„Pojawiające się technologie wyborcze zwiększające uczciwość, przejrzystość i zaufanie” Podsumowanie panelu AAAS

Opublikowane ponownie przez Plato

Obserwuje: 0

Wybory, które są bezpieczne i możliwe do zweryfikowania przez opinię publiczną, są istotną częścią każdego demokratycznego rządu. W Stanach Zjednoczonych i na całym świecie doszło do publicznego protestu w sprawie zmian w procesie wyborczym, ponieważ obywatele byli sfrustrowani brakiem przejrzystości. Zaufanie wyborcze ze strony większości public nie jest łatwe do zdobycia, ale paneliści panelu zorganizowanego przez CCC na dorocznym spotkaniu AAAS przedstawili wiele sugestii dotyczących kroków, które możemy podjąć, aby to zrobić.

„Pojawiające się technologie wyborcze zwiększające uczciwość, przejrzystość i zaufanie” Podsumowanie panelu AAAS PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Paneliści sesji „Emerging Election Technologies Wzmacnianie integralności, przejrzystości i zaufania”. Filipa B. Starka (Uniwersytet Kalifornijski w Berkeley), Josha Benaloha (Badania Microsoftu) i Poorvi L. Vora (George Uniwersytet Waszyngtoński). Elżbieta (Liz) Howard (Brennan Centrum Sprawiedliwości) był moderatorem.

Liz rozpoczęła sesję, opisując, że demokracje na całym świecie są atakowane, a dla przyszłości tych systemów decydujące znaczenie ma zaufanie do wyborów. Wyjaśniła, że technologia może zwalczać te zagrożenia za pomocą konkretnych dowodów na uczciwość wyborów, w szczególności wyborów opartych na dowodach, kompleksowych weryfikowalnych systemów głosowania i audytów ograniczających ryzyko.

Philip rozpoczął dyskusję panelową stwierdzeniem, że „niezależnie od tego, czy wierzysz, że wybory w 2020 r. były trafne, czy nie, fakt, że wiele osób w to nie wierzy, pokazuje, że musimy przeprowadzić wybory w sposób, który generuje przekonujące dowody na to, że zgłoszone wyniki wyborów są prawidłowe”. Antidotum na brak zaufania według Filipa? Dowód. Nie wystarczy, aby urzędnicy wyborczy ustalili, kto wygrał wybory i ogłosili to, tPubliczność zasługuje na przekonujące dowody. Nie wszystkie dowody dotyczące wyborów są potwierdzającymi dowodami na to, że wyniki są prawidłowe. Na przykład badanie kryminalistyczne oprogramowania systemu do głosowania może nie wykryć złośliwego oprogramowania – ale to nie jest dowód na to, że wyniki są prawidłowe, tylko że jeden rodzaj problemu nie wystąpił. Podobnie, dokładne, pełne zliczenie papierowej ścieżki nie dostarcza żadnego dowodu na to, że wynik jest prawidłowy, chyba że istnieją również dowody na to, że papierowa ścieżka dokładnie odzwierciedla sposób, w jaki ludzie głosowali. Istnieje wiele sposobów na zebranie przekonujących dowodów na to, że wybory zostały ogłoszone prawidłowo, przy jednoczesnym zachowaniu anonimowości karty do głosowania. Kluczem jest to, że wybory powinny być oparte na dowodach, a nie oparte na procedurach, co jest obecnym standardem. Jednym ze sposobów dostarczenia potwierdzających dowodów jest audyt ograniczający ryzyko (RLA) bezpiecznie wyselekcjonowanych, ręcznie oznakowanych papierowych kart do głosowania.

RLA wymagają wiarygodnego śladu papierowego. (Wiarygodność zależy od tego, w jaki sposób tworzony jest, rozliczany i pielęgnowany jest ślad papierowy. Żaden audyt oparty na niewiarygodnych dokumentach nie może dać potwierdzającego dowodu, że zgłoszeni zwycięzcy naprawdę wygrali). Narodowe Akademie oficjalnie zarekomendowały je w 2018 roku. RLA są kluczowym składnikiem wyborów opartych na dowodach, ponieważ mogą generować potwierdzające dowody na to, że wynik polityczny jest trafny, a nie tylko wykrywanie błędów (np.oblem z tabulaturą). Wybory i audyty wymagają trwałych, kompletnych i godnych zaufania zapisów głosowań, które są fizycznie bezpiecznie przechowywane podczas akwizycji i audytu. Wtedy wybory mogą być publicznie weryfikowalne, co jest również celem następnego panelu, Josha.

Josh powtarza, że w Stanach Zjednoczonych i na całym świecie panuje kryzys zaufania do wyborów, i obwinia śmierć publicznych dowodów za te powszechne problemy. Wyjaśnia, że w większości dzisiejszych wyborów nie dostarczamy wyborcom merytorycznych dowodów na to, że głosy zostały prawidłowo policzone. Prosimy wyborców, aby zaufali lokalnym urzędnikom wyborczym, sprzętowi, sprzedawcom sprzętu i innym osobom – niezależnie od tego, czy te podmioty są godne zaufania. Proponuje rozwiązanie tego braku publicznych dowodów: weryfikowalność typu end-to-end (E2E).. Kiedy wybory są weryfikowalne przez E2E, wyborcy otrzymują bezpośredni dowód, że ich głosy zostały dokładnie policzone. Wymaga to weryfikowalnego rejestru wyborów, który pozwoli wyborcom potwierdzić dokładne policzenie ich głosów bez konieczności ufania ludziom lub technologii przeprowadzającej wybory. Istnieją dwie podstawowe zasady wyborów weryfikowalnych E2E:

Głosujący mogą sprawdzić, czy ich własne wybory zostały prawidłowo zarejestrowane
Każdy może sprawdzić, czy zarejestrowane głosy zostały poprawnie zliczone

Wybory te wprowadzają jedną zasadniczą modyfikację do typowych wyborów: wyborcy otrzymują podczas głosowania kod potwierdzający, którego mogą użyć do potwierdzenia prawidłowego zapisu swoich wyborów. Wyborcy mogą później potwierdzić na publicznej stronie internetowej, że ich kody potwierdzające są obecne, a wymienione kody potwierdzające są zgodne z ogłoszonymi zestawieniami. Wyborcy mają wybór, czy po prostu głosować i nie sprawdzać poprawności zapisu i/lub liczenia swoich głosów, czy też sprawdzić tak dokładnie, jak sobie tego życzą. (Zauważ tutaj, że wyborcy nie mogą przeglądać treści swoich kart do głosowania po ich oddaniu - tylko, że nie zostały one zmienione od czasu oddania i opcjonalnie zweryfikowane. Zapobiega to przymusowi i sprzedaży głosów.)

Weryfikowalność E2E generalnie wymaga zaawansowanych narzędzi kryptograficznych, takich jak progowe szyfrowanie homomorficzne, nieinteraktywne dowody zerowej wiedzy i inne. Aktualne wytyczne dotyczące pomocy wyborczej w Stanach Zjednoczonych obejmują wymagania dotyczące weryfikowalności E2E. Ta technika zaczyna być obecnie stosowana w Stanach Zjednoczonych i na całym świecie, a od 2009 r. była pilotowana w wielu wyborach w USA (w tym w wyborach przywódczych klubu Demokratów w Izbie Reprezentantów Stanów Zjednoczonych w 2020 r.).

Poorvi rozszerzył wykorzystanie weryfikowalności E2E w innych wyborach w USA, poczynając od wyborów samorządowych w Takoma Park w 2009 r. Były to pierwsze wybory rządowe w Stanach Zjednoczonych, w których zastosowano kompleksową weryfikowalną technologię chroniącą prywatność, w której każdy mógł potwierdzić suma poprawnie reprezentowała głosy. Głosujący wypełnił owale, które odpowiadały ich wyborom na burmistrza i członka rady. Używali specjalnych długopisów, które ujawniały numery potwierdzenia wydrukowane niewidocznym atramentem w owalu i miały możliwość zapisania ich, aby później sprawdzić je na stronie internetowej, lub po prostu oddać głos i wyjść. Wybory gwarantowały weryfikowalność wyborców, ponieważ wyborcy mogli sprawdzić swoje numery potwierdzeń na stronie internetowej wyborów, i miały powszechną weryfikowalność, ponieważ informacje były publicznie dostępne, aby sprawdzić, czy liczba została poprawnie obliczona na podstawie numerów potwierdzeń.

Poorvi podkreślił, że ważne jest zachowanie niektórych aspektów tradycyjnych metod wyborów: „Nie wiemy, jak sprawić, by wybory były w pełni bezpieczne bez ludzi i fizycznych procesów. Bez nich wyborca, który dostrzega problem, nie może tego udowodnić, a obserwatorzy nie potrafią odróżnić głosującego prawdomównego od tego, który kłamie”. Wyjaśniła również, że włączenie modeli matematycznych, które lepiej odzwierciedlają rzeczywisty proces kontroli w terenie, może poprawić RLA.

Poorvi podsumował panel, opowiadając, że przepisy wymagające lub zezwalające na RLA i inne wymogi weryfikujące wybory są obecnie obowiązujące w wielu stanach w USA, co zaowocowało audytami wielu wiążących wyborów. Jednak wiele pozostaje do zrobienia. Potrzeba ogromnej liczby oddanych osób, aby zidentyfikować i wdrożyć te techniki w środowiskach, które bardzo szybko mogą stać się wrogie, ale jest to ważne jest, abyśmy inwestowali w te technologie, aby każde wybory były weryfikowalne publicznie.

Podczas Q&A następującego po panelu, słuchacz zapytał, czy mamy teraz więcej informacji o braku bezpieczeństwa wyborczego, czy po prostu więcej o tym słyszymy?

Philip wyjaśnił, że chociaż obecnie nie ma dowodów na większą liczbę problemów niż w przeszłości, zmieniło się zależność od technologii, co zwiększa luki w procesie wyborczym, umożliwiając masowe ataki zdalne, podczas gdy historycznie zmiana znacznej liczby głosów wymagałaby fizyczny dostęp i liczni wspólnicy. Nawet w przypadku polegania na technologii możliwe jest zebranie potwierdzających dowodów w celu oceny wyniku, ale najtrudniejszą częścią jest przekonanie urzędników państwowych do wykonania pracy polegającej na wygenerowaniu wiarygodnego śladu papierowego, upewnieniu się, że pozostaje on godny zaufania i wykorzystaniu go w odpowiednich audytach.
Josh zauważył, że w Stanach Zjednoczonych i na świecie od dawna dochodzi do oszustw wyborczych, ale urzędnicy wyborczy doszli do wniosku, że kilka ostatnich wyborów krajowych w USA było znacznie czystszych niż większość. Jednak to, że wydaje się, że jest bardzo mało dowodów na oszustwo, nie oznacza, że nasze wybory są bezpieczne. W rzeczywistości, ze względu na tysiące jednoczesnych, indywidualnie przeprowadzanych wyborów, stosunkowo łatwo jest zaatakować niektóre z nich. Nie jest łatwo to zrobić bez pozostawienia dowodów, ale istnieje pilna potrzeba technologii, która załata dziury w sposobie przeprowadzania wyborów. Bardzo ważne jest, abyśmy zaprojektowali wybory tak, aby opinia publiczna mogła je potwierdzić.
Liz zwróciła uwagę, że ważne jest rozpoznanie środowiska, w jakim znajdują się urzędnicy wyborczy. Pomimo braku dowodów na fałszerstwa wyborcze, 77% urzędników wyborczych stwierdziło, że nie czuje się bezpiecznie, a co szósty był zagrożony. Przeciętny urzędnik wyborczy to biała kobieta w wieku 1-6 lat, która zarabia 50 tys. rocznie i oczekuje się od niej walki z wrogami krajowymi i międzynarodowymi. Niezbędne jest partnerstwo z urzędnikami wyborczymi i nakłonienie ich do zakupu tych technologii na szczeblu lokalnym. Decentralizacja systemu wyborczego jest siłą przeciwko atakowi. Istnieje wiele wyzwań związanych zarówno z wdrażaniem tej technologii, jak i procedurami mandatowymi.
Josh przeciwstawił się argumentowi Liz na temat decentralizacji, stwierdzając, że wiele osób uważa, że heterogeniczność naszych systemów jest mocną stroną, a tak by się stało, gdyby atakujący musiał zaatakować je wszystkie. Ale my oferujemy tylko menu różnych systemów, które haker może zaatakować. Mogą więc po prostu wybrać najsłabsze ogniwo i je zaatakować.

Członkini Rady CCC Katie Siek zadała kolejne pytanie: Co robisz dla dostępności w technologii wyborczej?

Philip: Technologie wyborcze promowane jako „dostępne” często takie nie są. Co więcej, niektóre urządzenia do oznaczania kart do głosowania (BMD) zagrażają prywatności, ponieważ drukują zapis głosowania, który nie wygląda jak odręcznie napisana papierowa karta do głosowania. Niektórzy twierdzą, że do walki z tym problemem powinniśmy używać wszystkich BMD, ale ja się z tym nie zgadzam: powszechne stosowanie BMD podważa wiarygodność śladu papierowego, ponieważ wydruk BMD jest zapisem tego, co zrobiła maszyna, a nie zapisem tego, co zrobił wyborca. Obecne BMD nie zapewniają wyborcom z upośledzeniem wzroku możliwości sprawdzenia, czy wydruk dokładnie odzwierciedla ich wybory: muszą oni ufać, że to, co „powiedziała” maszyna, jest tym samym, co wydrukowała. Poważną wadą modelu bezpieczeństwa BMD jest to, że tylko wyborca jest w stanie stwierdzić, czy BMD dokładnie wydrukował jego głosy, ale jeśli wyborca zauważy, że BMD wydrukował nieprawidłowo jego wybory, nie ma możliwości udowodnienia, że ktokolwiek inny, że to zrobił. Wyborca może poprosić o kolejną szansę wydrukowania swoich wyborów, ale urzędnik wyborczy nie ma możliwości odróżnienia błędu wyborcy, awarii maszyny lub wyborcy krzyczącego „wilk”. Jeśli urzędnik uważa wyborcę, że maszyna działa nieprawidłowo, jedyną opcją dla urzędnika jest anulowanie wyborów i przeprowadzenie zupełnie nowego, ponieważ nie ma sposobu, aby stwierdzić, które wydruki zostały dotknięte nieprawidłowym działaniem maszyny. Pod względem technicznym wybory przeprowadzane za pomocą urządzeń do oznaczania kart do głosowania nie są „zdecydowanie niezależne od oprogramowania”. System nie może naprawić wykrytych błędów.
Josh: Istnieją różne podejścia, ale ogólnie wykonujemy godną ubolewania pracę w Stanach Zjednoczonych dla osób z niepełnosprawnością wzrokową, ruchową itp. Zwykle muszą korzystać z oddzielnego urządzenia w rogu. Na przykład Noel Runyon jest technicznie bystrym niewidomym wyborcą, który jest wytrwały w używaniu dostępnych urządzeń do głosowania i pisze o tym artykuły na swoim blogu. Głosowanie zajmuje mu często godziny, podczas gdy powinno być proste. Barierą w ułatwianiu głosowania osobom niepełnosprawnym jest to, że społeczność zajmująca się ułatwieniami dostępu twierdzi, że papierowe karty do głosowania nie działają, a społeczność zajmująca się bezpieczeństwem twierdzi, że papier to jedyny sposób.

Następnie Daniel Lopresti, przewodniczący Rady CCC, zapytał: „Jak radzicie sobie z ludźmi, którzy są przekonani, że te technologie są niebezpieczne lub niegodne zaufania?”

Josh: Ci ludzie muszą być traktowani poważnie. Odbyłem wiele rozmów z urzędnikami wyborczymi i są oni bardzo ostrożni i konserwatywni. Kiedy wyjaśniam im kompleksową weryfikowalność, generalnie podoba im się to, nawet zdając sobie sprawę, że ujawni każdy mały błąd, jaki popełnią. Jednak niektórzy ludzie ufają matematyce mniej niż ludziom, co pozostaje wyzwaniem.
Philip: Zgadzam się, że jest to problem, ale myślę, że ramy powinny być takie, że jest to problem dla nauczycieli; moim zadaniem jest wyjaśnianie rzeczy w sposób zrozumiały dla każdego. Spędzam dużo czasu próbując znaleźć metafory, analogie i przykłady. Na przykład, aby wyjaśnić losowe pobieranie próbek – w jaki sposób można dowiedzieć się czegoś przydatnego o ogromnej populacji z małej próbki – posługuję się analogią uczenia się słonej zupy na podstawie spróbowania tylko łyżki (po dokładnym wymieszaniu zupy), bez względu na to, jak bardzo duży garnek.
Liz: Niezwykle ważne jest dla nas, aby móc wyjaśnić publiczności, jak to działa, jeśli nie potrafimy wyjaśnić tego w prosty sposób, oznacza to, że nie osiągnęliśmy naszego celu.
Philip: Wielu z nas mówi, że nie należy ufać dostawcom, którzy obecnie zajmują się programowaniem, ale nam też nie należy ufać. Wyborcy powinni mieć możliwość samodzielnego sprawdzenia tego procesu.
Josh: Różnica polega na tym, że w zasadzie możesz zrobić to wszystko sam; w tej chwili nieuczciwi urzędnicy wyborczy mogliby prawdopodobnie sfałszować wybory. Dzięki tej technologii możesz wybrać komu zaufać i sprawdzić się.
Poorvi: Idea polega na demokratyzacji informacji związanych z wyborami, w tym używanego kodu. Możesz nie napisać kodu samodzielnie lub w ogóle nie być w stanie go przetworzyć, ale informacje nie będą ograniczone do kilku. Pomocne byłoby łączenie partii politycznych i sprawdzanie procesu. Dobrze byłoby też, gdyby kanały informacyjne promowały sprawdzanie numerów potwierdzeń lub obserwowanie audytów ograniczających ryzyko.

Ostatnie pytanie sesji brzmiało: „Jak długo trwa audyt ograniczający ryzyko? Czy są jakieś badania, które sprawdzały, czy zmieniają zdanie, czy też istnieją inne zakłócające zmienne, które i tak ograniczają zaufanie?

Philip: Jednym z problemów z RLA jest to, że przed wyborami nie wiesz, ile będzie pracy, ponieważ jest tak wiele zmiennych. Nie wiesz, jak wąskie będą marginesy ani ile błędów znajdziesz w audycie, więc trudno powiedzieć, ile pracy możesz się spodziewać. Numery Ballpark z wydajnymi audytami to pierwsze głosowanie z partii trwa 3 minuty, a następnie 1 minuta na kartę do głosowania na dodatkowe karty do głosowania z tej partii. Musisz znaleźć partię kart do głosowania, sprawdzić/zarejestrować pieczęcie, policzyć w stos, przepisać dane, odłożyć karty do głosowania na swoje miejsca i ponownie zapieczętować. Przykładem procentu kart do głosowania, które trzeba pobrać, jest hrabstwo Orange dla 191 poszczególnych wyścigów. Mogli oni spojrzeć na 1.3% kart do głosowania, aby móc zatwierdzić każdy wyścig. Poprawia się metodologia i coraz łatwiej jest przeprowadzać te kontrole.
Josh: RLA zwykle przeprowadza się dopiero po podliczeniu wszystkich głosów. Weryfikacja E2E może odpowiadać dowolnej szczegółowości przeprowadzanej przez urzędników wyborczych. Za każdym razem, gdy liczba głosów jest publikowana, możesz ją zweryfikować w tym czasie. Zwykle i tak robią to na końcu.

Ogromne podziękowania dla Philipa, Josha, Poorvi i Liz za podzielenie się ze społecznością swoją wiedzą na temat tego, jak technologia komputerowa może pomóc w zabezpieczeniu wyborów. Bądź na bieżąco z podsumowaniem kolejnego dorocznego spotkania AAAS sponsorowanego przez CCC w przyszłym tygodniu w czwartek.