Продолжение истории. Предыдущая часть здесь.
На письмо, которым завершалась первая часть, они мне не ответили. Понятно было, что отрабатывают корреспонденцию они формально, по существу содержательно отвечать не будут, и это упражнение надо заканчивать. Тем не менее, после выходных собрался и отправил им письмо еще раз, добавив выделенный абзац.
Ответ пришел сегодня:
Я, конечно, написал им:
"В связи с этим любой желающий, обладающий техническими навыками, может проверить код системы на надежность и взломостойкость.»
Но вы ведь знаете, чем отличаются найденные уязвимости и ненайденные. И чем они сходятся.Впрочем, как хотите.
И на этом решил закончить. Сомневаюсь, что в ближайшие годы кто-то извне будет эту тему трогать. Знаю, как голосуют в США и никого это не парит. Но посмотрим, что из этого выйдет. На мой взгляд, принципиальную возможность нарушения тайны голосований и/или подмены голосов никто в этой конкретной ситуации не отменил.
Комментарии
система хранит те данные, которые требуется ей хранить. Если ФИО и/или идентификатор не является частью хранимого блока данных, то результат голосования анонимен.
Возникает вопрос, как контролировать корректность системы. Ответ на поверхности - работать должен интерпретатор, исходный текст программы должен быть частью публичного блокчейна (типа контракта эфира). Тогда будет совершенно точно известно, какие данные хранятся, и как ведётся учёт голосов. Т.е. не гитхаб отдельно и скомпилированный код - отдельно, а прямо всё вместе и наглядно.
Сам же блокчейн не имеет никакого отношения к анонимности или её отсутствию. По определению, блокчейн - технология хранения цепочки блоков, обеспечивающая их неизменность. Не более того.
Термин "распределённый реестр" гораздо информативнее "блокчейна".
Это перпендикулярные термины.
Блокчейн - в названии подразумевается способ хранения (каждая следующая запись зависит от предыдущих, что делает невозможным корректировку истории. Не боле того. Место хранения - не важно (распределённое или нет)
Распределённый реестр - система, при которой реестр хранится в нескольких местах. Про защиту не упоминается.
Совершенно верно.
Я ТС-у сказал в прошлый раз, что его вопрос, мягко скажем, некорректный, и перед написанием пасквильков неплохо бы иметь техническое знание, хотя бы поверхностное.
Но задача у него, похоже, - громко блажить, а не выяснять реальное положение дел.
Ну, чтобы использование термина "пасквильки" было оправдано, Вам придется публично и доказательно решить дилемму: как, обеспечив тайну голосования, защититься от подмены голосов.
С одной стороны, обеспечить тайну голосования, то есть невозможность определения иным лицом, кроме голосовавшего, определить, как он голосовал, и при этом учесть его голос избирательной комиссией.
С другой стороны, закрывая для всех третьих лиц содержание его волеизъявления, обеспечить невозможность замены (не изменения, не вброса дополнительных к его голосу - замены, подмены) этого содержания волеизъявления до или в момент подсчета голосов.
Если честно, я буду признателен, если Вам (1) удастся это продемонстрировать как принципиальную возможность; (2) показать, что именно это реализуется на этом голосовании поправок. Потому что то, что пишут люди с той стороны электронной почты - смешно.
Вы путаете разные проблемы в кучу.
Единственная, плохо решаемая - это анонимность. Если голос анонимен, никто не может узнать, чей он - в том числе и тот, кто его проголосовал, соответственно - не может проверить. Но, законодательство и не требует, что бы тот, кто проголосовал, мог найти своё решение в общей пачке.
Остальное - подмена, хронологический порядок, прозрачность подсчёта, вбросы и прочее - могут быть решены корректно и достоверно.
Вполне возможно имитировать текущий процесс в рамках цифровой системы. Вот как сейчас ведётся, так и реализовать - буква в букву.
Вы говорите об анонимности, а я - о тайне голосования. Кто из нас что путает?
Конечно же вы :)
анонимно опубликованный голос и есть тайное голосование. Достаточно обеспечить избирателям возможность публикации лишь одного голоса и не допустить публикации голосов не-избирателями.
Такой торопливый молодой человек)) Законодательство не знает термина анонимное голосование. Оно знает тайное. Тайное от анонимного отличается тем, что при тайном, знают кто, но не знают, как. А при анонимном, не знают кто, а про как - не обсуждается. Наверное, трансформация тайного в анонимное возможна, но это не автоматическая операция, и корректность ее потребуется установить. Правда, непонятно - зачем. Терминологию закона это не изменит все равно.
Так что путаете Вы)
нет никаких проблем учитывать, кто голосовал - в отвязке от того, как он это сделал.
Пример реализации - ниже.
Ничего мне решать не надо.
Ты притянул за уши анонимность к блокчейну, сделал из этого говнохайп. За что и отхватил.
А то, в чём был вопрос в данном случае - выясняется чтением документации, если тебе этот ответ действительно нужен.
Это называется пустобольство, в чистом виде. И это не я "отхватил", это очередной пустобол проявился.
Слив защитан.
А я должен был Вас, как бы это помягче сказать, - отработать по полной? Был такой вариант. А потом я подумал и пришел к выводу, что с пустоболом общаться - из пустого в порожнее переливать.
Так что наслаждайтесь "победой", герой)
Тут как с утечкой данных из госсистем, какбы невозможно, но регулярно случается, кто отвечает в случае слива и как, неясно.
Сейчас не вспомню где, но попадалась инфа, что подавляющее большинство подобных утечек, это банальное воровство персонала, работающего с БД. Кулхацкеры если и качают что то, то по минимуму. Защита от внешнего проникновения вполне достойная.
Невозможно называть защиту достойной на фоне регулярных сливов.
Технические или организационные моменты тому виной - совершенно без разницы с точки зрения конечного результата.
Если сливы регулярно происходят, значит система в целом (как комплекс технических и организационных мер) это драный валенок, какой бы надежной она сама себя не мнила.
Если говорить, к примеру о эфире, то это пример открытой системы, совмещающей в себе неизменность истории и открытость вычислений. Т.е. сам учёт голосований проводится по публично описанным правилам (находящимся в том же реестре), это решает вопрос с подменой алгоритма. Остаётся лишь затык в том, как убедиться что именно ваш выбор был взят в расчёт - и при этом обеспечить анонимность.
Т.е. на лицо конфликт - если человек может найти свой голос в реестре, он не анонимный. Если голос анонимный, его найти не может никто - в том числе и человек, который голосовал.
Наиболее простой выход - учёт "по площадям" - например, хранить какой-либо групповой номер (например, дома - если он многоквартирный, или квартала - если индивидуальная застройка) - что бы был лимит по вбросу
Тут еще вот такая ситуация: система, в которой пользователь авторизован, априори не обеспечивает тайны. Другими словами, всегда можно узнать кто и за кого голосовал поименно. В отличии от обезличенного бланка для голосования.
Где гарантии того, что на место Путина не придет какой-нибудь самодур и не расстреляет всех тех кто голосовал за Путина? Или тех, кто будет голосовать "за" поправки в Конституцию? Утрированно, но... )))))))
но это же элементарно.
Сегодня есть участок голосования, к нему приписаны проживающие окрест люди. Есть список людей, и тд - технология общеизвестна.
Её цифровая реализация может быть следующей.
Есть участок голосования. Известно число избирателей. Соответственно, генерится пул случайных достаточно длинных идентификаторов (скажем, 256 бит или длиннее) по числу избирателей на участке. Избиратель авторизуется в системе. Если он не голосовал, ему выдаётся случайный идентификатор и списывается из пула нерозданных в распределённые, на учётке ставится галка о выдаче. Привязки идентификатора к человеку не делается. Далее, избиратель заполняет форму голосования, и эта форма уезжает в блокчейн с хэшом от этого идентификатора. Как только производная от идентификатора (например, хэш) оказался в блокчейне - голос списывается из пула распределённых. В случае попытки вставки в реестр голоса, для которого нет хэша от идентификатора в пуле распределённых - голос бракуется. Таким образом, в общем листе есть голоса и анонимные производные от идентификаторов. Увязка голоса с персоной - невозможна. Повторное голосование - невозможно.
Есть вопрос по утере идентификатора до его использования (аппаратный сбой, например), но это должно быть решено законодательно - и реализовано в соответствии с законом. Например, можно считать утерянный идентификатор порчей бюллетеня - если в законе будет так написано.
Поскольку механизм дистанционный, нет необходимости поддерживать голосование на чужом участке, что фиксирует число голосов и исключает вбросы пачкой. Там же, в реестре, можно вести учёт проголосовавших людей - что бы это было прозрачно. Для исключения спекуляций - например, публикация со случайной задержкой от часа до двух часов. Таким образом будет наглядно видно, голосовал ли конкретный товарищ, но не будет видно - за кого.
Весь механизм должен быть интерпретатором и быть размещённым в том же публичном реестре, аналогично эфиру.
В результате будет полная прозрачность - всегда можно вести параллельные вычисления - и полная анонимность.
Почему непривязанные идентификаторы не могут тиражироваться и использоваться при подменен голосов?
множественно использование идентификаторов может проверяться на этапе вставке в блокчейн (коли мы про него говорим). Если производное от идентификатора (например, хэш) присутствует с голосом - повторный документ бракуется (и может оставаться в цепочке в забракованном виде). Механизм классификации голосов - может быть публичным и быть частью блокчейна и легко проверяемым
Вопрос контроля неиспользованных идентификаторов - чисто по количеству, число проголосовавших на участке = числу истраченных идентификаторов. Это так же может контролироваться публичным алгоритмом блокчейна. Проголосовавшие персоны легко могут быть проверены (например, соседями - или наблюдателями), поскольку публикация факта голосования не раскрывает анонимности голосов. Возможно автоматическое оповещение "вы проголосовали, голос учтён" - и тут же можно предлагать опровергнуть, если это не так. Соответственно, работать с отказами
Варианты есть, разные и эффективные
Почему дублированный идентификатор не может дать в качестве производного такой же хэш?
может. Называется коллизией, но вряд ли вы такое встретите. И, совершенно точно, это не повлияет на результат голосования.
Если уникальный идентификатор не может дважды произвести уникальный же хэш, то как проверить связь идентификатора с лицом? В чем его ценность как идентификатора?
Это имитация выдачи бланка для голосования.
Я же писал - оптимально было бы максимально приблизиться к бумажной технологии.
Сегодня вы расписываетесь, что получили бланк - в имитации на вашей учётке ставят галку о выдаче вам идентификатора. Так же как сегодня, никто не записывает, что за экземпляр бланка вы получили, так же в имитации не должно храниться увязки вас и идентификатора. Так же как вы, бросая бланк в урну голосования стираете свою связь с ним, так же идентификатор должен стать производным (например, хэшем) и удалиться из списка доступных, т.е. быть забытым.
Еще раз, если невозможно проверить идентичность хэш от этого идентификатора, потому что второй раз он другой и это нормально, то что защищает волеизъявление от подмены иным волеизъявлением с хэшем, производным от того же идентификатора, или от другого - проверить это невозможно и в предлагаемой системе это нормально, при том, что при передаче данных от избирателя специально организуется рэндомная задержка во времени?
Я же писал вам - это лишь один из вариантов реализации, который мог бы хранить анонимность и тайность голосования, со всеми защитами от подмены, замены и проч.
Схема придумана на коленке - вполне возможно есть более сильные варианты, например с криптографией с открытым ключом.
Ну смотрите, есть две различных половины конструкции. Одна учитывает людей, но не знает про их голоса, вторая - напротив, знает голоса, но не знает, чьи они. В примере, который привёл я, используется временная связь - пока идёт голосование персоны (аналог - человек взял бланк и зашёл в кабинку) мы имеем его учёт, организованный так, что бы в дальнейшем не раскрыть выбор. Как только человек проголосовал - аналог - бюллетень с пометками брошен в урну - мы совершаем одностороннюю операцию над идентификатором, делая невозможным увязку голоса и персоны. Несмотря на односторонность операции можно сохранять уникальность, что бы можно было точно знать - есть или нет дубли. Ровно так, как человек расписался в реестре - мы ставим галку на его профиле в системе авторизации, что бы не дать голосовать дважды. Ровно так, как человек взял бланк из пачки - мы списываем идентификатор из анонимного пула, ёмкостью равном числу избирателей. Ровно так, как на участок выдаются бюллетени под счёт, мы генерим идентификаторы для раздачи. Ровно так, как мы не знаем, какой экземпляр выдан на руки - идентификаторы делаем случайными. Можно добавить криптографию - что бы быть уверенным (аналог), что бюллетень выпущен избиркомом. Например, это может быть не просто хэш, а подпись того или иного вида (скорее всего, у парней так и сделано)
Т.е. возможно более близко к бумажному процессу. Может быть, с усилением - например, оповещение человека о том, что он проголосовал, что бы избежать мёртвых душ на участке
зачем мне смотреть на физический процесс? чтобы поверить, что электронное голосование организовано так же? так же - невозможно физически, а все остальное надо проверять не через образы
Потому что именно физический процесс является легитимным при проведении голосования. Соответсвенно, чем ближе электронный процесс будет к физическому, тем корректнее он будет проходить.
Не стоит забывать, физика ведь тоже взялась не из воздуха, она опирается на длительный опыт (например, на настоятельную необходимость тайны волеизъявления). Логично что при переносе процесса в цифру следует не придумывать своё на коленке, а максимально приблизиться к реалиям. Это облегчит внедрение и позволит избежать большей части необоснованной критики.
Да, но какая связь между физическим процессом и электронным, кроме той, что у Вас в голове? Что гарантирует жесткость этой связи? Что гарантирует идентичность процессов?
Вы действительно не понимаете?
поэтому важно иметь процесс открытым для исследований и аудита, насколько это возможно. Если мы опять про блокчейн, то схема эфира очень хороша - когда и данные, и алгоритм их обработки находятся в публичном доступе (у эфира оно ещё и исполняется на множестве клиентских систем). Повторюсь, это лучше гитхаба, т.к. между гитхабом и реализацией есть тёмная зона - среда исполнения - а в обсуждаемом варианте - её нет.
А про доверие - можно далеко зайти. Вы пользуетесь банками - вы им доверяете? Там гораздо более закрытые конструкции, нежели обсуждается тут. Вы открываете дверь ключом, вы ему доверяете? Там тоже много мест, которые не видно :)
вы просили предоставить вам вариант реализации - я это сделал. Конкретики, кстати, от вас не прозвучало. Может, вы хотели что бы вопрос был риторическим? В таком случае - не угадали :)
Я оцениваю существующий вариант, на абстрактный вариант не вижу смысла тратить времени. Кроме того, Ваш вариант содержит порок, который Вы собираетесь закрывать какими-то аудитами, что для меня означает что решения принципиального нет. Плюс к этому Вы говорите о доверии, приводя в пример банки. Не буду тратить на это время, но для меня это показатель степени непонимания Вами того, что мы обсуждаем.
Согласно законодательству, голосование должно быть тайным (закрытым). Соответственно, on-line голосование так и сделали, насколько это вообще было возможно. Т. е. "тайное" голосование on-line - это своего рода эрзац голосования с бумажными бюллетенями. Не стоит от эрзаца ожидать чего-то большего.
По моему мнению, голосование on-line надо делать открытым. В это случае резко снижается возможность мухлежа с результатами голосования. Получим на выбор два варианта голосования - тайное с бумажными бюллетенями и открытое on-line. И не говорите, что в этом случае мы получим возможность подкупа избирателей - это возможность уже реализована при тайном голосовании, когда избирателю платят за фотографию заполненного бюллетеня.
Соглашусь!
Тайное голосование только непосредственно на избирательном участке!
По-хорошему, надо вообще открытое голосование делать. Т.е. чтобы каждый знал когда и за кого голосовал. Чтобы можно было отзывать голоса у всяких звездорасов. Если депутаты будут уверены в том, что его избиратели могут отозвать голоса, будет работать на благо Родины еще продуктивней, а не заниматься всякой дрянью.
И кстати, это будет отличным социальным лифтом, когда депутаты будут иметь жесткую конкуренцию, а не вредить стране 4 года.
К примеру, кто голосовал за маразматичку - ювеналку Пушкину и чьи интересы она пропихивает?
интересный вариант, скажем раз в месяц-квартал можешь поменять выбор и количество кресел в ГД будет пересмотрено. При этом еще и новые опции появляются - за эту партию, но однозначно против этих типов... и тому подобные варианты. Для особо отличившихся выборных можно как на парт.собрании разборы устраивать, с доступом всех граждан.
А там глядишь и на карьеру судей влиять можно будет, а то чего выбираем только представителей двух ветвей власти, а не трех?
Привет!
Да, крутая идея, голосование не должно быть тайным и будет возможность отозвать свой голос 👍👍👍
А мне плевать на анонимности и прочую чушь. Мне нечего скрывать от государства: я не вор, не преступник. Поэтому, я готов голосовать совершенно открыто. Кстати, я всегда на выборах, отметив все в бюллетене, специально приношу его развернутым мимо лиц наблюдателей: приятно смотреть на меняющиеся морды смотрящих от покраснелых и либерды!
Поддерживаю. Даже не спрашиваю как вы голосовали/будете голосовать- несущественно. Но ход мысли правильный, как по мне ))
Я вам больше скажу, вся анонимность, понятие коммерческой тайны, закрытость коммерческих контрактов, закрытость личных данных - это все крайне неправильно и растет из интересов одной единственной группы, которая на секретности и тайне построила свой 300-летний гешефт. Отменив тайну голосования, тайну личных данных, коммерческую тайну (с сохранением права собственности на изобретения) - мир получится радикально другим. Но до этого цивилизации еще лет 100.
нет. Анонимность - свобода воли. Лишение анонимности - лишение свободы воли/выбора.
Сколько же "скакунов" на Aftershoick (
Властям граждане задают простой вопрос: "Как вы обеспечиваете выполнение конституционного права (тайна голоса) при электронном голосовании?" В ответ получают кучу слов, в которых нет ответа на поставленный вопрос. А есть "заведение рака за камень".
Что мешает ответить прямо? При электронном голосовании существует возможность идентифицировать Ваш голос. Если Вы хотите гарантированного выполнения вашего права на тайну голоса, то воспользуетесь голосованием на избирательном участке. Выбрать удобный для Вас участок голосования вы можете на сайте Госуслуги.
Все. Вопрос не стоит выеденного яйца.
Но, нет, это же слишком просто. Представители нашей власти не умеют давать простые ответы на простые вопросы. И это печально...
Ща смотрел Москва24 - и там реклама ))))) Все вопросы - названы мифами - которые там (якобы, и очень пропагондонски тупо) успешно опровергаются ))))
Ооооочень хотят Москву в электронку загнать.
Рекомендую к просмотру кстати :-)