Может - быть это обеспечит Честные Выборы, Метод открытого подсчета Голосов Избирателей при Тайном голосовании Опции

[Владимир Кн.]

2. Базовый алгоритм одного голоса.
а. Первично приходящему для голосования необходимо иметь при себе паспорт и быть лицом, достигнувшим возраста, допускающего голосования.
б. Паспорт предъявляется координатору избирательного участка (председателю).
в. Координатор верифицирует носителя паспорта, вносит данные паспорта, серию, номер, фамилию, имя, отчество.
г. В компьютер координатора вставляется флэш-носитель.
д. Координатор активирует процедуру верификации. Флэш-носитель очищается.
е. В Верификатор идет запрос о том, не голосовал ли данный человек ранее.
ё1. При успешном ответе, в ответ приходит уникальный идентификатор, на флэш-носителе создается файл с уникальным идентификатором и файл с первичной информацией.
ё2. При отказе приходит служебный номер, по которому на компьютере координатора высвечивается соответствующая информация. Человек передается наряду полиции. Верификатор запрашивает у Демократии данные участка на котором произошло голосование по данному паспорту. Передает данные Номосу. Номос запрашивает видеозапись с данным уникальным идентификатором с соответствующего участка и копирует к себе как вещественное доказательство.
ж. Флэш-носитель передается ко второму члену комиссии, устанавливается в его компьютер. Паспорт передается второму члену комиссии.
з. Приложение члена комиссии считывает файл с первичной информацией, отображает его на экране. Ожидает от него подтверждения верификации.
и1. Член комиссии сверяет с занесенными данными данные паспорта. Также верифицирует голосующего. При положительном результате происходит запрос в Верификатор, Верификатор присылает подтверждение, увеличивает счетчик пройденных этапов для данного уникального идентификатора. На флэш-носитель добавляется еще один файл, подтверждающий верификацию. Пункты ж,з,и повторяются до прохождения всех членов комиссии (установленная централизованно величина), либо до отказа от голосования одним из членов комиссии, либо самим голосующим.
и2. При отрицательном результате в Верификатор поступают данные об отказе. Данному уникальному идентификатору присваивается статус просроченного (в дальнейшем может быть переактивирован). Флэш-носитель очищается. При необходимости голосующего вследствие нарушений передают наряду полиции.
й. После прохождения всех членов комиссии с флэш-носителя удаляется первичная личная информация. Голосующий идет к первому свободному пункту электронного голосования, расположенного на избирательном участке.
к. Голосующий вставляет флэш-носитель, начиная таким образом процедуру голосования. Пункт голосования проверяет наличие всех файлов, дающих право голоса. Пункт голосования снабжен камерой, транслирующей изображения на мониторы координатора и членов комиссии, которые при нарушениях могут остановить процедуру голосования. Камера направлена на лицо голосующего и корпус, но не снимает происходящего на мониторе пункта голосования. Во время голосования запрещается пользоваться телефонами, видео-, фотокамерами, чтобы осуществить абсолютную тайну голосования. При прерывании процедуры голосования уникальному идентификатору присваивается статус просроченного.
л. Голосующий одевает наушники через которые будет происходить также и аудио оповещение голосующего (в том числе аудио оповещение позволит голосовать слабовидящим и слепым людям). На экран в произвольном порядке выводятся кандидаты, происходит первичное инструктирование голосующего посредством аудио и посредством текста. Курсор стоит на пункте, находящемся до начала списка (в нулевом положении). Начинается запись промежуточного видео-файла.
м. Пункт голосования снабжен четырех-позиционной клавиатурой. Первые две клавиши задействованы для передвижения по списку вверх и вниз, последняя для выбора пункта, предпоследняя - для отмены выбора. По мере продвижения по списку (в случайном порядке) аудио-оповещение произносит пункты, подсвечиваемые курсором. При выборе пункта система запрашивает подтверждение. При положительном ответе, запрашивает подтверждение еще раз. При втором подтверждении запрашивает окончательное подтверждение.
н. После троекратного подтверждения система отправляет запрос Демократии. После получения подтверждения о приеме голоса, голосующему сообщается о том, что его голос принят. Видеозапись прекращается, временному файлу присваивается уникальный идентификатор, файл сжимается видео-кодеками для экономии места без существенной потери качества. Флэш-носитель очищается. Пользователю напоминают о том, чтобы он не забыл вернуть носитель координатору комиссии.
о. Пункт голосования при запросе от Номоса в автоматическом режиме, не прекращая процедур принятия голосов передает запрашиваемую видеозапись Номосу короткими порциями, чтобы не перегрузить канал.

Внимание! Все серверные узлы дублированы, поэтому, к примеру, фактически на флэш-носителе на начало голосования должно быть (1+к)*2 файлов верификации, где к - количество членов комиссии, т.е. для 2-х членов комиссии будет 6 файлов.

Пункт 2 закончен.

[Владимир Кн.]

3. Подготовка серверной части.
3.1. Серверное оборудование должно предварительно отработать не менее месяца на выявление технических дефектов.
3.2. Серверные диски должны быть сконфигурированы в RAID-массив 1+0 (Зеркало+Чередование) из четырех дисков для каждого сервера баз данных, объемы дисков должны составлять 3Тб для участника массива, массив в целом составляет 6 Тб.
3.3. Серверные диски сервера приложений и VPN-сервера должны быть сконфигурированы в RAID-массив 1+0 (Зеркало+Чередование) из четырех диков, объемы дисков должны составлять не менее 250Гб, скорость не ниже 15000 об/м, массив в целом составляет 500Гб.
3.4. В состав комиссии включаются технические специалисты всех представленных на выборах кандидатов, партий, либо сторонников всех мнений в случае проведения референдумов количеством по двое от каждого и технические специалисты по настройке системы.
3.5. Серверная часть должна предварительно отработать один или два (определяется случайным образом, должно быть занесено в протокол) репетиционных цикла от начала голосования до конца голосования, с полным проходом всего цикла голосований с участием всех регионов. Дата и время на серверах и удаленных местах должны соответствовать времени реального голосования за минусом нескольких дней (определяется случайным образом, должно быть занесено в протокол). Обращение к серверам синхронизации времени должно быть в обязательном порядке запрещено Firewall-ами на VPN-серверах. На всех участках происходит имитация голосований в течение всего времени голосования согласно предварительно случайным образом сформированного списка событий, который также заносится в протокол. В события должны включаться и нарушения в том числе. Серверные помещения опечатываются на время репетиций до завершения полного цикла имитируемых выборов.
3.6. По завершении репетиционных циклов сверяется результирующая таблица на базе случайностных таблиц с проверочной. Данные заносятся в протокол. Сервера активируются в начальное состояние, а именно полностью форматируются все диски.
3.7. Установка операционных систем и подсистем производится с готовых образов с заранее известными и проверенными контрольными суммами по прямому суммированию, по хэш-суммированию, по длине данных.
3.8. В день выборов производится идентичная первичная настройка всех систем с теми же установками даты и времени. Серверное помещение опечатывается до завершения выборов. Члены комиссий должны быть теми же.
3.9. Алгоритмы генерации случайных таблиц, генерации случайных чисел, анализа контрольных сумм должны быть представлены сторонам в виде открытого кода, конечная компиляция и активация совершается при согласии сторон.

4. Подготовка клиентской части.
4.1. Подготовка клиентской части осуществляется в то же время, как и на серверной части.
4.2. В состав удаленных комиссий в равной мере входят по два представителя на каждый имитируемый участок с неукоснительным правилом что оба представителя представляют разных представленных на выборах кандидатов, партий, либо сторонников всех мнений в случае проведения референдумов.
4.3. В процессе репетиций члены удаленных комиссий выполняют предписанные им действия указанные в имитационной таблице для их участка.
4.4. Установка операционных систем и подсистем производится с готовых образов с заранее известными и проверенными контрольными суммами по прямому суммированию, по хэш-суммированию, по длине данных.
4.5. В день выборов производится идентичная первичная настройка всех систем. Члены комиссий должны быть теми же. По окончании настройки члены комиссий могут остаться в качестве наблюдателей.

5. Наблюдатели должны иметь право.
5.1. Оставаться на участке при условии отсутствия нарушений положений о выборах с их стороны (политическая агитация, нарушение общественного порядка и прочее).
5.2. Попутно проверять вместе с участниками действующей комиссии верификационные данные.
5.3. Произвести процедуру прерывания голосования для любого из голосующих в случае нарушения с его стороны (использование телефона, фото-, видео- съемок, извлечение посторонних флэш-носителей).
5.4. Забрать как временную копию, так и любую другую копию видеозаписи со своего терминала наблюдения.
5.5. В случае невозможности соблюдения пункта 5.1 вызвать замену себе и оставаться на участке до прибытия замены.

Пункты 3,4,5 закончены.

Сообщение отредактировал Владимир Кн. - 9.1.2012, 3:35

[Владимир Кн.]

6. Рабочий цикл системы Тесей (выполняется на обоих комплексах одновременно).
6.1. Параллельно устанавливаются VPN-Сервер, Ариадна, Демократия, Номос с готовых и проверенных образов.
6.2. Производится подключение всех интерфейсов интернет-провайдеров, интерфейса для Ариадны на VPN-Сервере.
6.3. Производится подключение всех интерфейсов между Номосом, Демократией и VPN-Сервером на Ариадне.
6.4. На VPN-Сервере программа-инициатор генерирует VPN-Ключи для соединения на флэш-носитель (на втором происходит то же самое).
6.5. Парные флэш-носители укладываются в конверты, соответствующие участкам и запечатываются. Затем формируются пакеты для городов, куда помещаются все конверты для участков. Затем формируются большие краевые пакеты, которые направляют с двумя представителями от различных сторон в соответствующие субъекты страны. Из субъектов страны происходит аналогичное распределение по городам. Из городов на участки.
6.6. Серверное помещение опечатывается.
6.7. На участках происходит развертывание из готовых и проверенных образов. Участки формируются на базе классов информатики в школах. Координатор осуществляет двойное кратное количеству провайдеров VPN-соединение (для двух провайдеров на каждый комплекс 4 соединения) автоматически, по активации системы.
6.8. Весь комплекс голосования на участке осуществляет обмен данными через Координатора.
6.9. Состав комплекса: 1 АРМ Координатора, N АРМ Членов комиссии, K АРМ Голосований, 1 АРМ Наблюдателей, где N - количество членов комиссии и K -количество пунктов голосования на участке.
6.10. По завершению работы участка на всех АРМ состава комплекса происходит восстановление данных.
6.11. Затраты на каждый участок (исключая программное обеспечение): K-клавиатур цифровых четырех-кнопочных (порядка 750р за штуку, например TG2024), K-видеокамер (порядка 250р за штуку, дороже и не надо), K-наушников накладных (порядка 150 р). Итого, примерно 1150 р за пункт голосования. При крупных закупках цена должна упасть до 900 р на один пункт голосования. При условии, что пунктов будет примерно 2 на участок - имеем 1800 р на участок. Плюс цена двух флэшек, порядка 175 за штуку. Итого 2150 на участок.
6.12. В системе должно быть обязательно отключено кэширование записи на флэш-носители.

Пункт 6 закончен. И вроде как и все ТехЗадание закончено (может быть что-то и упустил, не стесняемся, напоминаем).

P.S. Прошу искать теоретические уязвимости, может что впопыхах и промухал, но старался.

[Владимир Кн.]

Как и предполагалось, не дописал второпях....

6.13. По завершении выборов, информация с Номоса передается полиции для расследований, информация с Демократии передается для оглашения фактов голосования, информация с Верификатора, Ариадны, VPN-Сервера уничтожается (форматирование). Имеем тайные выборы, с не тайными нарушителями.

Пункт 6 закончен. Но будут пункты 7 и 8. "О протоколах обмена данными" и "О вспомогательном программном обеспечении".

[Владимир Кн.]

7. Протокол обмена данными.
7.1. Протокол обмена данными является не шифрованным на уровне обмена между сервером приложений Ариадна и серверами баз данных Номос, Демократия и Верификатор.
7.2. Протокол обмена данными является уникально шифрованным для каждого Координатора избирательного участка и сервера приложений Ариадна.
7.3. Алгоритм обмена данными:
а. Координатор связывается первично с Ариадной, пересылая ей свой дополнительный ключ (также сгенерированный Ариадной) сложенный по методу XOR со своим оригинальным ключом.
б. Ариадна в ответ присылает в ответ новый тайм-ключ сложенный по методу XOR с оригинальным ключом для данного участка. Первый байт определят длину нового ключа.
в. При отправке каждого блока сообщений Координатор использует для шифровки текущий тайм-ключ методом XOR.
г. При получении каждого блока сообщений Ариадна в ответ отсылает новый тайм-ключ также сложенный по методу XOR с оригинальным для этого участка. Следом (единым файлом вместе с новым тайм-ключом плавающей длины) отсылается непосредственно само сообщение, шифрованное уже новым ключом.

8. Вспомогательное программное обеспечение.
8.1. Любое вспомогательное программное обеспечение жестко регламентируется и одобряется всеми членами приемной комиссии.
8.2. По возможности используется вспомогательное программное обеспечение с открытым кодом, с которым могут ознакомится все члены приемной комиссии. Компиляция осуществляется при согласии всех членов комиссии. Перенос в целевую систему осуществляется под контролем всех членов приемной комиссии. После переноса в целевую систему снимаются контрольные суммы прямого суммирования, хэш-сумма, длина нового образа.
8.3. При невозможности использования программного обеспечения с открытым кодом данное программное обеспечение отдается для анализа техническим специалистам комиссии на необходимый срок, но не более чем пять рабочих дней. При обнаружении недостатков в программном обеспечении хотя бы одной стороной из комиссии обсуждается необходимость модернизации или полной замены программного обеспечения всей комиссией.

Теперь всё.
Копирайты: Автор идеи Княгницкий Владимир Витальевич, 24.02.1979 г. рождения. Даю свое согласие на использование в целях организации открытых и честных выборов. На материальное вознаграждение не претендую. При использовании необходимо упоминание авторства.

[Лидия]

Я, конечно, всего не осилила, но на некоторые комментарии уже способна

Первое - такой проект требует очень серьёзных вложений. Надёжной связью хотя бы с областными центрами (а лучше с единым центром) должны быть обеспечены самые отдалённые точки страны, а там и электричество-то не везде есть. Кроме того, все участки должны быть оснащены соответствующим оборудованием, что уже весьма накладно.

Но даже предположим, что всё это сделано. Ваша система не защищена от одной весьма актуальной вещи для нашей страны - от сговора. Я понимаю, что прохождение с паспортом через всех членов комиссии должно было бы защищать от подделки информации, что в больших городах, где ещё куча наблюдателей есть, может, в большинстве случаев и сработает. А на отдалённых участках и в регионах с сильным влиянием административного ресурса (где 90% явка и все голосуют, как один) без проблем можно организовать подтасовку и с использованием паспортных данных из заранее подготовленной базы (откуда именно брать эти данные, всегда можно придумать), и с заранее оговоренным стандартным алгоритмом изменения паспортных данных "своего" человека.

Кроме того, в Вашей системе полностью отсутствуют бумажные носители. Да, Вы продумали защиту информации и автономное питание на случай отключения электричества, но ведь могут быть и обстоятельства непреодолимой силы - стихийное бедствие, техногенная катастрофа, теракт, наконец. Кроме того, личная подпись избирателя в списке избирателей является доказательством в суде, если она была подделана. А бумажные бюллетени - доказательством в суде в случае, если результаты электронного голосования по каким-то причинам будут опротестованы.

Поэтому в Ваш алгоритм я бы, вместо "человеческой" верификации паспортных данных ввела автоматическую (то есть сканирование предъявленного паспорта и отправку копии для распознавания и проверки) или полуавтоматическую (когда у оператора просят уточнить какую-то букву-цифру, которая из-за плохого состояния паспорта не распознаётся) и добавила бумажные носители.

И ещё, я не совсем поняла, как в дальнейшем используется тот уникальный идентификационный номер, который получается на флешке в результате внесения на неё всех требуемых файлов? Как бы то ни было, мне кажется, этот номер нужно выдавать избирателю после завершения голосования в виде некой бумажки, вроде чека. Тогда, после завершения подсчётов, любой избиратель сможет проверить по своему номеру, правильно ли учтён его голос. Да, и в Вашей инструкции не написано, кто стирает с флешки личные данные избирателя? Вы написали просто - "стираются". Видимо, человеком? Но ведь с таким же успехом эти данные можно сохранить перед стиранием. Разве нет?

Сообщение отредактировал Лидия - 10.1.2012, 12:21

[ВладимирЛ]

6.13. По завершении выборов, информация с Номоса передается полиции для расследований, информация с Демократии передается для оглашения фактов голосования, информация с Верификатора, Ариадны, VPN-Сервера уничтожается (форматирование). Имеем тайные выборы, с не тайными нарушителями.

Пункт 6 закончен. Но будут пункты 7 и 8. "О протоколах обмена данными" и "О вспомогательном программном обеспечении".

Уважаемый Владимир Кн.!

Возможно, я понял не все из того, что Вы написали…

На мой взгляд, разработкой конкретного программного обеспечения должна заниматься группа программистов, после ее создания. Вероятно, сначала, полезно изучить уже отработанные протоколы обмена банковских платежных систем (терминалов).

Предполагаю, что:

В такой системе есть возможность установки на некоторых Избирательных Участках модифицированной Клиентской части, дополненной “красивой” функцией (например - по времени) которая позволит изменить номера строки Кандидата и/или вообще потерять “неправильные” Голоса (типа – “из-за сбоев на платформах провайдеров”). При этом отследить “потерю” Голоса – можно, восстановить Голос - нельзя.

Существует возможность, сославшись на сбой системы, при “грамотном” восстановлении, получить таблицу (с Демократии), отличающуюся от Реальной только номерами строк (количеством Голосов) Кандидатов.


По любому: Каждый Кандидат должен иметь хотя - бы одного своего Наблюдателя на Каждом Избирательном Участке - всего 90 тысяч Человек.


P.S. Флешкам быстро переделают ноги.

Сообщение отредактировал ВладимирЛ - 10.1.2012, 12:54

[ВладимирЛ]

У этой системы есть один существенный недостаток (присущий именно нашей стране) - он позволит принуждать людей голосовать за того или иного кандидата и карусельщикам приносить своим работодателям "доказательства" своего "правильного" выбора. И всё это благодаря копии бюллетеня, сохраняющегося у избирателя. Для принуждения очень просто зависимого человека (военнослужащего, бюджетника, работника силовых структур) заставить предъявить личную копию бюллетеня ответственному лицу, пригрозив чем угодно ...

Уважаемая Лидия!

Долго думал…

Я предполагаю, и это, наверное, правильно, что каждый Избиратель на Выборах отдает Свой Собственный Голос за того Кандидата, за которого он Сам Хочет!
И, если нет противоречий с Действующим Законом, неважно, по каким причинам Избиратель сделал именно такой выбор: Будь – то его политические взгляды, или его экономический расчет, или он “из двух зол выбрал меньшее” или т.д.

Здесь должна учитываться Воля Самого Избирателя! Если в отношении Избирателя предпринимаются НЕЗАКОННЫЕ действия, то он может обратиться за защитой в Правоохранительные органы!

[Владимир Кн.]

Первое - такой проект требует очень серьёзных вложений. Надёжной связью хотя бы с областными центрами (а лучше с единым центром) должны быть обеспечены самые отдалённые точки страны, а там и электричество-то не везде есть. Кроме того, все участки должны быть оснащены соответствующим оборудованием, что уже весьма накладно.

Насколько мне известно, школы снабжены компьютерами и интернет-связью. Затраты только на недостающее оборудование.

Но даже предположим, что всё это сделано. Ваша система не защищена от одной весьма актуальной вещи для нашей страны - от сговора. Я понимаю, что прохождение с паспортом через всех членов комиссии должно было бы защищать от подделки информации, что в больших городах, где ещё куча наблюдателей есть, может, в большинстве случаев и сработает. А на отдалённых участках и в регионах с сильным влиянием административного ресурса (где 90% явка и все голосуют, как один) без проблем можно организовать подтасовку и с использованием паспортных данных из заранее подготовленной базы (откуда именно брать эти данные, всегда можно придумать), и с заранее оговоренным стандартным алгоритмом изменения паспортных данных "своего" человека.

Это сработает только в том случае, если вместо поддельных людей (внесенных способом подтасовки) не придет случайно оригинал. И если он придет, то видеозапись "проголосовавшего" придет в Номос. А это уже расследование.
Административное влияние исключено. Видеозапись, фотосъемка запрещена. Доказательств о том как ты проголосовал предоставить вышестоящему руководителю невозможно.

Кроме того, в Вашей системе полностью отсутствуют бумажные носители. Да, Вы продумали защиту информации и автономное питание на случай отключения электричества, но ведь могут быть и обстоятельства непреодолимой силы - стихийное бедствие, техногенная катастрофа, теракт, наконец. Кроме того, личная подпись избирателя в списке избирателей является доказательством в суде, если она была подделана. А бумажные бюллетени - доказательством в суде в случае, если результаты электронного голосования по каким-то причинам будут опротестованы.

То есть в момент голосования на Москву точнехонько в избирком (или всех интернет-провайдеров) упадет метеорит? Или их взорвут к чертовой бабушке? Вероятность данного события стремится к нулю. Что в таком случае исключает попадение в избирком того же метеорита с бумажными бюллетенями?
С каких пор видеозаписи перестали быть доказательством в суде?

Поэтому в Ваш алгоритм я бы, вместо "человеческой" верификации паспортных данных ввела автоматическую (то есть сканирование предъявленного паспорта и отправку копии для распознавания и проверки) или полуавтоматическую (когда у оператора просят уточнить какую-то букву-цифру, которая из-за плохого состояния паспорта не распознаётся) и добавила бумажные носители.

А вот так нельзя, так как можно в таком случае "предъявить" машине ксерокопию и "намутить" лишних голосов.
Но это возможно было бы, если бы наши паспорта были повсеместно чипизированы и было бы устройство для простого считывания информации с чипа.
Хотя, опять же, выпустить пачку фальшивых чипов и опаньки, нате вам голоса. Лучше уж с наблюдателями, тем более, как минимум два от разных партий (кандидатов, сторонников) будут на участке.

И ещё, я не совсем поняла, как в дальнейшем используется тот уникальный идентификационный номер, который получается на флешке в результате внесения на неё всех требуемых файлов? Как бы то ни было, мне кажется, этот номер нужно выдавать избирателю после завершения голосования в виде некой бумажки, вроде чека. Тогда, после завершения подсчётов, любой избиратель сможет проверить по своему номеру, правильно ли учтён его голос. Да, и в Вашей инструкции не написано, кто стирает с флешки личные данные избирателя? Вы написали просто - "стираются". Видимо, человеком? Но ведь с таким же успехом эти данные можно сохранить перед стиранием. Разве нет?

Уникальный номер используется для создания обезличенного голоса. Он связан с личными данными только от начала верификации до получения системой голоса. По окончанию выборов личная информация об избирателях уничтожается полностью. А с флэшки данные стираются автоматически сразу же после завершения процедуры голосования.

[Владимир Кн.]

На мой взгляд, разработкой конкретного программного обеспечения должна заниматься группа программистов, после ее создания. Вероятно, сначала, полезно изучить уже отработанные протоколы обмена банковских платежных систем (терминалов).

Протокол обмена данными предложенный мной используется во множестве подобного рода системах, а также для создания крипто-устойчивого канала связи, для примера можно взять тот же VipNet от "Инфотекс"

В такой системе есть возможность установки на некоторых Избирательных Участках модифицированной Клиентской части, дополненной “красивой” функцией (например - по времени) которая позволит изменить номера строки Кандидата и/или вообще потерять “неправильные” Голоса (типа – “из-за сбоев на платформах провайдеров”). При этом отследить “потерю” Голоса – можно, восстановить Голос - нельзя.

Существует возможность, сославшись на сбой системы, при “грамотном” восстановлении, получить таблицу (с Демократии), отличающуюся от Реальной только номерами строк (количеством Голосов) Кандидатов.

Каким образом, если установку системы делают с образов представители двух различных партий с предварительной проверкой контрольных сумм (которые подтверждают истинность образа).

По любому: Каждый Кандидат должен иметь хотя - бы одного своего Наблюдателя на Каждом Избирательном Участке - всего 90 тысяч Человек.

Возможно и так. Возможно и так. Чтобы исключить сговор двух партий.

P.S. Флешкам быстро переделают ноги.

Процедура такова, получил флэшку, проголосовал, отдал флэшку. Ну для острастки можно написать дополнительное предупреждение: "Во время голосования идет видеозапись не позволяющая увидеть Ваш вариант ответа".

[Дмитрий Крылов]

Уважаемый Владимир Кн.!

Я понимаю, что Вы все это творите искренне и от души. Целиком присоединяюсь к мнению, что систему ГАРАНТИРУЮЩУЮ защищенность от фальсификаций создать вполне себе возможно. Как программист с 25-летним стажем могу посоветовать Вам усилить свою модель концепцией "каждый факт голосования - документ, который при помещении в хранилище меняет хэш всей системы. Хэш построен с задействованием временных меток". Ну а закрытый ключ хранится как смерть Кащея, сами знаете, где.

Кстати, читали замечательную книгу Алана Купера (создатель языка Visual Basic) "Психбольница в руках пациентов"?!

Если не читали, то обязательно прочитайте, и Вы поймете, что я сейчас скажу:

КАК ГРАЖДАНИН, Я СЧИТАЮ, ЧТО СИСТЕМА ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ НИКОГДА, НИКОГДА, НИКОГДА (три раза) НЕ ДОЛЖНА ПРИМЕНЯТЬСЯ В ПОЛИТИЧЕСКИХ ГОЛОСОВАНИЯХ.

Вот так вот, надо тащиться по старинке на участок, к немощным выезжать домой с урной, проталкивать в узенькую щель сложенный листочек. И быть гражданином. Избирателем, наблюдателем, членом избирательной комиссии, журналистом - всем быть гражданином. Никакая электронная система не сделает нас им, только мы сами.

Сообщение отредактировал Дмитрий Крылов - 10.1.2012, 20:22

[Лидия]

У этой системы есть один существенный недостаток (присущий именно нашей стране) - он позволит принуждать людей голосовать за того или иного кандидата и карусельщикам приносить своим работодателям "доказательства" своего "правильного" выбора. И всё это благодаря копии бюллетеня, сохраняющегося у избирателя. Для принуждения очень просто зависимого человека (военнослужащего, бюджетника, работника силовых структур) заставить предъявить личную копию бюллетеня ответственному лицу, пригрозив чем угодно ...

Уважаемая Лидия!

Долго думал…

Я предполагаю, и это, наверное, правильно, что каждый Избиратель на Выборах отдает Свой Собственный Голос за того Кандидата, за которого он Сам Хочет!

Мне тоже очень хотелось бы в это верить. Но реалии нашей жизни, увы, говорят об обратном.

И, если нет противоречий с Действующим Законом, неважно, по каким причинам Избиратель сделал именно такой выбор: Будь – то его политические взгляды, или его экономический расчет, или он "из двух зол выбрал меньшее" или т.д.

Если нет противоречий, то конечно. Но я не знаю, доживёт ли нынешнее поколение жителей России до того момента, когда каждое нарушение любого закона будет преследоваться и наказываться в соответствии с действующим законодательством.

Если в отношении Избирателя предпринимаются НЕЗАКОННЫЕ действия, то он может обратиться за защитой в Правоохранительные органы!

Здесь даже и комментировать нечего, увы...

Да, это очень неприятно осознавать, что такая исключительно демократическая процедура, как выборы, в нашей стране может превратиться в фарс, и что часть избирателей вынуждена голосовать не за того, за кого хотелось бы, а ещё одна часть за вознаграждение легко нарушает закон и участвует в каруселях, и им совершенно неважно, кому они отдают свои и поддельные голоса. Поэтому ещё долго организация процесса выборов будет вынуждено зависеть от наших реалий и всеми возможными способами перекрывать лазейки для злоупотреблений любого рода. Насколько это возможно, конечно. И уж точно нельзя создавать условия для этих злоупотреблений.

[Лидия]

Насколько мне известно, школы снабжены компьютерами и интернет-связью. Затраты только на недостающее оборудование.

Ну, во-первых не в каждом населённом пункте есть школа, и не все избирательные участки находятся в школах, и далеко не везде работает даже мобильная связь, не то, что интернет. Плюс нужны устройства для голосования, хорошие видеокамеры, установка и тестирование ПО, покрытие всей страны надёжной интернет-связью от нескольких утверждённых государством интернет-провайдеров (пока таких нет).

Но даже предположим, что всё это сделано. Ваша система не защищена от одной весьма актуальной вещи для нашей страны - от сговора. Я понимаю, что прохождение с паспортом через всех членов комиссии должно было бы защищать от подделки информации, что в больших городах, где ещё куча наблюдателей есть, может, в большинстве случаев и сработает. А на отдалённых участках и в регионах с сильным влиянием административного ресурса (где 90% явка и все голосуют, как один) без проблем можно организовать подтасовку и с использованием паспортных данных из заранее подготовленной базы (откуда именно брать эти данные, всегда можно придумать), и с заранее оговоренным стандартным алгоритмом изменения паспортных данных "своего" человека.

Это сработает только в том случае, если вместо поддельных людей (внесенных способом подтасовки) не придет случайно оригинал. И если он придет, то видеозапись "проголосовавшего" придет в Номос. А это уже расследование.
Административное влияние исключено. Видеозапись, фотосъемка запрещена. Доказательств о том как ты проголосовал предоставить вышестоящему руководителю невозможно.

Ну, насчёт расследования - это отдельная история. Мы говорим о сговоре. А это значит, что ВСЕ знают, за кого на участке уже проголосовали. В регионах с сильным административным влиянием и бесправием населения не допустить "оригинал" к голосованию ничего не стоит. Ещё до того момента, когда он достанет паспорт. Говорят, в той же Чечне голосовать ходят не более 5% населения, и те, кто это делает, заранее известны. За всех остальных можно решать без всяких опасений. По Вашей версии сверка видеозаписей происходит лишь в случае обнаружения уже ранее голосовавшего человека. Если всё заранее оговорено, такого не случится. Как сейчас за них голосуют, так и при любой автоматизации будут.

То есть в момент голосования на Москву точнехонько в избирком (или всех интернет-провайдеров) упадет метеорит? Или их взорвут к чертовой бабушке? Вероятность данного события стремится к нулю. Что в таком случае исключает попадение в избирком того же метеорита с бумажными бюллетенями?

Число оборудованных мест хранения закодированной информации значительно меньше, чем число избирательных участков. Уничтожение одной "серверной" означает потерю данных десятков, сотен, тысяч избирательных участков. А при каком-то несчастье на одном участке могут пропасть бюллетени только с этого участка, да и то не факт, что все.

Насчёт того, что вероятность техногенной катастрофы или элементарного выведения из строя некого оборудования близка к нулю - это сказки. Уже давно никто в мире не делает абсолютно надёжное оборудование. Вон, даже космические корабли летят не туда, куда надо, а уж их вылизывают многократно очень много профессионалов, специально для этого собранные в одном месте. А тут сразу много абсолютно надёжных хранилищ данных, по всей стране? Так не бывает.

С каких пор видеозаписи перестали быть доказательством в суде?

Видеозапись в Вашей системе может доказать лишь один тип нарушения - поймать человека, пытающегося проголосовать дважды. Бумажные носители - все остальные.

Поэтому в Ваш алгоритм я бы, вместо "человеческой" верификации паспортных данных ввела автоматическую (то есть сканирование предъявленного паспорта и отправку копии для распознавания и проверки) или полуавтоматическую (когда у оператора просят уточнить какую-то букву-цифру, которая из-за плохого состояния паспорта не распознаётся) и добавила бумажные носители.

А вот так нельзя, так как можно в таком случае "предъявить" машине ксерокопию и "намутить" лишних голосов.
Но это возможно было бы, если бы наши паспорта были повсеместно чипизированы и было бы устройство для простого считывания информации с чипа.

Это я не очень понимаю. Если мы говорим о нормальном процессе, то можно использовать принцип копира, то есть копировального аппарата, не связанного с компьютером и не имеющего памяти. С него образ паспорта непосредственно поступает куда-то в единый центр и там анализируется. То есть подсунуть копию можно только в случае сговора, да и то, как мне кажется, должен быть технический способ, позволяющий отличить копию от оригинала.

В конце концов можно упростить процедуру - ввести в стране систему "карточек избирателя" с полной защитой, как у банковских. Каждый человек в паспортном столе получает по своему паспорту эту карточку с уникальным кодом. На выборы человек приходит с этой карточкой, и тогда проверить, голосовала ли эта карточка или нет, ничего не стоит. Можно ввести двойную проверку - после введения в считывающее устройство этой карточки на экране члена избирательной комиссии появляется фамилия и другие данные избирателя, которые проверяются при предъявлении паспорта. А дальше всё, как у Вас.

Лучше уж с наблюдателями, тем более, как минимум два от разных партий (кандидатов, сторонников) будут на участке.

Далеко не на всех участках были наблюдатели. И это при условии, что их было гораздо больше, чем раньше. Так что наблюдатель - это роскошь, которую не все могут себе позволить.

Уникальный номер используется для создания обезличенного голоса. Он связан с личными данными только от начала верификации до получения системой голоса. По окончанию выборов личная информация об избирателях уничтожается полностью. А с флэшки данные стираются автоматически сразу же после завершения процедуры голосования.

Значит, последнее звено всей цепочки данных, собираемых на флешке (последний член комиссии), может спокойно их сохранить у себя на компьютере?

[Владимир Кн.]

Уважаемый Владимир Кн.!

Я понимаю, что Вы все это творите искренне и от души. Целиком присоединяюсь к мнению, что систему ГАРАНТИРУЮЩУЮ защищенность от фальсификаций создать вполне себе возможно. Как программист с 25-летним стажем могу посоветовать Вам усилить свою модель концепцией "каждый факт голосования - документ, который при помещении в хранилище меняет хэш всей системы. Хэш построен с задействованием временных меток". Ну а закрытый ключ хранится как смерть Кащея, сами знаете, где.

Кстати, читали замечательную книгу Алана Купера (создатель языка Visual Basic) "Психбольница в руках пациентов"?!

Если не читали, то обязательно прочитайте, и Вы поймете, что я сейчас скажу:

КАК ГРАЖДАНИН, Я СЧИТАЮ, ЧТО СИСТЕМА ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ НИКОГДА, НИКОГДА, НИКОГДА (три раза) НЕ ДОЛЖНА ПРИМЕНЯТЬСЯ В ПОЛИТИЧЕСКИХ ГОЛОСОВАНИЯХ.

Вот так вот, надо тащиться по старинке на участок, к немощным выезжать домой с урной, проталкивать в узенькую щель сложенный листочек. И быть гражданином. Избирателем, наблюдателем, членом избирательной комиссии, журналистом - всем быть гражданином. Никакая электронная система не сделает нас им, только мы сами.

Ну не согласен я, что невозможно создать качественный продукт. Просто необходимо каждую программу снабжать защитой от дурака и все будет ок. Ну естественно, еще необходимо изучать проблематику вопроса, "повариться", так сказать, в этой каше сначала самому.
Насчет смещаемого хэша для БД - смысла не вижу, сервера БД выдают только конечный результат, они недоступны для ошибок человеческого фактора.

[ВладимирЛ]

Каким образом, если установку системы делают с образов представители двух различных партий с предварительной проверкой контрольных сумм (которые подтверждают истинность образа).

Уважаемый Владимир Кн.!

Беглый анализ сообщений в Internet о прошедших Выборах свидетельствует о наличии ПРЕСТУПНОГО СГОВОРА с целью получения ТРЕБУЕМЫХ результатов Выборов, НЕЗАВИСЯЩИХ от Воли Избирателей.

Это достигается путем:
- “вброса” дополнительных бюллетеней;
- подмены, при подсчете, пачек бюллетеней за “неправильного” Кандидата на бюллетени за “правильного”;
- и т.д.

Ваша система открывает для Злоумышленников огромные просторы для “творчества”!

Например: Через некоторое время, после установки Клиентской части и проверки контрольных сумм:

- производится ее ПЕРЕУСТАНОВКА ("ОБНОВЛЕНИЕ") на другую – доработанную.

и/или

- в операционную систему вводится резидентный (или подменяется “родной”) драйвер клавиатуры, который и будет СРАЗУ “исправлять” “неправильные” Голоса Избирателей

И т.д.

“Манипуляции” могут производиться как на рабочем месте (например с флешки), так и с удаленного компьютера по каким – то сетям (прямое соединение, Wi-Fi, и т.д.).

Возможно, по окончании Выборов, на каких-то Избирательных Участках, будут обнаружены нарушения в программном комплексе, проведется расследование и неожиданно окажется, что эти изменения появились в результате массированной Хакерской атаки и Голоса с этого Избирательного Участка исключат из общей базы, а это тоже на руку ЗЛОУМЫШЛЕННИКАМ.

Под эту музыку можно исключить и Избирательные Участки с нормальным ПО, которые показали “неправильный” результат.

Восстановить РЕАЛЬНЫЕ Голоса Избирателей будет НЕВОЗМОЖНО!


На мой взгляд, сегодня (или уже давно) необходимо создать программный комплекс, ДОПОЛНЯЮЩИЙ существующую процедуру Выборов, который позволит каждому Избирателю ПРОВЕРИТЬ правильность учета СВОЕГО СОБСТВЕННОГО Голоса и предоставит (в реальном времени) статистические данные, которые позволят выявить Избирательные участки с “отклонениями”. В дальнейшем, Кандидат сможет УТОЧНИТЬ правильность подсчета Голосов на этих Избирательных Участках по ПЕРВИЧНЫМ ДОКУМЕНТАМ – журналам учета Избирателей, Бюллетеням Избирателей, Актам Избирательных комиссий и т.д.

Сообщение отредактировал ВладимирЛ - 11.1.2012, 13:06