Голосование: тайное, надежное, цифровое

17 – 19 сентября жители нескольких субъектов РФ впервые в истории нашей страны получат возможность технологического прорыва. Они смогут принять участие в выборах депутатов Государственной Думы Российской федерации с помощью системы дистанционного электронного голосования (или сокращенно – ДЭГ). Какие возможности это открывает для избирателя и есть ли смысл волноваться о судьбе собственного волеизъявления, если оно происходит не на избирательном участке, а в сети интернет, российским журналистам рассказали специалисты компании «Ростелеком», сотрудники ЦИК, Минцифры России и Общественной палаты Российской Федерации .

Шифруй, баба, шифруй, дед

Мифов вокруг цифрового голосования сегодня не меньше, чем вокруг вакцинации, а по мере приближения «дней икс», то есть выборов, будет становиться все больше и больше. Главные опасения россиян касаются прежде всего анонимности будущего волеизъявления и гарантий того, что «электронные голоса», отданные за одну партию, не перекочуют к другой. Там, где предстоит выбирать депутатов местных и региональных парламентов, сомнений еще больше.

Сомнения, как и слухи, – дети неосведомленности. Чтобы ее рассеять, специалисты «Ростелекома» не только подробно рассказали, как будет выглядеть техническая сторона голосования, но и показали «святая святых» своего бизнеса – Центр обработки данных (ЦОД), расположенный в уникальном историческом здании по адресу: Москва, улица Бутлерова, дом 7.

– Система электронного голосования подразумевает решение двух, на первый взгляд, противоречащих друг другу условий – открытости и анонимности, – рассказал о том, как требования законодательства влияют на техническую реализацию, главный архитектор системы дистанционного электронного голосования компании «Ростелеком» Юрий Сатиров. – Поэтому она базируется на нескольких взаимно дополняющих друг друга технологиях. В частности, двойного шифрования собираемой информации и блокчейна.

Естественно, что, для того чтобы голосовать в сети, необходимо быть представленным в цифровом пространстве: иметь действующую запись на портале госуслуг (или для москвичей на портале mos.ru). Далее необходимо подать на том же портале заявление о желании проголосовать именно в системе ДЭГ. После верификации данных заявитель в дни проведения выборов, зайдя на портал vybory.gov.ru (или для москвичей на mos.ru) получает доступ к бюллетеням выборов в его регионе и может переходить непосредственно к волеизъявлению.

Работает вся эта система так: сначала, когда пользователь получает возможность заполнить электронные варианты бюллетеней, он идентифицирован, причем не только фактом допуска на портал голосования, но и кодом, который получает на телефон по СМС, когда входит в систему. А вот затем, когда он нажимает кнопку «проголосовать», его устройство, будь то компьютер, планшет или даже телефон, кодируют данные его волеизъявления – и в них уже не содержится ни его имени, ни фамилии, ни фактического адреса, ни даже адреса во всемирной сети – только факт, за кого отдан голос. И даже это последнее специалисты РТК узнать не могут – код шифра генерируется непосредственно на устройстве клиента и уничтожается следом за фактом голосования. То есть каждый, кто сумел дойти до этой стадии, может гордиться тем, что вошел в мир криптографии – искусства тайного шифрования.

Ящик без секрета

Тут вполне уместен вопрос: если код шифрования погибает в момент нажатия кнопки «отправить», то как потом узнавать, кто и за кого поставил крестики или, допустим, галочки? Для этого применяется вторая технология, имя которой – блокчейн. Блокчейн, говоря попросту, это электронный ящик для ноликов и единичек (других цифр компьютеры не понимают). Но приходящие от граждан данные голосования складываются сюда не в хаотичном порядке, а как пулеметная лента: каждый, образно говоря, «патрон» – то есть действие участника – на своем месте. Какой на каком – определяется контрольным CRC-кодом. Когда эта цифровая «коробочка» наполняется «под крышечку», к ней применяется другой код – расшифровывающий. Который по цифровым алгоритмам определяет, сколько народу за кого проголосовало.

Кто эти люди, где они живут и почему они голосуют так, а не иначе, систему не волнует от слова «совсем». Она – цифровая, ей неведомы эмоции и понятия политической целесообразности. Естественно, что здесь уровень ответственности много больший, чем на стороне пользователя, потому процедура декодирования будет происходить в Центральной избирательной комиссии – а предшествует ей сначала генерация ключа дешифрования, а затем торжественная процедура хранения этого ключа.

Отступление первое: не взломаешь, не пройдешь…   

Внимательный читатель уже, наверное, понял, что работа системы для голосующего выглядит приблизительно как любой интернет-банкинг. Понятно, что хакеры не спят, а живо интересуются чужими деньгами. Для этого они постоянно пишут вредоносный код, который периодически перехватывает у пользователей управление банковскими активами и позволяет воровать их деньги. На голоса злоумышленники вряд ли будут покушаться: просто смысла нет – не смогут ими распорядиться. Но если даже в компьютере пользователя поселился «банковский» вирус, то он теоретически может внедриться в процедуру любого шифрования (потому что только это он и умеет), в том числе и выборного. И тогда система откажется принимать голос пользователя.

Ситуацию эту Юрий Сатиров сравнил с той, когда человек получает обычный бумажный бюллетень – и либо уходит с участка, не заполнив его, либо приводит этот документ в негодность. Вывод отсюда простой – пользоваться современным, поддерживаемым программным обеспечением, использовать антивирусы и перед голосованием проверить не только программную, но и системную устойчивость собственных ресурсов. Если что-то банально перегорит или отключится во время выполнения процедуры, человек останется без голоса. Потому еще, кстати, что подача им заявления на участие в дистанционном голосовании автоматически лишает его возможности сделать это обычным образом, на избирательном участке.

Что же касается «второй стороны», то «Ростелеком» полностью готов к любым неожиданностям – вплоть до обстрела его мощностей артиллерийскими снарядами определенных калибров. И это не шутка – упомянутое здание на Бутлерова, 7, строилось в семидесятые годы прошлого века. Здесь был главный телефонный коммутатор Москвы для связи со всей страной. И, естественно, ни денег, ни железобетона при его строительстве советские люди не жалели. Но даже если гипотетически предположить, что враги сумеют «сжечь родную хату», на работу ДЭГ это не повлияет решительно никаким образом – у «Ростелекома» задействовано три центра обработки данных. Все они, естественно, резервируют мощности друг друга. Физически обеспечить фатальный сбой этой системы может только такой катаклизм, когда не только России, но и всему миру будет не до выборов. Кстати, штаб «Ростелекома», обеспечивающий стабильность работы ДЭГ в дни голосования, будет располагаться как раз в этом историческом месте, на Бутлерова, 7.

Что же касается воздействий программных, то, по словам директора департамента эксплуатации федеральных интеграционных решений ПАО «Ростелеком» Евгения  Симонина, здесь приняты меры как против попыток остановить работу системы критической массой запросов извне (так называемая DDOS-атака), так и в части внедрения отдельных вирусов, которые вредили бы изнутри. Закрыт и третий путь воздействия – через человеческий фактор. Работы в дата-центрах «Ростелеком» организованы так, что сотрудник, мониторящий ситуацию, не пересекается и не взаимодействует с тем, кому положено устранять выявленную неисправность. И тот, кто имеет доступ к физическим хранителям информации, просто не попадет туда, где мог бы нанести какой-то ущерб. Работать он может только там, куда его Родина пошлет и система допустит.

Ключ мне запили?

«Три ключа – системным гномам – для труда их гордого; два – для ЦИКа и ОП – для контроля твердого…» – так мог бы сформулировать Джон Толкиен, если бы писал не о похождениях хоббитов и гоблинов, а о тренировке дистанционного голосования, прошедшей в ЦИК в минувший вторник. На второй день пресс-тура специалисты ЦИК России продемонстрировали, как будут защищены данные пользователей в дни  всенародного волеизъявления. И, конечно, рассказали о том, как обстоят дела с электронным дистанционным голосованием в принципе. Ярославская делегация в этом смысле находилась в особенном положении – именно в нашем регионе и в Курской области в прошлом году впервые была применена система ДЭГ – на довыборах по 194-му округу в ГД ГФ.

– Нынешние выборы принципиально отличаются тем, что в протоколе придется выбирать из большего количества кандидатур, да и протоколов, в зависимости от того региона, где состоится голосование, будет несколько, – пояснил заместитель председателя Центральной избирательной Комиссии Николай Булаев. – Дистанционное электронное голосование на сей раз доступно жителям семи субъектов РФ. Помимо уже знакомых с этой системой Ярославской и Курской областей сюда входят Ростовская, Мурманская, Нижегородская области, а также города федерального подчинения Севастополь и Москва. В сумме это 16 миллионов потенциальных избирателей. По нашим подсчетам, 10 миллионов имеют возможности проголосовать в системе ДЭГ. Сегодня такое желание высказали 1 миллион 930 тысяч человек, причем к самому старту выборов мы рассчитываем на то, что показатель этот достигнет значения в 2 миллиона. То есть уже сегодня мы можем утверждать, что 20 процентов избирателей доверяют цифровым технологиям. С учетом того, что они впервые используются на выборах настолько широко, мы может констатировать рост доверия населения системе дистанционного электронного голосования.

После вступительного слова журналистам показали, как будет обеспечена тайна голосования на этапе подсчета электронных голосов. Хитрость в том, что ключ для расшифровки данных блокчейна по технологическим причинам можно сгенерировать только до начала процедуры голосования. А вот применяться он должен после того, как процесс закончится. Стало быть, на время проведения голосования он должен храниться где-то под неусыпным контролем.

Для процедуры генерации ключей шифрования и расшифрования данных ДЭГ используются протестированные компьютеры (основной и резервный), оснащенные специализированным программным обеспечением. Им будет обеспечено хранение под круглосуточным видеонаблюдением. Но наука, умеющая в наше время особенно  много гитик, пошла дальше. После генерации ключа – а он представляет собою те же нолики и единички в уникальном порядке, его «разрезали» на восемь частей, и каждую записали на уникальный носитель – токен с дополнительной криптографической защитой информации. Четыре таких токена передали на хранение представителям парламентских партий. Одна осталась у председателя ЦИК. Еще одну доверили председателю Общественной палаты РФ – организации, которая обязана контролировать ход выборов по закону. Одну – президенту «Ростелекома» Михаилу Осеевскому 

Сама процедура генерации ключа, как и последующая операция по разделению его на восемь частей и запись этих частей на соответствующие токены, особой таинственностью не отличалась. Интерес вызвало разве что сообщение того же Юрия Сатирова об избыточности его  кода. По существу, это означает то, что потеря одной, двух или даже трех «флешек», не поставит ЦИК в безвыходное положение – работоспособный ключ, способный расшифровать данные блокчейна, можно будет собрать даже из пяти. А вот если останется четыре, для этого процесса при всех мощностях, имеющихся сегодня в распоряжении «Ростелекома», потребуется… двести лет!     

После того как ключ был разделен на части, сотрудники ЦИК упаковали носители в специальные сейф-пакеты, отдали на подпись соответствующим хранителям – и тоже поместили их под наблюдение. Там же будет храниться и «кольцо всевластия» – генератор ключа, внешне тоже очень похожий на флеш-накопитель. Правда, как и писал классик, толку в нем самом нет никакого – работать по назначению он может только в тех двух компьютерах, которые для этого предназначены и охраняются, как золотой запас страны. Председатель Координационного совета по общественному контролю за голосованием ОП РФ Максим Григорьев попытался было один из накопителей унести с собой. Но Николай Булаев пресек эти поползновения, объяснив, что тренировка хоть и подразумевает предельное соответствие самой процедуре выборов, должна все же проходить в штатном режиме по протоколу, установленному ТИК ДЭГ. Вот уже на выборах желающие смогут получить свой фрагмент ключа для хранения – хотя какого-то особого смысла в этом нет. В ЦИКе все организовано так, что никакой ниндзя на составные части ключа посягнуть не сумеет. А вот сможет ли кто-нибудь из их владельцев изменить результаты голосования?

Отсель грозить мы будет вбросам

Ответ на этот вопрос желающие получили непосредственно в Общественной палате РФ. Там Максим Григорьев рассказал, как общественные наблюдатели будут обеспечивать контроль за ходом выборов, а Юрий Сатиров пояснил, какие возможности тут для них возникнут. Иными словами – как разрешить противоречие при полной недоступности блокчейна во время его работы с необходимостью контроля за тем, достоверными ли данным он наполняется.

– Нужно сказать, что при дистанционном электронном голосовании требуется меньше наблюдателей, чем для того, чтобы отслеживать соблюдение корректности проведения процедуры на участках, – заметил Максим Григорьев. – Прежде всего потому, что в системе ДЭГ вся информация сходится в один ключевой узел, где ее можно отслеживать в режиме реального времени. Конечно же, для этого необходимо было обучить наблюдателей, за что мы благодарны сотрудникам «Ростелекома», которые смогли сделать это квалифицированно и в сжатые сроки.

Говоря упрощенно, наблюдатели смогут следить за двумя параметрами. Первый – тот, что доступен до момента шифрования на стороне клиента, то есть за количеством проголосовавших и соответствия его количеству поданных заявок для участия в ДЭГ. Серьезное расхождение этих параметров будет свидетельствовать о сбоях. Второй – сам объем блокчейна, в который невозможно «заглянуть», но который можно «взвесить», причем даже по частям. То есть каждые сутки этот «ящик» пополняется новыми голосами и становится, говоря образно, «тяжелее». Соответственно, меняется и его CRC – контрольный код. Данные эти фиксируются и сверяются на следующие сутки. Если оба этих параметра не изменились, значит, в «ящике» никто не безобразничал.

Отступление второе: голоса счет любят

Конечно, для многих опытных людей, имевших отношение к наполнению ящиков – еще не цифровым, а обычным аналоговым товаром – все это будет слабым аргументом. Если есть «товар» в ящике, то часть его в любой момент можно легко изъять, а освободившееся место загрузить другим «товаром». Ящик при этом даже не изменит своего веса. Все вроде бы, логично, но… только для аналоговой тары. Цифровые технологии работают несколько иначе. Помимо «веса», у блокчейна есть еще и контрольный код – тот самый CRC. При любом изменении данных блокчейна – даже если общий его «вес» остался неизменным – код изменится. И это могут отследить общественные наблюдатели, поскольку сотрудниками «Ростелекома» для этого написана соответствующая программа – не требующая от пользователя особых знаний в сфере IT, но доступная любому более или менее опытному пользователю. С ее помощью соответствие веса блокчейна его контрольному коду можно отследить даже в реальном времени.

Да что общественные наблюдатели! Любой желающий, имеющий выход в интернет, на портале ДЭГ vibory.gov.ru может наблюдать за ходом онлайн-голосования, если нажмет кнопку «наблюдать». И даже проголосовать – для этого есть кнопка «участвовать». По состоянию на начало прошлой недели таких в нашем регионе было 61735 человек. Это–- третье место по России, если принять по соотношению с количеством потенциальных избирателей. 

Фото предоставлено «Ростелекомом»