Что же не так с любыми электронными голосованиями?

Данная публикация написана по мотивам поста «Что же не так с ДЭГ в Москве?». Его автор описывает, как можно выгрузить и расшифровать данные по электронному голосованию, а также приводит целый список замечаний к его текущей системе.

Статья хорошая, её выводы и замечания я полностью поддерживаю, но мне захотелось дополнить её в обеих частях. Первая — с анализом того, как в процессе голосования менялись отданные за различных кандидатов голоса; вторая — моя позиция о фундаментальных недостатках любого электронного голосования, которые неустранимы на практике (особенно в современной России).

Аномалии в динамике распределения голосов

Во-первых, я последовал инструкции, выгрузил дамп с голосами по одномандатному голосованию, и сделал вот такие интерактивные визуализации по каждому округу:

Обратите внимание, что по вертикали здесь отложены проценты голосов за каждый 20-минутный период, а не абсолютное число голосов. Поэтому в ночные периоды эти проценты сильно «скачут» — просто из-за того, что голосов там мало. А вот что более интересно — это динамика доли голосов за административного кандидата. Во-первых, виден скачок в самом начале, который постепенно убывает с течением времени (то есть по какой-то причине сторонникам провластного кандидата хотелось проголосовать как можно раньше — особенно в самые первые часы первого дня голосования). Во-вторых, в третий день наблюдается ещё более заметный «горб» с 2 часов ночи до примерно 2 часов дня — с перерывом с 12 до 13. Какая естественная причина могла сподвигнуть избирателей дружно выбрать такой период для голосования за подобных кандидатов — остается лишь гадать.

На приведённых графиках можно спрятать любой из сегментов, и вот как меняются соотношения, если спрятать кандидата, занявшего первое место:

Видно, что странный горб в третий день бесследно исчезает, а соотношения между голосами выравниваются. Важно отметить, что я тут привожу пример только одного округа, но самое интересное, что подобные аномалии видно на каждом из 15 округов Москвы. В каждом округе именно у провластного кандидата (и только у него) есть скачок в начале графика, и везде странный горб в третий день. Если просуммировать данные по каждому округу, эти аномалии видны ещё лучше (заодно сглаживаются ночные флуктуации):

Добавлю, что я не первый, кто провёл этот анализ — я лишь перепроверил (и чуть иначе визуализировал) выводы, сделанные командой Анастасии Брюхановой, которая побеждала в Ленинградском округе, но (как и ряд кандидатов в других округах) проиграла из-за этих необъяснимых аномалий. Вот их видео с разбором этих проблем:

Отмечу также, что я также обнаружил на Гитхабе ещё один инструмент для выгрузки этих данных по Москве, и ещё одни графики, построенные по ним в DataLens. Можно убедиться, что они совпадают с моими наблюдениями и наблюдениями команды Брюхановой. ЦИК же, ожидаемо, никаких проблем в них не увидел.

Почему электронное голосование всегда будет хуже бумажного

Критики в сторону текущей реализации ДЭГ очень много. Напомню вкратце основные отмеченные проблемы:

• В базе голосов присутствуют как актуальные, так и отменённые из-за переголосований бюллетени. Сейчас нет никакого публичного способа их отличить, а следовательно корректно перепроверить итоги выборов.

• На выборах в Госдуму даже не была публично завершена расшифровка всех бюллетеней — хотя их и возможно дорасшифровать самостоятельно. Отдельно замечу, что один бюллетень (с хэшом f07ee512b57bc7d6176592ee6a4ab2526c025af2d57cd9e636c038e61b57db06) не удается расшифровать в принципе. Я пока объяснений не видел (и у меня нет гипотез), как он попал в блокчейн, но это выглядит нехорошим звоночком.

• Итоги были подведены спустя значительное время после завершения выборов. При этом наблюдатели лишились возможности следить за процессом непосредственно в момент окончания приема голосов (19 сентября в 20:00) из-за истекшего сертификата. То есть никакого контроля за работой системы не осуществлялось, а результаты были просто представлены позднее независимо от неё.

• Не скрывается, что за выдачу вышеупомянутых сертификатов была ответственна ФСБ. Не удивлюсь, если в целом их позиция в том, что в любой окологосударственной электронной системе, использующей криптографию, должны быть предусмотрены бэкдоры для них. Это вызывает опасения как в плане предвзятости самой службы в пользу текущей власти, так и потенциального использования бэкдоров третьими лицами.

• Наблюдатели, следившие за ходом электронного голосования, слабо понимали технический смысл происходящего — и их сложно в этом винить, так как система сделана переусложнённой и малопонятной даже для IT-специалистов.

• Нет никакого способа удостовериться, что опубликованные исходные коды ДЭГ соответствуют тем, которые применяются фактически. Я не слышал, чтобы кто-то проводил её независимый аудит.

• Возможность убедиться, что голос был сохранён в блокчейне, хотя и присутствует у избирателей, однако требует выполнения ряда неочевидных действий, о которых нужно знать заранее. Очевидно, что не сильно подкованный технически избиратель данной возможностью не воспользуется, в интерфейсе она не представлена, а разработчики и вовсе говорят, что «нормативно это вообще запрещено». То есть это действие, которое реализуемо технически, но запрещённое некими формальными правилами.

Всё это абсолютно валидные претензии к системе (в дополнение к вышеупомянутым аномалиям, а также традиционным статистически выявляемым фальсификациям на обычных участках). Однако я хочу (и даже вынес это в заголовок) взглянуть на более общую картину, касающуюся различий между электронными и «бумажными» голосованиями.

Если послушать интервью с главным «локомотивом» ДЭГ Алексеем Венедиктовым, то можно понять, что все замечания к этой системе он воспринимает как обычные багрепорты, которые просто можно пофиксить в следующей версии (и тогда у нас наступит светлое электронное будущее). Тех же, кто выступает против электронных голосований как таковых, он приравнивает к антиваксерам и прочим маргиналам, выступающим против прогресса.

Поэтому я считаю очень важным обсуждать именно этот момент: Венедиктов заблуждается, у любого электронного голосования остаются неразрешимые фундаментальные проблемы, которых нет у физического. С одной стороны, позицию его можно в чём-то понять: он представляет команду, которая пилит какой-то продукт, и конечно им хочется верить, что его можно отточить и наладить — и внутренне это действительно так. Но важно помнить, что этот продукт — лишь часть цельной системы, и пока у неё остаются более слабые места, она останется слабой в целом.

Лично это мне видится как производство супер-навороченного замка, который хоть и красиво блестит (и может даже быть исследован и оттестирован изнутри), но повешен на сарай с дырами в стенах (через которые и полезут злоумышленники).

Здесь таким замком выступает хвалёный блокчейн, который якобы нельзя подделать (хотя с учётом переголосований выходит, что и можно). Даже если он решит задачу надёжного хранения отданных голосов, это не даст никаких возможностей проверить, откуда они поступают.

Сравните роль наблюдателей на традиционном и электронном голосованиях. Наблюдатель на участке видит живого человека, с паспортом, который получает бюллетень, ставит в нём галочку, опускает в опечатанную урну, а затем следит за тем, как эти бюллетени подсчитывают. Что видит наблюдатель в электронном голосовании? Как в некую базу данных откуда-то прилетают некие бюллетени. Продолжая аналогии, это как если бы наблюдение велось не за всем происходящим на участке, а только за содержимым урны — мы только видим, что в неё неизвестно откуда сыпятся бюллетени (и вроде ничего не высыпается — но в текущей системе даже это неверно).

Если максимально упрощать, избиратель — это всегда объект физического мира. Чтобы взаимно однозначно перевести его в электронное представление, необходим какой-то компонент, которому мы доверяем. В Эстонии, например, государство выдает ID-карты для этой цели, а у нас — насколько я понимаю, Госуслуги передают информацию об авторизованном избирателе в ГАС Выборы. Когда мы сравниваем такие системы, нужно сравнивать и степень доверия, соответственно, этим компонентам. Но самое важное это то, что традиционное голосование не требует такого доверия к единому компоненту — процесс можно контролировать независимо извне (наблюдатель видит именно живого человека, а не заверенную кем-то цифровую подпись).

Ещё один тонкий момент, которого я коснулся выше — анонимность. Голосование, с одной стороны, должно быть тайным, чтобы на избирателя нельзя было оказать административное давление, а с другой — желательно быть уверенным, что каждый отданный голос будет учтён в подсчёте. В текущей реализации получается так, что, с одной стороны, проверить свой голос вроде как можно, но по сложной инструкции (т.е. избиратель должен либо понимать, что делает, либо доверять составителю). Но ничего не мешает принуждать людей пользоваться этой инструкцией, а после расшифровки проверять, правильно ли они голосовали. Да, я уже предвижу комментарии о том, что это исправимо с помощью гомоморфного шифрования и прочих весёлых криптографических ухищрений. Я соглашусь, что это красивые математические решения и они даже могут работать в теории — но только если допустить, что страна населена роботами, каждый из которых способен вникнуть в суть этих непростых криптографических схем. К сожалению, в реальности я бы на это не рассчитывал.

И, наконец, вредоносное программное обеспечение. Если бы речь шла лишь о применении КОИБов для «цифровизации» выборов, можно было бы надеяться, что их начинка не искажает подсчёт голосов (хотя это тоже требует доверия к её разработчикам, а по факту в ней уже находили ряд уязвимостей). Но сейчас для голосования применяются компьютеры самих избирателей, которые вполне могут быть подвержены заражению вирусами. Компроментация конечного устройства сводит на нет всю защиту «по пути» — если, скажем, у пользователя стоит расширение, переставляющее на веб-страничке галочки местами, то никакая криптография его не спасёт. И это фальсификации, которые возможно делать не в масштабах одного участка, а в масштабах всей страны. Что характерно, заниматься этим может уже не только государство, а любые злоумышленники (привет государственной паранойе на тему иностранных вмешательств :)

Заключение

Нынешняя реализация ДЭГ — плохая. К ней зафиксировано много претензий, а в результатах — много фальсификаций. Все, кстати, обращают внимание на московскую, а шесть других округов (в которых использовалась несколько другая реализация) остаются в тени. Но проблема не столько с текущей реализацией, сколько с электронными голосованиями в принципе. В отличие от бумажных голосований, они требуют гораздо больше доверия к организаторам выборов и собственному государству, поскольку не дают даже теоретических инструментов для независимого наблюдения в той степени, в которой оно возможно в традиционных выборах.

Это не значит, конечно, что бумажные выборы идеальны — но там хотя бы есть понятные пути для предотвращения вбросов и фальсификаций. Эти пути нужно применять (идти в наблюдатели) и усиливать (а не отбирать, например, публичный доступ к видеонаблюдению, и не обфусцировать результаты выборов). Это будет прогрессивно. А переход к электронному голосованию — это регресс, как бы противоречиво на первый взгляд это ни казалось.

Напоследок предлагаю также посмотреть вот это видео Тома Скотта с критикой электронных голосований — в первую очередь в Великобритании, но приводит те же аргументы, что привёл и я, которые распространяются на любую такую систему: