Онлайн-голосование: Россия vs Эстония

В последнее время про дистанционные электронные голосования (ДЭГ) говорят много – на сентябрьских выборах ДЭГ будет использоваться в семи регионах, в нём ожидают до 2 млн. избирателей, и Москва уже развернула широкую рекламно-информационную кампанию.

При этом – по очевидной причине – данная кампания, как и большинство других материалов, направлены на обычного избирателя, и в основном подчёркивают удобство ДЭГ для него. Материалов для IT-специалистов и экспертов по-прежнему, прямо скажем, негусто, а те, что есть – например, в блоге «Ростелекома» на Хабре — наоборот, ударяются в другую крайность, будучи переполненными техническими деталями.

Начиная с сегодняшнего материала, мы попробуем рассказать про то, как работают российские системы ДЭГ (их две!), пытаясь соблюсти баланс между популярностью изложения и техническими подробностями.

Стартуем с международного опыта: при разговорах о ДЭГ часто всплывает Эстония, как один из пионеров электронных голосований масштаба государства – там ДЭГ применяется с 2005 года, и применяется успешно.

Как соотносятся российские и эстонские системы с точки зрения концепции реализации, функционала, надёжности в контексте голосования? Изучить этот вопрос мы попросили нашего эксперта, члена ВКС Партии прямой демократии Андрея Филиппова.

Отложить нельзя переголосовать

Одна из новых возможностей дистанционного электронного голосования, представленная в ходе недавнего тестирования московского ДЭГ – это функция так называемого «отложенного решения», позволяющая изменить свой выбор в ходе многодневного голосования (по сути – переголосовать заново, но в силу стилистическо-юридических причин такой термин не используется), но с единственной оговоркой: нельзя изменить решение за три часа до окончания голосования. Так, 29 июля эта опция была недоступна с 20:59, а 30-го – уже с 16:59. Отложенное решение отличает ДЭГ Москвы от федеральной системы дистанционного электронного голосования, разрабатываемой Ростелекомом для ЦИК РФ – в остальном функционал этих систем с точки зрения избирателя одинаков. Это не означает, что федеральная система ДЭГ технически в чем-то отстает от Москвы – просто некоторые дополнительные возможности, по мнению ЦИК, на данный момент удобно тестировать в Москве, электронное голосование в которой проводится по специально принятым для этого законодательным актам. Сам вопрос реализации отложенного решения сугубо технический, о чем недавно сообщил заместитель министра цифрового развития, связи и массовых коммуникаций Олег Качанов: «Технически мы прекрасно понимаем, как это можно сделать. Более того, технически, если бы такая задача была поставлена, мы были бы готовы реализовать хоть в этом году».

«Отложенное решение» интересно с двух точек зрения. Во-первых, оно даёт избирателю возможность и время решить какие-то технические проблемы, из-за которых он не может отправить бюллетень (например, на голосовании по поправкам в Конституцию летом 2020 была редкая проблема с одним из плагинов в Яндекс.Браузере). Без отложенного решения выданный бюллетень «протухает» через некоторое время, после чего система просто считает гражданина решившим не голосовать; выдача ему нового бюллетеня невозможна. Во-вторых, отложенное решение теоретически может позволить бороться с голосованием под давлением: если начальник требует от вас проголосовать определённым образом, вы можете сделать это прямо у него на глазах – а потом, уже дома, поменять свой выбор.

Начать, впрочем, следует с того, что само по себе отложенное решение придумали даже не разработчики московского ДЭГ – такой функционал уже давно существует в Эстонии. В связи с этим давайте посмотрим, как устроено онлайн-голосование в Эстонии и что из этого опыта может быть востребовано в России.

«Эстонское» отложенное решение при онлайн-голосовании применяется достаточно давно. Впервые изменить свой выбор эстонские избиратели смогли в 2005 г. на тех самых выборах, когда онлайн-голосование в Эстонии было применено впервые и это хорошо показывает статистика. В 2005 году функцией воспользовались 3,9 % избирателей от общего числа проголосовавших онлайн. На выборах в Рийгикогу в 2019 г. данный показатель уже составлял 2,5 %. Как видно из статистических данных, возможностью отложенного решения избиратели пользуются, но процент ее использования крайний низкий – и существенно отличается от показателя при тестировании отложенного решения в Москве, когда данный функционал использовали 10 % избирателей, принимавших участие в тестировании. Более высокий московский показатель востребованности функции отложенного решения при онлайн-голосовании объясняется, скорее всего, сочетанием широкого информирования избирателей об этой функции и естественного интереса к новому для российских голосований функционалу.

Однако чтобы делать дальнейшие выводы на основе статистики и проводить какие-либо параллели с Эстонией, необходимо больше данных, поэтому интересно будет посмотреть на востребованность использования отложенного решения в ходе единого дня голосования, а также на будущих выборах, если данная опция в дальнейшем будет доступна.

ЕСИА против SIM-карты

Смотреть сходства либо различия российского ДЭГ с эстонским онлайн-голосованием с технической точки зрения нужно прежде всего в системе аутентификации. В России для аутентификации используется учетная запись в ЕСИА/Госуслугах (для московского ДЭГ – учетная запись на mos.ru). В Эстонии для этих целей служит ID-карта гражданина, представляющая из себя пластик с чипом, в комплекте к которому обязательно нужен подключаемый к компьютеру кардридер. С 2011 года эстонским гражданам также стали доступны специальные SIM-карты, так называемый Mobile-ID, позволяющие пройти аутентификацию при помощи смартфона без использования физической ID Card и кардридера. Стоит SIM-карта 1 евро в месяц, основной функционал коротко представлен в видеоролике. По состоянию на июль 2021 года в обращении находится свыше 1,4 млн действующих ID-карт, Mobile-ID — почти у 250 000 человек. В общей сложности 98 % эстонцев имеют ID-карту.

В России голосовать можно с любого подключённого к интернету компьютера, планшета или смартфона. SIM-карта с российским номером требуется – но только для получения подтверждающих действия SMS (зарубежные номера на данный момент не работают, так что, увы, для россиян за рубежом электронное голосование пока что остаётся недоступным).

Два из трёх

На этапе выдачи чистого и получения заполненного бюллетеня система голосования должна решать три базовые задачи, без которых говорить о её применимости для проведения выборов неразумно:

- проверить, что бюллетень действительно получен от имеющего право голоса избирателя (защита от вбросов);
- сохранить содержимое бюллетеня в тайне (защита от раскрытия промежуточных итогов голосования);
- анонимизировать бюллетень (сохранение тайны голосования).

Эстонская система решает технически две из этих трёх задач (третья решается организационно, об этом ниже), российская – все три.

В основе электронной идентификации избирателя в Эстонии лежит инфраструктура PKI, основывающаяся на двух криптографических ключах – секретном и открытом, позволяющих шифровать и подписывать документы. В случае с электронным голосованием бюллетень в Эстонии шифруется отдельным ключом системы голосования, генерирующимся на сервере голосования и выдаваемым вместе с бюллетенем, и подписывается секретным ключом ID-карты избирателя. При приёме заполненного бюллетеня сервер проверяет подпись, используя известный государству публичный ключ ID-карты избирателя, а расшифровка содержимого бюллетеня производится только после окончания голосования. По сути, бюллетени в эстонской системе не являются анонимными, так как они подписаны персональными ключами избирателей, публичная часть которых государству известна и с конкретным физлицом сопоставлена.

С целью соблюдения тайны голосования анонимизация бюллетеней выполняется на сервере голосования перед их расшифровкой и подсчётом голосов (стр. 25, раздел 4.1.3) путём удаления из них криптографической подписи. То есть, тайна голосования в электронной системе в Эстонии обеспечивается не столько технически, сколько процедурно – доверием к тому, что оператор системы проведёт анонимизацию и безвозвратно уничтожит персонализированные бюллетени.

При этом такая анонимизация затрудняет реализацию популярной в ДЭГ функции аудирования – проверки избирателем, что его голос действительно учтён. В российских системах эта возможность технически присутствует, хотя и не представлена в интерфейсе пользователя в явном виде.

Слепое, маскированное, гомоморфное, плацебо-контролируемое

Российские системы ДЭГ устроены заметно сложнее, зато решают чисто техническими способами все три задачи. В них избиратель для получения бюллетеня аутентифицируется через ЕСИА/Госуслуги (все говорят «Госуслуги», но мы с вами понимаем, что здесь задействуется ЕСИА, а сами Госуслуги голосованию совершенно параллельны, это абсолютно разные системы) или mos.ru, после чего на его устройстве генерируется ключевая пара; публичный ключ из этой пары маскируется и отправляется на выдающий бюллетень сервер, где подписывается публичным ключом голосования. Печать