ХОТИТЕ, КАК В ТАЛЛИНЕ?
В Москве перед выборами протестировали возможность «многоразового» электронного голосования. Такая же система давно работает в Эстонии, но цели и возможные недостатки у них разные
29 и 30 июля власти Москвы провели тестирование системы дистанционного электронного голосования (ДЭГ), которую в столице и ряде других регионов применят на единых выборах 17–19 сентября. Москвичи будут выбирать депутатов Госдумы, Мосгордумы, мундепов и теперь, помимо удаленного голосования, смогут воспользоваться функцией так называемого отложенного решения. Проще говоря, у избирателей будет возможность изменить свой выбор уже после подачи бюллетеня. Засчитывается только последний по времени голос.
За три дня выборов каждый москвич сможет проголосовать до 19 раз при круглосуточной работе электронных участков — новый бюллетень можно получать только раз в три часа. Председатель Центризбиркома Элла Памфилова выступила против концепции переголосования, писал «Коммерсантъ», однако в итоге механизм «отложенного голосования» вошел в принятое постановление ЦИК.
Похожая система, позволяющая избирателю менять решение в последний момент, существует и в Эстонии. Эта страна провела электронные выборы первой в мире в 2005 году и на данный момент стала наиболее развитым «электронным государством» в этой сфере с максимальной явкой на дистанционные выборы 46,7% от общего числа проголосовавших. Для сравнения — на выборах в Мосгордуму 2019 года доля проголосовавших на экспериментальном электронном голосовании составила около 0,6% от всех явившихся избирателей в тестовых округах. Население Москвы при этом на порядок больше населения всей Эстонии.
По данным мэрии, в этом году в проверке системы поучаствовали более 146 тысяч москвичей. Менее 10% из них, по словам главы столичного штаба по наблюдению за выборами Алексея Венедиктова, воспользовались опцией переголосования. Если сравнивать с Эстонией — это значительная доля. На родине «многоразового» голосования свой выбор обычно меняют лишь около 3% онлайн-избирателей, свидетельствуют открытые данные национальной избирательной комиссии страны. Власти Москвы рекламировали функцию «отложенного решения», которую также можно использовать для переголосования, в рамках собственных рассылок пользователям mos.ru, но повсеместных призывов протестировать систему на улицах столицы и на других ресурсах практически не было. Поэтому на сегодняшний день не совсем ясно, откуда у москвичей появился такой энтузиазм в проверке новой опции, если еще в мае 56% москвичей даже не знали, когда пройдут выборы, а активное участие в электоральных процессах снизилось до минимума за 17 лет (данные опросов «Левада-центра»* и ВЦИОМ).
Начальник управления по развитию смарт-проектов правительства Москвы и глава команды разработчиков системы онлайн-выборов Артем Костырко объясняет столь малую долю повторных голосов в Эстонии тем, что у граждан этой страны вообще есть возможность прийти на традиционный участок в последний день голосования и отменить электронный голос. Этот процесс, по его мнению, тоже можно причислить к переголосованию. «То есть они могут «вытащить» голос и полностью
его заменить», — пояснил Костырко «Новой газете». По данным эстонского избиркома, процент отмененных или «вытащенных» электронных голосов составляет примерно 0,1% на выборах разного уровня.
«Всю статистику мы еще посчитаем, предварительные цифры — до 10% — взяты с запасом. <...> Но одной из главных задач тестового голосования и была задача проверить все новые возможности. Мы всем, не только технической группе, говорили в эфир: попробуйте эту функцию. Нельзя сказать, что это не было широко известно. У нас было два push-уведомления по всем пользователям портала mos. ru и две почтовые рассылки. По сути, это четыре уведомления по 6–7 миллионам [москвичей]», — объясняет Костырко популярность «отложенного решения» среди тех, кто протестировал систему в конце июля.
В части подачи бюллетеня московская система ДЭГ технически более простая, чем механизм э-выборов, развивающийся в соседней балтийской стране уже 15 лет. Хотя и заточенные под ID-карты эстонские интернет-выборы часто подвергаются критике специалистов по кибербезопасности.
Очень разные цели. И средства
Многоразовое голосование, при котором учитывается только последнее волеизъявление избирателя, — это гарантия свободных выборов, считают власти Эстонии. Если граждане могут в любой момент изменить свой выбор с любого персонального устройства — смартфона, ПК, планшета — ни работодатель, ни скупщики голосов, ни семья, ни друзья не смогут надавить на него. Еще в 2005 году Верховный суд Эстонии в своем постановлении заявил: «Очевидно, что в случае с электронным голосованием через не подконтрольные никому средства, то есть через интернет вне избирательных участков, государству гораздо сложнее гарантировать свободное от внешнего влияния и тайное волеизъявление. Коллегия придерживается мнения, что возможность изменить решение в электронном голосовании необходима для гарантии свободы выбора и тайны голосования».
В Москве заявленные цели «отложенного» голосования несколько другие.
«Если во время голосования у избирателя возникли технические неполадки — завис компьютер, села батарейка на ноутбуке или перестал работать интернет, он сможет заново открыть бюллетень и отправить свой голос. Если у пользователя сломался компьютер, он может прийти в центр госуслуг «Мои документы» и воспользоваться стационарным компьютером. Функцией «отложенного голосования» также можно воспользоваться, если при его заполнении была допущена ошибка или даже если голосующий просто хочет изменить выбор», — пояснили «Новой» в ДИТ Москвы. Цель исключить давление третьих сторон на избирателя официально не провозглашалась, хотя глава команды разработчиков московского механизма ДЭГ Артем Костырко вскользь упоминал об этом в эфире «Эха Москвы». «Мы рассматриваем это не как политический инструмент, а как инструмент против сбоев», — сказал он в беседе с «Новой».
У всех было советское прошлое. У немногих — цифровое будущее
Другое отличие московского и эстонского комплексов дистанционного голосования — способ изначальной идентификации избирателя. Ключевым элементом концепции «э-государства» в Эстонии стали ID-карты с чипом, которые заменяют жителям внутренний паспорт. С их помощью можно получить госуслуги, выполнить банковские процедуры, прокатиться на общественном транспорте и, конечно, проголосовать. Чтобы воспользоваться такой картой, нужно получить набор PIN-кодов и специальное считывающее устройство. Есть еще одна опция — мобильная версия идентификационной карты. «В будущем, вероятно, добавится и SmartID (защищенное приложение для смартфона с тем же набором функций, что и у аналоговой карты. — Ред.)», — говорит Свен Хейберг, специалист системы i-Voting в компании Cybernetica, разрабатывающей решения для электронного государства и дистанционного голосования в Эстонии с 2000-х годов.
Хейберг стал разработчиком Cybernetica в 1999 году, а сама компания появилась в 1997-м как преемница Института кибернетики Академии наук Эстонской ССР. Юло Яаксоо возглавлял Институт кибернетики с 1989 года и позже решил аккумулировать наработки из советского прошлого, чтобы запустить свой IT-стартап. Уже в новой, независимой республике команда Яаксоо разработала технологию временной цифровой метки, а также межгосударственную децентрализованную платформу обмена данными X-Road и, наконец, механизм электронных выборов, который эстонские инженеры успели приспособить для предварительного голосования республиканцев в штате Юта, США.
Свен Хейберг уверяет, что с помощью ID-карт в Эстонии разработчикам удалось достичь устойчивости в системе аутентификации граждан и верификации голосов, а также внедрить в выборы безопасные цифровые подписи, которые невозможно подделать.
«Сам факт того, что eID используется для повседневных целей, снижает вероятность утери или передачи ID-карты третьему лицу. С помощью этого [документа] можно не только голосовать, но и совершать другие транзакции, поэтому граждане изначально настроены держать свой ID поближе, даже если их в целом не волнуют выборы», — говорит специалист.
В России ID-карты с чипом так и остаются мечтой. В 2019 году зампред правительства Максим Акимов (ныне — генеральный директор «Почты России») заявлял, что электронные удостоверения в Москве начнут выдавать уже к 2020 году. Он обещал, что российские ID-карты будут выполнены полностью из отечественных компонентов и будут работать только на отечественном софте. Вдобавок к картам власти хотели выпустить кардридеры и бесплатное приложение вроде эстонского SmartID — все, как у соседей с берегов Балтии. К 2022 году, говорил тогда вицепремьер Акимов на совещании у Дмитрия Медведева, можно будет «завершить выдачу» бумажных паспортов.
Концепцию перехода всех россиян от бумажных паспортов, водительских удостоверений, СНИЛС и ИНН к единым, удобным и безопасным ID-картам утвердили еще в 2013 году. Пилотную раздачу электронных паспортов в Москве запланировали на июль 2020 года, но в
* Организация включена Минюстом в перечень НКО, выполняющих функцию иностранного агента. ОТ СИСТЕМЫ ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ В ЭСТОНИИ МОСКОВСКАЯ СИСТЕМА ОТЛИЧАЕТСЯ ТЕМ, ЧТО СОХРАНЯЕТ АНОНИМНОСТЬ ИЗБИРАТЕЛЯ И ТАЙНУ ГОЛОСОВАНИЯ
пандемийный год новые удостоверения никто не увидел. Теперь МВД планирует выдавать ID в регионах с июля 2023 года.
Но на грядущих выборах россияне так и не увидят карт для электронного голосования. «У нас пока нет такой задачи. За единые правила аутентификации и идентификации отвечает федеральная система ЕСИА», — говорит Артем Костырко. По его словам, с внедрением ID на выборах в будущем могут возникнуть проблемы в регионах: «ID-карты решают проблему аутентификации на том же уровне, что и личный кабинет плюс SMS. С ID-картой должна быть возвратная инфраструктура. Все население Эстонии меньше, чем пара округов Москвы (1,1 млн граждан Эстонии против как минимум 12 млн жителей Москвы. — Ред.), а с ID-картой должен быть синхронный обмен информацией. Там небольшой пакет данных, но с учетом реалий большой страны России могут возникнуть проблемы со связью, а нужно уметь передавать определенный пакет данных и возвращать его обратно в синхронном режиме. Это значит, что такие сервисы должны поддерживать все региональные провайдеры».
В отсутствие удостоверений с чипами российские регионы довольствуются голосованием через личный кабинет: регионы — на сайте vybory.gov.ru, Москва — на портале mos.ru. При этом аутентификация избирателей (помимо логина и пароля) происходит через код в SMS-сообщении. Опцией незаконного перехвата SMS-сообщений для компрометации и-мейлов, банковских аккаунтов и соцсетей давно пользуются как мошенники, так и государственные акторы. Например, в декабре 2020 года неизвестные пытались взломать аккаунты журналистов-расследователей «Важных историй» в телеграме. Код двухфакторной защиты от аккаунта главреда издания Романа Анина злоумышленники вообще достали в обход SIM-карты журналиста.
Так можно ли полагаться на электронное голосование через государственный портал и личный кабинет пользователя с верификацией через логин и пароль? «Технически да, но с множеством оговорок, — говорит Свен Хейберг. — В криптографических протоколах онлайн-голосования мы должны полагаться на распределения задач между несколькими независимыми элементами. Так мы не будем зависеть от честности одного-единственного актора в вопросах целостности и надежности системы голосования». По мнению эстонского разработчика, чтобы доверять электоральный процесс системе из одного государственного портала, нужно иметь перед глазами протоколы, которые веб-сайт использует для обеспечения безопасности голосования. «В Эстонии Национальная избирательная комиссия не сможет подделать голоса, так как они защищены инфраструктурой eID», — уверяет он.
Московский разработчик Артем Костырко придерживается мнения, что ID-карты и код из SMS равноценны в вопросе защиты пользователя. «Конечно, все можно перехватить. И ID-карта защищает от этого так же, как SMS. Подменить ответ на сигнал с ридера ID-карты тоже не сложно, потому что сигнал стандартный и передается по открытым сетям. Если надо, те же самые умельцы смогут спокойно сделать это и с ID-картой. Перехватить SMS можно у одного человека. Ну, у двух, у трех. А в голосовании одновременно участвуют миллионы. Массовый перехват SMS физически сложно организовать, для этого нужно устроить диверсию на сети оператора связи. Эти сети защищены, а во время голосования есть дополнительный контроль. Если происходит что-то противоправное, [специальные] службы «возбуждаются» сразу», — подчеркивает он.
В ДИТ Москвы приводят в пример другую характеристику российской системы. «От системы электронного голосования в Эстонии московская система отличается тем, что сохраняет анонимность избирателя и тайну голосования. Для этого в московской системе ДЭГ есть анонимайзер <...> [Он] обезличивает пользователя mos.ru даже для самой системы. Каждый голос зашифровывается с помощью специального ключа шифрования (кода) и отправляется в систему в виде набора символов. Подменить голос избирателя программными средствами в московской системе онлайн-голосования невозможно», — подчеркивают в мэрии столицы.
Хейберг же настаивает: отсутствие IDкарт — первостепенная проблема любых онлайн-выборов. «Если они [ID-карты] внедрены, процесс электронного голосования становится проще и безопаснее, хотя, конечно, остаются противоречия изза вечного конфликта тайны голосования и проверяемости системы. Использовать одноразовые пароли можно, такое уже делалось, но я не рассматриваю это как жизнеспособную опцию в долгосрочной перспективе», — продолжает специалист Cybernetica.
Вбросить в последний момент
В 2014 году группа независимых международных экспертов, включая специалистов Университета Мичигана и британской Open Rights Group, указала правительству Эстонии на ряд недоработок в системе э-выборов.
Они провели лабораторные эксперименты на основе исходного кода и ПО, использованного на муниципальных дистанционных выборах в Эстонии 2013 года.
В лабораторных условиях ученые полностью реконструировали системы э-выборов на основе исходного кода и софта клиента (их власти Эстонии публиковали на GitHub. На этом же портале размещаются вводные московских выборов. — Ред.). Затем эксперты сымитировали атаку на систему голосования со стороны «иностранного государства» или кандидата с достаточными ресурсами, чтобы обеспечить себе победу путем фальсификаций.
В отличие от московских властей, которые не завязывают голос на конкретном избирателе, эстонский избирком дешифрует все голоса на сервере подсчета. Хакеры попробовали взломать такой же реконструированный сервер. Они взяли на себя роль чиновника или зарубежной спецслужбы и успешно внедрили вредоносный код на компьютер избиркома, использованный в ходе подготовки к выборам.
По их словам, теоретически вирус можно распространить на ОС всех устройств, используемых при установке необходимого для э-выборов ПО. Измненный софт может подделать результат расшифровки бюллетеней и тайно установить то распределение голосов, которое нужно злоумышленнику.
Технически изменить волю избирателя можно и в момент подачи бюллетеня, обойдя защиту в виде ID-карт, шифрования и верификации бюллетеня через смартфон, не говоря уж о простой системе аутентификации через SMS и порталы органов власти, как это делают в России.
Open Rights Group и специалисты из Мичигана описывали схему так: устройство избирателя атакуется через уже существующий ботнет — сеть, позволяющую доставить вредоносное ПО на десятки тысяч компьютеров. Тогда весь процесс голосования отдельно взятого человека можно контролировать со стороны: украсть PIN-код от ID-карты или любой другой код подтверждения, а затем, после подачи первого бюллетеня, использовать коды в том самом процессе «отложенного решения» или переголосования, выбрав нужного злоумышленнику кандидата. Более того, к атаке можно подготовиться заранее, украв ключи аутентификации во время банковских операций держателя ID-карты.
Еще до независимого аудита эстонец Пааво Пихельгас смог внедриться в систему и заменить собственный голос на парламентских выборах 2011 года с помощью трояна. Верховный суд не посчитал его действия опасными, так как юридически они никак не подрывали избирательных прав граждан, ведь он сам поставил себя в уязвимое положение, посчитала коллегия.
«Ну давайте предположим, что вредоносное ПО успешно активировалось. На этот случай мы имеем ряд механизмов предотвращения и распознавания», — комментирует Свен Хейберг лабораторные попытки взлома. Есть приложение для верификации голоса, и обратная связь с организаторами выборов. Кроме того, избиратели должны соблюдать цифровую гигиену и следить за своими ID-картами и PIN-кодами, говорит он.
Даже если избиратели не соблюдают простейших правил безопасности, остается механизм подтверждения, настаивает IT-специалист: «После каждого брошенного в «урну» бюллетеня избиратель получает подтверждение». При этом Хейберг подчеркивает, что механизм подтверждения нарушает принцип борьбы с принуждением к голосованию, ведь третья сторона может надавить на избирателя и заставить показать все сообщения об отданных голосах от системы.
Московские власти же не представили официального сервиса подтверждения и проверки голосов, чтобы, по их словам, полностью исключить возможность давления со стороны работодателя. При этом неофициальные способы проследить путь голоса есть. Инструкцию по такой проверке, например, написали члены технической рабочей группы Общественного штаба по наблюдению за выборами и даже разместили ее на сайте движения «Голос».
«Машину тоже можно обслуживать у «официалов», а можно пойти в гараже масло поменять. При этом никто не дает гарантий, что масло вам нальют нормальное и в нужный бачок», — говорит Костырко.
Источники «Новой газеты», близкие к технической группе ДЭГ, уверяют, что споры внутри ЦИК на тему сервиса проверки голосов ведутся с 2019 года, но нормативных основ для такой опции так и не появилось.
В Эстонии после критики 2014 года (тогда эксперты настоятельно рекомендовали отказаться от практики электронного голосования в Эстонии) Хейберг и его коллеги из Cybernetica допустили независимых наблюдателей до процесса подсчета и дешифрования голосов в 2017 году. Они опубликовали всю схему э-выборов и описали процесс аудита через смешанные сети, на которых, например, основана проксисистема Tor.
Схемы программно-технического комплекса публикуют и российские власти, при этом все голоса избирателей остаются анонимными — ни дешифрования, ни подробного аудита здесь не предусмотрено. «Внутренние и внешние наблюдатели имеют возможность проверить корректность подсчета итоговых результатов голосования с помощью специализированного инструментария», — этим предложением ограничивается все описание проверки подсчета.
Наиболее прогрессивной схемой проверки подсчета на сегодняшний день остается сквозная система (end-to-end). В Эстонии критики требовали ее внедрения, чтобы исключить вероятность подсчета и принятия голосов после их замены вредоносным ПО. По мнению Хейберга, дополнять правила верификации, принятые в 2016–2017 годах, может быть опасно. «Определение сквозной системы проверки обычно трактуют как
общий доступ к бюллетеням и подсчет голосов в том виде, в котором они были записаны. Мы не планируем внедрять эту опцию, потому что тогда придется идти на некоторые уступки, например, в рамках системы борьбы с давлением на избирателя», — заключает разработчик.
Блокчейн-систему шифрования голосов на выборах в Мосгордуму критиковал французский специалист по криптографии Пьеррик Годри. По его словам, с помощью публичного ключа шифрования длиной всего в 256 бит можно взломать столичную систему за 20 минут и опубликовать данные о выборе каждого избирателя. Однако после аудита Годри принцип работы ключей шифрования поменяли, и в сентябре москвичей ждет уже полностью обновленная система, обещает Костырко.
«Тогда мы сами вышли на Годри и предложили проинспектировать эту историю. Мы каждый день в течение недели выкладывали ключевую пару: ключ, которым шифровали, и 10 зашифрованных транзакций. И просили всех расшифровать за один день. Потом изменили условия — расшифровать за 48 часов. Годри не расшифровал ни за 24, ни за 48 часов. На следующий день мы выкладывали ключ расшифрования и расшифрованные транзакции. Он рассказал, что взял ключи шифрования, расшифрования и транзакции, которые были выложены в предыдущий день, и за неделю обратным счетом подобрал алгоритм, как найти ключ расшифрования по ключу шифрования, если они собраны по одной модели. Ему понадобилось семь итераций. В боевом голосовании мы так, конечно, не делали бы, — пересказывает глава московской команды разработчиков историю взаимодействия с французским коллегой. — После этого мы поменяли систему шифрования, и повторить процедуру он не смог. У нас есть от него такой ответ: «Вы издеваетесь? На эллиптических кривых это невозможно повторить». На текущем уровне развития математики и техники подбор алгоритма займет 100 лет. Сильно дольше, [чем длится голосование]. После письма Годри мы увеличили длину ключа в четыре раза (до 1024 бит. — Ред.), а сейчас у нас вообще другие принципы, то есть ключ лучше в четыре в четвертой степени раза. Это (без обид) как сравнивать «Ладу Приору» и «Теслу».
Даже если у граждан Эстонии нет доверия к подсчету электронных голосов, они всегда могут опустить бумажный бюллетень на избирательном участке в последний день выборов, и тогда цифровой голос аннулируется. В России же эту функцию убрали после голосования по поправкам к Конституции 2020 года. Собеседник «Новой», близкий к технической группе, говорит, что отмена бумажного голосования для онлайн-избирателей — это политическое решение ЦИК, которое не продиктовано ни технической необходимостью, ни гарантиями соблюдения тайны и анонимности. По словам источника, специалисты до последнего пытались убедить ЦИК оставить бумажное голосование как гарантию от технических сбоев и недоверия, однако в комиссии опасаются «провокаций». После голосования по поправкам к Конституции глава ЦИК Элла Памфилова действительно назвала двойное голосование попыткой спровоцировать Центризбирком. «Прямо специально «подарки» готовились. Ряд провокаций. Кое-кто пошел сознательно два раза проголосовать», — сказала она после того, как журналист Павел Лобков в качестве эксперимента проголосовал и на сайте mos.ru, и на участке. Источник «Новой газеты», близкий к штабу по наблюдению за выборами, уверяет, что случаев двойного голосования зарегистрировано всего четыре, причем два из них — сговор с комиссией.
P.S. Электронное голосование на сентябрьских выборах предусмотрено в семи субъектах РФ: в Москве, Севастополе, а также Курской, Мурманской, Нижегородской, Ростовской и Ярославской областях. А еще — в непризнанных «ДНР» и «ЛНР». Будет ли функция «многоразового» голосования распространяться вне Москвы — неизвестно. «Многие функции, которые изначально сделаны в Москве, потом переходят на федеральный уровень. Косвенно мы считаем, что опция пригодилась. Потому что разрыв между теми, кто получил бюллетень, и теми, кто смог проголосовать, был минимальный», — говорит разработчик Артем Костырко.
ОТМЕНА БУМАЖНОГО ГОЛОСОВАНИЯ ДЛЯ ОНЛАЙН-ИЗБИРАТЕЛЕЙ — ЭТО ПОЛИТИЧЕСКОЕ РЕШЕНИЕ, ОНО НЕ ПРОДИКТОВАНО НИ ТЕХНИЧЕСКОЙ НЕОБХОДИМОСТЬЮ, НИ ГАРАНТИЯМИ СОБЛЮДЕНИЯ АНОНИМНОСТИ