Сдвиг по фазе
Сдвиг по фазе
Автор: Киви Берд
Минувший декабрь ознаменовался двумя важными для сферы электронных систем голосования событиями, которые, казалось бы, противоречат друг другу. С одной стороны, парламент Эстонии одобрил закон, согласно которому эта страна стала первой в мире, где выборы верховной власти теперь разрешено осуществлять не только через Интернет, но и с личного мобильного телефона. С другой же стороны, Национальный институт стандартов и технологий (НИСТ) США опубликовал обстоятельный отчет о проблемах дистанционного электронного голосования[vote.nist.gov/uocava-threatanalysis-final.pdf.], констатирующий, что применяемые на сегодняшний день технологии не способны обеспечить надлежащие безопасность и целостность выборов через Интернет и телефонные сети.
Все суверенные государства, спору нет, вольны иметь собственное мнение относительно того, как им лучше и удобнее устраивать выборы. Однако компьютерные технологии, на основе которых приходится создавать национальные системы электронного голосования, одинаковы для всех. А потому имеет смысл разобраться, что же означает эта явно противоречивая ситуация.
Впереди планеты всей
Итак, согласно новому закону небольшой, но весьма компьютеризированной Эстонии (которую соседи-европейцы в шутку предлагают переименовать в E-stonia) начиная с 2011 года избиратели получат возможность голосовать на парламентских выборах через собственные мобильные телефоны.
Судя по всему, ничего подобного пока нет ни в одной другой стране мира, однако нельзя сказать, что для самих эстонцев эта новость стала неожиданной. К примеру, система электронного голосования через Интернет внедряется здесь с 2002 года, то есть практически одновременно с общенациональным вводом идентификационной смарт-карты (ID-kaart), играющей роль обязательного электронного паспорта для всех граждан старше пятнадцати лет.
В 2005 году онлайновая система голосования впервые была испытана в реальных условиях - на выборах в муниципальные органы власти. А еще через два года Эстония первой в мире (так, во всяком случае, уверяют местные официальные источники) дала гражданам возможность голосовать в онлайне и на парламентских выборах. Этой возможностью - виртуально опустить свой бюллетень через Сеть - из 940 тысяч зарегистрированных избирателей тогда воспользовались тридцать с небольшим тысяч.
Принципиально важным условием для участия в "выборах по-новому" было наличие подключенного к Интернету компьютера, имеющего считыватель смарт-карт.
Вводимая же ныне система "мобильного голосования", по свидетельству властей, уже проходит рабочее тестирование.
Избирателям, желающим к ней присоединиться, понадобится получить дополнительный бесплатный чип авторизации, встраиваемый в сотовый телефон.[Технические подробности этой модификации пока официально не раскрывались, но "сведущие источники" говорят о неких манипуляциях с SIM-картой.] Эти чипы будет выдавать тот же национальный сертификационный центр (SK), что выпускает персональные ID-карты для всех граждан Эстонии. По словам Рауля Каидро (Raul Kaidro), официального представителя SK, чип будет удостоверять личность избирателей и санкционировать их участие в работе общенациональной системы электронного голосования.
Объявляя о своих новаторских инициативах, власти Эстонии считают нужным подчеркнуть, что электронное дистанционное голосование призвано дополнить, а отнюдь не заменить традиционную процедуру подачи голосов. Главная идея этой системы - предоставить избирателям возможность голосовать в том месте, где им удобнее, без необходимости являться на избирательный участок.
Таким образом, на сегодняшний день общую процедуру электронных выборов в Эстонии уже можно считать полностью отработанной. Согласно установленному порядку, электронное голосование происходит во время предварительных выборов (за 4–6 дней до официального дня выборов), а для проверки полномочий избирателей используются либо электронные ID-карты, либо - в ближайшем будущем - модифицированные сотовые телефоны. Для случая ID-карты процесс голосования состоит из следующих этапов[Официальный источник www.vvk.ee.].
Избиратель вставляет свою ID-карту в терминал-считыватель, подсоединенный к компьютеру, и идет на веб-страницу голосования (www.valimised.ee).
Избиратель подтверждает свою личность вводом пин-кода к ID-карте (PIN1).
Сервер проверяет подлинность личности, сравнивая считанные и введенные данные с информацией из реестра народонаселения.
Избирателю предлагается список кандидатов для соответствующего избирательного округа.
Избиратель делает выбор, который перед отправкой зашифровывается.
Избиратель подтверждает свой выбор цифровой подписью (вводом другого пинкода, PIN2, специально для этого предназначенного, поскольку эстонская ID-карта изначально создавалась со встроенной криптографической функциональностью для электронной цифровой подписи, которая по закону приравнена к подписи рукописной).
При подсчете голосов цифровая подпись избирателя удаляется, и на финальной стадии члены Национального избиркома совместно открывают анонимные электронные бюллетени и подсчитывают голоса.
Одна из особенностей описанной процедуры заключается в том, что при электронном методе у граждан Эстонии имеется возможность переголосовать. То есть избиратель может через онлайн отдать свой голос еще раз, а предыдущий голос будет автоматически аннулирован. (Считается, что этим сделана подстраховка от случаев голосования под принуждением.)
Кроме того, за традиционным голосованием оставлен безусловный приоритет.
Если избиратель лично придет на участок в период предварительного голосования, заполнит и опустит в урну бумажный бюллетень, то его электронный голос, поданный ранее, подлежит аннулированию. Однако в официальный день выборов уже зарегистрированные электронные голоса нельзя ни изменить, ни аннулировать.
После того как электронные выборы и предварительные выборы на участках заканчиваются (за три дня до официального дня выборов), все избиратели, проголосовавшие через онлайн, объединяются в общий список, который рассылается по избирательным участкам. Там в списках избирателей делают отметку против тех лиц, которые уже проголосовали электронным способом. Таким путем устраняется возможность повторного голосования в день выборов.
"Эта система и поддерживающее ее работу программное обеспечение, говорит Рауль Каидро, уже доказали свою эффективность и надежность в ходе независимой аудиторской проверки". Все сомнения относительно известных проблем и неясностей вокруг дистанционного электронного голосования г-н Каидро решительно отмел, заявив, что данная система - "наиболее безопасный способ для установления подлинности цифровых подписей".
Эстонские власти предполагают, что выборы 2011 года станут в своем роде первыми в мире, хотя известно, что соседние Финляндия и Швеция тоже располагают программным обеспечением и техническими возможностями для подобных "сотовых выборов". Попутно было заявлено, что, по мнению эстонского руководства, в 2007 году созданная здесь система интернетголосования уже доказала свою безопасность, несмотря на беспокойство по поводу хакерских атак, подделки личностей и манипуляций с подсчетом голосов избирателей.
Глядя из Америки
Прежде чем переходить к сути отчета НИСТ, изучавшего проблемы дистанционного электронного голосования применительно к условиям выборов в США, уместно сделать несколько предварительных замечаний.
Во-первых, из-за очень большого числа американцев, особенно военных, работающих вдали от дома, заманчивые преимущества онлайнового голосования давно привлекают интерес государственной администрации и Пентагона.
Во-вторых, поскольку за разработки в этом направлении Соединенные Штаты взялись гораздо раньше Эстонии, уже к началу 2004 года у военных была готова система онлайнового голосования SERVE (см. врезку), которая, по оценкам Пентагона, расценивалась как вполне надежная и безопасная.
Наконец, в силу специфики развитого гражданского общества, характерного для США, на финальном этапе внедрения SERVE к участию к выборам была привлечена независимая комиссия специалистов - которые компетентно и убедительно разгромили весь этот проект от начала до конца, из-за чего его пришлось тут же и навсегда свернуть, не дожидаясь президентских выборов.
Этот неожиданный поворот, впрочем, не остановил горячих сторонников электронных систем голосования. По этой причине трое из авторов отчета, зарубившего SERVE, - Ави Рубин (Aviel Rubin) из Университета Джонса Хопкинса, Дэвид Джефферсон (David Jefferson) из Ливерморской национальной лаборатории им.
Лоуренса и независимый консультант Барбара Саймонс (Barbara Simons), прежде возглавлявшая IBM Research и компьютерную ассоциацию ACM, - в 2007 году сочли необходимым еще раз выступить с предупреждением о неразумности инициатив в означенном направлении[www.servesecurityreport.org/SERVE_Jr_v5.3.pdf.].
Нижеследующая цитата передает суть предостережений.
"Обе нынешние архитектуры - как ПК, так и Интернета - являются в столь высокой степени небезопасными платформами, что на их основе в принципе невозможно разработать безопасную систему для выборов в сколько-нибудь серьезные органы власти. Время от времени тот или иной человек или компания объявляют, что им удалось "решить" проблемы безопасности для выборов на основе Интернета. Такие решения в типичных случаях имеют дело лишь с самыми простыми операциями (аутентификация избирателя, безопасная пересылка бюллетеней), применяя к ним разного рода механизмы шифрования.
Но неизменно одно - наиболее серьезные уязвимости системы при этом игнорируются, всячески преуменьшаются или обходятся заведомо неэффективными способами. Такие уязвимости включают в себя трудно выявляемые или вообще невыявляемые атаки инсайдеров самого разного рода, фишинг-атаки, DNS-атаки, спуфинг-атаки, атаки вирусами и троянцами-бэкдорами, распределенные атаки типа отказ в обслуживании, не говоря уже об автоматизированных схемах по скупке и перепродаже голосов избирателей.
В подавляющем большинстве проблемы с безопасностью интернет-голосования изначально присущи любому приложению, работающему с ПК и Интернетом, и потому они на фундаментальном уровне не имеют эффективных решений. Именно по этой причине основная часть электронной почты, пересылаемой сейчас через Интернет, - это спам. А примерно 50% ПК (по грубым оценкам), подсоединенных к Сети, заражены вредоносными программами. И это несмотря на более чем десятилетие напряженных усилий и огромных инвестиций со стороны ведущих хайтек-компаний мира, пытающихся решить эти проблемы.
Дело тут не просто в том, что решения для проблем интернет-голосования пока не придумано, а в том, что фундаментальное решение здесь невозможно в принципе - если речь идет о нынешних интернетпротоколах и нынешних программноаппаратных платформах персональных компьютеров. И пока что на горизонте не видно никаких существенных перемен в интернет- и ПК-платформах, необходимых для поддержки безопасных онлайновых выборов".
Завершая столь развернутое цитирование доводов из документа, представляющего хоть и компетентное, но сугубо личное мнение видных специалистов, необходимо подчеркнуть, что их позиция далека от взглядов, которые преобладают во властных структурах американского государства.
Там по сию пору предпочитают считать, что электронное онлайновое голосование - это ближайшее будущее, и воплотить его в жизнь мешают лишь несколько технических препятствий, победа над которыми откладывается из-за досадных, но вполне преодолимых причин.
Именно поэтому особый интерес представляет новый отчет НИСТ. Эксперты этого института по заказу EAC, национальной Комиссии по содействию выборам, провели исследование не только онлайновых и телефонных, а вообще всех ранее предлагавшихся методов дистанционного голосования, включая электронную почту и факсимильную связь.
Главный вывод этого исследования примерно таков. Избирательные бюллетени вполне возможно безопасно доставлять электронными методами всем гражданам, находящимся за рубежом, однако доставить назад отданные ими голоса столь же безопасным образом весьма проблематично. В частности, очень трудно одновременно гарантировать, что электронный бюллетень пришел именно от зарегистрированного избирателя и не был изменен на этапе доставки, и при этом надежно защищать тайну голосования.
В отчете НИСТ подробно рассмотрены проблемы, связанные с дистанционным голосованием по проводным телефонам, факсу и электронной почте, однако для нас наибольший интерес представляют выводы относительно голосования через Интернет по общепринятым веб-протоколам.
Всякое голосование через веб-страницу, говорится в отчете, означает "очень большую долю доверия, которое должно возлагаться на программное обеспечение, управляющее работой избирательного сервера для строгой и точной регистрации голосов, поскольку здесь у избирателей не будет возможности непосредственно удостовериться, что их бюллетени зарегистрированы правильно".
Как и система голосования по электронной почте, онлайновая система на основе веб-страниц требует опоры на компьютерную технику, находящуюся вне контроля сотрудников избирательной комиссии. "Атаки на подобную технику, в частности на компьютеры избирателей, могут существенно угрожать целостности избирательного процесса или возможностям избирателей отдать свои голоса", утверждают авторы отчета.
Кроме того, избирателей можно обманом вынудить к раскрытию своих избирательных полномочий (атака "человек посередине").
В отчете отмечается, что такие фишингатаки являются общераспространенными в банковской индустрии и надежно защититься от них чрезвычайно сложно. "В этой индустрии, - добавляет НИСТ, - были и остаются весьма существенные проблемы.
Технологии, которые применяются сегодня повсеместно, не способны уменьшить многие из угроз для безопасной подачи избирательных бюллетеней через Веб".
Иначе говоря, в чуть более округлых и дипломатичных формулировках новый отчет НИСТ подтвердил те выводы о небезопасности онлайнового голосования, которые в куда более острой форме высказали Рубин, Джефферсон и Саймонс.
Глядя из Европы
Смелые новации Эстонии с выборами через Интернет и мобильные телефоны вызывают безусловный интерес в Европе. Тем более что в Евросовете с некоторых пор работает специальная Подкомиссия электронного голосования, уже успевшая принять документ о необходимости внедрения и продвижения новых методов дистанционного голосования через Интернет.
Особый интерес к инициативам эстонцев проявляют их соседи финны, которые тоже пытаются экспериментировать с электронными системами голосования. Правда, пока что не на основе собственных ПК или телефонов избирателей, а через специализированные компьютеры на избирательных участках. Однако на последних выборах применение машин голосования обеспечило не столько успех мероприятия, сколько потерю ощутимого количества голосов. Эта история получила в Финляндии большой резонанс и сейчас досконально разбирается судебными инстанциями. Но в целом финские сторонники электронных систем голосования то и дело кивают на опыт Эстонии - как на пример работоспособной системы электронных выборов. Если, мол, у них получается, то почему мы не можем?
Своеобразный ответ на этот вопрос нашел один из финских специалистов по компьютерной безопасности Сами Лиедес (Sami Liedes). Он долго и пристально изучал материалы об эстонской системе голосования по сообщениям мейнстрим-прессы и не мог не обратить внимания, что все они, словно сговорившись, умалчивают о недостатках, присущих любым системам онлайнового голосования. Создается впечатление, заключает Лиедес, что в Эстонии это практически никого не волнует.
Пока не волнует.
Система serve
Разработанный по заказу Пентагона проект SERVE (Secure Electronic Registration and Voting Experiment) почти сделал реальностью удобное онлайновое голосование через Интернет для граждан США, находящихся за рубежом. Желая убедить общественность в безопасности и надежности этой системы, Министерство обороны пригласило группу из десяти независимых экспертов, чтобы они непредвзято оценили SERVE.
Итог экспертизы оказался для Пентагона абсолютно неожиданным.
В отчете комиссии (www.servesecurityreport.org) был сделан вывод, что и новая система SERVE, и вообще голосование через Интернет "предоставляют злоумышленникам чересчур много возможностей вмешиваться в процесс честного голосования, причем такими способами, которые потенциально невозможно выявить… Подобные манипуляции способны изменить результаты выборов, особенно в условиях острой конкуренции и примерно равных шансов кандидатов на победу".
По заключению экспертов, эта система уязвима для всевозможных атак и злоупотреблений настолько, что ее разработку следует свернуть в принципе: "Поскольку опасность успешных широкомасштабных атак так велика, мы вынуждены рекомендовать прекратить разработку SERVE и не пытаться делать ничего подобного в будущем - до тех пор, пока и Интернет, и мировая инфраструктура домашних компьютеров не будут фундаментально переделаны или пока не случится радикальный прорыв в системах безопасности".
Особо опасной при организации онлайнового голосования была сочтена атака типа отказ в обслуживании, способная избирательно блокировать работу компьютеров в Сети. Другие виды атак позволяют дистанционно размещать ложный веб-сайт между голосующим и сервером аутентификации (известная атака "человек посередине") или использовать вирусы, способные изменять выбор избирателя до того, как он будет отправлен по зашифрованному каналу связи. Вдобавок, как и во всех прочих безбумажных системах голосования, нет никакого способа удостовериться, что голос, зарегистрированный внутри системы, - тот же самый, что и отданный избирателем.
Перечисление всевозможных слабостей и серьезных уязвимостей системы SERVE заняло в отчете 34 страницы, которых оказалось вполне достаточно, чтобы через две недели после публикации - в феврале 2004 года - руководство Пентагона объявило о полном сворачивании проекта.