Jump to content

ТриБюллетень

Образец многократного голосования ThreeBallot: первая гонка за президента с кандидатами Джонсом, Смитом и Ву и вторая гонка за сенатора с кандидатами Ип и Зинн.

ThreeBallot — протокол голосования, изобретенный Роном Ривестом в 2006 году.ThreeBallot — это сквозная (E2E) проверяемая система голосования , которую в принципе можно реализовать на бумаге. Целью его разработки было предоставить некоторые преимущества криптографической системы голосования без использования криптографических ключей.

Возможно, будет сложно сделать голосование одновременно проверяемым и анонимным . ThreeBallot пытается решить эту проблему, предоставляя каждому избирателю три бюллетеня: один поддающийся проверке и два анонимных. Избиратель выбирает, какой бюллетень подлежит проверке, и сохраняет это в тайне; поскольку счетчик голосов не знает об этом, существует вероятность 1/3, что его обнаружат, что он уничтожил или изменил какой-либо отдельный бюллетень. Избиратель вынужден сделать так, чтобы два из трех бюллетеней аннулировали друг друга, чтобы он мог проголосовать только один раз.

Цели [ править ]

Важнейшими преимуществами системы ThreeBallot по сравнению с аналогичными зашифрованными бюллетенями являются:

  1. Его реализация выглядит знакомо и проста для понимания избирателями по сравнению с другими системами шифрования (возможно, это самое важное преимущество из всех).
  2. Бюллетени можно подсчитать напрямую, без расшифровки. Это связано с тем, что у них есть то свойство, что сумма оценок равна сумме голосов за кандидата , даже если какой-либо отдельный раздел избирательного бюллетеня не может выявить предпочтения избирателя в отношении кандидата.
  3. Не существует ключа, требующего защиты или секретности для обеспечения безопасности (« ахиллесова пята » многих предлагаемых систем).
  4. Хотя для проверки бюллетеней перед их сдачей требуется машина, после этого протокол голосования полностью составляется на бумаге и не требует никаких дополнительных процедур безопасности, кроме тех, которые обеспечиваются традиционными бюллетенями.

Дополнительные теоретические цели системы включают в себя:

  1. Голос каждого избирателя является тайным, что предотвращает продажу голосов и принуждение.
  2. Каждый избиратель может убедиться, что его голос не был отброшен, правильно использован и не изменен при подсчете результатов выборов. (А если нет, то избиратель имеет возможность доказать , что счетчики голосов сфальсифицировали.)
  3. Каждый может убедиться, что результат выборов был подсчитан правильно.
  4. Этот метод предназначен для использования с бумажными бюллетенями и требует в первую очередь низкотехнологичных устройств, но совместим с более продвинутыми технологиями.

Метод [ править ]

В системе голосования ThreeBallot избирателям выдаются три пустых бюллетеня, идентичных, за исключением уникального идентификатора, который различен для каждого бюллетеня. Чтобы проголосовать за кандидата, избиратель должен выбрать этого кандидата в двух из трех бюллетеней. Чтобы проголосовать против кандидата (что эквивалентно оставлению пустого бюллетеня в других системах), избиратель должен выбрать этого кандидата ровно в одном бюллетене.

Таким образом, каждый кандидат получает как минимум один бюллетень с отметкой и один бюллетень без отметки:

Кандидат бюллетень Примечания
1 2 3
Джон Фу Х Х Любые два отмеченных столбца означают голосование «за».
Барб Бар Х Любой отмеченный столбец не является голосованием «за».
Билл Тоо Х

В результате просмотр любого одного бюллетеня не говорит о том, проголосовал ли избиратель за кандидата или нет. Хотя это также означает, что каждый кандидат получает как минимум один голос при суммировании трех бюллетеней, это постоянное смещение для всех кандидатов (равное числу избирателей) может быть вычтено из окончательной суммы всех бюллетеней.

Однако необходимо убедиться, что избиратель не ошибся в своем бюллетене – ни один кандидат не может быть оставлен пустым во всех трех бюллетенях, и ни один кандидат не может быть выбран во всех трех бюллетенях:

Кандидат бюллетень Примечания
1 2 3
Энди Упс Х Х Х Не разрешено.
Она ошибка Не разрешено.

Это требование означает, что все три бюллетеня должны быть вставлены в машину для проверки до того, как будет подано голосование с тремя бюллетенями. Невыполнение этого требования позволит избирателю отдать дополнительный голос как за , так и дополнительный голос против , что приведет к фальсификации результатов голосования; по замыслу голос «за» нельзя отличить от голоса «против» , когда он уже подан, поэтому это мошенничество с несколькими голосами не может быть обнаружено до окончательной проверки подсчета голосов (а, возможно, даже тогда), и его невозможно исправить на этом этапе или даже отследить. конкретному избирателю.

Обычно бюллетени могут быть соединены вместе, чтобы упростить маркировку избирателем, но перед тем, как они будут поданы, необходимо разделить бюллетени. После разделения и объединения с другими бюллетенями в зашифрованном порядке истинный голос шифруется. Например, рассмотрим приведенный выше бюллетень для голосования за Джона и Барб в третьей колонке. У каждого из них есть «X», но на самом деле избиратель голосует за Джона, а не за Барб. Аналогично, если вы видели только второй столбец голосования, в нем отображается только отметка за Билла, но опять же, общее количество голосов по трем бюллетеням вместе на самом деле принадлежит Джону. Когда все 3 бюллетеня будут суммированы, в общей сложности будет 2 балла для Джона и по 1 баллу для Барб и Билла. Вычитание количества избирателей, в данном случае 1, дает 1 голос за Джона и ни одного голоса за остальных.

На избирательном участке избиратель делает копию любого из трех своих бюллетеней, включая его идентификационный номер. На практике машина, проверяющая бюллетени, будет выполнять эту задачу автоматически на основании свободного выбора избирателем одного из бюллетеней. Затем все три оригинала бюллетеней опускаются в урну для голосования. Избиратель оставляет себе один экземпляр в качестве расписки.

По окончании выборов все бюллетени публикуются. Поскольку каждый избирательный бюллетень имеет уникальный идентификатор , каждый избиратель может убедиться, что его голоса были подсчитаны, найдя идентификатор в своей квитанции среди опубликованных бюллетеней. Однако, поскольку избиратель выбирает, какой из своих бюллетеней он получит в качестве квитанции, он может сделать так, чтобы на его квитанции была нанесена любая комбинация пометок. Таким образом, избиратели не могут доказать другой партии, за кого они голосовали, что исключает продажу голосов, принуждение и т. д. с помощью этой квитанции.

В самих бюллетенях нет указания, какой из них был скопирован для получения расписки. Таким образом, если в какой-то момент бюллетень был «потерян» или злонамеренно выброшен, существует вероятность 1/3, что это будет бюллетень квитанции. Бдительный избиратель мог заметить эту потерю.

В своей статье Ривест обсуждает другие преимущества и недостатки. [1] В частности, он не подходит для ранжированного голосования по предпочтениям. Полевые испытания показали, что ThreeBallot имеет серьезные проблемы с конфиденциальностью, безопасностью и удобством использования, а также подводные камни реализации. [2] [3] [4] [5]

Сломанное шифрование [ править ]

Система шифрования, используемая в ThreeBallot, была взломана в результате корреляционной атаки, разработанной Чарли Штраусом. [4] который также показал, как это можно использовать, чтобы доказать, как вы голосовали. [3] Хотя система ThreeBallot безопасна, если в бюллетене есть только один вопрос «да/нет», Штраус заметил, что она небезопасна, когда имеется несколько вопросов, включая случай одной гонки со многими кандидатами, из которых можно выбирать. Его атака использовала тот факт, что не каждая комбинация из трех бюллетеней образует действительную тройку: предложенные тройки с 3 или 0 голосами, поданными в любой строке бюллетеня (а не только одна расовая принадлежность), могут быть отклонены, поскольку эти бюллетени не могут быть от тот же избиратель. Аналогично, предложенные трины, приводящие к голосованию более чем за одного кандидата в любой расе, могут быть отклонены. Поскольку возможных шаблонов голосования экспоненциально больше, чем бюллетеней, поданных на типичном избирательном участке (или даже людях в мире), статистически большинство поданных бюллетеней можно однозначно определить для достаточно длинных бюллетеней. [4] Обычно 90% бюллетеней можно восстановить по бюллетеням, содержащим всего от 11 до 17 вопросов. [5] Вероятно, это позволит любому, у кого есть квитанция, узнать голоса избирателя. Более того, даже без квитанции происходит утечка информации, которая может дискредитировать заявленный избирателем выбор кандидата. [3] Следовательно, избиратель, вступивший в сговор с целью доказать свой голос (ради денег, принуждения или потомства), может пометить все бюллетени заранее согласованным необычным рисунком, который впоследствии может доказать третьей стороне, было ли соблюдено соглашение (даже не видя квитанции). [3] В любом случае завеса бюллетеня для тайного голосования пробита и его можно проследить по идентификационному номеру на квитанции.

Пересмотренный бюллетень ThreeBallot [ править ]

Позже Ривест признал эту логическую ошибку в первоначальной концепции. [1] и пересмотрел схему RFC в своей последней публикации, требуя отрывать каждую строку (каждую да/нет) индивидуально (разрушая корреляцию вопросов), а также иметь уникальные номера отслеживания для каждой отметки в каждом бюллетене (а не только один идентификатор для каждого столбца). голосование). Хотя это действительно восстановило нерушимый аспект схемы, увеличение количества квитанций (по одной на ряд) и разрезанных бюллетеней сделало механизм обработки голосов или проверки квитанции избирателем значительно сложным, тем самым подрывая ее задуманную простоту. [1] Электронная версия, решающая проблемы внедрения и удобства использования бумажных бюллетеней, была предложена Костой и др. [6]

См. также [ править ]

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б с Рональд Л. Ривест (2006). «Система голосования ThreeBallot» (PDF) . Проверено 16 января 2007 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  2. ^ Джонс, Харви; Джейсон Джуанг и Грег Белот (2006). « Три голосования в поле », проект класса 6.857, Массачусетский технологический институт. Сообщено в «ThreeBallot», протестированном студентами Массачусетского технологического института , декабрь 2006 г.
  3. ^ Jump up to: Перейти обратно: а б с д Чарли Э.М. Штраус (2006). «Проблема с тройками, часть 1» (PDF) . Проверено 16 апреля 2015 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  4. ^ Jump up to: Перейти обратно: а б с Чарли Э.М. Штраус (2006). «Проблема с тройками, часть 2» (PDF) . Проверено 16 апреля 2015 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  5. ^ Jump up to: Перейти обратно: а б Генри, К.; Стинсон, доктор медицинских наук; Суй, Дж. (2009). «Эффективность атак на основе квитанций на три избирательных бюллетеня». Транзакции IEEE по информационной криминалистике и безопасности . 4 (4): 699–707. дои : 10.1109/TIFS.2009.2031914 . S2CID   10717380 .
  6. ^ Коста, Р.Г.; Сантин, АО; Мазиеро, Калифорния (2008). «Безопасная электронная система голосования на основе трех бюллетеней». Журнал IEEE Security & Privacy . 6 (3): 14–21. CiteSeerX   10.1.1.180.4126 . дои : 10.1109/msp.2008.56 . S2CID   5959774 .
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2098e2dd629fe60f1ed0d148664ba210__1652030400
URL1:https://arc.ask3.ru/arc/aa/20/10/2098e2dd629fe60f1ed0d148664ba210.html
Заголовок, (Title) документа по адресу, URL1:
ThreeBallot - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)