Россия vs Эстония: сравнение электронных голосований

В послед­нее вре­мя про дистан­ци­он­ные элек­трон­ные голо­со­ва­ния (ДЭГ) гово­рят мно­го — на сен­тябрь­ских выбо­рах ДЭГ будет исполь­зо­вать­ся в семи реги­о­нах, в нём ожи­да­ют до 2 млн. изби­ра­те­лей, и Москва уже раз­вер­ну­ла широ­кую реклам­но-инфор­ма­ци­он­ную кампанию.

При этом — по оче­вид­ной при­чине — дан­ная кам­па­ния, как и боль­шин­ство дру­гих мате­ри­а­лов, направ­ле­ны на обыч­но­го изби­ра­те­ля, и в основ­ном под­чёр­ки­ва­ют удоб­ство ДЭГ для него. Мате­ри­а­лов для IT-спе­ци­а­ли­стов и экс­пер­тов по-преж­не­му, пря­мо ска­жем, негу­сто, а те, что есть — напри­мер, в бло­ге «Росте­ле­ко­ма» на Хаб­ре — наобо­рот, уда­ря­ют­ся в дру­гую край­ность, будучи пере­пол­нен­ны­ми тех­ни­че­ски­ми деталями.

Начи­ная с сего­дняш­не­го мате­ри­а­ла, мы попро­бу­ем рас­ска­зать про то, как рабо­та­ют рос­сий­ские систе­мы ДЭГ (их две!), пыта­ясь соблю­сти баланс меж­ду попу­ляр­но­стью изло­же­ния и тех­ни­че­ски­ми подробностями.

Стар­ту­ем с меж­ду­на­род­но­го опы­та: при раз­го­во­рах о ДЭГ часто всплы­ва­ет Эсто­ния, как один из пио­не­ров элек­трон­ных голо­со­ва­ний мас­шта­ба госу­дар­ства — там ДЭГ при­ме­ня­ет­ся с 2005 года, и при­ме­ня­ет­ся успешно.

Как соот­но­сят­ся рос­сий­ские и эстон­ские систе­мы с точ­ки зре­ния кон­цеп­ции реа­ли­за­ции, функ­ци­о­на­ла, надёж­но­сти в кон­тек­сте голо­со­ва­ния? Изу­чить этот вопрос мы попро­си­ли наше­го экс­пер­та, чле­на ВКС Пар­тии пря­мой демо­кра­тии Андрея Филип­по­ва.

Отложить нельзя переголосовать

Одна из новых воз­мож­но­стей дистан­ци­он­но­го элек­трон­но­го голо­со­ва­ния, пред­став­лен­ная в ходе недав­не­го тести­ро­ва­ния мос­ков­ско­го ДЭГ — это функ­ция так назы­ва­е­мо­го «отло­жен­но­го реше­ния», поз­во­ля­ю­щая изме­нить свой выбор в ходе мно­го­днев­но­го голо­со­ва­ния (по сути — пере­го­ло­со­вать зано­во, но в силу сти­ли­сти­че­ско-юри­ди­че­ских при­чин такой тер­мин не исполь­зу­ет­ся), но с един­ствен­ной ого­вор­кой: нель­зя изме­нить реше­ние за три часа до окон­ча­ния голо­со­ва­ния. Так, 29 июля эта опция была недо­ступ­на с 20:59, а 30-го — уже с 16:59. Отло­жен­ное реше­ние отли­ча­ет ДЭГ Моск­вы от феде­раль­ной систе­мы дистан­ци­он­но­го элек­трон­но­го голо­со­ва­ния, раз­ра­ба­ты­ва­е­мой Росте­ле­ко­мом для ЦИК РФ — в осталь­ном функ­ци­о­нал этих систем с точ­ки зре­ния изби­ра­те­ля оди­на­ков. Это не озна­ча­ет, что феде­раль­ная систе­ма ДЭГ тех­ни­че­ски в чем-то отста­ет от Моск­вы — про­сто неко­то­рые допол­ни­тель­ные воз­мож­но­сти, по мне­нию ЦИК, на дан­ный момент удоб­но тести­ро­вать в Москве, элек­трон­ное голо­со­ва­ние в кото­рой про­во­дит­ся по спе­ци­аль­но при­ня­тым для это­го зако­но­да­тель­ным актам. Сам вопрос реа­ли­за­ции отло­жен­но­го реше­ния сугу­бо тех­ни­че­ский, о чем недав­но сооб­щил заме­сти­тель мини­стра циф­ро­во­го раз­ви­тия, свя­зи и мас­со­вых ком­му­ни­ка­ций Олег Кача­нов: «Тех­ни­че­ски мы пре­крас­но пони­ма­ем, как это мож­но сде­лать. Более того, тех­ни­че­ски, если бы такая зада­ча была постав­ле­на, мы были бы гото­вы реа­ли­зо­вать хоть в этом году».

«Отло­жен­ное реше­ние» инте­рес­но с двух точек зре­ния. Во-пер­вых, оно даёт изби­ра­те­лю воз­мож­ность и вре­мя решить какие-то тех­ни­че­ские про­бле­мы, из-за кото­рых он не может отпра­вить бюл­ле­тень (напри­мер, на голо­со­ва­нии по поправ­кам в Кон­сти­ту­цию летом 2020 была ред­кая про­бле­ма с одним из пла­ги­нов в Яндекс.Браузере). Без отло­жен­но­го реше­ния выдан­ный бюл­ле­тень «про­ту­ха­ет» через неко­то­рое вре­мя, после чего систе­ма про­сто счи­та­ет граж­да­ни­на решив­шим не голо­со­вать; выда­ча ему ново­го бюл­ле­те­ня невоз­мож­на. Во-вто­рых, отло­жен­ное реше­ние тео­ре­ти­че­ски может поз­во­лить бороть­ся с голо­со­ва­ни­ем под дав­ле­ни­ем: если началь­ник тре­бу­ет от вас про­го­ло­со­вать опре­де­лён­ным обра­зом, вы може­те сде­лать это пря­мо у него на гла­зах — а потом, уже дома, поме­нять свой выбор.

Начать, впро­чем, сле­ду­ет с того, что само по себе отло­жен­ное реше­ние при­ду­ма­ли даже не раз­ра­бот­чи­ки мос­ков­ско­го ДЭГ — такой функ­ци­о­нал уже дав­но суще­ству­ет в Эсто­нии. В свя­зи с этим давай­те посмот­рим, как устро­е­но онлайн-голо­со­ва­ние в Эсто­нии и что из это­го опы­та может быть вос­тре­бо­ва­но в России.

«Эстон­ское» отло­жен­ное реше­ние при онлайн-голо­со­ва­нии при­ме­ня­ет­ся доста­точ­но дав­но. Впер­вые изме­нить свой выбор эстон­ские изби­ра­те­ли смог­ли в 2005 г. на тех самых выбо­рах, когда онлайн-голо­со­ва­ние в Эсто­нии было при­ме­не­но впер­вые и это хоро­шо пока­зы­ва­ет ста­ти­сти­ка. В 2005 году функ­ци­ей вос­поль­зо­ва­лись 3,9 % изби­ра­те­лей от обще­го чис­ла про­го­ло­со­вав­ших онлайн. На выбо­рах в Рий­ги­ко­гу в 2019 г. дан­ный пока­за­тель уже состав­лял 2,5 %. Как вид­но из ста­ти­сти­че­ских дан­ных, воз­мож­но­стью отло­жен­но­го реше­ния изби­ра­те­ли поль­зу­ют­ся, но про­цент ее исполь­зо­ва­ния край­ний низ­кий — и суще­ствен­но отли­ча­ет­ся от пока­за­те­ля при тести­ро­ва­нии отло­жен­но­го реше­ния в Москве, когда дан­ный функ­ци­о­нал исполь­зо­ва­ли 10 % изби­ра­те­лей, при­ни­мав­ших уча­стие в тести­ро­ва­нии. Более высо­кий мос­ков­ский пока­за­тель вос­тре­бо­ван­но­сти функ­ции отло­жен­но­го реше­ния при онлайн-голо­со­ва­нии объ­яс­ня­ет­ся, ско­рее все­го, соче­та­ни­ем широ­ко­го инфор­ми­ро­ва­ния изби­ра­те­лей об этой функ­ции и есте­ствен­но­го инте­ре­са к ново­му для рос­сий­ских голо­со­ва­ний функционалу.

Одна­ко что­бы делать даль­ней­шие выво­ды на осно­ве ста­ти­сти­ки и про­во­дить какие-либо парал­ле­ли с Эсто­ни­ей, необ­хо­ди­мо боль­ше дан­ных, поэто­му инте­рес­но будет посмот­реть на вос­тре­бо­ван­ность исполь­зо­ва­ния отло­жен­но­го реше­ния в ходе еди­но­го дня голо­со­ва­ния, а так­же на буду­щих выбо­рах, если дан­ная опция в даль­ней­шем будет доступна.

ЕСИА против SIM-карты

Смот­реть сход­ства либо раз­ли­чия рос­сий­ско­го ДЭГ с эстон­ским онлайн-голо­со­ва­ни­ем с тех­ни­че­ской точ­ки зре­ния нуж­но преж­де все­го в систе­ме аутен­ти­фи­ка­ции. В Рос­сии для аутен­ти­фи­ка­ции исполь­зу­ет­ся учет­ная запись в ЕСИА/Госуслугах (для мос­ков­ско­го ДЭГ — учет­ная запись на mos.ru). В Эсто­нии для этих целей слу­жит ID-кар­та граж­да­ни­на, пред­став­ля­ю­щая из себя пла­стик с чипом, в ком­плек­те к кото­ро­му обя­за­тель­но нужен под­клю­ча­е­мый к ком­пью­те­ру кар­д­ри­дер. С 2011 года эстон­ским граж­да­нам так­же ста­ли доступ­ны спе­ци­аль­ные SIM-кар­ты, так назы­ва­е­мый Mobile-ID, поз­во­ля­ю­щие прой­ти аутен­ти­фи­ка­цию при помо­щи смарт­фо­на без исполь­зо­ва­ния физи­че­ской ID Card и кар­д­ри­де­ра. Сто­ит SIM-кар­та 1 евро в месяц, основ­ной функ­ци­о­нал корот­ко пред­став­лен в видео­ро­ли­ке. По состо­я­нию на июль 2021 года в обра­ще­нии нахо­дит­ся свы­ше 1,4 млн дей­ству­ю­щих ID-карт, Mobile-ID — почти у 250 000 чело­век. В общей слож­но­сти 98 % эстон­цев име­ют ID-кар­ту.

В Рос­сии голо­со­вать мож­но с любо­го под­клю­чён­но­го к интер­не­ту ком­пью­те­ра, план­ше­та или смарт­фо­на. SIM-кар­та с рос­сий­ским номе­ром тре­бу­ет­ся — но толь­ко для полу­че­ния под­твер­жда­ю­щих дей­ствия SMS (зару­беж­ные номе­ра на дан­ный момент не рабо­та­ют, так что, увы, для рос­си­ян за рубе­жом элек­трон­ное голо­со­ва­ние пока что оста­ёт­ся недоступным).

Два из трёх

На эта­пе выда­чи чисто­го и полу­че­ния запол­нен­но­го бюл­ле­те­ня систе­ма голо­со­ва­ния долж­на решать три базо­вые зада­чи, без кото­рых гово­рить о её при­ме­ни­мо­сти для про­ве­де­ния выбо­ров неразумно:

  • про­ве­рить, что бюл­ле­тень дей­стви­тель­но полу­чен от име­ю­ще­го пра­во голо­са изби­ра­те­ля (защи­та от вбросов);
  • сохра­нить содер­жи­мое бюл­ле­те­ня в тайне (защи­та от рас­кры­тия про­ме­жу­точ­ных ито­гов голосования);
  • ано­ни­ми­зи­ро­вать бюл­ле­тень (сохра­не­ние тай­ны голосования).

Эстон­ская систе­ма реша­ет тех­ни­че­ски две из этих трёх задач (тре­тья реша­ет­ся орга­ни­за­ци­он­но, об этом ниже), рос­сий­ская — все три.

В осно­ве элек­трон­ной иден­ти­фи­ка­ции изби­ра­те­ля в Эсто­нии лежит инфра­струк­ту­ра PKI, осно­вы­ва­ю­ща­я­ся на двух крип­то­гра­фи­че­ских клю­чах — сек­рет­ном и откры­том, поз­во­ля­ю­щих шиф­ро­вать и под­пи­сы­вать доку­мен­ты. В слу­чае с элек­трон­ным голо­со­ва­ни­ем бюл­ле­тень в Эсто­нии шиф­ру­ет­ся отдель­ным клю­чом систе­мы голо­со­ва­ния, гене­ри­ру­ю­щим­ся на сер­ве­ре голо­со­ва­ния и выда­ва­е­мым вме­сте с бюл­ле­те­нем, и под­пи­сы­ва­ет­ся сек­рет­ным клю­чом ID-кар­ты изби­ра­те­ля. При при­ё­ме запол­нен­но­го бюл­ле­те­ня сер­вер про­ве­ря­ет под­пись, исполь­зуя извест­ный госу­дар­ству пуб­лич­ный ключ ID-кар­ты изби­ра­те­ля, а рас­шиф­ров­ка содер­жи­мо­го бюл­ле­те­ня про­из­во­дит­ся толь­ко после окон­ча­ния голо­со­ва­ния. По сути, бюл­ле­те­ни в эстон­ской систе­ме не явля­ют­ся ано­ним­ны­ми, так как они под­пи­са­ны пер­со­наль­ны­ми клю­ча­ми изби­ра­те­лей, пуб­лич­ная часть кото­рых госу­дар­ству извест­на и с кон­крет­ным физ­ли­цом сопоставлена.

С целью соблю­де­ния тай­ны голо­со­ва­ния ано­ни­ми­за­ция бюл­ле­те­ней выпол­ня­ет­ся на сер­ве­ре голо­со­ва­ния перед их рас­шиф­ров­кой и под­счё­том голо­сов (стр. 25, раз­дел 4.1.3) путём уда­ле­ния из них крип­то­гра­фи­че­ской под­пи­си. То есть, тай­на голо­со­ва­ния в элек­трон­ной систе­ме в Эсто­нии обес­пе­чи­ва­ет­ся не столь­ко тех­ни­че­ски, сколь­ко про­це­дур­но — дове­ри­ем к тому, что опе­ра­тор систе­мы про­ве­дёт ано­ни­ми­за­цию и без­воз­врат­но уни­что­жит пер­со­на­ли­зи­ро­ван­ные бюллетени.

При этом такая ано­ни­ми­за­ция затруд­ня­ет реа­ли­за­цию попу­ляр­ной в ДЭГ функ­ции ауди­ро­ва­ния — про­вер­ки изби­ра­те­лем, что его голос дей­стви­тель­но учтён. В рос­сий­ских систе­мах эта воз­мож­ность тех­ни­че­ски при­сут­ству­ет, хотя и не пред­став­ле­на в интер­фей­се поль­зо­ва­те­ля в явном виде.

Слепое, маскированное, гомоморфное, <del>плацебо-контролируемое</del>

Рос­сий­ские систе­мы ДЭГ устро­е­ны замет­но слож­нее, зато реша­ют чисто тех­ни­че­ски­ми спо­со­ба­ми все три зада­чи. В них изби­ра­тель для полу­че­ния бюл­ле­те­ня аутен­ти­фи­ци­ру­ет­ся через ЕСИА/Госуслуги (все гово­рят «Госус­лу­ги», но мы с вами пони­ма­ем, что здесь задей­ству­ет­ся ЕСИА, а сами Госус­лу­ги голо­со­ва­нию совер­шен­но парал­лель­ны, это абсо­лют­но раз­ные систе­мы) или mos.ru, после чего на его устрой­стве гене­ри­ру­ет­ся клю­че­вая пара; пуб­лич­ный ключ из этой пары мас­ки­ру­ет­ся и отправ­ля­ет­ся на выда­ю­щий бюл­ле­тень сер­вер, где под­пи­сы­ва­ет­ся пуб­лич­ным клю­чом голосования.

Иллю­стра­ция из докла­да Юрия Сати­ро­ва (ПАО «Росте­ле­ком»)

Далее уже запол­нен­ный изби­ра­те­лем бюл­ле­тень под­пи­сы­ва­ет­ся создан­ным на его устрой­стве клю­чом (сек­рет­ным), шиф­ру­ет­ся пуб­лич­ным клю­чом систе­мы голо­со­ва­ния, к нему при­ла­га­ет­ся сде­лан­ная ранее сле­пая под­пись пуб­лич­но­го клю­ча изби­ра­те­ля, а так­же сам пуб­лич­ный ключ, но уже со сня­той мас­кой — и всё это отправ­ля­ет­ся на сервер.

Таким обра­зом, в рос­сий­ских системах:

  • запол­нен­ный бюл­ле­тень под­пи­сан сек­рет­ной частью клю­че­вой пары изби­ра­те­ля, сге­не­ри­ро­ван­ной на его устройстве;
  • то, что этот изби­ра­тель име­ет пра­во голо­со­вать, под­твер­жда­ет­ся под­пи­сью пуб­лич­ной части клю­че­вой пары клю­чом систе­мы голо­со­ва­ния, при­чём исполь­зу­ет­ся меха­низм сле­пой под­пи­си, при кото­ром ключ изби­ра­те­ля в систе­му голо­со­ва­ния пере­да­ёт­ся в замас­ки­ро­ван­ном виде;
  • перед отправ­кой клю­ча изби­ра­те­ля вме­сте с запол­нен­ным бюл­ле­те­нем с него сни­ма­ет­ся мас­ка (под­пись при этом сохра­ня­ет­ся), поэто­му сопо­ста­вить его с под­пи­сы­вав­шим­ся замас­ки­ро­ван­ным клю­чом невозможно;
  • бюл­ле­тень зашиф­ро­ван пуб­лич­ным клю­чом систе­мы голосования.

Мас­ки­ро­ва­ние клю­ча и меха­низм сле­пой под­пи­си здесь важ­ны имен­но для сохра­не­ния тай­ны голо­со­ва­ния: под­пись накла­ды­ва­ет­ся в той части систе­мы, кото­рая зна­ет ФИО дан­но­го изби­ра­те­ля (и удо­сто­ве­ря­ет, что он име­ет пра­во голо­со­вать). Этот ком­по­нент не дол­жен иметь тех­ни­че­ской воз­мож­но­сти сохра­нить сопо­став­ле­ние пуб­лич­ной части клю­че­вой пары и ФИО — пото­му что далее пуб­лич­ная часть в немас­ки­ро­ван­ном виде ста­но­вит­ся извест­на вто­рой части систе­мы, кото­рая при­ни­ма­ет бюл­ле­тень. Без мас­ки­ро­ва­ния мож­но было бы взять пару ключ-ФИО из пер­вой части и сопо­ста­вить с парой ключ-бюл­ле­тень из второй.

Что­бы обес­пе­чить невоз­мож­ность под­ве­де­ния про­ме­жу­точ­ных ито­гов голо­со­ва­ния — это нуж­но, что­бы устра­нить моти­вы для про­иг­ры­ва­ю­щей сто­ро­ны так или ина­че повли­ять на ход голо­со­ва­ния — при созда­нии пары клю­чей систе­мы голо­со­ва­ния сек­рет­ный ключ раз­де­ля­ет­ся на несколь­ко частей, каж­дая запи­сы­ва­ет­ся на отдель­ную флэш­ку, флэш­ки раз­да­ют­ся раз­ным людям — и пока они не собе­рут­ся вме­сте и не собе­рут обрат­но пол­ный ключ, рас­шиф­ро­вать бюл­ле­те­ни не удаст­ся (точ­нее, у клю­ча есть неко­то­рая избы­точ­ность — он допус­ка­ет поте­рю одной или двух частей). Ноут­бук, на кото­ром гене­ри­ро­вал­ся ключ, либо сра­зу же очи­ща­ет­ся, либо вооб­ще плом­би­ру­ет­ся и уби­ра­ет­ся в сейф под видеокамерой.

Бумага важнее

Одна­ко у эстон­ской «полу­а­но­ним­ной» систе­мы есть и плюс. После того как изби­ра­тель про­го­ло­со­вал элек­трон­но в ходе пред­ва­ри­тель­но­го голо­со­ва­ния (в Эсто­нии онлайн-голо­со­ва­ние про­хо­дит в каче­стве досроч­но­го и не про­во­дит­ся в день выбо­ров), он может отдать свой голос на изби­ра­тель­ном участ­ке, тогда в ходе под­сче­та голо­сов его элек­трон­ный голос будет анну­ли­ро­ван. Если бы ано­ни­ми­за­ция в Эсто­нии про­ис­хо­ди­ла перед отправ­кой запол­нен­но­го элек­трон­но­го бюл­ле­те­ня, то чисто тех­ни­че­ски было бы невоз­мож­но осу­ще­ствить подоб­ное двой­ное голосование.

В рос­сий­ских систе­мах изби­ра­те­ли, про­го­ло­со­вав­шие элек­трон­но, на обыч­ных изби­ра­тель­ных участ­ках исклю­ча­ют­ся из спис­ка изби­ра­те­лей и про­го­ло­со­вать там не могут (в 2020 при голо­со­ва­нии по поправ­кам к Кон­сти­ту­ции были наклад­ки, в основ­ном свя­зан­ные с попыт­кой сты­ков­ки элек­трон­ной систе­мы с бумаж­ны­ми кни­га­ми изби­ра­те­лей на участ­ках в реаль­ном вре­ме­ни; сей­час, что­бы тако­го не допу­стить, подав­шие заяв­ле­ние на ДЭГ из спис­ков изби­ра­те­лей на участ­ках исклю­ча­ют­ся безусловно).

Хакни себя сам

Поми­мо вопро­сов, свя­зан­ных с тай­ной голо­со­ва­ния, к эстон­ской систе­ме были пре­тен­зии, непо­сред­ствен­но затра­ги­ва­ю­щие без­опас­ность ID-карт. После выбо­ров 2011 года в Рий­ги­ко­гу граж­да­нин Эсто­нии Паа­во Пихель­гас подал иск в суд. Истец отме­тил, что тре­тья сто­ро­на может поме­стить в ком­пью­тер изби­ра­те­ля про­грамм­ное обес­пе­че­ние для слеж­ки, что­бы уста­но­вить лич­ность изби­ра­те­ля и отдан­ный им голос. Более того, Пихель­гас такой тро­я­нец и создал, и про­те­сти­ро­вал его рабо­то­спо­соб­ность. При уста­нов­ке на ком­пью­тер тро­я­нец отправ­лял на сер­вер Наци­о­наль­ной изби­ра­тель­ной комис­сии Эсто­нии голо­са толь­ко за тех кан­ди­да­тов, кото­рых «одоб­рил» его автор. Из сооб­ра­же­ний без­опас­но­сти у тро­ян­ца отсут­ство­вал меха­низм рас­про­стра­не­ния. Пихель­гас про­иг­рал иск, так как, по мне­нию суда, дей­ствия авто­ра вре­до­нос­но­го ПО не повли­я­ли на гаран­тии изби­ра­тель­ных прав граж­дан (тро­я­нец нахо­дил­ся толь­ко на ком­пью­те­ре Пихель­га­са и тести­ро­ва­ние про­ис­хо­ди­ло после выбо­ров), более того, уча­стие само­го Пихель­га­са в соб­ствен­ном экс­пе­ри­мен­те по мне­нию суда не нару­ша­ло его изби­ра­тель­ные пра­ва, так как в дан­ном слу­чае лицо, име­ю­щее пра­во выби­рать метод голо­со­ва­ния, путем зара­же­ния сво­е­го ком­пью­те­ра тро­ян­цем, бло­ки­ру­ю­щим пере­да­чу голо­сов за «неугод­ных» кан­ди­да­тов, созна­тель­но поста­ви­ло себя в подоб­ное положение.

От себя заме­тим, что такая уяз­ви­мость явля­ет­ся общим сла­бым местом любых систем элек­трон­но­го голо­со­ва­ния, не исполь­зу­ю­щих для это­го спе­ци­а­ли­зи­ро­ван­ные дове­рен­ные устрой­ства — одна­ко в общем слу­чае её широ­ко­мас­штаб­ная экс­плу­а­та­ция очень мало­ве­ро­ят­на, так как тре­бу­ет мас­со­во­го зара­же­ния лич­ных устройств изби­ра­те­лей, при­чём в корот­кий пери­од непо­сред­ствен­но перед выбо­ра­ми (ина­че тро­я­нец с высо­кой веро­ят­но­стью будет обна­ру­жен зара­нее). Кро­ме того, в ауди­ти­ру­е­мых систе­мах элек­трон­но­го голо­со­ва­ния — впро­чем, эстон­ская, в отли­чие от рос­сий­ских, к таким не отно­сит­ся — изби­ра­те­ли могут само­сто­я­тель­но про­ве­рить, что их голос учтён в финаль­ном под­счё­те, так что мас­со­вое вме­ша­тель­ство будет так­же обнаружено.

Дру­гой инци­дент про­изо­шел в 2017 году, когда груп­па иссле­до­ва­те­лей про­ин­фор­ми­ро­ва­ла эстон­ские вла­сти об уяз­ви­мо­сти, кото­рая потен­ци­аль­но может повли­ять на циф­ро­вое исполь­зо­ва­ние эстон­ских ID-карт. Уяз­ви­мость затро­ну­ла почти 750 тысяч карт, выпу­щен­ных с 2014 года. В кар­тах, выпу­щен­ных ранее, исполь­зо­вал­ся дру­гой чип, поэто­му потен­ци­аль­ная угро­за на них не рас­про­стра­ня­лась. Инте­рес­но, что ряд поли­ти­ков выска­за­лись тогда за пере­нос выбо­ров, назна­чен­ных на 15 октяб­ря 2017 года, пото­му что в сред­нем по ста­ти­сти­ке голо­су­ет элек­трон­но 30–40 про­цен­тов эстон­ских граж­дан. Уяз­ви­мость затра­ги­ва­ла клю­чи шиф­ро­ва­ния, поэто­му сер­ти­фи­ка­ты, свя­зан­ные с затро­ну­ты­ми ID-кар­та­ми, были ото­зва­ны и впо­след­ствии обнов­ле­ны.

В свя­зи с выше­пе­ре­чис­лен­ны­ми фак­та­ми мож­но сде­лать вывод, что кор­ни эстон­ской систе­мы аутен­ти­фи­ка­ции лежат в ее изна­чаль­ном пред­на­зна­че­нии для нужд полу­че­ния граж­да­на­ми госу­дар­ствен­ных услуг, когда меж­ду вза­и­мо­дей­ству­ю­щи­ми субъ­ек­та­ми нет ника­ких тайн. В слу­чае с голо­со­ва­ни­ем долж­ны при­ме­нять­ся иные стан­дар­ты защи­ты инфор­ма­ции, но вся систе­ма, завя­зан­ная на ID-кар­ты, настоль­ко закре­пи­лась в госу­дар­стве, что, напри­мер, недав­нее иссле­до­ва­ние не реко­мен­до­ва­ло внед­рять в Эсто­нии био­мет­ри­че­скую аутен­ти­фи­ка­цию, так как это потре­бо­ва­ло бы фун­да­мен­таль­ных изме­не­ний в суще­ству­ю­щей систе­ме циф­ро­вой иден­ти­фи­ка­ции. В Рос­сии изна­чаль­но пошли по дру­го­му пути, созда­вая феде­раль­ную систе­му ДЭГ мак­си­маль­но при­бли­жен­ной к нуж­дам про­цес­са голо­со­ва­ния с обя­за­тель­ным соблю­де­ни­ем его тай­ны — Госус­лу­ги в ней исполь­зу­ют­ся толь­ко как внеш­ний сер­вис аутен­ти­фи­ка­ции изби­ра­те­ля. К сло­ву, внед­рить в Рос­сии био­мет­ри­че­скую систе­му аутен­ти­фи­ка­ции для ДЭГ, в отли­чие от Эсто­нии, тех­ни­че­ски ничто не меша­ет, кро­ме отсут­ствия био­мет­ри­че­ской базы изби­ра­те­лей зна­чи­мо­го размера.

Мы просто посмотреть

И если с тех­ни­че­ской точ­ки зре­ния рос­сий­ская систе­ма ока­зы­ва­ет­ся пре­вос­хо­дя­щей эстон­скую, то в вопро­сах наблю­де­ния — а это так­же крайне важ­ный эле­мент голо­со­ва­ния — она пока что отста­ёт, в первую оче­редь с орга­ни­за­ци­он­ной точ­ки зрения.

В Эсто­нии за онлайн-голо­со­ва­ни­ем может наблю­дать любой граж­да­нин. Так как про­цесс наблю­де­ния в ДЭГ суще­ствен­но отли­ча­ет­ся от обыч­но­го наблю­де­ния на выбо­рах и тре­бу­ет опре­де­лен­ных ком­пе­тен­ций, Госу­дар­ствен­ная служ­ба по орга­ни­за­ции выбо­ров в Эсто­нии про­во­дит для наблю­да­те­лей обу­че­ние перед нача­лом элек­трон­но­го голо­со­ва­ния. Поми­мо уча­стия в семи­на­рах, наблю­да­те­ли так­же могут сле­дить за про­цес­сом настрой­ки систе­мы элек­трон­но­го голо­со­ва­ния и при­сут­ство­вать при под­сче­те голо­сов вече­ром в день выбо­ров. Даты про­ве­де­ния обу­че­ния для наблю­да­те­лей за элек­трон­ным голо­со­ва­ни­ем регу­ляр­но пуб­ли­ку­ют­ся в эстон­ских СМИ.

В Рос­сии про­цесс наблю­де­ния за ДЭГ выстро­ен несколь­ко ина­че — или, точ­нее, пока что не выстро­ен вооб­ще: ни Обще­ствен­ная пла­та, ни опе­ра­то­ры систе­мы ДЭГ до сих пор не зани­ма­лись под­го­тов­кой наблю­да­те­лей, боль­шин­ство поли­ти­че­ских пар­тий так­же игно­ри­ру­ют эту тему, а тех­ни­че­ский инстру­мен­та­рий наблю­де­ния не фор­ма­ли­зо­ван и может менять­ся по усмот­ре­нию раз­ра­бот­чи­ков. Это, разу­ме­ет­ся, не озна­ча­ет, что сей­час за ДЭГ вооб­ще никто не наблю­да­ет — но рабо­та­ю­щих с ДЭГ экс­пер­тов нуж­но боль­ше, и их нуж­но каче­ствен­но под­го­тав­ли­вать уже сей­час. В пла­нах ЦИК Рос­сии и Росте­ле­ко­ма сто­ит пуб­ли­ка­ция тех­ни­че­ских инстру­мен­тов наблю­де­ния за ДЭГ в кон­це авгу­ста — то есть, попро­бо­вать их мож­но будет на оче­ред­ном тести­ро­ва­нии феде­раль­ной ДЭГ 7–9 сен­тяб­ря, обсуж­да­ют­ся и пла­ны по про­ве­де­нию обу­ча­ю­щих семи­на­ров для наблю­да­те­лей, одна­ко пока что это — лишь самое нача­ло пути.

Пара­док­саль­но, что этим вопро­сом доволь­но мало заин­те­ре­со­ва­ны поли­ти­че­ские пар­тии — по край­ней мере, боль­шин­ство из них ника­ким явным обра­зом не выка­зы­ва­ет жела­ния гото­вить наблю­да­те­лей само­сто­я­тель­но, их пред­ста­ви­те­лей нет и на встре­чах и в чатах рабо­чих групп с уча­сти­ем раз­ра­бот­чи­ков ДЭГ (доволь­но боль­шая груп­па неза­ви­си­мых экс­пер­тов посто­ян­но дей­ству­ет при ДИТ Моск­вы, встре­чи раз­ра­бот­чи­ков и заин­те­ре­со­ван­ных ведомств про­хо­дят в рам­ках рабо­чей груп­пы ЦИК РФ, недав­но нача­лись встре­чи с раз­ра­бот­чи­ка­ми «Росте­ле­ко­ма»). Пара­док­саль­но — пото­му что реа­ли­за­ция ДЭГ обес­пе­чи­ва­ет огром­ные воз­мож­но­сти по наблю­де­нию сила­ми даже неболь­шой груп­пы экс­пер­тов, чем ради­каль­но пре­вос­хо­дит обыч­ные голо­со­ва­ния, кото­рые в мас­шта­бах Рос­сии тре­бу­ют под­го­тов­ки бук­валь­но сотен тысяч наблю­да­те­лей, физи­че­ски при­сут­ству­ю­щих в каж­дой УИК и ТИК.

Подписаться на рассылку новостей
Партии прямой демократии

Directed by Pixel Imperfect Studio. Produced by Git Force Programming LLC.
Scroll Up