Вибори онлайн: чому естонська модель нежиттєздатна в Україні і як реалізувати проект найбільш ефективно?

Президент оголосив привселюдно, що “Держава в смартфоні” є пріоритетною концепцією розвитку держави та її послуг. В рамках цієї концепції буде реалізовано проект “The Vote”, презентація якого має скоро відбутися.

На жаль, концепція електронних виборів публічно не обговорювалася і не була представлена широкому загалу. При цьому, судячи зі слів відповідальних осіб, в тому числі віце-прем’єра і за сумісництвом Міністра з питань цифрової трансформації Михайла Федорова, проект уже реалізований. Але хто його робив і за чиї гроші — поки що не зрозуміло. Можливо, кошти “спонсорські”, проте, ким є той самий спонсор і в чому його «інтерес» – загадка.

Мало хто знає, як буде працювати майбутня система “The Vote”, але це не заважає обговорювати концепцію електронних виборів, а саме, як вони можуть виглядати.

У цій статті будуть розглянуті основні питання, що стосуються електронних виборів, а також буде запропоновано механізм реалізації системи. Зокрема, буде показано, чому не варто переймати естонську систему, чому в електронних виборах не можна використовувати ID-сурогати (bankID, mobile ID і т. Д.), чому даний проект не можна реалізувати строго на базі т.зв. блокчейну, та як вирішити проблему анонімності голосування.

В статті не фігурує велика кількість спеціалізованих термінів і кожен, хто її прочитає, матиме уявлення, як може виглядати сучасна система електронного голосування. Окрім цього, заради доступності і зрозумілості матеріалу, далеко не всі формулювання і визначення є юридично і технічно точними, але вони здатні передати суть.

ЧАСТИНА 1
Необхідний технічний мінімум

Для розуміння статті варто мати загальне уявлення про криптографію з відкритим ключем і електронний цифровий підпис (далі — ЕЦП).

Без поринання у математичні хащі, можна сказати, що для шифрування повідомлення використовується публічний ключ того, кому це повідомлення призначене. Цей ключ не є секретним і може стати відомим всім зацікавленим особам. А ось розшифрувати повідомлення можна лише за допомогою приватного (або секретного) ключа одержувача. Цей ключ вже тримається в секреті та охороняється як зіниця ока. Інакше кажучи, кожен може зашифрувати повідомлення публічним ключем, але тільки власник приватного ключа зможе розшифрувати повідомлення.

За схожим принципом діє і цифровий підпис, тільки у зворотному напрямку: власник приватного (секретного) ключа може підписати повідомлення, а будь-який охочий за допомогою публічного ключа може переконатися, що повідомлення підписано саме тим, ким потрібно.

Єдиною країною, в якій працює і використовується електронна система голосування впродовж багатьох років, є Естонія. Інші країни (Канада, Швейцарія, Франція та ін.) також тестували різні варіанти електронного голосування, проте відмовилися від цього способу або обмежили його використання до окремих специфічних випадків.

В Естонії електронне голосування використовується на державному рівні уже давно. Дана система базується на використанні цифрового підпису, який зберігається на ID-картці або mobiil-ID, digi-ID. Ці три види цифрової ідентифікації видаються державою (прямо або опосередковано). Таким чином, держава володіє інформацією про те, який засіб цифрової ідентифікації було видано і кому.

Користувач шифрує свій голос за допомогою відкритого ключа Республіканської Виборчої Комісії (далі — РВК) і підписує своїм цифровим підписом (звичайно, виборець це робить не сам, а замість нього роботу виконує спеціально розроблене програмне забезпечення). Частини закритого (секретного) ключа розподілені між членами РВК і для підрахування загальної кількості електронних голосів, повинна зібратися як мінімум половина членів РВК.

“Голос” виборця технічно складається з деякої випадкової складової та, власне, самого вибору. Відправляючи “голос” на сервер, виборець отримує ідентифікатор сесії. Перевірити коректність “голосу” можна, знаючи ідентифікатор сесії та випадкову складову. Додаток, за допомогою якого  було здійснене голосування, надає цю інформацію у вигляді QR-коду, який може прочитати вже інший мобільний додаток, спеціально призначений для перевірки “голосів”. Оскільки “голос” зашифрований, а ключ для розшифрування невідомий, то розшифрувати його не вийде (в межах розумного часу). Проте, мобільному додатку відома випадкова складова “голосу”, передана через QR-код, а також список кандидатів. Отже, додаток емулює шифрування “голосу” для всіх кандидатів з уже відомою випадковою складовою. Якщо один з варіантів зашифрованого “голосу” збігається з тим, що був отриманий від сервера, то це і є той кандидат, за якого проголосував користувач.

Свій “голос” користувач може змінити безліч разів або скасувати взагалі. Зроблено це з метою ускладнення впливу на виборця, в тому числі підкупу.

Після закінчення процесу голосування відбувається перевірка підписів всіх “голосів”, під час якої “повторні” голоси одного і того ж виборця відкидаються. Також перевіряються цифрові підписи голосів на коректність і, якщо з підписом щось не так, то такий “голос” також відкидається. З “голосів”, які успішно пройшли перевірку, забирається цифровий підпис і вони у вигляді комп’ютерного файлу записуються на DVD-диск, який вручну приносять на сервер підрахунку. Цей сервер не має підключення до мережі Інтернет. Члени РВК вводять свої частини приватного ключа і сервер підрахунку отримує цілісний приватний ключ, за допомогою якого розшифровує “голоси” з DVD-диска.

Розшифрувавши і підрахувавши голоси, результат записується на ще один DVD-диск і переноситься на сервер публікації результатів.

Так виглядає процес електронного голосування в Естонії в скороченій інтерпретації. Слідкуйте за нашими новинами!

Наступна частина