Comments 70
Гражданин, пройдите на "посадочную страницу", пожалуйста.
После того как пользователи вводили свои данные, они передавались по каналу межведомственного взаимодействия СМЭФ
СМЭВ
Эх, нам бы такую систему на муниципальные выборы 8го сентября в Петербурге!
А в чем открытость платформы выражалось, и в чем преимущества использования блокчейн платформы в вашем кейсе по сравнению с классическими решениями?
На текущий момент в РФ отсутствуют какие-либо другие легитимные решения для электронного голосования, поэтому какое-либо сравнение невозможно.
Кстати, сломали систему не один, а два раза
Во-первых, в статье нигде не утверждается, что блокчейн должен решить проблемы голосования.
Во-вторых, это эксперимент, направленный на оценку возможности проведения электронного голосования.
Есть ли криптографическая защита от того, чтобы записывалось кто за кого голосовал? Та уникальная ссылка, есть гарантия, что она не связывается с именем голосующего? Или построено на «мы честно не запоминаем»?
Криптографическая защита требуется для обеспечения защиты промежуточных результатов голосования.
Не совсем тот вопрос. Я, как пользователь получающий ссылку, могу удостовериться, что она нигде не была до того привязана к моему имении. Одно из решений, что я встречал это anonymous credentials. в том случае токен пусть и привязан ко мне, но не его показываю, а доказываю факт владения (zero knowledge proof).
ДИТ в курсе этой задачи и обязательно будет искать возможность её решения в следующих версиях системы. Благодарим вас за интерес к проекту!
Поэтому и сидят наблюдатели, которые следят, что пришли те же люди, сколько забросили физических бюллетеней и сколько посчитали и т.п. Но наблюдатели к сожалению очень мало что наблюдают в последнее время.
ДИТ в курсе этой задачи и обязательно будет искать возможность её решения в следующих версиях системыТекущая система считается готовой и готовой к внедрению, или она официально сырая и не закрывает ТЗ? Чёрт с ними, с технологией и философией, закрывающие документы подписали без требования доработок?
Ну да круто все описали, но при этом результаты тем не менее подтосавали. Снова. Стыдно разработчиком ДИТ а должно быть. Грубо говоря они участвуют в захвате власти. Блокчейн и криптография это всего лишь buzzWords которые вы используете. В реальности блокчейн не был нужен, а ЕдРосы опять использовали свой ресурс что бы создавать не существуеющих граждан и ими голосовать за кого надо. Стыд и тюрьма
И не забывайте что открытость вы не обеспечили поскольку убрали у оппозиции возможность наблюдать за выборами в живую увеличивая возможность подтасовки.
В будущем мы бы хотели дать участникам взаимодействия возможность включать данные в сеть и размещать узлы.
И это бесполезное действие и притворство. Вы не можете физически обеспечить прозрачность электронного голосование. Не пишите на Хабре и уходите из России воры и преступники.
В течение всего дня система электронного голосования работала стабильно, за исключением одного часа, но мы смогли оперативно устранить неполадку.
Скажите пожалуйста, на чём основывается утверждение что время неполадки составило всего один час?
Мы сделали расчёт, и получили как минимум в 4 раза больше — habr.com/ru/post/480332
Ребята, вы можете еще 10 постов написать про чудо-блокчейн, но проблема не в этом. Выборы — это ситуация, где никто никому не доверяет, и механизмы должны быть максимально прозрачны, чтобы любой желающий мог убедиться в правильности подсчета.
Если прозрачности нет, то голосование для стороннего наблюдателя ничем не отличается от варианта, когда вы распечатываете в ворде листочек с результатами. Если вы не можете обеспечить прозрачность, зачем тратить деньги на блокчейн? Напечатайте результаты в ворде и купите на сэкономленные деньги себе что-то хорошее или отреставрируйте какой-нибудь красивый старый дом.
Соответственно, вопросы к вам:
1) как в реальности (не в теории) обеспечивалась прозрачность для стороннего наблюдателя?
2) как гарантируется защита от фальсификаций со стороны исполнительной власти и ЦИК, администраторов системы?
3) как гарантируется защита от принуждения бюджетников голосовать в кабинете директора под присмотром начальства?
4) как объяснить уменьшение числа "зарегистрировавшихся" в 14:00 и превышение числа "получивших бюллетень" над "потвердившими СМС"? Цифры и графики есть в этой статье.
5) Где защита от сценария, когда организаторы "потеряют" ключ для расшифровки, чтобы сорвать подведение итогов в случае неблагоприятного прогноза?
Всем хабрапользователям я советую почитать критику из доклада Романа Юнемана, где приведено множество фактов, указывающих на непрозрачность и закрытость системы.
Ну и несколько вопросов по статье.
в процессе мы использовали технологию блокчейн: она обеспечивает анонимность и прозрачность процесса.
Только вот 100% нод контролируете вы, а подсоединиться к блокчейну нельзя даже для чтения. Уязвим ли ваш блокчейн к "атаке 51%"?
6) Объясните, где тут "прозрачность", если я не могу следить в реальном времени за блокчейном?
7) Объясните, где гарантия, что вы не ведете несколько параллельных блокчейнов, чтобы по итогам выбрать наиболее подходящий вам?
8) Как я могу убедиться, что в вашем блокчейне используется опубликованный код, а не код с "закладками"?
По моему, прозрачность не была обеспечена.
Разработанная нами система голосования на блокчейне — это экспериментальный проект. Поэтому во время сентябрьских выборов к ней не предъявлялись требования, характерные для систем, которые уже находятся в промышленной эксплуатации.
Тогда какое право вы имеете использовать эту сырую технологию в процессе выбора власти? Вы не понимаете, что у вас не приложение по простановке лайков под фото с дурами-блондинками, а серьезный юридический механизм? Как ваш руководитель, если он профессионал, мог сдать эту сырую разработку?
9) Отсутствие чего помешало ему или ей сказать, что проект не готов Какие были аргументы в пользу сдачи сырой, непрозрачной разработки, проваливавшей испытания, в продакшен?
Также важна возможность отправки «слепков» данных в публичную сеть, например, Ethereum. Но эти доработки затрагивают огромное число законодательных и нормативных вопросов, на решение которых у нас не было времени.
Почему вы не отложили свою разработку до следующих выборов, если времени не хватает? В России выборы каждый год проходят, куда вы спешите?
Полный код появился на веб-сервисе 6 сентября — за два дня до официальных выборов в Мосгордуму.
Прекрасно, всего-то чуть более суток на изучение окончательной версии кода. Я перед выборами сижу сутками читаю законы, и я где-то должен найти время на изучение кода, который писало 100 человек.
Во время обработки заявки все необходимые данные, которые указал избиратель, проходят проверку.
10) Имеют ли возможность наблюдатели и ЧПСГ ознакомиться с этими данными, включая технические данные (IP-адрес, устройство, ОС, размер экрана, "отпечаток устройства" (fingerprint), который снимает mos.ru)?
11) Если нет, то где гарантия, что эти заявки не содержат "мертвые души"? Как мне убедиться, что там реально существующие люди, которые имеют право голосовать в округе и которые не проголосуют бумажно? Я не верю ни вам (так как вы сдали сырую разработку), ни МВД (так как оно сфабриковало фейковое дело на Голунова и фейковую экспертизу, чтобы не допустить на выборы Соболь).
Сквозную авторизацию пользователей на порталах города Москвы осуществляет СУДИР
12) Как я, как наблюдатель, могу убедиться, что к голосованию допускаются только реальные люди с правом голоса, а не фейковые аккаунты? Как мне проверить корректность СУДИР и отсутствие там фейковых аккаунтов? Я не верю вам на слово.
АРМ председателя участковой избирательной комиссии (УИК) позволяет председателю в режиме реального времени мониторить списки избирателей, зарегистрированных на электронные выборы.
13) А как эти списки мониторить наблюдателю? Для чего у наблюдателя убрали право, которое есть на бумажных выборах? Я не доверяю председателю от Единой России, так как он тут заинтересованная в победе своего кандидата сторона.
Устройства печатают результаты электронного голосования, так как бумажное подтверждение — это требование закона: для проверки голоса можно пересчитать вручную.
14) И как наблюдателю их пересчитывать? Вы что, предлагаете просто сидеть смотреть на падающие в урну бумажки?
Далее, у вас приведена картинка, показывающая "реестр избирателей" и "бюллетеней" в блокчейне. Только вот она не соответствует коду на Гитхабе. На Гитхабе в смарт-контракте в реестре избиретелей нет поля "ФИО", а на картинке есть. Почему картинка не соответствует коду?
15) Каким образом из вашей "защищенной" системы утек список избирателей и попал к Навальному? Подтверждаете ли вы подлинность списка и факт утечки?
16) Объясните, в чем причина появления "зон аномалий" 1, 2А, 2Б, 3, на графиках из статьи?
В итоге из тех, кто столкнулся с трудностями из-за сбоя, 85% (462 избирателя) после нашего уведомления вернулись к системе, получили бюллетени и проголосовали.
17) Объясните суть этих трудностей. Производилась ли повторная выдача бюллетеней при технических ошибках, когда пользователь получил бюллетень, но не смог проголосовать? Каким образом это было сделано? Предусмотрена ли возможность повторной выдачи бюллетеня?
В общем, спасибо что дочитали, да кому я вру, позор вам, что сдали эту сырую непрозрачную разработку и помогаете ЦИК, а не обществу, а я пойду искать, как анонимно закинуть денег на карту Юнеману за его прекрасный доклад. Вы можете притворяться, что вы "всего лишь блокчейн" делаете, но между вашим блокчейном, между самолетом Медведевой, делом Голунова и людьми, которых сажают по "московскому" делу в колонию — прямая связь и ее невозможно не замечать. Премию-то хоть дали?
Почему вы не отложили свою разработку до следующих выборов, если времени не хватает? В России выборы каждый год проходят, куда вы спешите?
С этим знакомы почти, кто разрабатывал что-либо для государства. Есть сроки, и нужно сдать хоть что-нибудь, даже если получилось какое-то говно. А доделывать уже на следующем этапе. В случае несдачи может возникнуть большое количество проблем… Система очень негибкая.
Какие проблемы могут возникнуть? Земля расколется пополам что ли? Это выборы и эту непрозрачную систему без возможностей наблюдения надо было отказаться сдавать. Так как любому понятно, что она предназначена для фальсификаций. Но, конечно, бывают люди, которые предпочтут соучаствовать в фальсификации выборов, чем потерять свою жалкую работу.
А если там остался хоть один уважающий себя человек, призываю слить в СМИ или в ФБК, или Юнеману всю документацию и информацию, особенно о падениях системы и повторной выдаче бюллетеней, отчеты по тестированию, кто к чему имел доступ итд. Наверняка там что-то вкусное есть.
Блокчейн, нейронки, машинное зрение, VR и AR, конечно хороши, но только для «посадочных страниц» маркетологов.
Для каждого отдельно взятого избирателя нет совершенно никакого способа проверить, что хотя бы часть вашего ПО корректно выполняет поставленные задачи. Именно поэтому электронное голосование совершенно нелигитимно.
У вас в статье только 3000 слов для поверхностного описания работы системы. А где исходники ПО для управления принтером? А где исходники прошивки принтера? А где описание криптографической защиты для передачи данных по интернету?
Должно быть стыдно быть IT специалистом и заниматься такими вещами.
Если представить, что компьютер с непонятным ПО — это человек, по получается что вместо галочки на бюллетене, я просто говорю на ушко непонятному человеку как я проголосовал, и должен доверять на слово что он правильно записал мой голос и точно передаст его людям, которые эти голоса считают. Причем у меня нет никакой возможности узнать, правильно ли он меня понял, говорит ли он на моем языке, куда и что он записал и точно ли он передал мой голос людям, которые ведут подсчет.
Привет вам из 2021 года, в котором прошло "легитимное" электронное голосование в Госдуму. К сожалению, организаторы выборов были заняты подкупом электрората и незапрещенной агитацией и рекламой везде где только можно. И они не смогли ознакомиться с подробными объяснениями, почему им не надо было запускать электронное голосование. И даже одуванчик Алексей Алексеевич не углядел в процессе никакого обмана. Им не стыдно, они работу свою делают.
А ниже можно будет добавить комментарий из 2024 года, когда пройдут еще более фееричные выборы П...резидента.
Устройства печатают результаты электронного голосования, так как бумажное подтверждение — это требование закона: для проверки голоса можно пересчитать вручную.
Дурацкое требование дурацкого наспех принятого весной закона пересчитать два вывода одного и того же чёрного ящика. Вот рекомендованный ОБСЕ VVPAT позволяет пересчитать то, что контролируется голосующим. Два вывода чёрного ящика считать — это бред, это просто попытка сделать вид соответствия рекомендациям ОБСЕ.
— возможность голосующему убедиться, что его голос добавлен и добавлен правильно.
— невозможность никому кроме голосующего узнать, за кого голосовал кто-либо, кроме него.
— возможность любому убедиться в том, что в системе нет вброшенных голосов
Интересно, как вообще технически решить подобные задачи и можно ли?
Т.е. голосующий должен и убедиться в правильности своего голоса и не должен иметь возможность эти данные кому-либо показывать. Иначе его можно подкупить и ему можно пригрозить. В Эстонии это попытались решить так, что голосующий в течение недели может поменять свой выбор на другой.
Как в этом случае защититься от голосования из госучреждения с куратором за спиной — я вообще не понимаю. На избирательных участках даже если требуют селфи с бюллетенем с правильной галочкой, можно после селфи наставить галочек другим кандидатам, и бюллетень признают недействительным (похоже это объясняет нетипично большой процент недействительных бюллетеней на последних московских выборах).
Для защиты от медиапродакшна можно сделать следующее. На входе металлодетектор (и так есть). Телефон пакуется в пакетик, взамен выдаётся жетон. На выходе — обратный обмен. Собственно, в некоторых учреждениях телефоны изымают, так что ничего такого. Не хочешь чтобы твой телефон где-то шарахался — оставь его дома.
Это не очень критичная проблема. Я видел людей, фотографировавшихся на участке со словами "это папе для работы", но таких немного. Гораздо важнее возможность убедиться, что голосуют реальные люди, а не "мертвые" души. На реальном участке вы можете видеть людей, и сообщать приметы подозрительных своим коллегам на других участках через чат. А вот как проверять, кто голосует на виртуальном участке?
В Эстонии нет никакой защиты от мертвых душ, там авторизация через смарт-карты, выпускаемые правительством, и оно может выпустить хоть миллион поддельных смарт-карт и голосовать как угодно. У нас тоже нет защиты от них.
Для защиты от голосования в кабинете директора в Эстонии можно позже поменять голос электронно. Но если заставить голосовать в кабинете всяких пенсионеров, которые не умеют пользоваться компьютером, то они вряд ли разберутся, как поменять голос.
На Западе чуть лучше, в некоторых штатах США списки избирателей вывешивают публично и там (в теории) может быть отметка: проголосовал или нет. Тогда наблюдатель может проверить, что в списках реальные люди, сравнить количество людей с отметками и кол-во голосов. В Британии есть бумажные реестры избирателей, которые можно смотреть, но нельзя копировать. Там даже адрес указан, можно поехать проверить человека. У нас списки не публикуют якобы из-за закона о перс. данных.
Для защиты от голосования в кабинете директора в Эстонии можно позже поменять голос электронно
Сценарий для лихоимцев: Требуем у избирателя пароль от гуслуг, меняем на свой, меняем обратно по истечении срока
На случай, если начальник следит за компьютером, с которого будешь голосовать, можно было бы голосовать с другого устройства, а то, старое, пометить, чтобы там проходило фейковое голосование.
это наша разработка Полис в «Московской упаковке». Наша собственная онлайн-голосовалка на блокчейне. Вышла на уровень Москвы — принимаю поздравления!
По поводу найденных уязвимостей пишет:
это херь полная. В тестовой демо-версии был короткий крипто-ключ, который было запланировано поменять перед «боевым» голосованием.
Из того, что прочитал о системе, там много интересных решений. Хотелось бы прояснения, действительно ли их система использовалась. По описанию не очень похоже.
Я больше скажу, никакая система электронного голосования невозможна, если нет истории доверия, длящейся десятилетия. Сейчас это просто смешно, цик фактически является одной из сторон на выборах.
В ситуации недоверия голосовать можно только с помощью бумаги и процесс должен быть устроен так, чтобы наблюдатели все этапы процесса физически видели.
Когда будет доверие, можно думать, как сделать электронное голосование. И я думаю, без участия других стран это будет трудно реализовать.
После общения с технической рабочей группой появилось дополнительное требование к системе — избирателю нужна была возможность проверить, как учитывается его голос в блокчейне.
Мы протестировали фичу с возможностью сохранения идентификатора транзакций, но в результате решили отказаться от нее на сентябрьских выборах: на наш взгляд, фича могла бы стать потенциальным вектором для манипуляции избирательным правом. Например, могли возникнуть ситуации, когда начальство принуждает сотрудников подтвердить их участие в выборах с помощью скриншота и т. д.
Т.е. главное свойство открытых выборов тут отсутствует. Я не могу проверить что мой голос учтен именно так как я голосовал, а не приписан к пжив. Ничего принципиально не изменено, зато у нас используется блокчейен хоть для чего-нибудь, все в тренде 2019.
это студент делал странные действия или автор их странно интерпретирует?
Вторая причина — высокий уровень доверия к блокчейну со стороны ИТ-специалистов.
Прямо таки оскорбительное утверждение… Я почти обиделся-)
Хотя задачка действительно интересная.
Но, как понимаю, одним блокчейном ее не решить…
В первую очередь нужна какая-то прозрачная надежная система контроля.
А возможно даже смена политической системы и системы власти, так чтобы влиять на выборы небыло смысла.
Даже подозрительно чересчур несложное-)
Не пойму, рыбка, где ты меня кинуть хочешь(с)
По сути, «электронный» избирательный участок — вещь достаточно не дорогая.
Значит надо чтобы у каждого кандидата был свой личный «электронный избирательный участок».
1.Условный ЦИК раздает избирателям ключи-идентификаторы, защищенные от подделки.
2.В час Ч избиратель шлет свой ключ-идентификатор в «избирательный участок» своего кандидата.
3.По окончании выборов, кандидат передает собранные ключи-идентификаторы в ЦИК для проверки и подсчета голосов.
Вкраце все.
А где гарантия, что условный ЦИК не напечатает "лишних" ключиков и не доложит в нужную корзинку?
Есть что обмозговать.
Зато, система голосования получается в некотором роде — распределенная, а не один-единственный «черный ящик».
А следовательно, скорее всего в нее можно внедрить какие либо «независимые»(от ЦИК) контролирующие подсистемы.
Например, если в виде «голосов» задействовать токены, аналогичные токенам в блокчейне, то можно после голосования проводить верификацию токенов и подсчет голосов «независимой» счетной комиссией, без раскрытия личности их владельцев.
А подделка токенов в больших количествах, может стать весьма затратным делом.
Нужно гарантировать, что бюллетени выданы конкретным людям (и потом можно было посмотреть, кому именно — Иванов голосовал, Петров голосовал, а Сидоров скажет — какого лешего! Я на участок не ходил, а мне бюллетень выдали!), потом какая-то операция по ослеплению этого бюллетеня, чтобы нельзя было понять, чей именно бюллетень проголосовал, простановка голоса и передача его уже в «урну». И ещё, чтобы нельзя было в последний момент вкинуть много бюллетеней, при выдаче каждого бюллетеня на нём проставляется таймстемп, и в блокчейн оно должно попасть с таймстемпом. Тогда будет видно, что бюллетени выдавались равномерно в течение дня, а не в последний момент пенсионерам, которые не проголосовали, как это в оффлайне бывает.
Кибервыборы v1.0: как создавалась система блокчейн-голосования в Москве