Как устроено дистанционное электронное голосование в Москве. Разбираем систему

Возможность отдавать голос на выборах при помощи электронного бюллетеня есть у жителей столицы с 2019 года. Поначалу это можно было делать только онлайн на портале mos.ru. В прошлом году москвичи начали голосовать в цифровом формате и на избирательных участках, где появились специальные терминалы.

Дистанционное электронное голосование, ДЭГ — это онлайн-голосование при помощи цифрового бюллетеня, которое проходит без посещения избирательного участка. Оно доступно из любой точки России. Пользователь голосует со своего компьютера, планшета или смартфона на специальной интернет-странице.

Электронный список избирателей — это единый реестр данных обо всех избирателях Москвы и о выданных им бюллетенях (и бумажных, и цифровых). Сведения об избирателях поступают в список из ГАС «Выборы», отметки о выданных бюллетенях — от страницы онлайн-голосования, ТЭГ и с компьютеров членов участковых избирательных комиссий. Данные обновляются в режиме реального времени.

Страница ДЭГ, ТЭГ и электронный список избирателей представляют собой элементы московской системы электронного голосования. В свою очередь, система основана на базе технологий, инструментов, алгоритмов и методов, которые позволяют сделать цифровые выборы легитимными, безопасными, защищенными, прозрачными и анонимными.

Главной технологией в электронном голосовании является блокчейн (от англ. blockchain — «цепь из блоков»). Именно он отвечает за прозрачность и безопасность. Все транзакции (действия избирателей на странице онлайн-голосования или при работе с ТЭГ), а также сами голоса собираются в блоки, как правило, по сто записей, которые затем отправляются в блокчейн. При этом в одном блоке могут соседствовать записи о действиях разных пользователей, которые голосуют примерно в одно и то же время — например, о том, что один из них получил бюллетень, а другой проголосовал. Становится невозможным восстановить последовательность действий и время, когда каждый конкретный человек отдал голос.

Неразрывная цепочка создается благодаря тому, что каждый блок информации связан с предыдущим и следующим цифровыми отпечатками. Невозможно случайно или намеренно подмешать голоса, а также удалить уже записанные. Также их не получится изменить: цепочка блоков хранится на разных компьютерах блокчейн-сети, поэтому любые изменения будут заметны в копиях. Таких копий много, в том числе они есть у политических партий, которые реализовали у себя ноду блокчейна. Голосование при помощи электронных бюллетеней анонимное. Во-первых, когда пользователь к нему приступает, на устройстве (в том числе на терминале) включается анонимайзер. Он скрывает от системы все личные данные избирателя, его IP-адрес, место и время голосования, сведения об устройстве. С этого момента все, что сделает пользователь, является конфиденциальным и обезличенным. Во-вторых, анонимен сам цифровой бюллетень. Он не содержит ни персональных данных избирателя, ни номера, ни каких-либо еще служебных меток. Более того, виртуально или физически бюллетеня не существует нигде, кроме экрана устройства во время голосования. Это просто форма для принятия отметки за кандидата, и после нажатия кнопки «Проголосовать» и отправки голоса в блокчейн она закрывается, нигде не сохраняясь.

Дополнительной анонимности и защищенности данным добавляет искусственно создаваемая случайная задержка во времени при записи голоса в блокчейн. Это означает, что после того, как избиратель нажимает «Проголосовать», голос записывается в блок информации не моментально, а в течение некоторого времени. В пиковые часы голосования задержка составляет несколько миллисекунд, а в ночные часы, когда голосующих немного, может достигать от нескольких минут до часа — времени, в течение которого формируется блок данных. Благодаря этому создается дополнительное препятствие к определению владельца того или иного голоса.

Помимо этого, в процедуре голосования для обеспечения безопасности данных и анонимности избирателей используются методы криптографии. Голоса записываются в блокчейн дважды закодированными при помощи ключей шифрования. Первичный ключ создается из набора случайных технических данных об устройстве, с которого голосует человек. Он защищает от системы, ее администраторов и наблюдателей сведения о том, откуда и в какое время пришел голос. Первичные ключи уникальны и не подлежат расшифровке.

Второй ключ, которым кодируется каждый голос, — общий. Его вместе с ключом расшифрования создают еще до начала голосования. Общий ключ применяют к голосу для того, чтобы до подведения итогов голосования скрыть, за кого он отдан. Никто не сможет узнать промежуточные результаты и, соответственно, повлиять на итоги выборов. Ключи шифрования помогают обеспечить тайну голосования.

Для того чтобы определить, за кого проголосовали избиратели, нужен специальный код — ключ расшифрования. Сразу после создания его разделяют на несколько частей, которые физически хранятся у разных людей. Пока части кода не соединены вместе в правильном порядке, невозможно приступить к расшифровке электронных голосов. Процедура сборки ключа начинается только после того, как система голосования завершит принимать бюллетени.

Существует также ряд автоматических алгоритмов, которые задействованы при цифровых голосованиях и добавляют ему надежности и функциональности. Один из них — распознавание паспортных данных при сканировании документа на терминале и поиск по ним избирателя в электронном списке. Это высокоточный и быстрый процесс, он полностью исключает человеческий фактор и возможность перепутать цифры, имена или строки списка. Программа с четко заданными критериями поиска и отбора не может посмотреть не туда, отметить одного человека вместо другого или пропустить отметку о том, что бюллетень уже выдавался. Другой алгоритм — подсчет расшифрованных голосов при подведении итогов, который также происходит быстро и автоматически, без возможности подтасовки, искажения или подделки результатов.

Еще один алгоритм, который стал недавним нововведением, — режим электронной очереди. Специалисты внедрили его в работу онлайн-голосования для защиты системы и голосов в моменты пиковой нагрузки. Когда желающих одномоментно отдать голос становится больше пропускной способности системы, некоторые пользователи могут попадать на страницу электронной очереди. В таком случае им нужно немного подождать или вернуться к онлайн-голосованию позже. Как правило, среднее время ожидания составляет не более двух минут, но в самые пиковые периоды нагрузки может достигать пяти минут. Чаще всего электронная очередь включается на старте голосования на выборах, поэтому специалисты рекомендуют избирателей не торопиться проголосовать первыми. Алгоритм является штатным режимом работы, позволяет уберечь систему от перегрузок и записать без потерь каждый электронный голос.

Важным этапом подготовки системы электронного голосования к работе на выборах являются тестирования. С самого запуска системы в 2019 году за несколько недель до дня голосования проходят как внутренние, так и публичные испытания. Пользователи проверяют электронное голосование по принципу «черного ящика» — взаимодействуют с интерфейсом в роли обычных избирателей. Они проходят через все основные этапы: авторизуются на странице онлайн-голосования на mos.ru или подтверждают паспортные данные на терминале на избирательном участке, затем получают бюллетень и голосуют. Их задача – помочь выявить неудобства процесса, задержки связи, визуальные неточности.

ИТ-специалисты выполняют тестирование «белого ящика» — пытаются нарушить ход голосования, воспрепятствовать записи информации в блокчейн или корректной отработке того или иного алгоритма, взломать систему. Для этого им предоставляют сведения о ее устройстве и некоторых частях программного кода. Они стараются найти уязвимости в системе и узкие места, которые требуют технической доработки.

Также во время тестирований специалисты выполняют стресс-тесты: искусственно перегружают систему, создают сетевые помехи, перебои со связью и даже электричеством. Так проверяются стабильность и устойчивость системы, оценивается готовность электронного голосования к возможным форс-мажорным ситуациям.

После тестирований у разработчиков есть время устранить все выявленные недочеты и уязвимости. По данным Департамента информационных технологий города Москвы, за все время проведения подобных испытаний не было обнаружено ни одной критичной неисправности или бреши в безопасности системы, а хакерам так и не удалось ее взломать, даже когда за это была назначена денежная премия. Кроме того, непосредственно в ходе всех прошедших выборов электронное голосование успешно отражало многочисленные DDoS-атаки и без потерь записывало голоса избирателей даже в моменты серьезной пиковой нагрузки. Все это доказывает технологическую продуманность и эффективность разработанной системы электронного голосования, а также является надежной основой для ее развития.