Стратегия беспристрастности
АрхивРазумеется, нам всем хотелось бы верить, что демократические выборы действительно отражают волеизъявление граждан, что члены избиркомов независимы, а наблюдатели неподкупны.
Разумеется, нам всем хотелось бы верить, что демократические выборы действительно отражают волеизъявление граждан, что члены избиркомов независимы, а наблюдатели неподкупны. Однако практика показывает, что на самом деле это далеко не всегда так, — ни одни выборы ни в одной стране мира не обходятся без нарушений. И закладываться на добросовестность всех без исключения участников процесса было бы делом непозволительно безответственным. В конце концов, сисадмин держит в тайне рутовый пароль отнюдь не потому, что ожидает деструктивных действий от конкретного персонажа, — просто иной подход, как показывает богатейшая практика корпоративных сетей, слишком рискован и рано или поздно приводит к проблемам. Подходить к организации выборов нужно так, будто и впрямь за каждым углом затаились враги, только и ждущие возможности похакать нашу систему. Это типичная проблема информационной безопасности, и воспринимать ее следует именно таким образом.
Возможно ли построить электоральную процедуру, принципиально, на системном уровне исключающую возможность фальсификаций? Если не отказываться от принципа тайного голосования, — нет, невозможно. Стопроцентно достоверными являлись бы лишь широко опубликованные результаты поименного голосования, когда любой гражданин смог бы проверить, правильно ли засчитан отданный им голос, спросить о том же у соседа, самостоятельно пересчитать итоговые цифры и заявить в прокуратуру, если обнаружит в списке проголосовавших свою безвременно умершую за два месяца до того любимую тетушку.
Однако отрицательный ответ не означает, будто невозможно создать систему, свободную от большинства уязвимостей, характерных для сегодняшнего дня, — да и риск оставшихся минимизировать в достаточной степени, чтобы фальсификации не смогли существенно повлиять на результаты выборов.
Первая очевиднейшая брешь — возможность манипуляций с разнообразными «мертвыми душами». При традиционной технологии гражданин, весь «красный день календаря» проведший на даче, может и не подозревать, что он «проголосовал» за какого-то кандидата, а в ведомости стоит невнатная закорючка. Теоретически можно на законодательном уровне обязать избирательные комиссии предоставить после выборов доступ к этим ведомостям любому желающему, но на практике обеспечить выполнение этого требования окажется нереально. Причинами будут и дороговизна, и технические сложности (потребуется при каждом избирательном участке организовать приемную, ежедневно работающую в течение, по крайней мере, двух недель), и риск «случайной» утраты документации из-за «пожара» или «прорыва канализации» на тех участках, где члены избиркома имеют веские основания опасаться ответственности за свои махинации. Да и крайне сомнительно, чтобы человек, забивший на выборы в день голосования, через неделю вдруг бросил бы все и отправился проверять списки избирателей.
Куда эффективнее были бы ведомости, в которых избиратели расписываются в получении бюллетеней или их аналогов, сразу после выборов изымать, опечатывать и централизованно хранить в надежном месте, а полный список граждан, участвовавших и не участвовавших в голосовании, публиковать на сайте центризбиркома, — разумеется, заверенный электронной цифровой подписью (Отметим, что сам по себе факт участия или неучастия того или иного избирателя в голосовании предметом тайны не является. Любой желающий может собрать эти сведения, абсолютно не нарушая закона, всего лишь устроившись на лавочке у входа на избирательный участок и отмечая, кто туда заходит. Тайной является лишь сделанный избирателем выбор). Эта задача не столь неподъемна, как кажется на первый взгляд. Если оценить размер записи, относящейся к одному избирателю и содержащей его полное имя, год рождения, идентификатор личности и сведения о том, принял ли он участие в голосовании, в 100 байт, — то размер файла, содержащего информацию о 100 млн. избирателей, окажется равным приблизительно 10 Гбайт. Даже на низкоскоростном тарифном плане «Стрим-Нео» с неограниченным трафиком компании «МТУ-Интел» время загрузки из Сети такого объема данных составит лишь около шести суток, — главное, чтобы поддерживалась докачка в случае обрыва соединения. О гражданах, обладающих скоростными каналами, а тем более — о политических партиях, общественных и правозащитных организациях и говорить нечего, — контроль адекватности официальных сведений об участии избирателей в голосовании становится доступным без преувеличения любому. Те, кто не имеет доступа в Интернет или для кого скачивание файла такого объема является невозможным по финансовым причинам, при желании получат возможность ознакомиться с этим списком в офисах многочисленных общественных организаций или в государственных отделениях связи, оборудованных пунктами коллективного доступа в Интернет.
Любой гражданин сможет без труда проверить достоверность сведений о том, принял ли участие в голосовании лично он, члены его семьи, друзья и знакомые, — и в случае обнаружения несоответствий обратиться в правоохранительные органы для проведения проверки. Совершенно очевидно, что если в избирком затесался злонамеренный интрудер, пытающийся манипулировать результатами выборов путем игр с «мертвыми душами», — то он «в полевых условиях» не сможет сколько-нибудь достоверно подделать подпись любого из трех тысяч избирателей, приписанных к участку. Даже обладание образцами подписей кого-то из них поможет ему не слишком сильно, — ведь заранее не известно, кто из избирателей явится голосовать, а кто нет, — так что простейшая графологическая экспертиза молниеносно выявит подлог в ведомостях, где избиратели расписываются при получении бюллетеней или их аналогов, — со всеми вытекающими последствиями. А чтобы отбить охоту к заметанию следов у разного рода экстремалов, достаточно ввести в закон о выборах положение, при котором результаты по участку денонсируются и назначается повторное голосование, если соответствующая документация утрачивается по какой бы то ни было причине раньше, чем по истечении определенного срока.
Следующим слабым звеном в системе, как мы видели, является все, что происходит между тем, как бюллетень опущен в урну, и моментом внесения результатов по избирательному участку в протокол. Наилучший способ залатать имеющиеся дыры в защите — полностью исключить все потенциально проблемные стадии из системы, чтобы не было ни урн, ни бюллетеней, ни их пересчета.
Избиратель, зайдя в кабину голосования, выражает свою волю нажатием одной из клавиш на машине, по сложности и дороговизне не сильно отличающейся от электронного кассового аппарата. Машина для голосования печатает квиток (на специальной бумаге с необходимым количеством степеней защиты), на котором отражается сделанный избирателем выбор, а также уникальный идентификатор, присваиваемый этому голосу. Та же информация передается машиной непосредственно на сервер Центризбиркома, который формирует из них список (Можно предвидеть очевидное возражение, что, например, в России телекоммуникационные сети еще недостаточно развиты, чтобы обеспечить подключение всех избирательных участков, особенно региональных. Однако объем информации, передаваемой машиной для голосования, весьма невелик, составляет буквально считанные байты на транзакцию и совершенно не требует высоких скоростей передачи данных. Для этих целей вполне могут использоваться и телеграфные каналы с пропускной способностью 200–300 бод, благо телеграфные отделения есть практически в любом населенном пункте). В нем каждая строка состоит всего из двух записей — уникального идентификатора, присвоенного голосу, и варианта, за который этот голос был отдан. По завершении голосования список, заверенный электронной подписью, публикуется для всеобщего сведения на сайте центризбиркома, — данная информация никакой тайны в себе не содержит, — ведь отданный голос является анонимным и никоим образом не ассоциирован с конкретным избирателем. Соответственно и с машины для голосования на сервер избиркома она может — и, вероятно, даже должна — передаваться в открытом виде. Возможность использовать для передачи открытые каналы связи, включая публичный Интернет, делает затраты на реализацию такого проекта вполне приемлемыми (Теоретически при таком подходе возможно нарушение тайны голосования, если один из злоумышленников будет перехватывать передаваемые по открытому каналу связи сообщения, а второй будет фиксировать на избирательном участке, кто именно в данный момент находился в кабине для голосования. На практике же рисками такого рода можно пренебречь, — мы же не опасаемся всерьез, что враги поставят в традиционных кабинах для голосования скрытые камеры, позволяющие видеть, кто какой пункт в бюллетене зачеркивает. В странах, где носители оппозиционной точки зрения действительно могут привлечь столь пристальное и дорогостоящее внимание, — результаты выборов все равно определяются отнюдь не на избирательных участках).
Объем такого списка получится достаточно скромным, — для присвоения 100 млн. уникальных идентификаторов с запасом хватает 4 байт, а если исключить из доступного ассортимента всяческие неудобные для восприятия людьми символы, а также символы, схожие по написанию, оставив только буквы латинского алфавита в единственном регистре и цифры за исключением 0 и 1, — то нам хватит 5 байт. Плюс пробел в качестве разделителя и 1 байт для обозначения варианта выбора, — итого 7 байт на голос, и результаты голосования 100 млн. человек займут каких-то 700 Мбайт — емкость одного-единственного CD.
При этом активное использование квитанций для публичного контроля за ходом выборов, как ни странно, ничуть не угрожает тайне голосования, — ведь «квиток» является документом «на предъявителя», и неважно, кто именно отдал конкретный голос, — нас интересует только то, чтобы этот голос был засчитан правильно. При выявлении нарушений в правоохранительные органы могли бы обращаться, например, адвокаты от имени анонимных клиентов. Возможна и такая форма контроля, когда правозащитная организация попросту собирает после выборов эти «квитки» у граждан, которые ей доверяют, — это позволило бы контролировать правильность учета голосов тех избирателей, кто по каким-то причинам не в состоянии сделать этого лично.
Впрочем, у злоумышленников может остаться соблазн повлиять на результаты выборов, «подкрутив» машину для голосования в надежде, что среди нескольких сот бабушек с «пенсионерского» избирательного участка ни одна так и не удосужится заняться проверкой. Для сертифицированной несложной машины, управляемой ОС с открытым кодом, таких возможностей чисто технически немного, — разве что на уровне ПЗУ прошить инструкцию посылать информацию о нажатии кнопки «1» всякий раз, как избиратель нажимает кнопку «2», — сделать что-то более интеллектуальное попросту нереально. Чтобы исключить подобный соблазн раз и навсегда, — вопрос, нажатие какой клавиши будет соответствовать какому кандидату, должен решаться для всех машин путем жеребьевки, проводимой в центризбиркоме, — непосредственно перед началом голосования, когда все машины уже установлены на участках. В этом случае манипуляции с машинами становятся бессмысленными, — ведь вероятность, что в результате эффект окажется прямо противоположным и голос сторонника достанется врагу, окажется в точности равной вероятности достижения запланированного результата. Наконец, поскольку информация от машин для голосования передается в открытом виде, наблюдатели всегда могут проверить адекватность работы машин при помощи аппаратуры, которая перехватывает и отображает передаваемый сигнал без непосредственного подключения к кабелю.
И последнее слабое звено в этой системе — «смычка» между списочными избирателями и реально отданными голосами. Что толку городить огород с проверкой идентификаторов, если избиратель может нажать на кнопку дважды или трижды и в итоговом списке появится на несколько сот тысяч голосов больше, чем людей, принявших участие в выборах? Какой материальный объект получает под роспись вместо бюллетеня гражданин, пришедший на избирательный участок?
По всей видимости, в качестве ключа, дающего возможность однократно нажать кнопку машины для голосования, должно использоваться что-то наподобие перфокарты с уникальной комбинацией отверстий или карточки со штрих-кодом. При голосовании машина может передавать в центризбирком, помимо прочей информации, и сведения о ключе, который, таким образом, уже не сможет быть использован на другой машине. Если на определенные участки доставляются карты с определенными диапазонами ключей, — может применяться предварительная проверка на валидность. В отличие от избирательных бюллетеней, которые легко подделать, такую карту подделать практически невозможно: ключ, находящийся за пределами допустимого диапазона, попросту будет отвергнут системой, а использование «двойников» будет заблокировано после первого же применения. Более того, если избиратель, получив валидный ключ, оказался не допущенным к голосованию, — значит, уже был активирован «двойник» этого ключа, — и после обращения к наблюдателям и членам местной комиссии можно выявить по логам центризбиркомовского сервера, где, когда и с какой конкретной машины он был использован.
Уникальность ключей и заранее известное их количество делают манипуляции с «неучтенными бюллетенями» практически невозможными, если члены избирательной комиссии обязаны сдать их неизрасходованный запас по счету под роспись и несут ответственность в случае недостачи. Поставить же закорючку в ведомости и использовать ключ для голосования от лица не пришедшего на выборы гражданина оказывается делом рискованным, ибо такой подлог с заметной вероятностью может быть раскрыт благодаря публичности списков граждан, принявших участие в выборах. Круг замыкается, — разработанная нами система оказывается достаточно устойчивой по отношению к большинству уязвимостей, имеющихся в традиционной схеме голосования.
Значит ли это, будто она безупречна и неуязвима в принципе? Нет, — со временем пытливый человеческий ум наверняка отыщет какие-то лазейки и в ней, — не говоря уж о том, что она может эффективно противостоять только техническим нарушениям, но бессильна против методов социальной инженерии, таких как подкуп избирателей (Кстати говоря, сегодня в России подкуп избирателей используется не особенно широко, поскольку у его организаторов нет никакой уверенности, что гражданин, взяв деньги, не проголосует, тем не менее, за «неправильного» кандидата, — проверить это невозможно. Наличие на руках квитанций обострит эту проблему, — теперь можно будет выплачивать деньги по факту предъявления «квитка» с «правильным» голосом. Однако массовое применение подобной технологии требует достаточно широкого распространения среди населения предложения-оферты, которое не сможет пройти мимо бдительных сторонников другого кандидата, — так что после нескольких громких арестов ситуация быстро нормализуется). Тем не менее, если бы она применялась на недавних украинских или американских выборах, — множества драматических коллизий, ставящих под сомнение саму эффективность демократической системы, удалось бы избежать, — и уж совершенно точно не пришлось бы гадать и оспаривать, кто должен стать президентом — Буш или Керри, Янукович или Ющенко.
А пока подобная система не реализована ни в одной стране мира, нам остается только грамотно выбирать собственную стратегию поведения на очередных выборах, чтобы минимизировать возможность фальсификаций на любом уровне, — с учетом тех системных уязвимостей, которые мы проанализировали.
Sapienti sat.
