“Emerging Election Technologies Enhancing Integrity, Transparency, And Confidence” AAAS Panel Recap

Ponovno objavil Platon

Spremljevalci: 0

Volitve, ki so varne in preverljive s strani javnosti, so bistveni del vsake demokratične vlade. V ZDA in po svetu so se pojavili javni protesti zaradi sprememb v volilnem procesu, saj so bili državljani razočarani nad pomanjkanjem preglednosti. Volilno zaupnico večine public ni enostavno pridobiti, vendar so udeleženci panela, ki ga je organiziral CCC, na letnem srečanju AAAS dali veliko predlogov o korakih, ki jih lahko naredimo, da naredimo prav to.

“Emerging Election Technologies Enhancing Integrity, Transparency, and Confidence” AAAS Panel Recap PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Panelisti seje »Nastajajoče volilne tehnologijees Povečanje integritete, preglednosti in zaupanja Filip B. Stark (Univerza v Kaliforniji, Berkeley), Josh Benaloh (Microsoft Research) in Poorvi L. Vora (George Washingtonska univerza). Elizabeth (Liz) Howard (Brennan Center za pravosodje) je bil moderator.

Liz je sejo začela z opisom, da so demokracije po vsem svetu napadene in da je za prihodnost teh sistemov ključnega pomena, da imamo zaupanje volitev. Pojasnila je, da se tehnologija lahko spopade s temi grožnjami z bistvenimi dokazi o integriteti volitev, zlasti z volitvami, ki temeljijo na dokazih, sistemih glasovanja, ki jih je mogoče preveriti od konca do konca, in revizijami, ki omejujejo tveganje.

Philip je panelno razpravo začel z izjavo, da »ne glede na to, ali verjamete, da so bile volitve leta 2020 točne, dejstvo, da veliko ljudi tega ne dokazuje, kaže, da moramo volitve izvesti na način, ki bo ustvaril prepričljive dokaze, da so prijavljeni izidi volitev pravilni«. Protistrup za pomanjkanje zaupanja po Filipu? Dokazi. Ni dovolj, da volilni uradniki ugotovijo, kdo je zmagal na volitvah, in to razglasijo, thJavnost si zasluži prepričljive dokaze. Niso vsi dokazi o volitvah potrjujoči dokazi, da so rezultati pravi. Na primer, forenzični pregled programske opreme volilnega sistema morda ne bo našel zlonamerne programske opreme, vendar to ni dokaz, da so rezultati pravilni, le da se ni pojavila ena vrsta težave. Podobno natančno, celotno ročno štetje sledi papirja ne zagotavlja nobenega dokaza, da je izid pravilen, razen če obstaja tudi dokaz, da sled papirja natančno odraža, kako so ljudje glasovali. Obstaja več načinov za zbiranje prepričljivih dokazov, da so bile volitve pravilno razpisane, hkrati pa ohraniti anonimnost glasovanja. Ključno je, da volitve morajo biti na podlagi dokazov, ki ne temelji na postopku, kar je trenutni standard. Eden od načinov zagotavljanja pritrdilnih dokazov je revizija, ki omejuje tveganje (RLA) varno urejenih ročno označenih papirnatih glasovnic.

RLA zahtevajo dokazano zanesljivo sled na papirju. (Zanesljivost je odvisna od tega, kako je papirna sled ustvarjena, evidentirana in zanjo poskrbljeno. Nobena revizija, ki se opira na nezanesljiv papir, ne more dati pritrdilnih dokazov, da so prijavljeni zmagovalci res zmagali.) RLA so bili pilotirani na več volitvah od leta 2008, in Nacionalne akademije so jih uradno priporočile leta 2018. RLA so ključna sestavina volitev, ki temeljijo na dokazih, saj lahko ustvarijo potrditvene dokaze, da je politični izid točen, namesto le odkrivanja napak (npr. opazovanje prproblem s tabeliranjem). Za volitve in revizije so potrebni trajni, popolni in zaupanja vredni zapisi o glasovanju, ki so fizično varni med pregledovanjem in revizijo. Potem so lahko volitve javno preverljive, kar je cilj tudi naslednjega panelista, Josha.

Josh ponavlja, da je v ZDA in po svetu kriza volilnega zaupanja, in za ta razširjena vprašanja krivi smrt javnih dokazov. Na večini današnjih volitev, pojasnjuje, volivcem ne posredujemo vsebinskih dokazov, da so glasovi pravilno prešteti. Volivce pozivamo, naj zaupajo uradnikom lokalnih volitev, opremi, prodajalcem opreme in drugim – ne glede na to, ali so ti subjekti vredni zaupanja ali ne. Predlaga rešitev za to pomanjkanje javnih dokazov: preverljivost od konca do konca (E2E).. Ko so volitve preverljive z E2E, volivci prejmejo neposredne dokaze, da so bili njihovi glasovi natančno prešteti. Zahteva preverljiv volilni zapis, ki omogoča volivcem, da potrdijo natančno štetje svojih glasovnic, ne da bi morali zaupati ljudem ali tehnologiji, ki vodijo volitve. Obstajata dve temeljni načeli volitev, ki jih je mogoče preveriti z E2E:

Volivci lahko preverijo, ali je bil njihov izbor pravilno zabeležen
Vsak lahko preveri, ali so bili zabeleženi glasovi pravilno sešteti

Te volitve predstavljajo eno ključno spremembo tipičnih volitev: volivci med glasovanjem prejmejo potrditveno kodo, s katero lahko potrdijo pravilen zapis svojih izbir. Volivci lahko pozneje na javnem spletnem mestu potrdijo, da so njihove potrditvene kode prisotne in da so navedene potrditvene kode skladne z napovedanimi seštevkami. Volivci imajo možnost, da samo glasujejo in ne preverjajo pravilnega beleženja in/ali štetja svojih glasov ali pa preverijo tako temeljito, kot želijo. (Upoštevajte, da si volivci ne morejo ogledati vsebine svojih glasovnic, ko so bile oddane – samo da niso bile spremenjene od trenutka, ko so bile oddane in neobvezno preverjene. To preprečuje prisilo in prodajo glasov.)

Preverljivost E2E na splošno zahteva napredna kriptografska orodja, kot so pragovno homomorfno šifriranje, neinteraktivni dokazi brez znanja in več. Trenutne smernice za pomoč pri volitvah v ZDA vključujejo zahteve za preverljivost E2E. Ta tehnika se danes začenja uporabljati v ZDA in drugod po svetu in je bila pilotno preizkušena na več volitvah v ZDA od leta 2009 (vključno z volitvami vodstva kongresa demokratov v predstavniškem domu ZDA leta 2020).

Poorvi je razširil uporabo preverljivosti E2E na drugih volitvah v ZDA, začenši z občinskimi volitvami v Takoma Parku leta 2009. To so bile prve vladne volitve v Združenih državah s preverljivo tehnologijo od konca do konca, ki ohranja zasebnost, kjer je lahko kdorkoli potrdil seštevek je pravilno predstavljal glasove. Volivci so izpolnili ovale, ki so ustrezali njihovim izborom za župana in člana sveta. Uporabljali so posebna pisala, ki so razkrivala potrditvene številke, natisnjene z nevidnim črnilom v ovalih, in so jih imeli možnost zapisati, da so jih kasneje preverili na spletni strani, ali pa so samo oddali glas in odšli. Volitve so zagotovile preverljivost volivcev, ker so lahko volivci preverili svoje potrditvene številke na volilni spletni strani, in imele so univerzalno preverljivost, ker so bile informacije javno dostopne, da se preveri, ali je bil seštevek pravilno izračunan iz potrditvenih številk.

Poorvi je poudaril, da je ohranitev nekaterih vidikov tradicionalnih načinov volitev pomembna: »Ne vemo, kako narediti volitve popolnoma varne brez ljudi in fizičnih procesov. Brez njih volivec, ki opazi problem, tega ne more dokazati, opazovalci pa ne ločijo resnicoljubnega od volivca, ki laže.” Pojasnila je tudi, da lahko vključitev matematičnih modelov, ki bolje predstavljajo dejanski revizijski proces na terenu, izboljša RLA.

Poorvi je panel zaključil s pripovedjo, da je zakonodaja, ki zahteva ali dovoljuje RLAs in druge zahteve za preverjanje volitev, trenutno v veljavi v številnih zveznih državah v ZDA, kar je privedlo do revizij številnih zavezujočih volitev. Vendar je treba še veliko narediti. Za prepoznavanje in uporabo teh tehnik v okoljih, ki lahko zelo hitro postanejo sovražna, je potrebnih ogromno predanih posameznikov, vendar je ključnega pomena je, da vlagamo v te tehnologije, da bodo vsake volitve javno preverljive.

Med vprašanji in odgovori, ki so sledili panelu, je član občinstva vprašal, ali imamo zdaj več informacij o pomanjkanju varnosti volitev, ali o tem le slišimo več?

Philip je pojasnil, da čeprav danes ni dokazov o več težavah kot v preteklosti, se je zanašanje na tehnologijo spremenilo, kar dodaja več ranljivosti volilnemu procesu, kar omogoča obsežne oddaljene napade, medtem ko bi zgodovinsko gledano sprememba znatnega števila glasov zahtevala fizični dostop in številne sostorilce. Tudi če se zanašamo na tehnologijo, je mogoče zbrati pritrdilne dokaze za ovrednotenje rezultata, vendar je težji del prepričati vladne uradnike, da opravijo delo ustvarjanja zaupanja vredne papirnate sledi, zagotovijo, da ostane vredna zaupanja, in jo uporabijo pri ustreznih revizijah.
Josh je opozoril, da je v ZDA in po svetu že dolgo prišlo do volilnih goljufij, vendar so volilni uradniki ugotovili, da so bile zadnjih nekaj državnih volitev v ZDA precej čistejše od večine. Vendar samo zato, ker se zdi, da je zelo malo dokazov o goljufijah, še ne pomeni, da so naše volitve varne. Pravzaprav je zaradi tisočev sočasnih individualno vodenih volitev relativno enostavno napasti nekatere izmed njih. To ni lahko storiti, ne da bi za seboj pustili dokaze, vendar obstaja nujna potreba po tehnologiji za krpanje lukenj v trenutnem načinu izvajanja volitev. Ključno je, da volitve oblikujemo tako, da jih lahko potrdi splošna javnost.
Liz je poudarila, da je pomembno prepoznati okolje, v katerem se znajdejo volilni uradniki. Kljub pomanjkanju dokazov o volilni goljufiji je 77 % volilnih uradnikov izjavilo, da se počutijo nevarne, 1 od 6 pa je bil ogrožen. Povprečna volilna uradnica je 50-64 letna bela ženska z letno plačo 60 tisočakov in od njih se pričakuje, da se bodo borile proti domačim in mednarodnim sovražnikom. Bistvenega pomena je sodelovanje z volilnimi uradniki in pridobivanje teh tehnologij na lokalni ravni. Decentralizacija volilnega sistema je moč pred napadom. Pri izvajanju te tehnologije in pri določanju postopkov je veliko izzivov.
Josh je nasprotoval Lizini trditvi o decentralizaciji in izjavil, da veliko ljudi misli, da je heterogenost naših sistemov prednost, in da bi bilo tako, če bi jih moral napadalec napasti vse. Ampak mi samo ponujamo meni različnih sistemov, ki jih lahko heker napade. Tako lahko preprosto izberejo najšibkejši člen in ga napadejo.

Članica sveta CCC Katie Siek je postavila še eno vprašanje: Kaj počnete za dostopnost volilne tehnologije?

Philip: Volilne tehnologije, ki se promovirajo kot »dostopne«, pogosto niso. Poleg tega nekatere naprave za označevanje volilnih lističev (BMD) ogrožajo zasebnost, ker natisnejo zapis glasovanja, ki ni videti kot ročno označena papirnata glasovnica. Nekateri pravijo, da bi morali za boj proti tej težavi uporabiti vse BMD, vendar se ne strinjam: splošna uporaba BMD spodkopava zanesljivost papirne sledi, ker je izpis BMD zapis o tem, kaj je naredil stroj, in ne zapis o tem, kaj je naredil volivec. Trenutni BMD volivcem z motnjami vida ne omogočajo, da bi preverili, ali izpis pravilno odraža njihove izbire: zaupati morajo, da je tisto, kar je stroj "rekel", enako tistemu, kar je natisnil. Resna napaka pri varnostnem modelu BMD je, da lahko le volivec pove, ali je BMD pravilno natisnil svoje glasove, toda če volivec opazi, da je BMD napačno natisnil njihove izbire, volilec nikakor ne more dokazati, da kdo drug, ki je to storil. Volivec lahko zahteva novo priložnost za tiskanje svojih izbir, vendar volilni uradnik ne more razlikovati med napako volivca, okvaro stroja ali volivcem, ki joka »volk«. Če uradnik verjame volivcu, da stroj ne deluje pravilno, je njegova edina možnost, da prekliče volitve in izvede popolnoma nove, ker ni mogoče ugotoviti, na katere izpise je vplivalo napačno vedenje stroja. S tehničnega vidika volitve, izvedene z napravami za označevanje glasovnic, niso »močno neodvisne od programske opreme«. Sistem se ne more obnoviti po odkritih napakah.
Josh: Obstajajo različni pristopi, a na splošno v ZDA opravljamo obžalovanja vredno delo za ljudi z motnjami vida, motoričnih ipd. Običajno morajo uporabiti ločeno napravo v kotu. Na primer, Noel Runyon je tehnično spreten slep volivec, ki vztrajno uporablja dostopne naprave za glasovanje in o tem piše članke v svojem blogu. Pogosto traja ure, da voli, ko bi moralo biti preprosto. Ovira pri olajšanju glasovanja za invalide je, da skupnost za dostopnost pravi, da papirnate glasovnice ne delujejo, varnostna skupnost pa pravi, da je papir edini način.

Nato je Daniel Lopresti, predsednik sveta CCC, vprašal: "Kako ravnate z ljudmi, ki so prepričani, da so te tehnologije nevarne ali nezaupljive?"

Josh: Te ljudi je treba jemati resno. Imel sem veliko razprav z volilnimi uradniki in so zelo previdni in konservativni. Ko jim razložim preverjanje od konca do konca, jim je na splošno všeč, četudi se zavedajo, da bo razkrilo vsako majhno napako, ki jo naredijo. Vendar pa nekateri ljudje manj zaupajo matematiki kot ljudem in to ostaja izziv.
Philip: Strinjam se, da je problem, vendar mislim, da bi moralo biti uokvirjeno, da je problem za vzgojitelje; moja naloga je razložiti stvari na način, ki ga lahko vsak razume. Veliko časa porabim za iskanje metafor, analogij in primerov. Na primer, da bi razložil naključno vzorčenje – kako lahko iz majhnega vzorca izvem nekaj koristnega o ogromni populaciji – uporabljam analogijo spoznavanja, kako je slana juha, ki temelji na okušanju samo ene žlice (potem ko juho dobro premešamo), ne glede na to, kako velik lonec.
Liz: Za naju je ključnega pomena, da lahko občinstvu razloživa, kako deluje, če tega ne moreva razložiti preprosto, potem nisva dosegla cilja.
Philip: Mnogi od nas pravijo, da ne bi smeli zaupati prodajalcem, ki trenutno izvajajo programiranje, vendar tudi nam ne bi smeli zaupati. Volivci bi morali imeti možnost, da sami preverijo postopek.
Josh: Razlika je v tem, da bi lahko vse naredil sam; trenutno bi lahko nepošteni uradniki volitev verjetno ukradli volitve. S to tehnologijo lahko izberete, komu boste zaupali in preverite sami.
Poorvi: Zamisel je demokratizacija informacij o volitvah, vključno s kodo, ki se uporablja. Kode morda ne boste napisali sami ali je sploh ne boste mogli obdelati, vendar informacije ne bodo omejene na nekaj. Koristno bi bilo zbrati politične stranke in jim omogočiti, da preverijo postopek. Dobro bi bilo tudi, če bi novičarski kanali promovirali preverjanje vaših potrditvenih številk ali opazovanje revizij za omejevanje tveganja.

Zadnje vprašanje seje je bilo »Koliko časa traja, da se izvede revizija za omejevanje tveganja? Ali obstajajo kakšne študije, ki so preučevale, ali si premislijo, ali obstajajo druge spremenljivke, ki vseeno omejujejo zaupanje?«

Philip: Ena težava z RLA je pred volitvami, ne veš, koliko dela bo, ker je toliko spremenljivk. Ne veste, kako ozke bodo marže ali koliko napak boste našli pri reviziji, zato je težko reči, koliko dela lahko pričakujete. Standardne številke z učinkovitimi revizijami so, da prvo glasovanje iz serije traja 3 minute, nato pa 1 minuta na glasovanje za dodatne glasovnice iz te serije. Poiskati morate serijo glasovnic, preveriti/zapisati pečate, prešteti v kup, prepisati podatke, vrniti glasovnice na njihova mesta in ponovno zapečatiti. Primer odstotka glasovnic, ki bi jih morali vzorčiti, je v okrožju Orange za 191 posameznih dirk, da bi lahko pregledali 1.3 % glasovnic, da bi lahko potrdili vsako dirko. Metodologija se izboljšuje in te revizije je vse lažje izvajati.
Josh: RLA se običajno opravi šele, ko so prešteti vsi glasovi. Preverjanje E2E se lahko ujema s katero koli podrobnostjo, ki jo opravijo volilni uradniki. Vsakič, ko so objavljeni štetji glasov, jih lahko takrat preverite. Običajno to vseeno naredijo šele na koncu.

Najlepša hvala Philipu, Joshu, Poorviju in Liz, ker so s skupnostjo delili svoje znanje o tem, kako lahko računalniška tehnologija služi kot pomoč pri zagotavljanju volitev. Spremljajte še en povzetek letnega srečanja AAAS, ki ga sponzorira CCC, naslednji teden v četrtek.