Голосование в КС оппозиции – что дальше?

В этой статье я публикую приложения к своему техническому отчёту по выборам в КС.

Приложение 1. Ответы на вопросы и некоторые мои собственные замечания

В этом приложении я отвечаю на некоторые вопросы, звучавшие как по результатам самих выборов, так и по чтению моего отчёта.

В: В твоём отчёте шла речь о некоем инциденте с утечкой списка телефонов. Имелся ли ввиду прогон телефонов ЦВК через функцию восстановления пароля на сайте МММ?

О: Да, именно этот инцидент и имелся ввиду. Я не считал правильным самому раскрывать публично эту информацию и дождался, пока Леонид Волков примет решение об этом самостоятельно. Об этом же прогоне я писал как о надёжной эвристике для определения кто там член МММ, а кто – нет.

В: В списке избирателей, опубликованном ЦВК, используется два разных формата для представления даты регистрации избирателя. Не является ли это признаком того, что протокол сфальсифицирован?

О: (для программистов). Программисты ЦВК утверждают, что всего лишь поменяли локаль, поддавшись на совет решарпера. По их версии это произошло 20 октября в 19часов 19минут 34с МСК +04GMT.

О: (для непрограммистов). Скорее речь идёт о не особо аккуратном написании программного обеспечения. В условиях цейтнота, в котором приходилось действовать группе разработчиков, это не удивительно.

В: В списке избирателей в последних трёх цифрах телефона избирателя присутствует аномально большое количество комбинаций из трёх нулей. Не является ли это признаком того, что часть телефонов сгенерирована?

О: В 247 (по той версии, которая мне была представлена программистами ЦВК) записях с нулями на самом деле должно находиться пустое значение. Первоначально ЦВК не сохранял телефон и только после того, как сообразили, что им, возможно, придётся делать рассылку по этим телефонам – начал. При экспорте информации эти пустые значения заполнялись нулями.

См. так же моё замечание о статистической обработке результатов выборов.

В: В списке избирателей в последних трёх цифрах телефона избирателя присутствует аномально большое количество “красивых” комбинаций, что статистически недостоверно.

О: Людям свойственно покупать себе “красивые” телефонные номера. Само по себе это не было бы подозрительным. Вот если бы можно было доказать, что обладатели “красивых” комбинаций голосуют как-то по-другому, чем обладатели “некрасивых”, это было бы подозрительно.

См. так же моё замечание о статистической обработке результатов выборов.

В: В протоколе голосования присутствуют дублирующиеся записи о голосовании одним и тем же избирателем. Они учтены в итогах. Это признак подделки?

О: По версии Леонида Волкова это - признак неаккуратного написания серверной части, которая принимала голоса из разных площадок. Леонид утверждает, что случаев таких не много, на результаты голосования они не повлияли и обещает выложить итоговые файлы с исправлением этой проблемы. В любом случае, каждый из Вас может проверить справедливость утверждений Леонида, самостоятельно проведя такую операцию очистки, либо попросив о ней знакомого программиста, если сами не умеете.

В: Кстати почему Волков стал изобретать велосипед и не использовали наработки по E2E - процедуре?

О: Возможно по той причине, что такие процедуры скорее всего не будут в достаточной степени понятны абсолютному большинству избирателей. Тому, что это так у меня есть доказательство.

Оно, если честно, не внушает особого оптимизма по прямому применению подобных систем. Вообще, практика показала, что даже на прошедших выборах часть избирателей не справилась с логикой/юзабилити электронных бюллетеней, которые предлагалось заполнять по совсем простой системе, да и процедура верификации явно оказалась для многих барьером.

В успешность применения более сложных схем лично я не верю.

Замечание о статистической обработке результатов выборов

Безусловным преимуществом той технологии организации выборов, которая была продемонстрирована ЦВК, является прямой доступ к протоколу голосования с точностью до голоса конкретного избирателя. Безусловно, статистический анализ распределения голосов по тем или иным группам избирателей – это хороший (а для некоторых уязвимостей – единственно возможный в текущих обстоятельствах) метод проверки их чистоты.

Хочу заметить, что сам я не ставил себе задачи по такому анализу, предпочитая передать её любым желающим и ограничившись формулированием пожеланий для ЦВК о составе и полноте раскрытия информации.

В настоящее время в сети уже появились всякого рода исследования статистики выборов. Моё личное отношение к ним в основном положительное, но есть нюанс – если я вижу, что для рассуждений по статистике начинают использовать методы относящиеся скорее к PR и пропаганде – моё доверие к такого рода исследованию падает почти до нуля.

О чём это я?

А вот, например, когда человек в первом ЖЖ-постинге с ‘исследованием’ путается с форматом даты, пытаясь выводить какие-то идеи о том, что в базе присутствуют избиратели, якобы регистрировавшиеся в январе, а в следующем постинге, после того как ему уже разъяснили вопрос, пишет что-то типа “как я уже продемонстрировал ранее и никто не опроверг” и ставит ссылку на предыдущий постинг, хотя тот примерно на половину состоит из выводов, сделанных на основе ложной посылки.

Я не считаю такую подачу материала добросовестной и не готов копаться в груде навоза, выискивая там бриллианты мудрости. Если кто-то хочет, чтобы его статистические гипотезы всерьёз обсуждались – ему было бы необходимо привести публикуемый материал в пристойный вид, очистив его от шума, мусора и выявленных ошибок и дополнив необходимыми для нормального рассмотрения данными. Однако, примерно того же самого я хотел бы и от ЦВК и ровно этому вопросу будет посвящено Приложение 2 к моему отчёту.

Замечание об оценке результатов выборов в КС

Моя личная оценка состоит в том, что эти выборы принесли намного больше полезного, чем негативного и, как минимум, продемонстрировали дееспособность объединённой оппозиции при реализации сложных, растянутых во времени и распределённых по просторам нашей Родины проектов. Это уже немало. Легитимность КС, я надеюсь, КС продемонстрирует своей практической деятельностью.

Отдельный положительный эффект – это то, что гражданское общество России, кажется, получило в свои руки работающую систему голосований, которую сможет в дальнейшем использовать для самых различных целей. Тут можно надеяться сразу на две вещи – на то, что техническая команда ЦВК не растворится в воздухе и на то, что исходные тексты системы будут таки опубликованы.

Приложение 2. Пожелания к ЦВК по раскрытию информации

Как я уже писал ранее, необходимо привести публикуемый материал в пристойный вид, очистив его от шума, мусора и выявленных ошибок и дополнив необходимыми для нормального рассмотрения данными.

Мои рекомендации по приведению информации в удобный для анализа вид направлены на то, чтобы максимально облегчить для всех желающих работу с данными и состоят в следующем:

1) Два документа (список избирателей и протокол голосования) имело бы смысл свести в один, добавив три логических поля – голосовал ли человек, был ли его голос отсеян во время прополки МММ, был ли он зарегистрирован в специальном режиме на телефон члена РВК.

2) Должны быть унифицированы форматы даты

3) Нули, там где они получились конверсией из пустого значения, должны быть заменены пустым значением

4) Должны быть исключены записи с дублирующимися значениями голосования

5) Номера кандидатов в должны быть приведены к номерам, указанным в бюллетенях.

6) Для избирателей, верифицированных через банки, должен быть добавлен ID банковского учреждения

7) Для избирателей, верифицировавшихся через Яндекс-деньги может быть добавлена дата создания кошелька, если эта информация может быть получена от Яндекс-денег

8) Для избирателей, верифицировавшихся через оффлайн должны быть добавлена ID РВК и ID оператора, осуществлявшего верификацию.

9) Для избирателей, верифицировавшихся через фотографию с паспортом желательно добавить ID оператора, осуществлявшего верификацию.

10) Желательно отразить в результирующем файле не только время регистрации избирателя, но и время инициирования им верификации, а так же время окончания процесса верификации, если такая информация сохранена в системе.

11) Должно быть добавлено поле с ID площадки, с которой были приняты голоса

12) В качестве дополнительной меры контроля было бы желательно раскрыть в отдельном протоколе попытки зайти в личный кабинет избирателя после того, как он проголосовал – с привязкой попыток к ID избирателя.

Так же мы ожидаем публикации исходных текстов ПО, вроде бы обещанной ЦВК.

Приложение 3. О возможны усовершенствования процедуры на следующих выборах

Замечание о перспективах следующих выборов в КС оппозиции

Прошедшие выборы показали высокую степень организационной уязвимости процедуры выборов со стороны посторонних граждан, не желающих участвовать в оппозиционной деятельности, но желающие внести своим участием в голосовании шумовой эффект и привести выборы к бессмысленным результатам.

Подозреваю, что единственным работающим способом бороться с такого рода атакой станет изменение формата выборов, отказ от приёма избирателей ‘с улицы’.

Стоит подумать о том, чтобы регистрацию избирателей осуществлять силами и/или в привязке к конкретным кандидатам или их блокам/партийным организациям и сохранять эту информацию для дальнейшего употребления. Разумеется, верификация личности избирателей должна оставаться на стороне нейтрального Центрального Выборного Комитета.

Подробное обоснование этой идеи явно выходит за рамки этой статьи и, наверное, будет представлено отдельно. Отмечу, однако, что оно будет носить не столько технический, сколько политический характер.

Говоря же коротко, если голосами клакеров в КС будет выбран некий хулиган, который вместо сотрудничества в КС будет заниматься срывом его работы – все желающие (и состав КС и прочие избиратели) смогут увидеть, кто конкретно несёт политическую ответственность за то, что избравшие такого хулигана избиратели были допущены к выборам. При этом, в случае совсем уже масштабной деструктивной деятельности одного из выбранных в КС участников, КС мог бы самореорганизоваться, аннулировав голоса, привлечённые одной из организаций и кооптировав в себя тех кандидатов, которые победили бы без учёта таких голосов изначально.

Эта схема сама по себе тоже не является “непробиваемой”, но, как минимум, она бы стимулировала организации-участники политического процесса плотнее работать с кругом своих непосредственных сторонников.

Альтернативная идея, высказывавшаяся в блогах – заменить тайное голосование открытым не выглядит убедительной, т.к. не понятны её цели.

Если мы вычеркиваем конкретные имена и фамилии из списка, потому что не считаем этих конкретных людей легитимными избирателями, то нам не нужно знать за кого они отдали свои голоса.

Если мы вычеркиваем обезличенной голоса на основе соответствия некоему набору голосов, как это сделал ЦВК со ‘списком Мавроди’ – это идея уже находится на грани демократической процедуры и закономерно подверглась масштабной критике.

Но если для того, чтобы вычеркнуть голос конкретного Сидорова нам нужно знать, за кого он проголосовал, то это уже точно не имеет отношения к процедуре выборов и должно называться каким-то другим словом.

Замечание об усовершенствовании процедуры протоколирования

0) Всю автоматически выкладываемую публичную информацию ЦВК желательно подписывать электронной подписью сервера ЦВК. Или двумя – PGP и гос. образца. Открытые ключи – выложить на сервере.

1) Желательно реализовать публикацию не только регулярно обновляемого протокола голосования, но и регулярно обновляемых протоколов регистрации и верификации избирателей.

2) Для удобства публикации все протоколы можно публиковать частями, предоставив их объединение в единое целое заинтересованным читателям.

(Ну и по окончании выборов – выкладывать итоговый полный вариант).

3) Для борьбы с DDOS-атаками хорошо бы их выкладывать не только на http-сервер, но и на популярные torrent-треккеры, например, на The Pirate Bay.

4) Для любого события (регистрация, приход запроса избирателя на верификацию, проведение верификации, голосование на площадке голосования, приём голоса с площадки) в соответствующий протокол должны писаться дата и время.

5) Как я указывал в разделе 5.9.4 своего отчёта, текущая процедура выкладки протокола является потенциально дырявой. Публикация списка избирателей с 3 цифрами телефона частично спасала ситуацию, но не до конца. Желательно, всё-таки доработать систему публикации информации так, чтобы соответствие ID избирателя и его хэша могло быть установлено уже момент первичной регистрации избирателей. Для генерации хэша желательно использовать комбинацию ФИО, даты рождения избирателя и длинной случайной последовательности (например 128 байт, развернутые в 256 16ричных цифр), которую избиратель мог бы увидеть в личном кабинете и скопировать себе.

6) Выбор избирателя должен подтверждаться электронно-цифровой подписью ЦВК. Сообщение, кодирующее выбор (id, список кандидатов, за которые отданы голоса, дата и время голосования и, опять таки, длинная случайная последовательность символов) в подписанном ЭЦП виде, должно демонстрироваться в личном кабинете избирателя, а так же пересылаться ему по электронной почте в момент учёта голоса центральным серверам.

Это позволит избирателю контролировать учёт его голоса и сверять данные с протоколом голосования.

7) Отсылку e-mail с сообщениями, кодирующими выбор, желательно осуществлять через какой-либо публичный сервер, который подписывает свои сообщения при помощи DKIM.

При отправке письма в копию его получателя необходимо ставить почтовый ящик ЦВК. Такая мера позволила бы ЦВК повысить степень уверенности аудитории, что ЦВК не перегенерировал выбор получателей задним числом, а ЦВК – оппонировать претензиям что мол избиратель получил подтверждения что голоса его приняты, а на самом деле их учли неправильно.

Для полного счастья можно использовать один сервер, находящийся в России (тот же Яндекс или mail.ru) и один сервер, находящийся, допустим в США. Исходя из соображения, что вряд ли “Госдеп” и “Кровавая ГБня” сговорятся для того, чтобы подделать результаты оппозиционных выборов в России, а если сговорятся, то, наверное, дело российской оппозиции почти потеряно.

Хочу отметить, что указанные выше меры сами по себе не делают процедуру выборов абсолютно надёжной – серебряной пули тут нету в принципе. Но они делают её достаточно вязкой, чтобы существенно затруднить как прямую атаку на неё, так и попытки недобросовестной её дискредитации.

Материал недели
Главные темы
Рейтинги
АПН в соцсетях
  • Вконтакте
  • Facebook
  • Twitter