Как устроены интернет-выборы в Эстонии? А то говорят, Мосгордума собралась перенимать опыт
Главный редактор радиостанции «Эхо Москвы» и член Общественной палаты Москвы Алексей Венедиктов рассказал, что осенью на выборах в Мосгордуму может быть проведен эксперимент с интернет-голосованием. По его словам, планируется воспользоваться опытом Эстонии, где выборы через интернет проходят уже много лет.
Эстония — пионер интернет-голосования
В октябре 2005 года Эстония первой в мире провела выборы, на которых избиратели по всей стране могли проголосовать через интернет. Тогда новым способом волеизъявления воспользовались лишь 9 тысяч человек. Через 12 лет — уже 185 тысяч человек или 31,7% от всех избирателей, принявших участие в голосовании.
В Эстонии рассчитывали, что интернет-голосование поможет решить проблему низкой явки, повысит доступ людей с инвалидностью и привлечет к выборам молодежь. Но явка почти не изменилась: на местных выборах 2005 года она составила 47,4%, в 2017 году — 53,3%. Больше того, исследователи выяснили, что в выборах участвовали те же самые избиратели, что и раньше. Просто у них появился еще один способ распорядиться своим голосом.
Зато интернет-голосование оказалось дешевым. Ученые сравнили затраты по разным типам голосования на местных выборах в Эстонии в 2017 году. Оказалось, что один голос, отданный через интернет, обошелся государству в 2,32 евро. Это почти в два раза дешевле обычного голосования в день выборов и намного (до девяти раз) дешевле «бумажного» досрочного голосования.
Ключевой элемент интернет-голосования — ID-карта
ID-карты появились в Эстонии еще в 2002 году, сейчас ими обзавелись почти все граждане. Эти пластиковые карточки используются как обычные удостоверения личности (вроде внутренних паспортов в России). А благодаря специальному чипу с сертификатами для аутентификации и цифровой подписи они стали еще и цифровыми удостоверениями для получения госуслуг через интернет или онлайн-банкинга. Такое удостоверение позволяет убедиться (насколько это возможно), что услугу получил именно тот человек, на чье имя она оформляется.
Кроме ID-карт в Эстонии у некоторых жителей есть еще и Digi-ID. В такой карточке есть чип с сертификатами, но нет фотографии владельца. Она используется только как цифровое удостоверение личности.
Чтобы проголосовать через интернет, у избирателя кроме ID-карты или Digi-ID под рукой должен быть компьютер с выходом в интернет и специальным кардридером. Ему предстоит выполнить несколько простых действий:
- Скачать на компьютер и запустить приложение для голосования
- Вставить карту в кардридер
- Ввести первый пинкод для входа в систему
- Проголосовать
- Ввести второй пинкод — подтвердить свой выбор цифровой подписью
Нет кардридера — есть сим-карта
Правда не обычная, а специальная — Mobiil-ID. Жители Эстонии могут получить ее у любого местного мобильного оператора. Каждый месяц за нее придется доплачивать около 1 евро.
У такой сим-карты, как и у пластиковой карточки, есть специальный чип с цифровыми сертификатами и два пинкода — для аутентификации и цифровой подписи. Ее можно использовать вместе с современным или кнопочным телефоном.
Mobiil-ID используется на выборах в Эстонии с 2011 года. Ее популярность стабильно растет. В октябре 2017 года с помощью этой технологии проголосовали 44 тысячи человек или 24% от всех интернет-избирателей.
Выбирать через интернет можно только во время досрочного голосования
Зато у избирателей есть целых семь дней для принятия решения. Выборы через интернет начинаются за десять дней до дня голосования — в четверг в 9:00. И заканчиваются в среду в 18:00. Несколько дней нужны избирательным комиссиям для того, чтобы вычеркнуть из списков людей, проголосовавших досрочно.
Интернет-избиратель в течение этих семи дней может переголосовать сколько угодно раз — засчитывается только последнее решение. Так государство защищает избирателя от давления, обеспечивает ему свободу выбора. Например, избиратель может сперва проголосовать, подчинившись требованиям членов семьи или работодателя, а затем втайне от них — так, как сам хочет.
Если избиратель по какой-то причине не хочет или не может снова проголосовать через интернет, до окончания досрочного голосования он может прийти на участок и заполнить бумажный бюллетень. В этом случае результат его интернет-голосования аннулируется.
Система интернет-голосования потенциально уязвима
В 2011 году студент Тартуского университета Пааво Пихельгас написал прототип вируса, который мог вмешиваться в работу программы для голосования на компьютерах избирателей. Он разрешал отправлять на сервер избиркома только голоса, отданные за определенных кандидатов — и незаметно блокировал все остальные. Избиратель не мог проверить, правильно ли был учтен его голос.
Разработчики системы интернет-голосования признали, что персональные компьютеры избирателей — слабое звено. До сих пор государство считает, что избиратели сами должны убедиться в том, что их компьютеры не заражены вирусами.
Подвести могут самые надежные компоненты системы. В ноябре 2017 года эстонские власти отозвали сертификаты 760 тысяч ID-карт, выпущенных с осени 2014 года. В них была обнаружена уязвимость, которая теоретически позволяла подделать цифровую подпись. Но взлом даже одной ID-карты все равно оставался сложным, ресурсоемким процессом. Поэтому власти решили, что интернет-голосованию ничего не угрожает, и отозвали сертификаты только после проведения местных выборов в октябре 2017 года.
Как власти повышают доверие к интернет-голосованию
Эстонские власти сделали ставку на максимальную прозрачность всей системы:
- регулярно проводят аудит
- открыли всем желающим доступ к исходному коду системы интернет-голосования
- ввели систему тщательного мониторинга и журналирования, которая позволяет искать аномалии (например, слишком много избирателей голосуют с одного IP-адреса или случайное число для шифрования вдруг оказывается одинаковым у разных избирателей).
У избирателей Эстонии в 2013 году появилась возможность проверить, правильно ли их голос был обработан системой. Для этого им нужно установить себе на айфон или андроид отдельное приложение, считать QR-код с экрана приложения для голосования и дождаться результатов проверки.
QR-код генерируется приложением для голосования, установленным на компьютере пользователя. Там закодированы:
- случайное число, сгенерированное на компьютере избирателя во время голосования
- уникальный идентификатор, который присвоил сервер после обработки голоса избирателя
Случайное число вместе с данными о выборе избирателя ранее было отправлено на сервер избиркома. В виде шифрограммы, закодированной с помощью открытого ключа сервера избиркома.
Мобильное приложение пользователя сканирует QR-код на экране компьютера, выясняет идентификатор и запрашивает с его помощью шифрограмму, отправленную в избирком. Расшифровать ее нельзя — нет закрытого ключа. Но есть список кандидатов и случайное число, использованное при шифровании. Поэтому приложение создает шифрограмму для каждого из кандидатов, сверяет с полученной из избиркома, находит единственное совпадение и таким образом выясняет, за кого проголосовал избиратель.
Такую проверку обычно проводят около 4% избирателей, принявших участие в интернет-голосовании. В случае масштабных подтасовок такой доли проверок хватило бы, чтобы вскрыть махинации.