Система трёх бюллетеней

Система трёх бюллетеней (англ. ThreeBallot) — система сквозного проверяемого анонимного голосования, разработанная Рональдом Ривестом в 2006 году.

Ривест ставел своей целью найти решение проблемы обеспечения одновременно проверяемости и анонимности голосования. Эта система предоставляет некоторые преимущества криптографической системы голосования, не используя криптографических ключей. При использовании системы избиратель получает три бюллетеня: один проверяемый и два анонимных, после чего выбирает, какой бюллетень поддается проверке и сохраняет это в тайне. Поскольку в данной системе избиратель вынужден заставить два своих бюллетеня аннулировать друг друга, то у него остается возможность проголосовать только один раз.

Методика проведения голосования править

Заполнение бюллетеня править

Избиратель получает три бюллетеня, которые отличаются друг от друга только идентификационным номером. Чтобы проголосовать «за» кандидата, избиратель отдаёт за него голос в двух бюллетенях, чтобы проголосовать «против» — только в одном (голосование «против» является аналогом пустого бюллетеня в других системах). При этом необходимо следить за тем, чтобы избиратель не ошибся при заполнении бюллетеня: не допускается, чтобы были выбраны все кандидаты и/или не был выбран ни один. Это требование заключается в необходимости подтверждения корректности бюллетеней машиной, прежде чем будет отдан голос. В противном случае появляется вероятность мошенничества, заключающееся в даче дополнительного голоса «за» или дополнительного голоса «против», так как различить как именно проголосовал конкретный избиратель невозможно как до подсчёта голосов, так и во время, и после него). Три бюллетеня могут быть выданы избирателю скреплёнными, но их необходимо разъединить перед тем, как опустить их в ящик для голосования. После «перемешивания» с другими бюллетенями истинный голос зашифровывается.

Таким образом, каждый кандидат получает как минимум один бюллетень с голосом и один бюллетень без голоса, в результате чего невозможно определить, как именно проголосовал конкретный избиратель.

Идентификационная квитанция править

На избирательном участке избиратель делает копию любого из трёх своих бюллетеней, включая его идентификационный номер. Машина, проверяющая бюллетени будет выполнять эту задачу автоматически на основе сводного выбора избирателей одного из бюллетеней. Затем все три оригинальных бюллетеня опускаются в ящик для голосования. Копию избиратель сохраняет как квитанцию.

По окончании выборов все бюллетени публикуются. Поскольку каждый бюллетень имеет уникальный идентификатор, каждый избиратель может проверить, был ли его голос учтён, путем поиска соответствующего номера среди опубликованных решений. Однако, поскольку избиратель выбирает, какой из своих бюллетеней он получает в качестве квитанции, он может сделать так, чтобы на квитанции была сделана любая комбинация из пометок. Таким образом, избиратели не могут доказать, как именно они проголосовали, что исключает возможность продажи голосов, принуждение и т. д.

На самих же бюллетенях нет указания, какой именно из них был скопирован для составления квитанции. Поэтому если бюллетень по какой-либо причине не будет учтён, избиратель может при должном внимании обнаружить это нарушение.

Достоинства править

Основные править

Система выглядит простой и понятной для избирателя по сравнению с другими системами.
Подсчёт происходит без дешифровки. Собранные бюллетени представляют собой сумму всех голосов, которая автоматически оказывается суммой голосов за кандидата, даже если какой-либо бюллетень прямо не выявляет позицию избирателя.
Нет ключа, который необходимо дополнительно защищать для обеспечения безопасности (слабое место многих похожих систем).
Нет необходимости в проведении дополнительной проверке бюллетеня, кроме традиционной, так как сама запись производится на бумаге и только после заполнения проверяется машиной.

Дополнительные править

Выбор каждого избирателя сохраняется в тайне, что предупреждает возможность коррупции и покупки голосов.
Каждый избиратель может быть уверен, что его голос принят во внимание и не был изменён (если происходит искажение, избиратель может доказать ошибку тех, кто подсчитывал голоса).
Каждый может быть уверен в правдивости результатов выборов.
Может быть использован на участках с любым уровнем технической оснащённости (так как метод основан на использовании бумажных носителей.

Критика править

Система была взломана Чарли Штраусом^[1], который показал, как можно использовать систему для подтверждения того, как вы проголосовали. Штраус заметил, что система ThreeBallot безопасна только если в бюллетене один вопрос, но если в бюллетене несколько вопросов или много кандидатов, применение системы становится небезопасным. Его атака использовала факт, что не каждая комбинация из 3 бюллетеней образует действительную тройку: предлагаемые тройки с 3 или 0 голосами в какой-либо строке бюллетеня будут отклонены, так как такие бюллетени не могут быть получены от одного и того же избирателя. Точно так же предлагаемые тройки, приводящие к голосованию более чем за одного кандидата в любой гонке, могут быть отклонены.

Более того, даже без квитанции происходит утечка информации, которая может дискредитировать заявленный избирателем выбор. Следовательно, избиратель, которому необходимо по какой-либо причине доказать свой голос, может пометить все бюллетени по заранее согласованной схеме, которая впоследствии может доказать третьей стороне как он проголосовал^[2]. В любом случае, тайность голосования не может быть обеспечена в полном объёме, так как выбор отслеживается по идентификационному номеру, указанному в квитанции.

Пересмотр системы править

Позже Ривест признал эту ошибку и внёс в схему изменения^[3], требующие отрывать каждую строку отдельно и создавать уникальные номера отслеживания для каждой отметки в каждом бюллетене (а не только по одному идентификатору для каждого столбца бюллетеня). С одной стороны, эти требования снова сделали систему проверяемой и анонимной, с другой — значительно усложнили процедуру обработки голосов для избирателя, просматривающего квитанцию, тем самым была подорвана предполагаемая простота^[3]. Позже была выдвинута идея использования электронной версии, устраняющей проблемы с обработкой бумажных бюллетеней и делающей использование системы более удобным^[4].

Примечания править

↑ Charlie E. M. Strauss (2006). «The Trouble with Triples Part 2» Архивная копия от 19 декабря 2020 на Wayback Machine. Retrieved 2015-04-16.
↑ Charlie E. M. Strauss (2006). «The Trouble with Triples Part 1» Архивная копия от 19 декабря 2020 на Wayback Machine. Retrieved 2015-04-16.
↑ ¹ ² Ronald L. Rivest (2006). «The ThreeBallot Voting System» Архивная копия от 28 декабря 2016 на Wayback Machine. Retrieved 2007-01-16.
↑ Costa, R. G.; Santin, A. O.; Maziero, C. A. (2008). «A Three Ballot Based Secure Electronic Voting System» Архивная копия от 15 февраля 2021 на Wayback Machine. IEEE Security & Privacy Magazine. 6 (3): 14—21. CiteSeer^x: 10.1.1.180.4126 . doi:10.1109/msp.2008.56.

См. также править

Нарушения на выборах

[1] Charlie E. M. Strauss (2006). «The Trouble with Triples Part 2» Архивная копия от 19 декабря 2020 на Wayback Machine. Retrieved 2015-04-16.

[2] Charlie E. M. Strauss (2006). «The Trouble with Triples Part 1» Архивная копия от 19 декабря 2020 на Wayback Machine. Retrieved 2015-04-16.

[test-3] ¹ ² Ronald L. Rivest (2006). «The ThreeBallot Voting System» Архивная копия от 28 декабря 2016 на Wayback Machine. Retrieved 2007-01-16.

[4] Costa, R. G.; Santin, A. O.; Maziero, C. A. (2008). «A Three Ballot Based Secure Electronic Voting System» Архивная копия от 15 февраля 2021 на Wayback Machine. IEEE Security & Privacy Magazine. 6 (3): 14—21. CiteSeer^x: 10.1.1.180.4126 . doi:10.1109/msp.2008.56.

[1]

[2]

[3]

[4]