Мои вопросы к электронной системе голосования

Система электронной регистрации

Что необходимо

Для обеспечения свободного и непредвзятого голосования, система регистрации должна убедиться в следующих фактах для каждой регистрационной записи:

1. зарегистрировано именно физическое лицо;
2. одно физическое лицо имеет не более одной регистрационной записи;
3. регистрационной записью распоряжается именно то физическое лицо, которое зарегистрировано;
4. регистрация выполнена не под давлением, самостоятельно, благодаря свободному волеизъявлению зарегистрированного физического лица;
5. регистрационная запись не попала в распоряжение других лиц после выполнения регистрации.

Что есть

Для регистрации на электронное голосование на территории Нижегородской области используется система ЕСИА, Условия использования которой приведены в Приложении.

Должен ли пользователь полностью пройти процедуру подтверждения личности?

Согласно Условиям использования, пользователь регистрируется с помощью телефона и/или электронной почты, а затем проходит процедуру подтверждения личности. Может ли быть зарегистрирован для голосования пользователь, не прошедший эту процедуру полностью, то есть без полноценного подтверждения личности?

Как именно обеспечивается подтверждение фактов 2-5 при использовании процедуры подтверждения личности по коду подтверждения личности (п.2.4)?

Согласно пункту 2.4 Условий использования ЕСИА, после подтверждения номера телефона и/или электронной почты, пользователь отправляет свои личные данные, в составе полного имени, пола, даты рождения, СНИЛС и данных документа, удостоверяющего личность. Получение кода осуществляется при помощи ФГУП «Почта России» в регистрируемом почтовом отправлении.

Таким образом, с моей точки зрения, лицо, временно или постоянно получившее в распоряжение личные данные в перечисленном составе, может выполнить регистрацию и получить код регистрации вместо лица, чьи личные данные были использованы для регистрации, что нарушает требования 2-5.

Примером лиц, имеющих доступ к личным данным пользователей в перечисленном (или близком к нему) составе, можно указать:

• работников регистрационных подразделений медицинских учреждений;
• работников регистрационных подразделений страховых компаний;
• работников почтовых отделений ФГУП «Почта России»;
• работников регистрационных подразделений ЖЭК, ЖЭУ и прочих предприятий и учреждений жилищно-коммунального хозяйства.

Как именно обеспечивается подтверждение факта 2 при использовании разных процедур подтверждения личности?

Условиями использования ЕСИА подразумевается три альтернативных способа подтверждения личности. Каким образом осуществляется проверка уникальности регистрационных записей, так чтобы один и тот же документ, удостоверяющий личность, не был использован более одного раза для подтверждения регистрационной записи?

Как именно обеспечивается подтверждение фактов 2-3, то есть гарантируется отсутствие злоупотреблений, при административном обслуживании системы?

Любая централизованная система, одним из очевидных примеров которой является ЕСИА, имеет в своем составе способы административного доступа, подразумевающие обход общедоступных процедур доступа к данным системы.

Например, при использовании практически любой из известных централизованных систем управления баз для хранения данных, администратор СУБД имеет ничем не ограниченные права по чтению и изменению данных системы.

При использовании систем электронной подписи сосредоточение центров подтверждения сертификатов и проверки электронных подписей в одних руках позволяет неограниченно подменять сертификаты и подписи и изменять подписанные данные.

При использовании блокчейна любого рода централизация системы позволяет контролировать более 50% узлов генерации блоков, что в свою очередь позволяет подменять блоки в цепочке транзакций и изменять состав транзакций в якобы подтвержденных блоках.

Таким образом, как я полагаю, недобросовестный администратор такой централизованной системы имеет фактически неограниченные права по созданию фактически неподтвержденных регистрационных записей, имитирующих регистрационные записи, подтвержденные с помощью общедоступных процедур, которые могут быть впоследствии использованы для изменения результатов голосования.

Как именно обеспечивается подтверждение факта 5 на момент голосования?

Известно достаточно случаев неправомочного завладения третьими лицами регистрационными записями пользователей различных сервисов с помощью прямого взлома, фишинга паролей и кодов, подбора паролей, обмана процедуры восстановления доступа и других способов. Как защищена система ЕСИА от такого рода проникновения?

Система электронного голосования

Что необходимо

Для обеспечения свободного и непредвзятого голосования, система голосования должна убедиться в следующих фактах для каждого акта голосования:

1. в голосовании принимает участие правомочное лицо;
2. результат голосования данного лица сохраняется в тайне от всех, кроме самого проголосовавшего;
3. результат голосования данного лица сохраняется неизменным вплоть до процедуры подсчета голосов;
4. голосование осуществляется именно тем лицом, которое было зарегистрировано;
5. голосование осуществляется не под давлением, самостоятельно, благодаря свободному волеизъявлению зарегистрированного физического лица.

Что есть

Голосование в Нижегородской области выполняется на сайте 2020og.ru. После начала тестового голосования, система перенаправляет на сайт elec.2020og.ru. Получение бюллетеня и фактическое голосование осуществляется на сайте elec.moscow.

Страница приглашения ко входу в тестовое голосование содержит недвусмысленное упоминание Департамента информационных технологий Москвы.

Содержимое страницы бюллетеня содержит строки, содержащие аббревиатуру dit в идентификаторах.

СМС с подтверждением приходит с публичного адреса DIT_MOS.

Информация сервиса whois (полностью приведена в Приложениях) подтверждает, что доменное имя elec.moscow принадлежит ГКУ «МосГорТелеком», контактное лицо Evgenia Lameykina.

Таким образом, можно уверенно утверждать, что система голосования по Нижегородской области будет использована та же самая, что и для Москвы (возможно, вторая инсталляция).

Согласно исследованиям, данная система основывается на регистрации голосов в блокчейне.

Каким образом система защищена от подмены блоков при контроле более 50% узлов генерации блоков (факты 2-4)?

Хорошо известной уязвимостью любых сетей блокчейна является атака 51%.

Она заключается в том, что лицо, одновременно контролирующее более 50% генерирующих мощностей, может подменять историю блоков и изменять их содержимое.

Таким образом, я считаю, что использованная система голосования в силу своей централизации и отсутствия информации о размещении узлов генерации блоков для нее на независимых ресурсах с высокой вероятностью может быть подвержена атаке подобного рода, что делает результаты, полученные с ее помощью, недостоверными или по крайней мере достоверными в точности в той же степени, что и у любой другой централизованной системы, не основанной на блокчейне.

Каким образом система контролирует, кто именно производит голосование?

Для получения мной бюллетеня на тестовом голосовании, система отправила мне на зарегистрированный номер телефона специальное сообщение СМС.

В настоящий момент хорошо известна и, по всей вероятности, до сих пор не закрыта уязвимость протокола SS7, позволяющая перехватывать входящие сообщения SMS.

Таким образом, я полагаю, что злоумышленник, получивший доступ к регистрационной записи, может начать процедуру голосования вместо меня, получив направленную мне СМС с подтверждением получения бюллетеня.

Каким образом система обеспечивает факт добровольного, самостоятельного и свободного волеизъявления (факт 5)?

После завершения, тестовое голосование не позволило мне ни проконтролировать мой бюллетень, ни осуществить отмену голосования и переголосование. Эти возможности были неоднократно анонсированы в публичных выступлениях, как мера защиты от понуждения к голосованию определенным образом.

Таким образом, с моей точки зрения, тестовое голосование однозначно показывает, что защиты от понуждения система не предусматривает.

Приложения