«Нові виборчі технології, що підвищують чесність, прозорість і довіру» Резюме панелі AAAS

Вибори, які є безпечними, захищеними та доступними громадськості, є невід’ємною частиною кожного демократичного уряду. Були громадські протести щодо змін у виборчому процесі в США та в усьому світі, оскільки громадяни були розчаровані відсутністю прозорості. Виборча довіра з боку більшості сublic непросто отримати, але учасники дискусії, організованої CCC на щорічній зустрічі AAAS, зробили багато пропозицій щодо кроків, які ми можемо зробити, щоб зробити саме це.

Панелісти сесії «Нові виборчі технологіїes Підвищення чесності, прозорості та довіри». Філіп Б. Старк (Каліфорнійський університет, Берклі), Джош Беналох (Microsoft Research), і Пурві Л. Вора (ГеоргВашингтонський університет). Елізабет (Ліз) Говард (Бреннан Центр юстиції) був модератором.

Ліз розпочала сесію, описавши, що демократії в усьому світі зазнають нападів, і для майбутнього цих систем надзвичайно важливо, щоб ми мали довіру до виборів. Вона пояснила, що технологія може боротися з цими загрозами за допомогою суттєвих доказів чесності виборів, зокрема за допомогою виборів на основі фактичних даних, систем голосування, які можна наскрізно перевіряти, та аудитів, що обмежують ризики.

Філіп розпочав панельну дискусію, заявивши, що «незалежно від того, вірите ви, що вибори 2020 року були точними, той факт, що багато людей не вірять, свідчить про те, що ми повинні проводити вибори таким чином, щоб отримати переконливі докази того, що результати виборів є правильними». Протиотрута від браку довіри на думку Філіпа? Докази. Виборчим чиновникам недостатньо визначити, хто переміг на виборах, і оголосити цеГромадськість заслуговує на переконливі докази. Не всі свідчення про вибори є ствердним доказом того, що результати правильні. Наприклад, криміналістична експертиза програмного забезпечення системи голосування може виявити відсутність шкідливого програмного забезпечення, але це не є доказом того, що результати правильні, а лише того, що жодної проблеми не виникло. Подібним чином точний повний підрахунок слідів паперу не дає доказів того, що результат є правильним, якщо немає доказів того, що слід точно відображає те, як люди голосували. Є кілька способів зібрати переконливі докази того, що вибори було призначено правильно, зберігаючи при цьому анонімність голосування. Головне, щоб вибори були на основі доказів, а не на основі процедур, що є поточним стандартом. Одним із способів надання ствердних доказів є перевірка обмеження ризику (RLA) надійно підібраних паперових бюлетенів з ручними позначками.

RLA вимагають явно надійного паперового сліду. (Достовірність залежить від того, як створюється, обліковується та обслуговується паперовий слід. Жоден аудит, який покладається на ненадійний документ, не може дати ствердних доказів того, що заявлені переможці справді виграли.) RLA були пілотовані під час кількох виборів з 2008 року, і Національні академії офіційно рекомендували їх у 2018 році. RLA є ключовим компонентом виборів, заснованих на фактах, оскільки вони можуть генерувати ствердні докази того, що політичний результат є точним, а не просто виявлення недоліків (наприклад, помічаючи прпроблема з таблицею). Вибори та перевірки потребують надійних, повних і надійних записів про голосування, які зберігаються у фізичній безпеці під час агітації та аудиту. Тоді вибори можна буде публічно перевірити, що також є метою наступного учасника дискусії, Джоша.

Джош повторює, що в США та в усьому світі існує криза довіри до виборів, і звинувачує в цих поширених проблемах загибель публічних доказів. На більшості сьогоднішніх виборів, пояснює він, ми не надаємо виборцям суттєвих доказів того, що голоси правильно підраховані. Ми просимо виборців довіряти місцевим виборчим посадовим особам, обладнанню, постачальникам обладнання та іншим – незалежно від того, чи заслуговують довіри ці організації. Він пропонує вирішення проблеми відсутності публічних доказів: можливість наскрізної перевірки (E2E).. Коли вибори можна перевірити E2E, виборці отримують прямі докази того, що їхні голоси були точно підраховані. Для цього потрібен протокол виборів, який можна перевірити, що дозволяє виборцям підтвердити точний підрахунок своїх бюлетенів, не довіряючи людям чи технологіям, які проводять вибори. Є два основні принципи виборів, які можна перевірити E2E:

1. Виборці можуть перевірити, чи правильно зафіксовано їхній вибір
2. Кожен може перевірити, чи правильно підраховано зареєстровані голоси

Ці вибори вносять одну важливу зміну до типових виборів: під час голосування виборці отримують код підтвердження, за допомогою якого вони можуть підтвердити правильний запис свого вибору. Пізніше виборці можуть підтвердити на загальнодоступному веб-сайті, що їхні коди підтвердження присутні, а перелічені коди підтвердження відповідають оголошеним підрахункам. Виборці мають вибір: просто проголосувати і не перевіряти правильність запису та/або підрахунку своїх голосів, або перевірити так ретельно, як вони бажають. (Зауважте, що виборці не можуть переглядати вміст своїх бюлетенів після того, як вони були віддані – лише те, що вони не були змінені з моменту їх відкидання та необов’язкової перевірки. Це запобігає примусу та продажу голосів.)

E2E-перевірка зазвичай потребує передових криптографічних інструментів, таких як порогове гомоморфне шифрування, неінтерактивні докази з нульовим знанням тощо. Поточні Керівні принципи допомоги на виборах у США включають вимоги щодо E2E-перевірки. Ця техніка починає використовуватися в США та в усьому світі вже сьогодні, і була апробована на багатьох виборах у США з 2009 року (включно з виборами керівництва Палати представників Демократичної фракції у 2020 році).

Пурві розширив використання верифікації E2E на інших виборах у США, починаючи з муніципальних виборів у Такома Парк у 2009 році. Це були перші урядові вибори в Сполучених Штатах із технологією наскрізної перевірки, що зберігає конфіденційність, де кожен міг підтвердити підрахунок правильно представляв голоси. Виборці заповнювали овали, які відповідали їхнім обранням на посади міського голови та депутата ради. Вони використовували спеціальні ручки, які показували номери підтвердження, надруковані невидимим чорнилом в овалах, і мали можливість записати їх, щоб пізніше перевірити їх на веб-сайті, або вони могли просто проголосувати та піти. Вибори гарантували можливість перевірки виборців, оскільки виборці могли перевірити свої номери підтвердження на виборчому веб-сайті, і вони мали загальну можливість перевірки, оскільки інформація була загальнодоступною, щоб перевірити, чи було правильно обчислено підрахунок на основі номерів підтвердження. 

Пурві підкреслив, що збереження деяких аспектів традиційних методів виборів є важливим: «Ми не знаємо, як зробити вибори повністю безпечними без людей і фізичних процесів. Без них виборець, який помічає проблему, не може її довести, а спостерігачі не можуть відрізнити правдивого виборця від того, хто бреше». Вона також пояснила, що впровадження математичних моделей, які краще представляють реальний процес аудиту на місцях, може покращити RLA.

Пурві завершив дискусію, зазначивши, що законодавство, яке вимагає або дозволяє RLA та інші вимоги щодо перевірки виборів, зараз діє в багатьох штатах США, і це призвело до перевірок багатьох обов’язкових виборів. Однак багато ще належить зробити. Потрібна величезна кількість відданих людей, щоб визначити та застосувати ці методи в середовищах, які можуть стати ворожими дуже швидко, але це вкрай важливо, щоб ми інвестували в ці технології, щоб усі вибори могли перевірятися громадськістю.

Під час запитань і відповідей після дискусії учасник аудиторії запитав, чи ми зараз маємо більше інформації про відсутність безпеки виборів, чи ми просто чуємо більше про це? 

• Філіп пояснив, що хоча сьогодні немає доказів більшої кількості проблем, ніж у минулому, залежність від технологій змінилася, що додало більшої вразливості виборчому процесу, уможливлюючи масові дистанційні атаки, хоча історично зміна значної кількості голосів вимагала б фізичний доступ та численні спільники. Навіть покладаючись на технологію, можна зібрати підтверджувальні докази для оцінки результату, але найважче переконати урядовців виконати роботу зі створення надійного паперового сліду, переконатися, що він залишається надійним, і використовувати його під час відповідних перевірок.
• Джош зазначив, що фальсифікації виборів у США та за кордоном вже давно відбуваються, але представники виборчих органів дійшли висновку, що останні кілька національних виборів у США були набагато чистішими, ніж більшість. Проте те, що здається дуже мало доказів фальсифікацій, не означає, що наші вибори безпечні. Фактично, через тисячі одночасних індивідуальних виборів відносно легко атакувати деякі з них. Це нелегко зробити, не залишивши доказів, але існує нагальна потреба в технології, щоб залатати діри в тому, як зараз проводяться вибори. Вкрай важливо, щоб ми розробили вибори так, щоб широка громадськість могла їх підтвердити.
• Ліз зазначила, що важливо визнати середовище, в якому опинилися виборчі офіційні особи. Незважаючи на відсутність доказів фальсифікації виборів, 77% виборчих офіційних осіб сказали, що вони почувалися небезпечно, а кожному шостому погрожували. Середня посадова особа на виборах – це біла жінка віком 1-6 років, яка отримує річну зарплату 50 тисяч, і очікується, що вони будуть боротися з внутрішніми та міжнародними ворогами. Важливо налагодити партнерство з виборчими чиновниками та залучити їх до цих технологій на місцевому рівні. Децентралізація виборчої системи – це сила проти нападу. Існує багато проблем як із запровадженням цієї технології, так і з обов’язковими процедурами.
• Джош заперечив думку Ліз про децентралізацію, заявивши, що багато людей вважають, що неоднорідність наших систем є сильною стороною, і це було б, якби зловмиснику довелося атакувати їх усі. Але ми просто пропонуємо меню різних систем для атаки хакера. Тож вони можуть просто вибрати найслабшу ланку й атакувати її.

Член Ради CCC Кеті Сік поставила інше запитання: що ви робите для доступності виборчих технологій?

• Філіп: Виборчі технології часто рекламуються як «доступні». Крім того, деякі пристрої для маркування бюлетенів (BMD) порушують конфіденційність, оскільки друкують протокол голосування, який не схожий на паперовий бюлетень, позначений вручну. Деякі кажуть, що для боротьби з цією проблемою ми повинні використовувати всі BMD, але я не згоден: загальне використання BMD підриває достовірність паперового сліду, оскільки роздруківка BMD є записом того, що робила машина, а не записом того, що робив виборець. Поточні BMD не надають виборцям з вадами зору можливості перевірити, чи роздруківка точно відображає їхній вибір: вони мають вірити, що те, що «скаже» машина, є таким самим, як і те, що вона надрукувала. Серйозним недоліком моделі безпеки BMD є те, що лише виборець може визначити, чи BMD правильно надрукував його голоси, але якщо виборець помітить, що BMD надрукував його вибірку неправильно, виборець не зможе довести, що хтось інший, хто це зробив. Виборець може запросити новий шанс надрукувати свої вибори, але офіційний представник виборчої комісії не може відрізнити помилку виборця, несправність машини чи виборець, який кричить «вовк». Якщо чиновник вважає виборця, що машина несправна, єдиний вихід чиновника – скасувати вибори та провести абсолютно нові, оскільки неможливо визначити, на які роздруківки вплинула неправильна поведінка машини. З технічної точки зору, вибори, які проводяться за допомогою пристроїв для позначення бюлетенів, не є «суттєво незалежними від програмного забезпечення». Система не може відновитися після виявлених помилок.  
• Джош: Існують різні підходи, але загалом ми робимо жалюгідну роботу в США для людей з вадами зору, моторики тощо. Для них зазвичай доводиться використовувати окремий пристрій в кутку. Наприклад, Ноель Раньон — технічно проникливий сліпий виборець, який наполегливо використовує доступні пристрої для голосування та пише про це статті у своєму блозі. Часто йому потрібні години, щоб проголосувати, хоча це мало бути просто. Перешкодою для полегшення голосування для людей з обмеженими можливостями є те, що спільнота доступності каже, що паперові бюлетені не працюють, а спільнота безпеки каже, що папір є єдиним способом.

Далі Даніель Лопресті, голова ради CCC, запитав: «Як ви маєте справу з людьми, які переконані, що ці технології небезпечні або не заслуговують на довіру?» 

• Джош: Цих людей потрібно сприймати серйозно. У мене було багато дискусій з виборчими чиновниками, і вони дуже обережні та консервативні. Коли я пояснюю їм наскрізну перевірку, їм це подобається, навіть усвідомлюючи, що це виявить будь-яку незначну помилку, яку вони допускають. Однак деякі люди довіряють математиці менше, ніж людям, і це залишається проблемою.
• Філіп: Я згоден, що це проблема, але я думаю, що це проблема для педагогів; це моя робота — пояснювати речі так, щоб кожен міг їх зрозуміти. Я витрачаю багато часу на пошук метафор, аналогій і прикладів. Наприклад, щоб пояснити випадкову вибірку — як можна дізнатися щось корисне про величезну сукупність із невеликої вибірки — я використовую аналогію з тим, щоб дізнатися, наскільки солоний суп, ґрунтуючись на спробі лише ложки (після того, як добре перемішати суп), незалежно від того, як великий горщик.
• Ліз: Для нас дуже важливо пояснити аудиторії, як це працює, якщо ми не можемо пояснити це зрозумілими словами, тоді ми не досягли своєї мети.
• Філіп: Багато хто з нас каже, що ви не повинні довіряти постачальникам, які зараз займаються програмуванням, але ви також не повинні довіряти нам. Виборці повинні мати можливість самостійно перевірити процес.
• Джош: Різниця в тому, що в принципі ви можете зробити все самі; прямо зараз нечесні виборчі чиновники можуть вкрасти вибори. За допомогою цієї технології ви можете вибрати, кому довіряти і перевіряти себе.
• Пурві: Ідеєю є демократизація інформації про вибори, включно з кодом, який використовується. Ви можете не написати код самостійно або взагалі не зможете його обробити, але інформація не буде обмежена кількома. Було б корисно зібрати разом політичні партії та запропонувати їм перевірити процес. Також було б добре, щоб канали новин рекламували перевірку ваших номерів підтвердження або спостереження за аудитами з обмеженням ризику.

Останнім питанням сесії було «Скільки часу потрібно, щоб провести аудит обмеження ризиків? Чи є якісь дослідження, які вивчали, чи змінюють вони свою думку, чи існують інші змінні, які обмежують довіру?»

• Філіп: Одна проблема з RLA — перед виборами, ви не знаєте, скільки буде роботи, тому що є дуже багато змінних. Ви не знаєте, наскільки вузькими будуть межі або скільки помилок ви знайдете під час аудиту, тому важко сказати, скільки роботи очікувати. Показники ефективності аудиту: перше голосування з пакету займає 3 хвилини, а потім 1 хвилина на голосування для додаткових бюлетенів із цього пакету. Ви повинні знайти партію бюлетенів, перевірити/записати печатки, перерахувати в стопку, переписати дані, повернути бюлетені на свої місця та повторно опечатати. Прикладом відсотка виборчих бюлетенів, який вам потрібно було б взяти в окрузі Орандж для 191 окремої гонки, є те, що вони могли переглянути 1.3% бюлетенів, щоб мати можливість підтвердити кожну гонку. Методологія вдосконалюється, і проводити ці аудити стає легше.
• Джош: RLA зазвичай проводиться лише після підрахунку всіх голосів. Перевірка E2E може відповідати будь-якій деталізації, яку виконують виборчі офіційні особи. Щоразу, коли публікується підрахунок голосів, ви можете перевірити це в той час. Зазвичай вони просто роблять це в кінці.

Велике спасибі Філіпу, Джошу, Пурві та Ліз за те, що вони поділилися зі спільнотою своїми знаннями про те, як обчислювальна технологія може допомогти у забезпеченні виборів. Слідкуйте за новинами, щоб наступного тижня в четвер підвести підсумок наукової сесії щорічної зустрічі AAAS, яку спонсорує CCC.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://feeds.feedblitz.com/~/732489284/0/cccblog~%e2%80%9cEmerging-Election-Technologies-Enhancing-Integrity-Transparency-and-Confidence%e2%80%9d-AAAS-Panel-Recap/