Резюме панели AAAS «Новые избирательные технологии, повышающие честность, прозрачность и доверие»

Выборы, которые являются безопасными, защищенными и проверяемыми общественностью, являются неотъемлемой частью любого демократического правительства. Общественность протестовала против изменений в избирательном процессе в США и во всем мире, поскольку граждане были разочарованы отсутствием прозрачности. Доверие к выборам со стороны большинства пpublic получить непросто, но члены комиссии, организованной CCC, на ежегодном собрании AAAS внесли множество предложений о шагах, которые мы можем предпринять, чтобы сделать именно это.

Участники сессии «Новые избирательные технологииes Повышение честности, прозрачности и уверенности» Филип Б. Старк (Калифорнийский университет, Беркли), Джош Бенало (Исследования Майкрософт) и Пурви Л. Вора (Георги Вашингтонский университет). Элизабет (Лиз) Ховард (Бреннан Центр Правосудия) был модератором.

Лиз начала сессию, заявив, что демократии во всем мире находятся под угрозой, и для будущего этих систем крайне важно, чтобы у нас была уверенность на выборах. Она объяснила, что технологии могут бороться с этими угрозами с помощью существенных доказательств честности выборов, в частности, с выборами, основанными на доказательствах, системами голосования со сквозной проверкой и аудитами, ограничивающими риски.

Филип начал панельную дискуссию, заявив, что «независимо от того, верите ли вы, что выборы 2020 года были точными, тот факт, что многие люди не верят, показывает, что нам нужно проводить выборы таким образом, чтобы получить убедительные доказательства того, что результаты выборов верны». Противоядие от недоверия по Филиппу? Доказательство. Должностным лицам избирательных комиссий недостаточно определить, кто победил на выборах, и объявить об этом.Общественность заслуживает убедительных доказательств. Не все данные о выборах являются убедительными доказательствами того, что результаты правильны. Например, криминалистическая экспертиза программного обеспечения системы голосования может не обнаружить вредоносного ПО, но это не является доказательством правильности результатов, а лишь свидетельствует об отсутствии какой-либо проблемы. Точно так же точный полный ручной подсчет бумажного следа не дает доказательств того, что результат правильный, если нет также доказательства того, что бумажный след точно отражает то, как люди проголосовали. Есть несколько способов собрать убедительные доказательства того, что выборы были назначены правильно, сохраняя при этом анонимность голосования. Главное, чтобы выборы были основанные на фактических данных, а не на основе процедур, что является текущим стандартом. Одним из способов предоставления подтверждающих доказательств является аудит с ограничением риска (RLA) тщательно отобранных бумажных бюллетеней с ручной маркировкой.

RLA требуют явно заслуживающего доверия бумажного следа. (Надежность зависит от того, как документальный след создается, учитывается и обрабатывается. Никакой аудит, основанный на недостоверных документах, не может дать убедительных доказательств того, что объявленные победители действительно победили.) RLA были опробованы на нескольких выборах с 2008 года, и Национальные академии официально рекомендовали их в 2018 году.. RLA являются ключевым компонентом выборов, основанных на фактах, потому что они могут генерировать подтверждающие доказательства того, что политический результат является точным, а не просто обнаруживать ошибки (например, замечая PR).проблема с табулированием). Выборы и аудиты требуют надежных, полных и заслуживающих доверия записей о голосовании, которые хранятся физически в безопасности на протяжении всего опроса и аудита. Тогда выборы можно будет публично проверить, что также является целью следующего участника дискуссии, Джоша.

Джош повторяет, что в США и во всем мире существует кризис доверия к выборам, и винит в этих широко распространенных проблемах смерть публичных доказательств. Он объясняет, что на большинстве сегодняшних выборов мы не предоставляем избирателям существенных доказательств того, что голоса подсчитаны правильно. Мы просим избирателей доверять местным избирательным органам, оборудованию, поставщикам оборудования и другим лицам — независимо от того, заслуживают ли доверия эти организации. Он предлагает решение проблемы отсутствия публичных доказательств: сквозная (E2E) проверяемость. Когда выборы поддаются E2E-проверке, избиратели получают прямые доказательства того, что их голоса были подсчитаны точно. Для этого требуется поддающаяся проверке запись о выборах, которая позволяет избирателям подтвердить точный подсчет своих бюллетеней, не доверяя людям или технологиям, проводящим выборы. Есть два основных принципа E2E-проверки выборов:

1. Избиратели могут убедиться, что их собственный выбор был правильно записан.
2. Любой может проверить правильность подсчета зарегистрированных голосов.

Эти выборы вносят одно важное изменение в типичные выборы: избиратели получают код подтверждения во время голосования, который они могут использовать для подтверждения правильности записи своего выбора. Избиратели могут позже подтвердить на общедоступном веб-сайте, что их коды подтверждения присутствуют и перечисленные коды подтверждения соответствуют объявленным подсчетам. У избирателей есть выбор: просто проголосовать, не проверяя правильность записи и/или подсчета своих голосов, или же провести проверку настолько тщательно, насколько они того пожелают. (Обратите внимание, что избиратели не могут просматривать содержимое своих бюллетеней после того, как они были поданы — только то, что они не были изменены с момента их подачи и необязательно проверены. Это предотвращает принуждение и продажу голосов.)

Для проверки E2E обычно требуются передовые криптографические инструменты, такие как пороговое гомоморфное шифрование, неинтерактивные доказательства с нулевым разглашением и другие. Текущие рекомендации по оказанию помощи в проведении выборов в США включают требования к E2E-проверке. Этот метод начинает использоваться в США и во всем мире сегодня и был опробован на нескольких выборах в США с 2009 года (включая выборы руководства Демократического собрания Палаты представителей США в 2020 году).

Poorvi расширил использование E2E-проверки на других выборах в США, начиная с муниципальных выборов в Такома Парке в 2009 году. подсчет правильно отразил голоса. Избиратель закрасил овалы, соответствующие их выборам мэра и члена совета. Они использовали специальные ручки, которые показывали номера подтверждения, напечатанные невидимыми чернилами в овалах, и имели возможность записать их, чтобы позже проверить их на веб-сайте, или они могли просто проголосовать и уйти. Выборы гарантировали возможность проверки избирателей, поскольку избиратели могли проверить свои номера подтверждения на веб-сайте выборов, и они имели универсальную возможность проверки, поскольку информация была общедоступной для проверки правильности подсчета числа подтверждений. 

Поорви подчеркнул важность сохранения некоторых аспектов традиционных методов выборов: «Мы не знаем, как сделать выборы полностью безопасными без людей и физических процессов. Без них избиратель, заметивший проблему, не сможет ее доказать, а наблюдатели не смогут отличить правдивого избирателя от лжеца». Она также пояснила, что включение математических моделей, которые лучше отражают реальный процесс аудита на местах, может улучшить RLA.

Пурви завершил дискуссию, рассказав, что законодательство, требующее или разрешающее RLA и другие требования по проверке выборов, в настоящее время действует во многих штатах США, и это привело к проверкам многих обязательных выборов. Однако многое еще предстоит сделать. Требуется огромное количество преданных своему делу людей, чтобы определить и применить эти методы в среде, которая может очень быстро стать враждебной, но это Крайне важно, чтобы мы инвестировали в эти технологии, чтобы сделать каждые выборы публично проверяемыми.

Во время вопросов и ответов после панели один из зрителей спросил, есть ли у нас теперь больше информации об отсутствии безопасности выборов, или мы просто слышим об этом больше? 

• Филип объяснил, что, хотя сегодня нет свидетельств большего количества проблем, чем в прошлом, зависимость от технологий изменилась, что добавило больше уязвимостей избирательному процессу, сделав возможным массовые удаленные атаки, в то время как исторически для изменения значительного количества голосов требовалось физический доступ и многочисленные сообщники. Даже полагаясь на технологии, можно собрать подтверждающие доказательства для оценки результата, но самая трудная часть состоит в том, чтобы убедить правительственных чиновников выполнить работу по созданию достоверного бумажного следа, гарантировать, что он останется достоверным, и использовать его в соответствующих проверках.
• Джош отметил, что мошенничество на выборах в США и во всем мире уже давно имеет место, но представители избирательных комиссий пришли к выводу, что последние несколько национальных выборов в США были намного чище, чем большинство. Однако то, что доказательств фальсификаций очень мало, не означает, что наши выборы безопасны. Фактически, из-за тысяч одновременных, индивидуально проводимых выборов относительно легко атаковать некоторые из них. Нелегко сделать это, не оставив доказательств, но существует острая необходимость в технологиях, чтобы залатать дыры в том, как в настоящее время проводятся выборы. Крайне важно, чтобы мы планировали выборы так, чтобы широкая общественность могла их одобрить.
• Лиз отметила, что важно осознавать среду, в которой находятся сотрудники избирательных комиссий. Несмотря на отсутствие доказательств фальсификации результатов выборов, 77% представителей избирательных комиссий заявили, что они чувствовали себя небезопасно, а каждому шестому угрожали. Среднестатистический чиновник на выборах — это белая женщина в возрасте 1-6 лет, которая получает годовой оклад в 50 тысяч долларов, и ожидается, что они будут сражаться с внутренними и международными врагами. Очень важно наладить партнерские отношения с должностными лицами, ответственными за выборы, и заставить их купить эти технологии на местном уровне. Децентрализация избирательной системы — сила против нападения. Есть много проблем как при внедрении этой технологии, так и при выполнении обязательных процедур.
• Джош возразил Лиз по поводу децентрализации, заявив, что многие люди считают неоднородность наших систем сильной стороной, и так было бы, если бы злоумышленнику пришлось атаковать их все. Но мы просто предлагаем меню различных систем для атаки хакера. Поэтому они могут просто выбрать самое слабое звено и атаковать его.

Член Совета CCC Кэти Сик задала еще один вопрос: что вы делаете для обеспечения доступности избирательных технологий?

• Филип: Избирательные технологии, рекламируемые как «доступные», часто таковыми не являются. Кроме того, некоторые устройства для маркировки бюллетеней (BMD) ставят под угрозу конфиденциальность, поскольку они печатают протокол голосования, который не похож на бумажный бюллетень с отметками от руки. Некоторые говорят, что для решения этой проблемы мы должны использовать все BMD, но я не согласен: общее использование BMD подрывает достоверность бумажного следа, потому что распечатка BMD — это запись того, что сделала машина, а не запись того, что сделал избиратель. Нынешние BMD не дают избирателям с ограниченными возможностями по зрению средства проверить, точно ли распечатка отражает их выбор: они должны верить, что то, что машина «сказала», совпадает с тем, что она напечатала. Серьезным недостатком модели безопасности BMD является то, что только избиратель может сказать, правильно ли BMD напечатал его голоса, но если избиратель заметит, что BMD напечатал его выбор неправильно, у избирателя нет возможности доказать это. кто-нибудь еще, что это сделал. Избиратель может запросить новый шанс распечатать свой выбор, но чиновник избирательной комиссии не сможет определить разницу между ошибкой избирателя, неисправностью машины или избирателем, кричащим «волк». Если должностное лицо считает избирателя, что машина неисправна, единственный вариант для чиновника — отменить выборы и провести новые выборы, потому что невозможно определить, на какие распечатки повлияло неправильное поведение машины. С технической точки зрения, выборы, проводимые с помощью устройств для маркировки бюллетеней, не являются «сильно независимыми от программного обеспечения». Система не может восстановиться после обнаруженных ошибок.  
• Джош: Существуют разные подходы, но в целом мы плохо справляемся в США с людьми с нарушениями зрения, моторики и т. д. Обычно им приходится использовать отдельное устройство в углу. Например, Ноэль Раньон — технически подкованный слепой избиратель, который настойчиво использует доступные устройства для голосования и пишет об этом статьи в своем блоге. Часто ему требуется несколько часов, чтобы проголосовать, хотя это должно быть просто. Препятствием для облегчения голосования для людей с ограниченными возможностями является то, что сообщество доступности говорит, что бумажные бюллетени не работают, а сообщество безопасности говорит, что бумага — единственный способ.

Затем Даниэль Лопрести, председатель Совета CCC, спросил: «Как вы поступаете с людьми, которые убеждены, что эти технологии опасны или ненадежны?» 

• Джош: К этим людям нужно относиться серьезно. У меня было много дискуссий с представителями избирательных комиссий, и они очень осторожны и консервативны. Когда я объясняю им сквозную верифицируемость, им обычно это нравится, даже если они понимают, что это выявит любую маленькую ошибку, которую они допустят. Однако некоторые люди доверяют математике меньше, чем людям, и это остается проблемой.
• Филип: Я согласен с тем, что это проблема, но я думаю, что формулировка должна быть такой, что это проблема педагогов; моя работа — объяснять вещи так, чтобы их мог понять любой. Я провожу много времени, пытаясь найти метафоры, аналогии и примеры. Например, чтобы объяснить случайную выборку — как можно узнать что-то полезное об огромной популяции из небольшой выборки — я использую аналогию с изучением того, как готовится соленый суп, на основе дегустации всего одной ложки (после тщательного перемешивания супа), независимо от того, как большой горшок.
• Лиз: Для нас очень важно уметь объяснить аудитории, как это работает, если мы не можем объяснить это простыми словами, значит, мы не достигли своей цели.
• Филип: Многие из нас говорят, что вы не должны доверять поставщикам, которые в настоящее время занимаются программированием, но вы также не должны доверять нам. Избиратели должны иметь возможность самостоятельно контролировать процесс.
• Джош: Разница в том, что в принципе ты мог бы сделать все сам; прямо сейчас нечестные чиновники на выборах, вероятно, могут украсть выборы. С помощью этой технологии вы можете выбирать, кому доверять и проверять себя.
• Пурви: Идея заключается в демократизации информации о выборах, включая используемый код. Вы можете не писать код самостоятельно или вообще не иметь возможности его обработать, но информация не будет ограничена несколькими. Было бы полезно собрать вместе политические партии и заставить их проверить процесс. Было бы хорошо, если бы новостные каналы продвигали проверку ваших номеров подтверждений или наблюдение за аудитами, ограничивающими риск.

Последний вопрос сессии: «Сколько времени нужно, чтобы провести аудит ограничения рисков? Есть ли какие-либо исследования, в которых изучалось, меняют ли они мнение, или есть другие смешанные переменные, которые в любом случае ограничивают доверие?»

• Филип: Одна проблема с RLA заключается в том, что перед выборами вы не знаете, сколько работы предстоит, потому что существует так много переменных. Вы не знаете, насколько узкими будут пределы или сколько ошибок вы обнаружите в ходе аудита, поэтому трудно сказать, какой объем работы вам предстоит. Приблизительные цифры с эффективными проверками: первый бюллетень из партии занимает 3 минуты, затем 1 минута на бюллетень для дополнительных бюллетеней из этой партии. Вы должны найти партию бюллетеней, проверить/зафиксировать печати, сосчитать в стопку, расшифровать данные, вернуть бюллетени на место и снова запечатать. Пример процента бюллетеней, которые вам нужно будет отобрать, в округе Ориндж для 191 отдельной гонки: они могли бы просмотреть 1.3% бюллетеней, чтобы иметь возможность проверить каждую гонку. Методология совершенствуется, и становится легче проводить эти аудиты.
• Джош: RLA обычно делается только после подсчета всех голосов. Проверка E2E может соответствовать любой степени детализации, проводимой должностными лицами избирательных комиссий. Каждый раз, когда публикуются подсчеты голосов, вы можете проверить это в это время. Обычно они все равно делают это в конце.

Большое спасибо Филипу, Джошу, Пурви и Лиз за то, что они поделились с сообществом своими знаниями о том, как компьютерные технологии могут помочь в обеспечении безопасности выборов. Следите за новостями о другом ежегодном собрании AAAS, спонсируемом CCC, на следующей неделе в четверг.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://feeds.feedblitz.com/~/732489284/0/cccblog~%e2%80%9cEmerging-Election-Technologies-Enhancing-Integrity-Transparency-and-Confidence%e2%80%9d-AAAS-Panel-Recap/