Мы выбираем, за нас выбирают…
АрхивОфициальные представители избирательной комиссии Индии объявили, что всеобщие парламентские выборы 2004 года впервые пройдут исключительно на базе электронных машин голосования.
Официальные представители избирательной комиссии Индии объявили, что всеобщие парламентские выборы 2004 года впервые пройдут исключительно на базе электронных машин голосования. Если учесть, что население страны превышает миллиард, а число зарегистрированных избирателей составляет более 600 миллионов человек, то индийское государство по праву носит ныне титул «крупнейшей на планете демократии».
Торжество прогресса и демократии
Электронные машины для регистрации и подсчета голосов избирателей используются на местных выборах во многих индийских штатах с 1990-х годов. Поэтому избирательная комиссия уже имеет в распоряжении примерно 600 тысяч конструктивно идентичных аппаратов, выпускаемых двумя государственными компаниями — Electronics Corporation of India и Bharat Electronics. К выборам 2004 года необходимо изготовить еще около 200 тысяч машин, поскольку общее число избирательных участков превышает 800 тысяч.
Прошлые парламентские выборы 1996 года проходили в Индии на основе только бумажных бюллетеней, что вылилось в 2,5 миллиона избирательных урн и 8 тысяч тонн вручную разобранных листов бумаги. Судя по дискуссиям в Интернет-форумах, решение о переходе к новой, более прогрессивной форме народного волеизъявления встречено с энтузиазмом не только официальной прессой, но и простыми индусами.
Что представляет собой индийская машина для голосования, или EVM (от Electronic Voting Machine)? Это весьма нехитрое по конструкции, разработанное в 1989–90 гг. устройство, состоящее из двух модулей — блока управления и консоли для голосования (см. www.belindia.com/Website/Asp/ProductDetails.asp?CategoryId=65&ProductId=138). Консоль имеет список кандидатов, рядом с каждым из которых расположена кнопка регистрации голоса. После нажатия на нее устройство ввода блокируется до следующего избирателя, а зафиксированный голос заносится в ячейку памяти соответствующего кандидата. На блок управления возложены функции общего обеспечения процесса, выдачи на дисплей суммарного количества проголосовавших, опечатывания результата по окончании процедуры и финального объявления результатов выборов. Из соображений безопасности электронные машины не подсоединяются ни к каким сетям и центральным базам данных, а итоги голосования фиксируются членами региональной избирательной комиссии. Благодаря столь простой конструкции электроника машины для голосования не требует никакой ОС, все коды команд зашиты непосредственно в микросхемы, а система по этой причине предполагается «чрезвычайно стойкой к хакингу». Но это с какого боку смотреть. С точки зрения компьютерной безопасности индийский вариант EVM представляет собой типичный «черный ящик», вся защита информации в котором построена на основе секретности и физической труднодоступности кода.
Голосование с черным ящиком
Хорошо известно, что подход к безопасности на основе концепции «черного ящика» ненадежен и порочен по своей сути, поскольку дает широчайший простор для злоупотреблений. В той же Индии, например, еще в 2001 году политическая оппозиция решительно выступила против EVM, выпускаемых государственными предприятиями и предположительно находящимися под контролем «партии власти» (www.tribuneindia.com/2001/20010312/main4. htm). На конкретном примере было продемонстрировано, что, вопреки заверениям изготовителей и избирательной комиссии о «стойкости машины к хакингу», системная плата легко и без потери функциональности извлекается из корпуса EVM, код микросхем считывается, а чипы можно поменять на перепрограммированные. В итоге такая модифицированная машина делает все как и должна, однако на конечном этапе снимает со всех ячеек памяти определенную долю голосов и приплюсовывает их к голосам, хранящимся в одной, заранее заданной ячейке, гарантированно обеспечивая победу нужному кандидату и сохраняя общее число проголосовавших избирателей.
Проблема эта, конечно же, далеко не локального индийского свойства. Характер ее глобален, поскольку понемногу на электронную форму голосования переходит все больше стран. Причем особенно остро вопрос доверия к результатам «выборов по-новому» встает ныне в США. После гранд-конфуза с мутными по сию пору итогами президентских выборов 2000 года Конгресс выделил 4,9 миллиарда долларов на модернизацию избирательной техники. Разного рода рычажные и перфокарточные машины для голосования применяются в Штатах уже многие десятилетия, однако в качестве наиболее вероятной замены для устаревшей техники выступает, как правило, именно электронный «черный ящик». Правда, в значительно более прогрессивном (и дорогостоящем) виде сенсорной жидкокристаллической панели-экрана и регистрационной смарт-карты избирателя. Изготовляют такие устройства, стоящие около 5 тысяч долларов, главным образом две частные американские компании — Diebold и ES&S (Election Systems & Software), контролирующие примерно 80% этого сектора рынка.
Предельно доступно суть проблемы с новой техникой излагает в своих выступлениях конгрессмен Раш Холт от штата Нью-Джерси: «Представьте себе день выборов 2004 года. Вы приходите на избирательный участок и отдаете свой голос при помощи сенсорного экрана новейшей машины для голосования. Экран говорит, что ваш голос учтен. Но покидая избирательную кабинку, вы задаете себе вопрос: а как я, собственно, узнаю, верно ли машина зафиксировала мой голос? Факты таковы, что узнать это невозможно». При реализованных ныне электронных технологиях у избирателя в США нет абсолютно никакой возможности удостовериться, что голос, отданный через сенсорный экран за кандидата А, не приписан машиной кандидату Б.
Естественно, подобная ситуация не может не вызывать серьезного беспокойства у тех американцев, которые понимают, что голосование — это процедура, лежащая в фундаменте всей демократической политической системы. И если возникают хоть какие-то сомнения в честности и законности данной процедуры, то в конечном счете это ударяет по легитимности власти в целом. Поскольку дело касается электроники, то громче всех бьют тревогу компьютерные специалисты, озабоченные тем, что сотни тысяч новых избирательных машин, обобщенно именуемых DRE (от direct-recording electronic — «электроника прямой записи») и все шире используемых на выборах, не обеспечивают поддающегося контролю и пересчету «бумажного следа», регистрирующего каждый индивидуальный голос. Коалицию компьютерных ученых, а теперь уже целое общественное движение «Проверяемое голосование» (www.verifiedvoting.org) организовал Дэвид Дилл (David Dill), профессор информатики Стэнфордского университета. Другим активным противником нынешних систем и авторитетным экспертом в данной области слывет Ребекка Меркюри (Rebecca Mercuri, www.notablesoftware.com/evote.html), профессор информатики в колледже Bryn Mawr и основатель консалтинговой компании Notable Software, подготовившая и защитившая в 2000 году докторскую диссертацию по методам надежного контроля электронных систем голосования.
Но по каким-то неизвестным причинам уже много лет (постепенное внедрение сенсорных экранов началось в середине 1990-х) официальные государственные структуры США, ведающие организацией выборов, фактически игнорируют настойчивые предупреждения ученых. Как говорит Дэвид Дилл, «все, что мы слышим во множестве разных мест, — это то, что не следует волноваться по поводу данных машин, поскольку они сертифицированы на федеральном уровне и уровне штатов. Однако чрезвычайно трудно получить непосредственную информацию о том, что именно происходит в ходе сертификационного процесса». Одновременно под предлогом коммерческой тайны в строжайшем секрете держатся и все подробности о внутреннем устройстве техники.
Не желая мириться с плотной завесой тайны вокруг машин для голосования, журналистка и общественная активистка Бев Харрис уже не первый год ведет с помощью друзей частное расследование всей этой истории. Итогом работы стала только что вышедшая из печати книга Харрис «Выборы с черным ящиком: подделка голосования в 21 веке» (Bev Harris, «Black Box Voting: Vote Tampering in the 21st Century. Elon House, 2003, www. blackboxvoting.org). В книге на основе бесед с конкретными участниками событий показано, в частности, что так называемая «сертификация» электронных машин — это чистый фарс вперемежку с откровенной ложью (подробности см. scoop.co.nz/mason/features/?s=usacoup). Здесь же собрано более ста официально зафиксированных случаев на региональных выборах в разных округах США, которые демонстрируют множество удивительных результатов, порожденных электронными машинами голосования. Например, в трех округах штата Техас победившие в ноябре 2002 года кандидаты-республиканцы набрали одинаковое количество голосов — 18181 (кто-то остроумно заметил, что если цифры этого результата перекодировать в соответствующие по порядку буквы латинского алфавита, то получится совсем весело — AHAHA). А выборы губернатора штата Алабама в том же ноябре закончились еще интереснее. Предварительный подсчет голосов вечером по окончании выборов показал, что победителем стал демократ Дон Сиджлмен. С этим результатом все наблюдатели разошлись по домам спать, однако на следующее утро выяснилось, что 6300 голосов за Сиджлмена необъяснимым образом из накопителя пропали, так что победу пришлось присудить республиканцу Бобу Райли. Возмущенные демократы пытались, естественно, судиться, однако выяснилось, что законы штата в подобных случаях не предусматривают повторного голосования…
Но самая важная, пожалуй, часть расследования Харрис — это обнаруженные на FTP-сайте фирмы Diebold архивы с файлами исходных кодов программного обеспечения машин для голосования (подробности см. здесь www.cs.uiowa.edu/~jones/voting/dieboldftp.html).
И грянул гром
В начале июля друзья Харрис опубликовали эти материалы в Интернете для всеобщего ознакомления, благодаря чему файлы Diebold попали в поле зрения известного эксперта Ави Рубина (Avi Rubin), в настоящее время — директора Института информационной безопасности при университете Джонса Хопкинса. Вместе с тремя коллегами Рубин провел предварительный анализ текстов программного обеспечения машин Diebold, что стало фактически первым независимым исследованием реальной безопасности электронных систем голосования в США. Результат же этого анализа (см. avirubin.com/vote), без преувеличения, произвел эффект разорвавшейся бомбы.
Даже поверхностное исследование ПО показало, что уровень системы голосования находится гораздо ниже самых минимальных стандартов безопасности, применяемых в других контекстах, подразумевающих защиту информации. Отмечено несколько серьезнейших недостатков, включая неавторизованное расширение полномочий, неправильное использование криптографии, уязвимость в отношении сетевых угроз. Продемонстрировано, что даже не зная исходного кода программ, злоумышленник может бесконтрольно манипулировать результатами выборов. А уж при знании кода вся система предоставляет просто бескрайний простор для злоупотреблений…
Поскольку имя Рубина хорошо известно, исследование быстро получило резонанс в прессе. Об экспертизе прошли сообщения в New York Times, агентстве Reuters и других центральных СМИ (однако, что характерно, в американской прессе ни словом не упомянута Бев Харрис или ее книга, хотя Рубин с коллегами честно ссылаются на этот источник).
В таких условиях сочли нужным, наконец, прореагировать и официальные представители избирательных органов. Национальная ассоциация секретарей штатов, большинство членов которой отвечает за организацию выборов на местах, под впечатлением от публикации решила рассмотреть вопрос о введении стандартов на машины для голосования, что должно воспрепятствовать подделке результатов выборов. Разработку соответствующих критериев для оценки машин нового поколения планируется поручить Национальному институту стандартов и технологий (НИСТ) США. Прежде подобная мысль никому из чиновников почему-то в голову не приходила.
Тут же выяснилось, что и сами изготовители машин для голосования вполне готовы к нужным модификациям — просто никто об этом их не просил. Как сообщил официальный представитель Diebold Election Systems, компания без проблем предоставит возможности генерации «бумажного следа» заказчикам из США, если у тех появится такая потребность. Более того, при экспортных поставках Diebold уже снабжает свои машины возможностями печати контрольных бюллетеней. В частности, значительная часть из 300 тысяч машин для голосования, проданных в Бразилию, оборудована контрольным принтером по «методу Меркюри» (в защищенном боксе за стеклом выводится квитанция, удостоверяющая, что голос избирателя учтен, и приобщаемая к контрольному архиву). Эта техника успешно испытана на практике в ходе бразильских парламентских выборов в октябре 2002 года (www. spectrum.ieee.org/WEBONLY/publicfeature/oct02/evot.html). О разработке аналогичного устройства для своих сенсорных экранов объявила и фирма ES&S, главный конкурент Diebold.
Как это делается
Трудно поверить, что столь долгая и темная история вокруг «секретной» избирательной техники в США — результат обычного разгильдяйства и недосмотра. В этой стране есть очень серьезные структуры, знающие толк в защите информации и компьютерной безопасности. И если на государственном уровне полдесятка лет вокруг машин для голосования сохранялся полный бардак, тщательно ограждаемый от вмешательств извне, значит, кому-то это было очень выгодно.
А вот как в действительности должна проходить подобная модернизация выборов, наглядно демонстрирует Австралия. В 1998 году в этой стране тоже произошел конфуз с традиционными бюллетенями, когда два кандидата набрали практически равное число голосов, и при нескольких подсчетах перевес оказывался то у одного, то у другого. В результате власти приняли решение о разработке EVACS, Системы электронного голосования и подсчета голосов (www.elections. act.gov.au/EVACS.html). Процесс ее создания был полностью прозрачен: объявили конкурс с известными участниками и известным жюри, а итоговый продукт отдали на экспертизу известной третьей стороне — аудиторской софтверной фирме BMM International. Наконец, все программное обеспечение EVACS написано в открытых исходных кодах на базе ОС Linux и в виде zip-файла доступно любому для ознакомления непосредственно на правительственном сайте.
Вслед за Австралией, Бразилией, Индией перед проблемой электронного голосования вскоре встанет и Россия. И тот путь модернизации, по которому решат идти наши власти, будет наглядно свидетельствовать о том, реально ли их стремление к подлинной демократии. В этом году нам обещают «принципиально новую систему передачи данных о результатах голосования», одним из новшеств которой является исключение системного администратора из процесса передачи данных в ЦИК. Если раньше сисадмин мог приостановить передачу, то теперь этот процесс, по идее, полностью автоматизирован и не может быть прерван. Впрочем, далеко не все уверены, что электронное голосование в России — это благо. Так, к примеру, депутат Сергей Митрохин полагает, что переход на электронное голосование окончательно добьет выборную систему в России. Забавно, что одним из аргументов сторонников высоких технологий является тезис, что выборная система у нас дискредитировала себя настолько, что введение электронного голосования вряд ли сильно ухудшит ситуацию. Независимо от того, кто прав в этом вопросе, в техническом отставании России есть и плюсы. По крайней мере, наших разработчики могут избежать многих ошибок, изучая опыт других стран. Так, у нас электронное голосование будет дублироваться с помощью «контрольных чеков», которые будут выдаваться каждому проголосовавшему с тем, чтобы он опустил чек в урну для голосования. И если результаты электронного голосования будут оспорены, то их всегда можно проверить, посчитав бумажные чеки. С другой стороны, нет никаких оснований думать, что наши разработчики не пойдут по пути «черного ящика». И хотя контроль электронного голосования с помощью голосования бумажного выглядит довольно эффективно, понятно, что с точки зрения Интернет-голосования это путь тупиковый, поскольку расслабляет разработчиков. Владимир Гуриев
В ближайшие три-четыре года России электронные выборы не грозят. По признанию главы ЦИК РФ Александра Вешнякова, электронное голосование станет реальностью только на выборах 2007–2008 года. Да и то лишь при надлежащем финансировании. А уже после этих выборов — если все пройдет нормально и опять-таки государственная казна, щедро финансирующая Избирком, не оскудеет — можно будет говорить о проведении выборов через Интернет.
Да и на то, что новые технологии как-то качественно повлияют на результаты голосования, надежд, честно говоря, тоже немного.
[vguriev@computerra.ru]