“Tecnologias eleitorais emergentes que melhoram a integridade, a transparência e a confiança” Recapitulação do painel AAAS

Republicado por Platão

seguidores: 0

Eleições que são seguras, protegidas e verificáveis pelo público são uma parte essencial de todo governo democrático. Houve protestos públicos por mudanças no processo eleitoral nos Estados Unidos e em todo o mundo, pois os cidadãos ficaram frustrados com a falta de transparência. Confiança eleitoral da maioria do ppúblico não é fácil de obter, mas os participantes de um painel organizado pelo CCC na Reunião Anual da AAAS fizeram muitas sugestões sobre as medidas que podemos tomar para fazer exatamente isso.

“Tecnologias eleitorais emergentes que melhoram a integridade, a transparência e a confiança” Recapitulação do painel AAAS PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Os palestrantes da sessão “Emerging Election Technologies Melhorando a Integridade, a Transparência e a Confiança” foram Filipe B. Stark (Universidade da California, Berkeley), Josh Benaloh (Pesquisa da Microsoft) e Poorvi L. Vora (George Universidade de Washington). Elizabeth (Liz) Howard (Brennan Centro de Justiça) foi o moderador.

Liz iniciou a sessão descrevendo que as democracias em todo o mundo estão sob ataque e é fundamental para o futuro desses sistemas que tenhamos confiança nas eleições. Ela explicou que a tecnologia pode combater essas ameaças por meio de evidências substanciais da integridade eleitoral, especificamente com eleições baseadas em evidências, sistemas de votação verificáveis de ponta a ponta e auditorias de limitação de risco.

Philip começou o painel de discussão postulando que “quer você acredite ou não que a eleição de 2020 foi precisa, o fato de muitas pessoas não acreditarem mostra que precisamos realizar as eleições de uma forma que gere evidências convincentes de que os resultados eleitorais relatados estão corretos”. O antídoto para a falta de confiança de acordo com Philip? Evidências. Não é suficiente para os funcionários eleitorais determinar quem ganhou uma eleição e declará-lo, masO público merece provas convincentes. Nem todas as evidências sobre eleições são evidências afirmativas de que os resultados são corretos. Por exemplo, um exame forense do software do sistema de votação pode não encontrar nenhum malware – mas isso não é evidência de que os resultados estão corretos, apenas que um tipo de problema não ocorreu. Da mesma forma, uma contagem precisa e completa do rastro de papel não fornece evidências de que o resultado esteja correto, a menos que também haja evidência de que o rastro de papel reflita com precisão como as pessoas votaram. Existem várias maneiras de coletar evidências convincentes de que uma eleição foi convocada corretamente, mantendo o anonimato da cédula. A chave é que as eleições devem ser baseado em evidências, não baseado em procedimento, que é o padrão atual. Uma maneira de fornecer evidências afirmativas é uma auditoria de limitação de risco (RLA) de cédulas de papel marcadas à mão com curadoria segura.

Os RLAs exigem uma trilha de papel comprovadamente confiável. (A confiabilidade depende de como a trilha de papel é criada, contabilizada e cuidada. Nenhuma auditoria que se baseie em papel não confiável pode fornecer evidências afirmativas de que os vencedores relatados realmente venceram.) Os RLAs foram testados em várias eleições desde 2008, e o As Academias Nacionais os recomendaram oficialmente em 2018. Os RLAs são um ingrediente-chave em eleições baseadas em evidências porque podem gerar evidências afirmativas de que o resultado político é preciso, em vez de apenas detecção de falhas (por exemplo, perceber um prproblema com a tabulação). Eleições e auditorias precisam de registros de votos duráveis, completos e confiáveis que sejam mantidos fisicamente seguros durante toda a votação e auditoria. Assim, as eleições podem ser verificáveis publicamente, o que também é uma meta do próximo palestrante, Josh.

Josh reitera que há uma crise de confiança eleitoral nos EUA e em todo o mundo e culpa a morte de evidências públicas por esses problemas generalizados. Na maioria das eleições de hoje, explica ele, não estamos fornecendo aos eleitores evidências substanciais de que os votos foram contados corretamente. Pedimos aos eleitores que confiem nas autoridades eleitorais locais, nos equipamentos, nos fornecedores de equipamentos e em outros – sejam essas entidades confiáveis ou não. Ele propõe uma solução para essa falta de evidências públicas: verificabilidade de ponta a ponta (E2E). Quando uma eleição é verificável por E2E, os eleitores recebem evidências diretas de que seus votos foram contados com precisão. Requer um registro eleitoral verificável que permita aos eleitores confirmar a contagem precisa de suas cédulas sem ter que confiar nas pessoas ou na tecnologia que conduz a eleição. Existem dois princípios básicos das eleições verificáveis do E2E:

Os eleitores podem verificar se suas próprias seleções foram registradas corretamente
Qualquer pessoa pode verificar se os votos registrados foram computados corretamente

Essas eleições fazem uma modificação crucial em uma eleição típica: os eleitores recebem um código de confirmação durante a votação que podem usar para confirmar o registro correto de suas seleções. Os eleitores podem posteriormente confirmar em um site público que seus códigos de confirmação estão presentes e os códigos de confirmação listados são consistentes com as contagens anunciadas. Os eleitores têm a opção de apenas votar e não verificar o correto registro e/ou apuração de seus votos, ou verificar tão minuciosamente quanto desejarem. (Observe aqui que os eleitores não podem visualizar o conteúdo de suas cédulas depois de lançadas - apenas que elas não foram alteradas desde o momento em que foram lançadas e opcionalmente verificadas. Isso evita coerção e venda de votos.)

A verificabilidade E2E geralmente requer ferramentas criptográficas avançadas, como criptografia homomórfica de limite, provas de conhecimento zero não interativas e muito mais. As Diretrizes de Assistência Eleitoral atuais dos EUA incluem requisitos para verificabilidade E2E. Essa técnica está começando a ser usada nos EUA e em todo o mundo hoje e foi testada em várias eleições nos EUA desde 2009 (incluindo as eleições de liderança do Caucus democrata na Câmara dos EUA em 2020).

Poorvi expandiu o uso da verificabilidade E2E em outras eleições nos EUA, começando com a eleição municipal de Takoma Park em 2009. Foi a primeira eleição governamental nos Estados Unidos com privacidade preservando a tecnologia verificável de ponta a ponta, onde qualquer pessoa pode confirmar a a contagem representou corretamente os votos. O eleitor preenchia ovais que correspondiam às suas escolhas para prefeito e vereador. Eles usaram canetas especiais que revelavam os números de confirmação impressos em tinta invisível nas ovais, e tinham a opção de escrevê-los para que pudessem consultá-los posteriormente no site, ou simplesmente votar e ir embora. A eleição garantiu a verificabilidade do eleitor porque os eleitores podiam verificar seus números de confirmação no site da eleição e teve verificabilidade universal porque as informações estavam disponíveis publicamente para verificar se a contagem foi calculada corretamente a partir dos números de confirmação.

Poorvi enfatizou que é importante manter alguns aspectos dos métodos tradicionais de eleições: “Não sabemos como tornar as eleições totalmente seguras sem pessoas e processos físicos. Sem eles, um eleitor que percebe um problema não pode prová-lo, e os observadores não podem distinguir um eleitor verdadeiro de um que está mentindo”. Ela também explicou que a incorporação de modelos matemáticos que representam melhor o processo de auditoria real no local pode melhorar os RLAs.

Poorvi encerrou o painel contando que a legislação que exige ou permite RLAs e outros requisitos de verificação eleitoral está atualmente em vigor em muitos estados dos EUA e isso resultou em auditorias de muitas eleições obrigatórias. No entanto, ainda há muito a ser feito. É preciso uma grande quantidade de indivíduos dedicados para identificar e implantar essas técnicas em ambientes que podem se tornar hostis muito rapidamente, mas é crucial que invistamos nessas tecnologias para tornar cada eleição publicamente verificável.

Durante as perguntas e respostas após o painel, um membro da audiência perguntou se agora temos mais informações sobre a falta de segurança nas eleições ou apenas ouvimos mais sobre isso?

Philip explicou que, embora não haja evidências de mais problemas hoje do que no passado, a dependência da tecnologia mudou, o que adiciona mais vulnerabilidades ao processo eleitoral, permitindo ataques remotos em massa, enquanto, historicamente, a alteração de um número substancial de votos exigiria acesso físico e numerosos cúmplices. Mesmo contando com a tecnologia, é possível reunir evidências afirmativas para avaliar o resultado, mas a parte difícil é convencer os funcionários do governo a fazer o trabalho de gerar uma trilha de papel confiável, garantindo que ela permaneça confiável e usando-a em auditorias apropriadas.
Josh observou que há muito tempo há fraude eleitoral nos EUA e internacionalmente, mas as autoridades eleitorais concluíram que as últimas eleições nacionais nos EUA foram muito mais limpas do que a maioria. No entanto, só porque parece haver muito pouca evidência de fraude não significa que nossas eleições sejam seguras. Na verdade, por causa dos milhares de eleições simultâneas, realizadas individualmente, é relativamente fácil atacar algumas delas. Não é fácil fazer isso sem deixar evidências para trás, mas há uma necessidade urgente de tecnologia para corrigir os buracos na forma como as eleições são conduzidas atualmente. É crucial que planejemos eleições para que o público em geral possa validá-las.
Liz destacou que é importante reconhecer o ambiente em que os funcionários eleitorais se encontram. Apesar da falta de evidências de fraude eleitoral, 77% dos funcionários eleitorais disseram que se sentiram inseguros e 1 em cada 6 foi ameaçado. A oficial eleitoral média é uma mulher branca de 50 a 64 anos que ganha um salário anual de 60 mil, e espera-se que combatam inimigos domésticos e internacionais. É essencial fazer parceria com funcionários eleitorais e fazer com que comprem essas tecnologias em nível local. A descentralização do sistema eleitoral é uma força contra um ataque. Existem muitos desafios tanto na implementação dessa tecnologia quanto na obrigatoriedade de procedimentos.
Josh rebateu o argumento de Liz sobre a descentralização, afirmando que muitas pessoas acham que a heterogeneidade de nossos sistemas é um ponto forte, e seria se um invasor tivesse que atacar todos eles. Mas estamos apenas oferecendo um menu de diferentes sistemas para um hacker atacar. Assim, eles podem simplesmente escolher o elo mais fraco e atacá-lo.

A membro do conselho do CCC, Katie Siek, fez outra pergunta: O que você está fazendo pela acessibilidade na tecnologia eleitoral?

Philip: As tecnologias eleitorais promovidas como “acessíveis” muitas vezes não são. Além disso, alguns dispositivos de marcação de cédulas (BMDs) comprometem a privacidade porque imprimem um registro de voto que não se parece com uma cédula de papel marcada à mão. Alguns dizem que para combater esse problema devemos usar todos os BMDs, mas eu discordo: o uso geral de BMDs prejudica a confiabilidade da trilha de papel, porque a impressão do BMD é um registro do que a máquina fez, não um registro do que o eleitor fez. Os BMDs atuais não fornecem um meio para os eleitores com deficiência visual verificarem se a impressão reflete com precisão suas seleções: eles precisam confiar que o que a máquina “disse” é o mesmo que imprimiu. Uma falha grave com o modelo de segurança dos BMDs é que apenas o eleitor está em posição de dizer se o BMD imprimiu seus votos com precisão, mas se um eleitor perceber que o BMD imprimiu suas seleções incorretamente, não há como o eleitor provar qualquer outra pessoa que ele fez. O eleitor pode solicitar uma nova chance de imprimir suas seleções, mas não há como o oficial eleitoral saber a diferença entre erro do eleitor, mau funcionamento da máquina ou um eleitor gritando “lobo”. Se um funcionário acreditar no eleitor que a máquina está com defeito, a única opção do funcionário é cancelar a eleição e realizar uma nova, porque não há como saber quais impressos foram afetados pelo mau comportamento da máquina. Em termos técnicos, as eleições realizadas com dispositivos de marcação de cédulas não são “fortemente independentes de software”. O sistema não pode se recuperar de erros detectados.
Josh: Existem abordagens diferentes, mas no geral fazemos um trabalho deplorável nos Estados Unidos para pessoas com deficiência visual, motora, etc. Eles geralmente precisam usar um dispositivo separado no canto. Por exemplo, Noel Runyon é um eleitor cego tecnicamente astuto que é tenaz quanto ao uso de dispositivos acessíveis para votação e escreve artigos em seu blog sobre isso. Muitas vezes leva horas para ele votar quando deveria ser simples. Uma barreira para tornar a votação mais fácil para pessoas com deficiência é que a comunidade de acessibilidade está dizendo que cédulas de papel não funcionam, e a comunidade de segurança está dizendo que o papel é o único caminho.

Em seguida, Daniel Lopresti, presidente do conselho do CCC, perguntou: “Como você lida com pessoas que estão convencidas de que essas tecnologias são perigosas ou não confiáveis?”

Josh: Essas pessoas precisam ser levadas a sério. Tive muitas discussões com funcionários eleitorais e eles são muito cuidadosos e conservadores. Quando explico a verificabilidade de ponta a ponta para eles, eles geralmente gostam, mesmo percebendo que isso revelará qualquer pequeno erro que cometerem. No entanto, algumas pessoas confiam menos em matemática do que outras pessoas e isso continua sendo um desafio.
Philip: Concordo que é um problema, mas acho que o enquadramento deveria ser que é um problema para os educadores; é meu trabalho explicar as coisas de uma maneira que qualquer pessoa possa entender. Passo muito tempo tentando encontrar metáforas, analogias e exemplos. Por exemplo, para explicar a amostragem aleatória – como alguém pode aprender algo útil sobre uma grande população a partir de uma pequena amostra – eu uso a analogia de aprender como a sopa salgada é baseada em provar apenas uma colher (depois de mexer bem a sopa), não importa o quão grande o pote.
Liz: É fundamental para nós sermos capazes de explicar como funciona para o público, se não pudermos explicar em termos simples, então não atingimos nosso objetivo.
Philip: Muitos de nós estão dizendo que você não deve confiar nos fornecedores que atualmente fazem a programação, mas também não deve confiar em nós. Os eleitores devem ser capazes de verificar o processo por si mesmos.
Josh: A diferença é que, em princípio, você pode fazer tudo sozinho; agora, funcionários eleitorais desonestos provavelmente poderiam roubar uma eleição. Com esta tecnologia, você pode escolher em quem confiar e verificar a si mesmo.
Poorvi: A ideia é democratizar a informação em torno da eleição, incluindo o código que está sendo usado. Você pode não escrever o código sozinho ou ser capaz de processá-lo, mas as informações não serão restritas a alguns. Seria útil reunir os partidos políticos e fazer com que eles verificassem o processo. Ter canais de notícias promovendo a verificação de seus números de confirmação ou observando auditorias de limitação de risco também seria bom.

A última pergunta da sessão foi “Quanto tempo leva para que uma auditoria de limitação de risco aconteça? Existem estudos que analisaram se eles mudam de ideia ou existem outras variáveis de confusão que limitam a confiança de qualquer maneira?”

Philip: Um problema com RLAs é antes da eleição, você não sabe quanto trabalho haverá porque há muitas variáveis. Você não sabe quão estreitas serão as margens ou quantos erros encontrará na auditoria, então é difícil dizer quanto trabalho esperar. Números aproximados com auditorias eficientes é que a primeira cédula de um lote leva 3 minutos, depois 1 minuto por cédula para cédulas adicionais desse lote. Você tem que encontrar um lote de cédulas, verificar/registrar os selos, contar em uma pilha, transcrever os dados, devolver as cédulas aos seus lugares e lacrar novamente. Um exemplo de uma porcentagem de cédulas que você precisaria amostrar é em Orange County para 191 corridas individuais é que eles poderiam ter analisado 1.3% das cédulas para poder validar todas as corridas. A metodologia está melhorando e está ficando mais fácil fazer essas auditorias.
Josh: Um RLA normalmente é feito somente depois que todos os votos são contados. A verificação E2E pode corresponder a qualquer granularidade feita pelos funcionários eleitorais. Cada vez que a contagem de votos é liberada, você pode verificá-la naquele momento. Geralmente eles apenas fazem isso no final de qualquer maneira.

Muito obrigado a Philip, Josh, Poorvi e Liz por compartilharem seus conhecimentos com a comunidade sobre como a tecnologia de computação pode ajudar a garantir eleições. Fique ligado para outra recapitulação da sessão científica da reunião anual da AAAS patrocinada pelo CCC na próxima semana, quinta-feira.