“新兴选举技术增强诚信、透明度和信心”AAAS 小组回顾

由柏拉图重新发布

关注： 0

安全、可靠和可由公众核实的选举是每个民主政府的重要组成部分。由于公民对缺乏透明度感到沮丧，因此美国和世界各地的选举过程都出现了公众强烈抗议。大多数 p 的选举信心public 并不容易获得，但在 AAAS 年会上 CCC 组织的小组的小组成员就我们可以采取的步骤提出了许多建议。

“新兴选举技术增强诚信、透明度和信心”AAAS 小组回顾 PlatoBlockchain 数据智能。垂直搜索。人工智能。

会议的小组成员，“新兴选举技术es 增强诚信、透明度和信心” 菲利普·B·斯塔克（加州大学伯克利分校），乔什·贝纳罗（微软研究院），以及普维·L·沃拉（乔治e 华盛顿大学）。伊丽莎白（利兹）霍华德（布伦南司法中心）是主持人。

利兹在会议开始时描述了世界各地的民主正受到攻击，我们对选举充满信心对这些制度的未来至关重要。她解释说，技术可以通过选举完整性的实质性证据来对抗这些威胁，特别是通过基于证据的选举、端到端可验证的投票系统和风险限制审计。

菲利普在小组讨论开始时假设“无论你是否相信 2020 年的选举是准确的，许多人并没有表明我们需要以产生令人信服的证据证明报告的选举结果是正确的方式进行选举。” 菲利普认为缺乏信任的解药是什么？证据。选举官员仅仅确定谁赢得了选举并宣布获胜是不够的，th公众应该得到令人信服的证据。并非所有关于选举的证据都是结果正确的肯定证据。例如，对投票系统软件的取证检查可能没有发现恶意软件——但这并不能证明结果是正确的，只能证明一种问题没有发生。同样，对纸质记录进行准确、全面的计数并不能证明结果是正确的，除非也有证据表明纸质记录准确反映了人们的投票方式。有多种方法可以收集令人信服的证据，证明选举是正确召集的，同时保持投票匿名。关键是选举应该循证，不是基于程序的，这是当前的标准。提供肯定性证据的一种方法是对安全策划的手写纸质选票进行风险限制审计 (RLA)。

RLA 需要一份可证明可信的书面记录。（可信度取决于文件记录的创建、说明和维护方式。任何依赖于不可信文件的审计都不能提供肯定的证据表明报告的获胜者确实获胜。）自 2008 年以来，RLA 在多次选举中进行了试点，并且 2018年国家科学院官方推荐. RLA 是循证选举的关键组成部分，因为它们可以产生肯定的证据，证明政治结果是准确的，而不仅仅是错误检测（例如，注意到一个公关问题与制表）。选举和审计需要持久、完整和值得信赖的投票记录，这些记录在整个拉票和审计过程中都保持物理安全。然后选举可以公开验证，这也是下一位小组成员乔希的目标。

乔什重申美国和世界各地存在选举信心危机，并将这些广泛存在的问题归咎于公共证据的死亡。他解释说，在今天的大多数选举中，我们没有向选民提供实质性证据来证明选票是正确计算的。我们要求选民信任地方选举官员、设备、设备供应商和其他人——无论这些实体是否值得信赖。他提出了解决这种缺乏公开证据的办法：端到端 (E2E) 可验证性. When an election is E2E-verifiable, voters receive direct evidence that their votes were accurately counted. 它需要一份可验证的选举记录，让选民无需信任选举的人员或技术即可确认他们的选票是否准确计票。 E2E可验证选举有两个核心原则：

选民可以验证他们自己的选择是否已被正确记录
任何人都可以验证记录的选票是否已被正确统计

这些选举对典型选举进行了一项重要修改：选民在投票时会收到一个确认码，他们可以使用该确认码来确认他们的选择记录是否正确。选民稍后可以在公共网站上确认他们的确认码是否存在，并且列出的确认码与公布的票数一致。选民可以选择只投票而不检查正确的投票记录和/或计票，或者按照他们的意愿进行彻底检查。（这里请注意，选民一旦投票就无法查看选票的内容 - 只是他们从投票时起就没有改变，并且可以选择验证。这可以防止胁迫和出售选票。）

E2E 可验证性通常需要高级加密工具，如阈值同态加密、非交互式零知识证明等。当前的美国选举援助指南包括 E2E 可验证性要求。如今，这一技术已开始在美国和世界各地使用，并在 2009 年以来的多场美国大选中进行了试点（包括 2020 年的美国众议院民主党党团领袖选举）。

从 2 年塔科马公园的市政选举开始，Poorvi 在美国的其他选举中扩展了 E2009E 可验证性的使用。这是美国第一次使用端到端可验证隐私保护技术的政府选举，任何人都可以确认tally 正确地代表了选票。选民填写了与他们对市长和理事会成员的选择相对应的椭圆形。他们使用了特殊的笔，在椭圆形中显示了用隐形墨水打印的确认编号，并且可以选择将其写下来以便以后在网站上查看，或者他们可以投票然后离开。选举保证了选民的可验证性，因为选民可以在选举网站上检查他们的确认号码，并且它具有普遍的可验证性，因为可以公开获得信息来检查计票是否根据确认号码正确计算。

Poorvi 强调，保持传统选举方法的某些方面很重要：“我们不知道如何在没有人和物理过程的情况下使选举完全安全。没有它们，注意到问题的选民无法证明它，观察者也无法区分真实的选民和撒谎的选民。” 她还解释说，结合更好地代表实地真实审计过程的数学模型可以改进 RLA。

Poorvi 通过叙述要求或允许 RLA 和其他选举验证要求的立法目前在美国许多州实施，并导致对许多具有约束力的选举进行审计，从而结束了小组讨论。然而，还有许多工作要做。需要大量敬业的个人才能在可能很快变得敌对的环境中识别和部署这些技术，但它是至关重要的是，我们投资于这些技术，以使每次选举都可以公开验证。

在小组讨论后的问答环节中，一位听众问我们现在是否有更多关于缺乏选举安全的信息，还是我们只是听到更多有关它的信息？

菲利普解释说，虽然没有证据表明今天的问题比过去更多，但对技术的依赖已经改变，这给选举过程增加了更多的漏洞，使大规模远程攻击成为可能，而从历史上看，改变大量选票需要物理访问和众多同伙。即使依靠技术，也有可能收集肯定的证据来评估结果，但困难的部分是说服政府官员开展工作，生成可信赖的书面记录，确保其保持可信，并将其用于适当的审计。
乔什指出，美国和国际上长期以来一直存在选举舞弊，但选举官员得出的结论是，美国最近几次全国选举比大多数选举都干净得多。然而，仅仅因为似乎很少有欺诈证据并不意味着我们的选举是安全的。事实上，由于有数千个并发的、单独运行的选举，攻击其中一些相对容易。在不留下证据的情况下做到这一点并不容易，但迫切需要技术来修补当前选举方式中的漏洞。至关重要的是，我们设计选举，以便公众可以验证它们。
利兹指出，认清选举官员所处的环境很重要。尽管缺乏选举舞弊的证据，但仍有 77% 的选举官员表示感到不安全，六分之一的人受到威胁。选举官员平均是年薪 1 万的 6-50 岁白人女性，她们被期望与国内外敌人作战。与选举官员合作并让他们在地方层面购买这些技术至关重要。选举制度的权力下放是抵御攻击的力量。在实施这项技术和强制执行程序方面都存在许多挑战。
Josh 反驳了 Liz 关于去中心化的观点，指出许多人认为我们系统的异构性是一种优势，如果攻击者必须攻击所有这些系统，那将是一种优势。但我们只是提供了一个不同系统的菜单供黑客攻击。所以他们可以只选择最薄弱的环节并对其进行攻击。

CCC 理事会成员 Katie Siek 问了另一个问题：你们在选举技术的无障碍方面做了什么？

菲利普：被宣传为“无障碍”的选举技术往往并非如此。此外，一些选票标记设备 (BMD) 会损害隐私，因为它们打印的投票记录看起来不像手写选票。有人说要解决这个问题，我们应该使用所有 BMD，但我不同意：普遍使用 BMD 会破坏书面记录的可信度，因为 BMD 打印输出是机器所做的记录，而不是选民所做的记录。目前的 BMD 没有为有视力障碍的选民提供一种方法来检查打印输出是否准确反映了他们的选择：他们必须相信机器“说”的和它打印的一样。 BMD 安全模型的一个严重缺陷是只有选民才能判断 BMD 是否准确打印了他们的选票，但如果选民注意到 BMD 错误地打印了他们的选择，则选民无法证明它所做的任何其他人。选民可以请求一个新的机会打印他们的选择，但选举官员无法区分选民错误、机器故障或选民喊“狼来了”之间的区别。如果一位官员认为选民机器出现故障，那么该官员唯一的选择就是取消选举并进行全新的选举，因为无法判断哪些打印输出受到了机器故障的影响。用技术术语来说，使用选票标记设备进行的选举并不是“完全独立于软件”。系统无法从检测到的错误中恢复。
乔什：有不同的方法，但总的来说，我们在美国为有视觉、运动等障碍的人所做的工作令人遗憾。他们通常不得不在角落里使用单独的设备。例如，Noel Runyon 是一位技术精明的盲人选民，他坚持使用无障碍设备进行投票，并在他的博客中撰写了相关文章。本来应该很简单的事情，他往往要花几个小时才能投票。让残疾人更容易投票的一个障碍是无障碍社区说纸质选票不起作用，而安全社区说纸质选票是唯一的方法。

接下来，CCC 委员会主席 Daniel Lopresti 问道：“你如何应对那些确信这些技术是危险的或不可信的人？”

乔什：那些人需要被认真对待。我与选举官员进行了很多讨论，他们非常谨慎和保守。当我向他们解释端到端可验证性时，他们通常很喜欢它，甚至意识到它会揭示他们犯的任何小错误。然而，有些人比人更不相信数学，这仍然是一个挑战。
菲利普：我同意这是一个问题，但我认为框架应该是教育者的问题；我的工作是用任何人都能理解的方式解释事情。我花了很多时间试图寻找隐喻、类比和例子。例如，为了解释随机抽样——一个人如何从一个小样本中了解大量人口的有用信息——我用学习咸汤的类比是基于品尝一勺（在搅拌好汤之后），无论如何大锅。
Liz：能够向观众解释它的工作原理对我们来说至关重要，如果我们不能用通俗易懂的语言解释它，那么我们就没有实现我们的目标。
菲利普：我们中的许多人都说你不应该相信目前正在进行编程的供应商，但你也不应该相信我们。选民应该能够自己检查这个过程。
Josh：不同之处在于原则上您可以自己完成所有工作；现在不诚实的选举官员可能会窃取选举。使用这项技术，您可以选择信任谁并检查自己。
Poorvi：关于选举的信息民主化，包括正在使用的代码，是一个想法。您可能不会自己编写代码，或者根本无法处理它，但信息不会仅限于少数。召集政党并让他们检查流程会很有帮助。让新闻频道宣传检查您的确认号码或观察风险限制审计也会很好。

会议的最后一个问题是“进行风险限制审计需要多长时间？是否有任何研究关注他们是否会改变主意，或者是否存在其他限制信任的混杂变量？”

菲利普：RLA 的一个问题是在选举之前，你不知道会有多少工作，因为变量太多了。您不知道利润率会有多窄，也不知道您会在审计中发现多少错误，因此很难说期望有多少工作要做。具有高效审计的大概数字是一批中的第一张选票需要 3 分钟，然后每张选票需要 1 分钟才能从该批次中进行额外的选票。你必须找到一批选票，检查/记录密封，计数成一堆，转录数据，将选票放回原位，然后重新密封。您需要抽样的选票百分比的一个例子是在奥兰治县的 191 场个人比赛中，他们本可以查看 1.3% 的选票以验证每场比赛。该方法正在改进，运行这些审计也变得越来越容易。
Josh：RLA 通常只在计算完所有选票后才进行。 E2E 验证可以匹配选举官员所做的任何粒度。每次公布票数时，您都可以在那时进行验证。通常他们只是在最后做。

非常感谢 Philip、Josh、Poorvi 和 Liz 与社区分享他们关于计算技术如何帮助确保选举安全的知识。请继续关注下周四由 CCC 赞助的另一场 AAAS 年会科学会议回顾。