2 марта 2011 в 19:51

Электронные парламентские выборы в Эстонии (2011)

image

Сейчас в Эстонии проходят выборы в парламент и на этих выборах, как впрочем и на прошлых выборах, доступна возможность голосовать электронно с помощью ID-карты и считывателя, который продаётся на каждом углу по цене чуть более 5-6 долларов.


Для голосования, прежде всего необходимо установить драйвера для ID карты, которые доступны тут. Однако под Ubuntu 10.10, мне увы так и не удалось их завести, зато без каких либо проблем, при подключения репозитория, встали альтернативные драйвера.

После установки программы, на компьютере становится доступным специальный софт для управления ID картой, который надо заметить, сделан весьма качественно на Русском, Эстонском и Английском языке
image

Далее нам потребуется специальный софт для голосования, который доступен тут.
Доступна версия для всех операционных систем в том числе и для Linux что для меня является приятным сюрпризом.

После скачивания и запуска софта, у нас появляется экран с просьбой выбрать метод аутентификации, среди доступных методов: ID-карта через считыватель, либо Mobiil-ID.

image
Стоить заметить, что с момента предыдущих выборов, софт претерпел множество изменений в интерфейсе.

Если же карта в считывателе не обнаружена, нас заботливо об этом уведомляют и направляют туда, где могут помочь.
image

Если же всё хорошо, переходим к следующему этапу, где нам необходимо ввести 4х значный PIN 1 код который шёл с картой.
image
PIN 1 код спрашивается для выполнения всех операций подтверждения личности.

Если PIN 1 код был введён правильно, мне напоминают о том, кто я такой и куда я попал.
image

Жмём на кнопочку и нас переводит к списку кандидатов.
image
Хочу обратить внимание на то, что система сама определяет Ваше место жительства и предоставляет Вам список только кандидатов по Вашему месту жительства. Вас ведь не интересуют кандидаты из других городов.

После выбора кандидата, меня перекидывает на следующий этап, где мне предстоит проверить
image

и подтвердить мой выбор введя уже другой, второй PIN код, состоящий из 5 цифр.
image
С помощью PIN (2), Вы ставите свою цифровую подпись, которая равноценна бумажной.

Надо отдать должное, работа над интерфейсом проделана довольно большая и интерфейс был сделан максимально просто, красиво и интуитивно без лишних элементов (Хотя уверен, мультиязычность стала бы неплохим дополнением для этой программы).

Немного сухих цифр. Голосование только что закончилось, и за время проведения голосования (с 9 утра 24 февраля, до 20.00 2 марта), электронным методом проголосовало более 130 тысяч человек (пруф), что для такой небольшой страны как Эстония, является вполне внушительными цифрами.

По мере своих сил и знаний, постараюсь ответить на любые, возникшие у Вас вопросы.
+51
554
13
Screatch 37,3

комментарии (83)

0
ivanday, #
«130 000 тысяч человек»
наверное, всё-же просто «130 000» или «130 тысяч»

А, вообще, прикольно — хочешь проголосовать электронно — собери драйвера :)
+2
Screatch, #
My bad, поправил.

Ну у Linuxойдов участь такая. Софт ведь всё таки изначально писался под винду.
0
at0mic, #
под маком работает ничуть не хуже без танцев с бубнами
0
Ezhan, #
Вы пишется с маленькой буквы: www.gramota.ru/spravka/buro/29_414261
Русский, английский, эстонский — в русском также пишутся строчными буквами.

Эстония однозначно рулит своими электронным государством. Очень удобно, хотя интерфейсы всех порталов сильно оставляют желать лучшего.
0
taliban, #
Может человек обращается к читателю, а не к группе читателей?
0
Ezhan, #
Вы в книжках давно видели «Вы»? Так употребляется только в личной беседе с конкретным человеком.
0
taliban, #
Может Вы не поверите, но в книжках я слишком редко, я бы даже сказал, катастрофически редко, видел обращение к читателю, поэтому не могу ответить на вопрос =)
0
Ezhan, #
Тут также нет обращения. Есть повествование. Как и в газетах-журналах.
0
bubuq, #
Даже если есть обращение, «Вы» уместно только в личной переписке, и то необязательно. Обращение к обезличенному пользователя на «Вы» точно ошибка.
+5
Jabberwok, #
я считаю это очень круто. уверен, это поднимет явку, особенно среди молодежи.
+6
pyJIoH, #
Среди гиков точно. Нам такое нельзя разработать, всех бюджетных денег не хватит.
+7
Draiker, #
они эту систему 20 лет строили, понемножку, сначала законы, потом введение ИД-карты вместо паспорта, потом стандартизация ИТ-инфраструктуры… вот и дожыли до онлайн-голосования :)
0
Screatch, #
Поправлю Вас немного. Паспорт никто не отменял, но с наличием ID карты, пользуемся мы им всё реже и реже. Тем более что ID карта очень компактная и её носит почти каждый.
0
uzi_admin, #
А как на счет физического износа ID-карты? Вроде как она теперь в Эстонии что-то вроде проездного билета в транспорте стала? Чехлы для них еще не придумали умельцы? :)
0
Screatch, #
Ну скажем так, изнашивается, да.

Много моих друзей ходят с сломанными чипами, но например контроллёр вполне может проверить Ваш билет по Вашему личному коду.

Да и если потеряете / сломаете, выдача новой стоит порядка 10$.
0
cnupm, #
Вам — это кому?
+9
Draiker, #
Был в этой стране в составе делегации от нашей области, знакомились с их системой електронного правительства.
Скажу одно: в этих людей нужно учится, и очень хорошо, что они не против делится своим опытом.
+1
mistako, #
Круто. А можно фото карточки и считывателя?
+4
Screatch, #
Вначале статьи есть ссылка, но вот картинка с википедии.
image

Считыватель:
image
+4
EntireDestiny, #
да молодцы они.А ведь они были в союзе, и помоему одни из первых стали нормально жить после всего этого
+1
mizi, #
Прибалтика всегда была ближе к Европе, чем к союзу. Так что все в порядке вещей. Молодцы одним словом!
0
Libra_by, #
Не все так хорошо у них, как кажется со стороны.
Просто страна небольшая, отсюда и их проблемы не так заметны на общем политическом фоне.
0
ulo, #
Тоже проголосовал. На участок бы в жизнь не пошел, а потратить 5 минут онлайн оказалось совсем несложно.
0
StrangeAttractor, #
А за кого голосовать-то как решили? На участок в соседнюю школу-то сходить особой проблемой вроде не назовёшь (хотя такое eGovernment — это в любом случае лучше). Лично я когда ещё жил в России перестал голосовать как только понял что весь предвыборный пеар и «программы» партий — враньё (тупо стараются перечислить то, чего всем бы хотелось, вот всем известный пример, но он не единственный и не последний, от других партий просто в сети так быстро не найти) и, следовательно, нет доступной достоверной информации, на основе которой можно сделать осмысленный выбор.
0
IlyaMS, #
Интересно, а защита от фальсификации результатов при таком способе голосования выше, чем при обычном?
Хотя, возможно, в Эстонии такая проблема остро не стоит…
0
Screatch, #
Нас уверяют что электронное голосование, это так же безопасно как и прийти в назначенное время на участок. Однако старшее поколение всё ещё относиться к этому с недоверием. Эту тему конечно время от времени поднимают, но остро она не стоит.
0
IlyaMS, #
Радостно за Вас, раз эта тема не очень актуальна.
Просто, насколько я понимаю, тут все таки проще подстроить результаты под чьи-то нужды: несколько команд типа UPDATE… и все готово. Не нужно извлекать по ночам бюллютени и подкладывать другие (или как там делается, не знаю честно говоря).
Думаю, наверняка своя система контроля есть и в электронном голосовании, вопрос лишь в том, какая она и кто этим занимается.
+3
VenomBlood, #
Электронная подпись решает, ведь и с бумажками можно поменять итоговые цифры, не подделывая биллютени.
Только в случае с электронным голосованием — гораздо проще сделать проверку результатов.
0
IlyaMS, #
Согласен, ЭЦП, в общем то, здесь вполне применима.
Возможно используется в сочетании с чем-то ещё, но думаю вы правы.
0
RuJet, #
Но с ЭЦП всплывает другая проблема.
Защита приватности.
0
VenomBlood, #
Для таких целей можно выдавать «разовую» ЭЦП по предъявлению основной. В таком случае защита ничуть не хуже чем на избирательном пункте, когда у вас смотрят паспорт. Или можно использовать хеш от приватного ключа.

В любом случае будет существовать место, где можно собрать данные.
0
RuJet, #
Я про доступ людей администрирующих эту систему.
В случае «разовой» ЭЦП все равно будут таблицы, где идет увязка временной и постоянной ЭЦП. Или не будет возможноти провести аудит.
В любом случае доступ к администрированию должны иметь кристально чистые люди.
Можно например ужесточить наказание за подлог. Но это уже вне области ИТ.
0
VenomBlood, #
Таблицы не нужны, есть такой вариант:
У аккаунта есть поле о выданном токене на какое-то мероприятие.
Человек запрашивает этот токен (одноразовая ЭЦП) — ему генерится токен, обезличенно добавляется в БД выданных, а в поле о выданном токене ставится отметка о выдаче.

Но тут минус в том, что потеряв токен человек уже не будет иметь возможности проголосовать на этом мероприятии.
0
RuJet, #
или кто то сгенерит кучу токенов на мертвые души или на тех кто отказался от голосования.
0
VenomBlood, #
Токен должен выдаваться по предъявлению основного цифрового удостоверения, поэтому вариант с левыми голосами в этом случае означает то, что злоумышленник владеет основными удостоверениями этих людей. А тогда подлог можно сделать в любой схеме без личной авторизации.
0
RuJet, #
Сформулирую по другому. Основной системой которая отвечает за ID паспорта я так понимаю занимается некое подразделение правительства.
Токен в любом случае надо как-то привязывать к основному ЭЦП. Иначе вы не сможете проверить правильность подсчета электронных бюллетеней.

Но можно распределить доступ к БД между несколькими ветвями власти. Например, чтобы однозначно идентифицировать кто за кого проголосовал потребуется санкции от руководителей трех ветвей власти и их ЭЦП.
0
VenomBlood, #
Правильность подсчета можно обеспечить и без привязки токена, просто человек подаёт запрос, проверяется его ID, в аккаунте его ID ставится флаг «выдан токен на голосование», и выдаётся случайный токен, этот же случайный токен обезличенно кладётся в БД.
В итоге получаем что к каждому человеку привязан конкретный токен, все эти токены известны (т.е. подделать токен не получится), но они не привязаны к конкретному человеку.

Тут есть минус — невозможно «перевыдать» токен в случае утери, т.к. неизвестно какой токен надо аннулировать.
Также — в такой схеме невозможно произвести привязку кто за кого проголосовал.
Однако от мертвых душ и подделок голосов со стороны изберателей система защищена.

В данном случае не обеспечивается защиты от накрутки со стороны имеющих полный доступ к системе, но с другой стороны, коли у них есть доступ — что им мешает при выдаче ID сохранять у себя приватный ключ человека, а потом просто самим проголосовать за непроголосовавших?

На ум приходят конечно более хитрые схемы, которые так или иначе затрудняют накрутку голосов, но при достаточном контроле над системой накрутка будет возможна в любом случае, да ещё и так — что ни один аудит не раскроет.
0
RuJet, #
Схема интересна. И применима не только в системе выборов.
А например при проведении электронных платежей :)

По поводу разделения доступа. На самом деле такая схема уже применяется. Например в банковской сфере.
+7
defcon, #
Есть четкие правила, по которым работает интернет голосование. Выполнение этих правил возможно отслеживать, примерно так же, как, например, возможно отслеживать софт в игровых автоматах (которые должны гарантировать определенный процент выигрыша). Выглядит это так — все голоса запаковываются в виртуальные конверты с личным кодом человека (строго говоря, он отдельно не сохраняется — эта информация вытягивается из дигитальной подписи), в которых лежит зашифрованный голос (личный код кандидата). На первом этапе происходит сортировка конвертов и удаление более старых конвертов от одного и того же человека. Затем конверты вскрываются и зашифрованные голоса (без указания личных кодов) передаются на сервер подсчета голосов, где данные расшифровываются используя физический приватный ключ. Все передвижение/запросы данных записывается в журнал.



Данные двигаются следующим образом:
приложение->HES(Haalteedastamisserver, распределяющий сервер)->HTS(Haaltetalletamisserver, сервер хранилище)->HLR(Haaltelugemisrakendus, обрабатывающее приложение).

В HES идет связка кому каких кандидатов предложить, в HTS — хранение голос+человек, в HLR — обработка голосов.

Логика следующая: у тебя есть ID карточка с физическим приватным ключом. Такой же ключ есть у HLR. Тебе дается публичный ключ HLR и ты зашифровываешь свой голос этим ключом (плюс солишь). Этот голос будет способен прочитать только HLR. Затем ты подписываешь этот шифр своим приватным ключом и отправляешь через HES в HTS. Там твоя связка сохраняется, однако HTS доступен только твой личный публичный ключ и он проверяет, что ты можешь голосовать или, например, отдал ли ты голос несколько раз. За кого именно ты отдал голос — HTS узнать не может без физического приватного ключа HLR. Когда голосование заканчивается — HTS распаковывает все конверты, инфу о проголосовавших сохраняет отдельно, а голоса отдельно передает дальше в HLR (и, вероятно, удаляет связки голос-человек?). HLR расшифровывает голоса и подсчитывает.

узнать кто-за-кого можно двумя способами:
а) скопировать физический ключ с обрабатывающего сервера и посмотреть, за кого проголосовал гражданин. Скопировать ключ очень сложно, но даже если получилось — нужно получить еще и конверт с голосом, а значит иметь доступ к обоим системам. Если учесть, что там присутствует еще и наблюдающий орган — аудит, который отслеживает хеши передвигающихся данных, то это становится еще сложнее.
б) передать не только зашифрованный голос, но и credentials-ы проголосовавшего на обрабатывающий сервер. Для этого нужно изменить код. Проблема решается верифицированным кодом и подписанным, предположим, представителями партий + аудитом, который перепроверяет переодически подпись.

В добавок к этому, данные от человека на обрабатывающий сервер идут по защищенному каналу.

Разумеется, все это требует более технически подкованных наблюдателей, но процесс подмены голоса становится, как мне думается, посложнее, чем подменить голоса в урнах.
0
IlyaMS, #
«Разумеется, все это требует более технически подкованных наблюдателей, но процесс подмены голоса становится, как мне думается, посложнее, чем подменить голоса в урнах».

С технической точки зрения — конечно же сложнее, т.к. нужны и хорошо подкованные «подменщики», которые смогут это каким-то образом сделать, не оставив следов.
Но если учесть человеческий фактор, то, на мой взгляд, даже проще: технически подкованных наблюдателей столько не наберешь, скорее это будут свои люди. А несогласных можно будет вежливо (или не очень) послать по причине того, что они что-то не так поняли (недостаточно подкованы).
Просто на обычных выборах известны случаи, когда люди по ночам чуть ли не с камерами дежурили у участков и смотрели, что туда и кем вносится-выносится. Тут такой возможности, насколько я понимаю, нету: кого допустят к наблюдению, тот и будет отчитываться что все хорошо.
+1
defcon, #
Нехватку людей, я пожалуй, комментировать не буду — все же это case by case, возможно в маленькой партии и не найдется умельца. В крупных партиях — даже у нас, но парочка людей найдется. Что касается «не-так-поняли», то здесь мы все-таки имеем дело с техникой и всегда можно продемонстрировать, что именно и как поняли. Тестирование про принципу белого ящика позволяет выявить и предъявить потенциальные дыры. Вообщем это действительно гораздо сложнее, чем просто поставить подпись в глухом участке за человека, который на выборы не явился.
0
Libra_by, #
> «Разумеется, все это требует более технически подкованных наблюдателей, но процесс подмены голоса становится, как мне думается, посложнее, чем подменить голоса в урнах».

Если не взломать, то можно попробовать скомпрометировать?

Обрушить сервера досс-атаками, организовать попытки взлома баз данных, насытить порталы ссылками на поддельные программы для голосования — вполне достаточно, что бы оппозиции с криками о фальсификациях выйти на «майдан».
0
defcon, #
Опыт обрубания внешнего трафика на ддос атаки у нас есть. А внутри умельцев найти быстро — страна маленькая. Что касается порталов с ссылками — у нас портал один, откуда скачивается софт и все о нем знают + основные сми дублируют инфу. «Взлом базы данных» это непонятный кейс, если опишешь поподробнее, то смогу прокомментировать.
0
Libra_by, #
Ну я как бы больше к тому, что от грязных политических игр электронный подсчет не спасает.
Но Эстонии в любом случае респект!
0
IlyaMS, #
А это, кстати, Ваше описание? Или из официальных источников? Если есть ссылка, буду вдвойне благодарен.
0
defcon, #
Это мое краткое обобщение оффициальных спек. Информацию на эстонском можно найти здесь: www.vvk.ee/index.php?id=10598. Оттуда можно уже найти pdf-ы с общим описанием компонентов систем, анализом рисков и технической документацией. Google translate в помощь :)
0
IlyaMS, #
Понял, снкс за перевод тогда)
+1
iLearner, #
_Ваше место жительства_

Система не определяет место жительства. Список кандидатов отображается в зависимости от того, какой адрес указан в регистре народонаселения. Голосовал из Англии.

Сообщалось, что при разрешении 800х600 часть списка независимых кандидатов оказывалась за пределами экрана.
0
Screatch, #
Ничего такого не заметил.
Скролл там не просто так сделан.
+1
daeq3, #
В систему определённо нужно встроить механизм рекомендации кандидатов в зависимости от предыдущих голосований.
–1
IlyaMS, #
Можно просто добавить кнопку «оставить на ещё один срок» после ввода первого PIN-a.
+2
stetzen, #
Не стоит этого делать. Потому что тогда у людей появится дополнительный стимул голосовать за тех же самых, причем стимул чисто технический, а не зависящий от программы/предыдущих успехов/etc. Каждый раз голосование должно идти с чистого листа, чтобы добиться максимально разумных и объективных результатов
+2
Minras, #
И кнопку «Мне повезёт» :)
0
fleshy, #
добавить «лайки» кандидатам
0
bubuq, #
и карму
0
Libra_by, #
Жириновский тогда — карма-дрочер? :)
0
RuJet, #
А Медведев — Бумбурум или НЛО?
0
Greteon, #
>который надо заметить, сделан весьма качественно на Русском

Видимо, поэтому написано «Обсуживание».
+1
iLearner, #
Некоторые деятели требуют у своих работников одолжить карточки с кодами на пару дней. Другие за бутылку у ассоциалов покупают. Особенно на местных выборах, где голосуют неграждане.
0
Screatch, #
> Некоторые деятели требуют у своих работников одолжить карточки с кодами на пару дней.
Это нелегально, не?
0
iLearner, #
Кому без работы хочется остатся в городе с 20% безработицеи?
НЛО прилетело и опубликовало эту надпись здесь
+1
iLearner, #
На эту тему можно подискутировать, но это уже не из области ИТ. Я хотел показать, что когда человек голосует не на избирательном участке это открывает новые, гораздо более широкие возможности для влияния на результаты выборов.
НЛО прилетело и опубликовало эту надпись здесь
0
iLearner, #
Да, но имеет место быть. Ну или курсы интернета для пенсионеров и безработных. С примерами как голосовать.
+6
pazhitnov, #
Всегда с любовью вспоминаю фидошные выборы: удивительно элегантная схема, сохраняющая как анонимность, так и предоставляющая всем желающим верифицируемость. Общая канва такая: каждый голосующий шлёт свой самовыдуманный «пароль» за определенного кандидата, по которому потом проверит, тому ли он отдал свой голос. Проводящий выборы затем публикует два списка: первый — все проголосовавшие, второй — какие пароли за какого кандидата отданы. Таким образом мой долг а) убедиться, что я есть в списке проголосовавших и б) мой голос отдан за правильного кандидата. Читать списки «паролей» было одно удовольствие, народ, что называется, отводил душу.

Как применить эту схему на крупных выборах — не представляю. Публиковать огромные pdf-файлы?

Но факт: в отличие от фидо, по окончании «традиционного» голосования у меня нет ни ощущения, что мой голос был учтён, ни ощущения, что он был правильно учтён. Единственное, в чём я уверен — мой голос анонимен, но легче ли мне от этого?
0
akhrensky, #
Нечто подобное уже есть, подробнее тут
НЛО прилетело и опубликовало эту надпись здесь
0
Amigos88, #
Тоже проголосовал вчера, на всё ушло минуты 3. Родители так вообще смогли проголосовать, живя в Финляндии. Не пришлось ехать в Хельсинки в посольство.
+2
mokaton, #
Блин, хорошо у вас там, ребята! Побывал недавно — понравилось! Только все же от Таллина веит какое-то совковое впечатление, когда ходишь все же преследует мысль о том, что ты где-то уже в Европе, но еще не совсем. Да и гид наша рассказывала что не очень-то радужные у вас сейчас времена. Очень и очень жаль!
Рад, что вы сумели сделать мощный рывок и все же вырваться из наследия СССР, но очень жаль что не смогли продержаться на этой вершине долго. Надеюсь, что все у вас будет хорошо уже в ближайшем будущем, а мы будем продолжать учиться у вас создавать демократическое государство! :)
0
roskov, #
Я сейчас в Эстонии как раз :) Тут по балтийскому ОРТ рекламные ролики кандидатов во всю идут. Это я к тому, а рекламятся ли кандидаты в Интернете? Раз через Интернет можно голосовать, то было бы логично…
0
ssneg, #
Уже девять лет как «Первый канал». Для сравнения: ОРТ существовал всего семь лет.
0
eugenius_nsk, #
0
neoroma, #
да, например в facebook часто вылезают релкамы
НЛО прилетело и опубликовало эту надпись здесь
0
neoroma, #
у меня она полноценно работет (с сайтом www.swedbank.ee) только с IE 8 никаких firefox, chrome, safari, opera или даже IE9
0
Screatch, #
У меня с Firefox всё нормально работает под Ubuntu, что то вы делаете не так. А в Chrome ещё не до конца допилена поддержка smart карт.
+1
neoroma, #
Если бы знать что там делать так или не так, кнопка «Подписать» (платеж) не появляется просто и все
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
0
zvezdnii, #
Только анонимность голосования теряется, что у нас черевато.
Хотя вообще классно, удобно, никуда ехать или идти не надо.
–1
Ferencbaki, #
Приглашаем всех в группы на:
Facebook www.facebook.com/home.php?sk=group_135621006487129&ap=1
В Контакте www.vkontakte.ru/club25197886

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.