Мэрия обещала прозрачное интернет-голосование в Москве. В итоге она может опубликовать любые результаты, и проверить их никто не сможет
Мэрия Москвы обещала, что система интернет-голосования будет прозрачной, но в итоге она оказалась даже более закрытой, чем обычные выборы. На обычных выборах можно взять и пересчитать бюллетени, на выборах через интернет такой возможности не будет. У наблюдателей в принципе не будет возможности понять, правильно ли были подсчитаны голоса. По сути, у мэрия может показать вообще любые итоги выборов, и избиратели и наблюдатели не смогут доказать, что они были не такими.
В системе были предусмотрены три способа контроля за правильностью подсчета голосов, но от всех из них пришлось отказаться
- Мэрия обещала, что после голосования избиратель сможет проверить, правильно ли его голос был учтен в системе. Разработчики пообещали запустить для этого специальный сервис, но в последний момент отказались от этого.
- Мэрия обещала опубликовать ключ для расшифровки голосов. С его помощью наблюдатели могли бы самостоятельно расшифровать обезличенные голоса избирателей и пересчитать их. В итоге за пять дней до выборов Мосгоризбирком решил, что при расшифровке голосов наблюдателям покажут только «общее количество зашифрованных бюллетеней, количество расшифрованных бюллетеней, а также процент расшифрованных бюллетеней».
- Мэрия обещала предоставить доступ к блокчейну, чтобы наблюдатели могли отслеживать все транзакции из первоисточника. Это позволило бы весь процесс, включая подведение итогов. Но мэрия отказалась дать полный доступ, только к определенным блокам.
Прозрачностью пожертвовали, чтобы сохранить тайну голосования
Разработчики системы публично не объявляли, почему решили отказаться от прозрачности голосования. По словам членов рабочей группы, неофициально те говорили, что от сервиса по проверке голосов избирателями отказались, чтобы работодатели не смогли надавить на сотрудников.
Официально такой опасности в мэрии не видят, но именно эта причина могла бы объяснить и ограничение доступа к блокчейну, и отказ от публикации приватного ключа. Дело в том, что хотя у избирателей теперь не будет простого способа скопировать свой зашифрованный голос, технически подкованный гражданин сможет провернуть эту операцию. Или сам работодатель, заставив голосовать через компьютер на работе. Разработчики не придумали, как этому противодействовать.
Если бы опубликовали приватный ключ, эти голоса можно было бы расшифровать. А полный доступ к блокчейну обеспечил бы доступ к приватному ключу, даже если бы его не стали публиковать отдельно: после окончания голосования ключ для расшифровки голосов избирателей собирают из нескольких частей и записывают в блокчейн.
Московская схема интернет-голосования создавалась так, что она не дает возможности избирателю сначала проголосовать, как того требует работодатель, а потом поменять свой выбор — переголосовать. Такая защита, например, используется в Эстонии.
Чтобы дать московским избирателям возможность переголосовать, разработчикам пришлось бы радикально менять всю схему интернет-голосования. Например, отказаться от блокчейна и поменять схему анонимизации — отделения данных избирателя от его волеизъявления. Дело в том, что в Москве анонимизации происходит непосредственно перед получением бюллетеня. Понять, где чей бюллетень невозможно, поэтому нельзя по просьбе избирателя выдать новый и забраковать старый. В Эстонии анонимизация происходит после окончания голосования, но перед расшифровкой голосов: система оставляет последней бюллетень у каждого избирателя, рвет связь между избирателем и его голосом, тщательно перемешивает голоса и только после этого расшифровывает. При этом до окончания голосования каждый избиратель может проверить, учтен ли его голос вообще и правильно ли он посчитан.
Ограничения системы привели к тому, что интернет-голосование оказалось более закрытым, чем обычные выборы
Блокчейн обеспечивает защиту от вброса новых бюллетеней после окончания голосования. Тем не менее, у мэрии остается широкий простор для манипуляций.
Наблюдатели и избиратели вынуждены верить мэрии на слово, что система будет работать именно таким образом, как заявляют чиновники. В ситуации, когда эта система до выборов была как минимум один раз взломана, это недостаточные гарантии.
Мэрия не раскрыла полный код системы интернет-голосования, соответственно, он не прошел независимый аудит. Де-факто никто, кроме разработчиков, не знает наверняка, как она работает.
На обычных выборах наблюдатель может проверить паспорт избирателя и убедиться, что голосует именно он. В случае системы интернет-голосования невозможно и это: наблюдатели вынуждены верить организаторам выборов.
Наконец, мэрия оставила себе возможность опубликовать вообще любые результаты интернет-голосования, а избиратели и наблюдатели не смогут убедиться, что они правильные. Ведь кода системы нет в открытом доступе, а наблюдателям не оставили возможности для пересчета голосов. Добиться проверки результатов можно будет только через суд — только там мэрия, в теории, согласится дать доступ к исходному блокчейну с ключом для расшифровки голосов. Других возможностей не предусмотрено.