разбор

Как устроены интернет-выборы в Эстонии? А то говорят, Мосгордума собралась перенимать опыт

Источник: Meduza
Renee Altrov / EAS

Renee Altrov / EAS

Главный редактор радиостанции «Эхо Москвы» и член Общественной палаты Москвы Алексей Венедиктов рассказал, что осенью на выборах в Мосгордуму может быть проведен эксперимент с интернет-голосованием. По его словам, планируется воспользоваться опытом Эстонии, где выборы через интернет проходят уже много лет.

Эстония — пионер интернет-голосования

В октябре 2005 года Эстония первой в мире провела выборы, на которых избиратели по всей стране могли проголосовать через интернет. Тогда новым способом волеизъявления воспользовались лишь 9 тысяч человек. Через 12 лет — уже 185 тысяч человек или 31,7% от всех избирателей, принявших участие в голосовании.

В Эстонии рассчитывали, что интернет-голосование поможет решить проблему низкой явки, повысит доступ людей с инвалидностью и привлечет к выборам молодежь. Но явка почти не изменилась: на местных выборах 2005 года она составила 47,4%, в 2017 году — 53,3%. Больше того, исследователи выяснили, что в выборах участвовали те же самые избиратели, что и раньше. Просто у них появился еще один способ распорядиться своим голосом.

Зато интернет-голосование оказалось дешевым. Ученые сравнили затраты по разным типам голосования на местных выборах в Эстонии в 2017 году. Оказалось, что один голос, отданный через интернет, обошелся государству в 2,32 евро. Это почти в два раза дешевле обычного голосования в день выборов и намного (до девяти раз) дешевле «бумажного» досрочного голосования.

Ключевой элемент интернет-голосования — ID-карта

Mihkel Maripuu / Eesti Meedia / Scanpix / LETA

ID-карты появились в Эстонии еще в 2002 году, сейчас ими обзавелись почти все граждане. Эти пластиковые карточки используются как обычные удостоверения личности (вроде внутренних паспортов в России). А благодаря специальному чипу с сертификатами для аутентификации и цифровой подписи они стали еще и цифровыми удостоверениями для получения госуслуг через интернет или онлайн-банкинга. Такое удостоверение позволяет убедиться (насколько это возможно), что услугу получил именно тот человек, на чье имя она оформляется.

Кроме ID-карт в Эстонии у некоторых жителей есть еще и Digi-ID. В такой карточке есть чип с сертификатами, но нет фотографии владельца. Она используется только как цифровое удостоверение личности.

Чтобы проголосовать через интернет, у избирателя кроме ID-карты или Digi-ID под рукой должен быть компьютер с выходом в интернет и специальным кардридером. Ему предстоит выполнить несколько простых действий:

  • Скачать на компьютер и запустить приложение для голосования
  • Вставить карту в кардридер
  • Ввести первый пинкод для входа в систему
  • Проголосовать
  • Ввести второй пинкод — подтвердить свой выбор цифровой подписью

Нет кардридера — есть сим-карта

Правда не обычная, а специальная — Mobiil-ID. Жители Эстонии могут получить ее у любого местного мобильного оператора. Каждый месяц за нее придется доплачивать около 1 евро.

Mobiil-ID — просто, безопасно, удобно

Telia Eesti

У такой сим-карты, как и у пластиковой карточки, есть специальный чип с цифровыми сертификатами и два пинкода — для аутентификации и цифровой подписи. Ее можно использовать вместе с современным или кнопочным телефоном.

Mobiil-ID используется на выборах в Эстонии с 2011 года. Ее популярность стабильно растет. В октябре 2017 года с помощью этой технологии проголосовали 44 тысячи человек или 24% от всех интернет-избирателей.

Выбирать через интернет можно только во время досрочного голосования

Зато у избирателей есть целых семь дней для принятия решения. Выборы через интернет начинаются за десять дней до дня голосования — в четверг в 9:00. И заканчиваются в среду в 18:00. Несколько дней нужны избирательным комиссиям для того, чтобы вычеркнуть из списков людей, проголосовавших досрочно.

Интернет-избиратель в течение этих семи дней может переголосовать сколько угодно раз — засчитывается только последнее решение. Так государство защищает избирателя от давления, обеспечивает ему свободу выбора. Например, избиратель может сперва проголосовать, подчинившись требованиям членов семьи или работодателя, а затем втайне от них — так, как сам хочет.

Если избиратель по какой-то причине не хочет или не может снова проголосовать через интернет, до окончания досрочного голосования он может прийти на участок и заполнить бумажный бюллетень. В этом случае результат его интернет-голосования аннулируется.

Система интернет-голосования потенциально уязвима

В 2011 году студент Тартуского университета Пааво Пихельгас написал прототип вируса, который мог вмешиваться в работу программы для голосования на компьютерах избирателей. Он разрешал отправлять на сервер избиркома только голоса, отданные за определенных кандидатов — и незаметно блокировал все остальные. Избиратель не мог проверить, правильно ли был учтен его голос.

Разработчики системы интернет-голосования признали, что персональные компьютеры избирателей — слабое звено. До сих пор государство считает, что избиратели сами должны убедиться в том, что их компьютеры не заражены вирусами.

Подвести могут самые надежные компоненты системы. В ноябре 2017 года эстонские власти отозвали сертификаты 760 тысяч ID-карт, выпущенных с осени 2014 года. В них была обнаружена уязвимость, которая теоретически позволяла подделать цифровую подпись. Но взлом даже одной ID-карты все равно оставался сложным, ресурсоемким процессом. Поэтому власти решили, что интернет-голосованию ничего не угрожает, и отозвали сертификаты только после проведения местных выборов в октябре 2017 года.

Как власти повышают доверие к интернет-голосованию

Эстонские власти сделали ставку на максимальную прозрачность всей системы:

  • регулярно проводят аудит
  • открыли всем желающим доступ к исходному коду системы интернет-голосования
  • ввели систему тщательного мониторинга и журналирования, которая позволяет искать аномалии (например, слишком много избирателей голосуют с одного IP-адреса или случайное число для шифрования вдруг оказывается одинаковым у разных избирателей).

У избирателей Эстонии в 2013 году появилась возможность проверить, правильно ли их голос был обработан системой. Для этого им нужно установить себе на айфон или андроид отдельное приложение, считать QR-код с экрана приложения для голосования и дождаться результатов проверки.

QR-код генерируется приложением для голосования, установленным на компьютере пользователя. Там закодированы:

  • случайное число, сгенерированное на компьютере избирателя во время голосования
  • уникальный идентификатор, который присвоил сервер после обработки голоса избирателя

Случайное число вместе с данными о выборе избирателя ранее было отправлено на сервер избиркома. В виде шифрограммы, закодированной с помощью открытого ключа сервера избиркома.

Мобильное приложение пользователя сканирует QR-код на экране компьютера, выясняет идентификатор и запрашивает с его помощью шифрограмму, отправленную в избирком. Расшифровать ее нельзя — нет закрытого ключа. Но есть список кандидатов и случайное число, использованное при шифровании. Поэтому приложение создает шифрограмму для каждого из кандидатов, сверяет с полученной из избиркома, находит единственное совпадение и таким образом выясняет, за кого проголосовал избиратель.

Такую проверку обычно проводят около 4% избирателей, принявших участие в интернет-голосовании. В случае масштабных подтасовок такой доли проверок хватило бы, чтобы вскрыть махинации.

Денис Дмитриев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.