ВИБОРИ ОНЛАЙН: ЧОМУ ЕСТОНСЬКА МОДЕЛЬ НЕЖИТТЄЗДАТНА В УКРАЇНІ І ЯК РЕАЛІЗУВАТИ ПРОЕКТ НАЙБІЛЬШ ЕФЕКТИВНО?
2 частина
В першій частині матеріалу не акцентувалась увага на недоліках естонської системи, хоча деякі з них одразу кидаються в очі.
Головним з них є те, що користувач може перевірити свій голос, але не може бути впевненим у його правильному підрахунку.
Як уже згадувалось раніше, перед підрахунком “голосів”, з них видаляється цифровий підпис, вони записуються на DVD-диск та переносяться на сервер підрахунку, який у свою чергу вже розшифровує та рахує “голоси”, а результат пізніше записується на ще один DVD-диск та опубліковується. Перевірка “свого” голосу жодним чином не гарантує, що цей “голос” потрапить/потрапив на DVD-диск для передачі на сервер підрахунку. Навіть у випадку, коли він потрапив, не існує гарантії, що працівники РВК завантажать на сервер підрахунку саме початковий диск, а не підмінить його іншим (скажімо, за хабар у 10,000 біткоінів на флешці). Створити аналогічний диск з “потрібним” результатом – завдання нескладне. Публічний ключ шифрування РВК відомий кожному, тому ніщо не заважає сфальсифікувати результат, розподілити “голоси” з точною кількістю виборців і підмінити початковий диск. Більше того, навіть якщо на сервер підрахунку все ж попав правильний диск, то немає гарантії, що для оприлюднення буде використаний істинний результат підрахунку. За умови, що все-таки все відбудеться, як повинно, немає гарантії, що персонал віднесе саме той диск для оприлюднення, так само, як і того, що для оприлюднення буде використаний вміст саме початкового диску. Тому навіть, якщо припустити додаткове використання заходів безпеки (у вигляді додаткових цифрових підписів, прямої трансляції наживо на всю країну), це не нівелює ризиків щодо махінацій. Вся конструкція здається занадто хиткою.
У системі наявні й інші недоліки (велику частину можна усунути). Для зацікавлених рекомендуємо прочитати огляд дослідників з Мічиганського університету під керівництвом Алекса Халдермана, які на власні очі бачили, як відбувалися електронні вибори у 2013 році (а також мали можливість спостерігати за переносом результатів на сервер на особистій флешці замість диску DVD тощо).
Головний висновок полягає у тому, що естонська система електронного голосування заснована на довірі суспільства до естонського інституту влади. Громадяни України тяжіють до недовіри до державних органів влади (звідки виник мем-псевдонім “Підрахуй”), тому завжди буде певна кількість виборців, що сумніватиметься у результатах та звинувачуватиме владу у фальсифікаціях. В естонській системі для порівняння, фальсифікації при бажанні можна здійснити в щонайменше 5 місцях. Теоретично, міг би допомогти повторний підрахунок “голосів”, проте рішення про здійснення такого має бути схвалено відповідним органом, який може саботувати процес у разі, якщо він не зацікавлений у цьому.
Як ідентифікувати виборця?
Для цього необхідний цифровий підпис. Приватний ключ цифрового підпису повинен зберігатися на ID-карті, доступ до якої заблокований за допомогою PIN’у. Виборці повинні розуміти, що передача карт і PIN’у в чужі руки може мати як позитивні наслідки для їх матеріального стану (наприклад хабар), так і негативні (кредит в банку, позбавлення майна, свободи тощо), так як рано чи пізно ЕЦП матиме таку ж юридичну силу, що і звичайний підпис.
Чому не можна використовувати bankID, mobile ID та інші smart ID в голосуванні?
ЕЦП для голосування може бути виданий виключно державою та ніким іншим. З одного боку, тільки державні інститути мають доступ до актуальної інформації про своїх громадян (наприклад чи живий, де проживає та чи не покинув територію держави), а з іншого боку, існуюча технологія ID-карти дозволяє згенерувати приватний ключ всередині системи таким чином, що навіть держава не зможе прочитати його або зберегти копію на всяк випадок.
Зовсім інша справа з ID-похідними (на кшталт bankID, mobile ID тощо). По-перше, для отримання таких “ID” у будь-якому випадку, теоретично, відбувається ідентифікація користувача за паспортом чи за допомогою ID-карти. По-друге, не у всіх “ID” системах генерація приватного ключа відбувається всередині крипточіпа. По-третє та щонайважливіше, нічого не зашкоджує тим, хто випускає “ID”, зробити їх ту кількість, яку потрібно.
Дійсно, ніщо не заважає банку з умовною назвою “Найчесніший банк” створити 10 мільйонів bankID і проголосувати ними за правильного кандидата (складно уявити правильнішого кандидата, ніж власника банку). Звичайно, держава може зобов’язати до реєстрації цих “ID”, щоби спробувати запобігти цьому. Проте, у “Найчеснішого банку” залишаються в розпорядженні всі необхідні ідентифікаційні дані клієнтів, і якщо їх багато, то “Найчеснішому банку” ніщо не завадить випустити “ID” на всіх клієнтів та принагідно використати їх з користю.
Схожа ситуація і з mobileID. До того ж, в Україні немає жодного мобільного оператора, в якому українські бенефіціари володіли би часткою в 50+% (“Vodafone” – дочірня компанія російського оператора; “Київстар” – на 47.9% належить росіянам, 14.6% – норвезькій компанії “Telenor”; “Lifecell” – на 100% належить турецьким бенефіціарам), а це породжує ризики втручання іноземних держав в українські вибори.
Це саме стосується не тільки bankID та mobileID, а також і новіших систем у розробці та таких, що тільки плануються для розробки, недержавних “ID”. Адже, хто за банкет платить, той і замовляє музику.
Чи безпечно використовувати ID-картки?
Виходячи зі сказаного вище, тільки оригінальна “ID-картка” може використовуватися для електронного голосування, оскільки вона є безпечною (з точки зору генерації і зберігання приватного ключа) та непідконтрольною для сторонніх осіб та організацій.
Проте, залишається людський фактор. Наприклад, керівник підприємства може примусти (під страхом звільнення) своїх співробітників голосувати за присутності менеджерів за найбільш достойного кандидата. З іншого боку, паперове голосування також не позбавлене від таких недоліків (прикладів є багато: голосування в місцях позбавлення волі, лікарнях, так звані референдуми та вибори в Криму та в ОРДЛО). Для запобігання цьому, Естонія дозволяє голосувати багато разів поспіль, проте зараховується тільки останній голос. До того ж, можна піти на виборчу дільницю та проголосувати фізично, що нівелює електронний голос у системі.
Для проблеми не існує простого рішення, проте як мінімум, повинна бути передбачена кримінальна відповідальність за вимогу до “потрібного” голосування у день виборів. З іншого боку, потрібна масштабна інформаційна кампанія, яка пояснить, що нікому в жодному випадку не можна передавати ID-картку, оскільки остання може бути використана для досягнення юридично вагомих цілей, які в свою чергу, можуть мати фінансові та інші наслідки для виборця.
Хороші новини полягають в тому, що необхідну інформацію з ID-картки можна зчитати за допомогою смартфона, що підтримує технологію NFC (а це переважна більшість сучасних Android-смартфонів).