et beviselig pålitelig papirspor. (Pålitligheten avhenger av hvordan papirsporet er opprettet, regnskapsført og tatt vare på. Ingen revisjon som er avhengig av upålitelig papir kan gi bekreftende bevis på at de rapporterte vinnerne virkelig vant.) RLAer har blitt testet gjennom flere valg siden 2008, og National Academies anbefalte dem offisielt i 2018. RLA-er er en nøkkelingrediens i bevisbaserte valg fordi de kan generere bekreftende bevis på at det politiske resultatet er nøyaktig, i stedet for bare feiloppdagelse (f.eks. å legge merke til en pr.oblem med tabuleringen). Valg og revisjoner trenger holdbare, fullstendige og pålitelige stemmeregistreringer som holdes fysisk sikre gjennom hele feltet og revisjonen. Da kan valg være offentlig etterprøvbare, som også er et mål for neste paneldeltaker, Josh.

Josh gjentar at det er en tillitskrise for valget i USA og rundt om i verden, og skylder på døden av offentlige bevis for disse utbredte problemene. I flertallet av valgene i dag, forklarer han, gir vi ikke velgerne materielle bevis på at stemmene er korrekt talt. Vi ber velgerne stole på lokale valgfunksjonærer, utstyret, utstyrsleverandørene og andre – uansett om disse enhetene er troverdige eller ikke. Han foreslår en løsning på denne mangelen på offentlige bevis: ende-til-ende (E2E) verifiserbarhet. Når et valg er E2E-verifiserbart, mottar velgerne direkte bevis på at stemmene deres ble talt nøyaktig. Det krever en verifiserbar valgrekord som lar velgerne bekrefte nøyaktig telling av stemmesedlene uten å måtte stole på menneskene eller teknologien som styrer valget. Det er to kjerneprinsipper for E2E-verifiserbare valg:

  1. Velgerne kan verifisere at deres egne valg er korrekt registrert
  2. Hvem som helst kan verifisere at de registrerte stemmene er korrekt talt

Disse valgene gjør en avgjørende endring til et typisk valg: velgerne mottar en bekreftelseskode mens de stemmer som de kan bruke for å bekrefte riktig registrering av valgene sine. Velgere kan senere bekrefte på en offentlig nettside at deres bekreftelseskoder er tilstede og at de oppførte bekreftelseskodene stemmer overens med de annonserte tallene. Velgerne har valget mellom å bare stemme og ikke kontrollere riktig registrering og/eller opptelling av stemmene, eller å sjekke så grundig de ønsker. (Merk her at velgerne ikke kan se innholdet i stemmesedlene sine når de først er avgitt – bare at de ikke er endret fra tidspunktet de ble avgitt og eventuelt verifisert. Dette forhindrer tvang og stemmesalg.)

E2E-verifiserbarhet krever generelt avanserte kryptografiske verktøy som Threshold Homomorphic Encryption, Non-Interactive Zero-Knowledge Proofs og mer. Gjeldende amerikanske retningslinjer for valghjelp inkluderer krav til E2E-verifiserbarhet. Denne teknikken begynner å bli brukt i USA og rundt om i verden i dag, og har blitt testet i flere amerikanske valg siden 2009 (inkludert ledervalget i USAs House Democratic Caucus i 2020).

Poorvi utvidet bruken av E2E-verifiserbarhet i andre valg i USA, og startet med Takoma Parks kommunevalg i 2009. Det var det første regjeringsvalget i USA med personvernbevarende ende-til-ende verifiserbar teknologi der hvem som helst kunne bekrefte representerte stemmene riktig. Velgeren fylte ut ovaler som samsvarte med deres valg for ordfører og rådsmedlem. De brukte spesielle penner som avslørte bekreftelsesnumre trykket med usynlig blekk i ovalene, og hadde muligheten til å skrive dem ned slik at de senere kunne sjekke dem på nettsiden, eller de kunne bare avgi stemme og gå. Valget garanterte velgerverifiserbarhet fordi velgerne kunne sjekke bekreftelsesnumrene sine på valgnettstedet, og det hadde universell verifiserbarhet fordi informasjonen var offentlig tilgjengelig for å kontrollere at tallene ble korrekt beregnet fra bekreftelsestallene. 

Poorvi understreket at det er viktig å opprettholde noen aspekter ved de tradisjonelle valgmetodene: «Vi vet ikke hvordan vi skal gjøre valg fullt sikre uten mennesker og fysiske prosesser. Uten dem kan ikke en velger som legger merke til et problem bevise det, og observatører kan ikke skille en sannferdig velger fra en som lyver.» Hun forklarte også at inkorporering av matematiske modeller som bedre representerer den virkelige revisjonsprosessen på bakken kan forbedre RLAer.

Poorvi avsluttet panelet med å fortelle at lovgivning som krever eller tillater RLAer og andre valgverifiseringskrav er på plass i mange stater i USA i dag, og det har resultert i revisjoner av mange bindende valg. Det gjenstår imidlertid mye å gjøre. Det krever en enorm mengde dedikerte individer for å identifisere og distribuere disse teknikkene i miljøer som kan bli fiendtlige veldig raskt, men det er avgjørende at vi investerer i disse teknologiene for å gjøre hvert valg offentlig etterprøvbart.

Under spørsmål og svar etter panelet spurte et publikum om vi har mer informasjon nå om manglende valgsikkerhet, eller hører vi bare mer om det? 

  • Philip forklarte at selv om det ikke er bevis på flere problemer i dag enn tidligere, har avhengigheten av teknologi endret seg, noe som gir flere sårbarheter til valgprosessen, og muliggjør fjernsalg av angrep, mens det historisk sett ville ha krevd å endre et betydelig antall stemmer. fysisk tilgang og mange medskyldige. Selv når man stoler på teknologi, er det mulig å samle bekreftende bevis for å evaluere utfallet, men den vanskelige delen er å overbevise myndighetspersoner om å gjøre arbeidet med å generere et pålitelig papirspor, sikre at det forblir pålitelig, og bruke det i passende revisjoner.
  • Josh bemerket at det lenge har vært valgfusk i USA og internasjonalt, men valgfunksjonærer har konkludert med at de siste nasjonale valgene i USA har vært langt renere enn de fleste. Men bare fordi det ser ut til å være svært lite bevis på svindel, betyr det ikke at valget vårt er trygt. På grunn av de tusenvis av samtidige, individuelt avviklede valg er det faktisk relativt enkelt å angripe noen av dem. Det er ikke lett å gjøre det uten å legge igjen bevis, men det er et presserende behov for teknologi for å lappe hull i måten valg for tiden gjennomføres på. Det er avgjørende at vi utformer valg slik at allmennheten kan validere dem.
  • Liz påpekte at det er viktig å anerkjenne miljøet som valgfunksjonærer befinner seg i. Til tross for mangelen på bevis for valgfusk sa 77 % av valgfunksjonærene at de har følt seg utrygge, og 1 av 6 ble truet. Den gjennomsnittlige valgfunksjonæren er en 50-64 år gammel hvit kvinne som tjener en årslønn på 60k, og de forventes å bekjempe nasjonale og internasjonale fiender. Å samarbeide med valgfunksjonærer og få dem til å kjøpe seg inn i disse teknologiene på lokalt nivå er avgjørende. Desentralisering av valgsystemet er en styrke mot et angrep. Det er mange utfordringer både med å implementere denne teknologien og pålegge prosedyrer.
  • Josh motarbeidet Liz sitt poeng om desentralisering, og uttalte at mange mennesker tror heterogeniteten til systemene våre er en styrke, og det ville vært hvis en angriper måtte angripe dem alle. Men vi tilbyr bare en meny med forskjellige systemer for en hacker å angripe. Så de kan bare velge det svakeste leddet og angripe det.

CCC Council-medlem Katie Siek stilte et annet spørsmål: Hva gjør du for tilgjengelighet innen valgteknologi?

  • Philip: Valgteknologier som blir promotert som "tilgjengelige" er det ofte ikke. Dessuten kompromitterer enkelte stemmesedler (BMD-er) personvernet fordi de skriver ut en stemmeregistrering som ikke ser ut som en håndmerket papirstemmeseddel. Noen sier at for å bekjempe dette problemet bør vi bruke alle BMD-er, men jeg er uenig: generell bruk av BMD-er undergraver påliteligheten til papirsporet, fordi BMD-utskrift er en oversikt over hva maskinen gjorde, ikke en registrering av hva velgeren gjorde. Gjeldende BMD-er gir ikke velgere med synshemninger et middel til å sjekke om utskriften gjenspeiler deres valg nøyaktig: de må stole på at det maskinen "sa" er det samme som det den skrev ut. En alvorlig feil med sikkerhetsmodellen til BMD-er er at bare velgeren er i stand til å fortelle om BMD har skrevet ut stemmene sine nøyaktig, men hvis en velger legger merke til at BMD har skrevet ut valgene feil, er det ingen måte velgeren kan bevise å noen andre som det gjorde. Velgeren kan be om en ny sjanse til å skrive ut valgene sine, men det er ingen måte for valgfunksjonæren å se forskjellen mellom velgerfeil, maskinfeil eller en velger som roper «ulv». Hvis en tjenestemann tror velgeren at maskinen ikke fungerer, er tjenestemannens eneste mulighet å avbryte valget og kjøre et helt nytt, fordi det ikke er mulig å si hvilke utskrifter som ble påvirket av maskinens feil oppførsel. I tekniske termer er valg som gjennomføres med stemmesedler ikke «sterkt programvareuavhengig». Systemet kan ikke gjenopprette fra oppdagede feil.  
  • Josh: Det er forskjellige tilnærminger, men totalt sett gjør vi en beklagelig jobb i USA for mennesker med syns-, motoriske osv. funksjonshemminger. De må vanligvis bruke en egen enhet i hjørnet. For eksempel er Noel Runyon en teknisk skarpsindig blind velger som er iherdig med å bruke tilgjengelige enheter for å stemme og skriver artikler i bloggen sin om det. Det tar ofte timer før han stemmer når det skal være enkelt. En barriere for å gjøre det enklere å stemme for funksjonshemmede er at tilgjengelighetsmiljøet sier at papirstemmesedler ikke fungerer, og sikkerhetsmiljøet sier at papir er den eneste måten.

Deretter spurte Daniel Lopresti, CCC Council Chair: "Hvordan håndterer du folk som er overbevist om at disse teknologiene er farlige eller upålitelige?" 

  • Josh: Disse menneskene må tas på alvor. Jeg har hatt mange diskusjoner med valgfunksjonærer, og de er veldig forsiktige og konservative. Når jeg forklarer ende-til-ende-verifiserbarhet for dem, liker de generelt at det til og med innser at det kommer til å avsløre enhver liten feil de gjør. Noen mennesker stoler imidlertid mindre på matematikk enn mennesker, og dette er fortsatt en utfordring.
  • Philip: Jeg er enig i at det er et problem, men jeg synes innrammingen bør være at det er et problem for lærere; det er min jobb å forklare ting på en måte som alle kan forstå. Jeg bruker mye tid på å finne metaforer, analogier og eksempler. For eksempel, for å forklare tilfeldig prøvetaking – hvordan man kan lære noe nyttig om en stor populasjon fra et lite utvalg – bruker jeg analogien med å lære hvordan salt suppe er basert på å smake bare en skje (etter å ha rørt suppen godt), uansett hvordan stor potten.
  • Liz: Det er avgjørende for oss å være i stand til å forklare hvordan det fungerer for publikum, hvis vi ikke kan forklare det på en enkel måte, nådde vi ikke målet vårt.
  • Philip: Mange av oss sier at du ikke bør stole på leverandørene som for øyeblikket gjør programmeringen, men du bør heller ikke stole på oss. Velgerne bør selv kunne sjekke prosessen.
  • Josh: Forskjellen er i prinsippet at du kan gjøre alt selv; akkurat nå kan uærlige valgfunksjonærer sannsynligvis stjele et valg. Med denne teknologien kan du velge hvem du skal stole på og sjekke deg selv.
  • Poorvi: Å demokratisere informasjonen rundt valget, inkludert koden som brukes, er ideen. Du kan kanskje ikke skrive koden selv, eller være i stand til å behandle den i det hele tatt, men informasjonen vil ikke være begrenset til noen få. Å samle politiske partier og få dem til å sjekke prosessen ville være nyttig. Det vil også være bra å ha nyhetskanaler som promoterer å sjekke bekreftelsestallene dine eller observere risikobegrensende revisjoner.

Sesjonens siste spørsmål var «Hvor lang tid tar det før en risikobegrensende revisjon skjer? Er det noen studier som har sett på om de endrer mening, eller er det andre forvirrende variabler som begrenser tillit likevel?»

  • Philip: Et problem med RLA er før valget, du vet ikke hvor mye arbeid det vil være fordi det er så mange variabler. Du vet ikke hvor smale marginene vil være eller hvor mange feil du finner i tilsynet, så det er vanskelig å si hvor mye arbeid du kan forvente. Ballpark-tall med effektiv revisjon er at den første stemmeseddelen fra en gruppe tar 3 minutter, deretter 1 minutt per stemmeseddel for ytterligere stemmesedler fra den batchen. Du må finne et parti stemmesedler, sjekke/registrere forseglingene, telle i en haug, transkribere data, returnere stemmesedlene til deres plass og forsegle på nytt. Et eksempel på en prosent av stemmesedlene du må prøve er i Orange County for 191 individuelle løp, er at de kunne ha sett på 1.3 % av stemmesedlene for å kunne validere hvert løp. Metodikken blir bedre og det blir lettere å gjennomføre disse revisjonene.
  • Josh: En RLA gjøres vanligvis først etter at alle stemmene er talt. E2E-verifisering kan samsvare med hvilken granularitet valgfunksjonærer gjør. Hver gang stemmetellinger frigis, kan du bekrefte det på det tidspunktet. Vanligvis gjør de det bare på slutten uansett.

Tusen takk til Philip, Josh, Poorvi og Liz for å dele deres kunnskap med samfunnet om hvordan datateknologi kan tjene som en hjelp for å sikre valg. Følg med for en annen CCC-sponset AAAS-årsmøteoppsummering neste uke torsdag.

Tidstempel:

Mer fra CCC-bloggen