Оружие массового поражения Китая
- 1 year ago
- 0
- 0
Система трёх бюллетеней ( англ. ThreeBallot ) — система сквозного проверяемого анонимного голосования , разработанная Рональдом Ривестом в 2006 году.
Ривест ставел своей целью найти решение проблемы обеспечения одновременно проверяемости и анонимности голосования. Эта система предоставляет некоторые преимущества криптографической системы голосования, не используя криптографических ключей . При использовании системы избиратель получает три бюллетеня: один проверяемый и два анонимных, после чего выбирает, какой бюллетень поддается проверке и сохраняет это в тайне. Поскольку в данной системе избиратель вынужден заставить два своих бюллетеня аннулировать друг друга, то у него остается возможность проголосовать только один раз.
Избиратель получает три бюллетеня, которые отличаются друг от друга только идентификационным номером. Чтобы проголосовать «за» кандидата, избиратель отдаёт за него голос в двух бюллетенях, чтобы проголосовать «против» — только в одном (голосование «против» является аналогом пустого бюллетеня в других системах). При этом необходимо следить за тем, чтобы избиратель не ошибся при заполнении бюллетеня: не допускается, чтобы были выбраны все кандидаты и/или не был выбран ни один. Это требование заключается в необходимости подтверждения корректности бюллетеней машиной, прежде чем будет отдан голос. В противном случае появляется вероятность мошенничества, заключающееся в даче дополнительного голоса «за» или дополнительного голоса «против», так как различить как именно проголосовал конкретный избиратель невозможно как до подсчёта голосов, так и во время, и после него). Три бюллетеня могут быть выданы избирателю скреплёнными, но их необходимо разъединить перед тем, как опустить их в ящик для голосования. После «перемешивания» с другими бюллетенями истинный голос зашифровывается.
Таким образом, каждый кандидат получает как минимум один бюллетень с голосом и один бюллетень без голоса, в результате чего невозможно определить, как именно проголосовал конкретный избиратель.
На избирательном участке избиратель делает копию любого из трёх своих бюллетеней, включая его идентификационный номер. Машина, проверяющая бюллетени будет выполнять эту задачу автоматически на основе сводного выбора избирателей одного из бюллетеней. Затем все три оригинальных бюллетеня опускаются в ящик для голосования. Копию избиратель сохраняет как квитанцию.
По окончании выборов все бюллетени публикуются. Поскольку каждый бюллетень имеет уникальный идентификатор, каждый избиратель может проверить, был ли его голос учтён, путем поиска соответствующего номера среди опубликованных решений. Однако, поскольку избиратель выбирает, какой из своих бюллетеней он получает в качестве квитанции, он может сделать так, чтобы на квитанции была сделана любая комбинация из пометок. Таким образом, избиратели не могут доказать, как именно они проголосовали, что исключает возможность продажи голосов, принуждение и т. д.
На самих же бюллетенях нет указания, какой именно из них был скопирован для составления квитанции. Поэтому если бюллетень по какой-либо причине не будет учтён, избиратель может при должном внимании обнаружить это нарушение.
Система была взломана Чарли Штраусом , который показал, как можно использовать систему для подтверждения того, как вы проголосовали. Штраус заметил, что система ThreeBallot безопасна только если в бюллетене один вопрос, но если в бюллетене несколько вопросов или много кандидатов, применение системы становится небезопасным. Его атака использовала факт, что не каждая комбинация из 3 бюллетеней образует действительную тройку: предлагаемые тройки с 3 или 0 голосами в какой-либо строке бюллетеня будут отклонены, так как такие бюллетени не могут быть получены от одного и того же избирателя. Точно так же предлагаемые тройки, приводящие к голосованию более чем за одного кандидата в любой гонке, могут быть отклонены.
Более того, даже без квитанции происходит утечка информации, которая может дискредитировать заявленный избирателем выбор. Следовательно, избиратель, которому необходимо по какой-либо причине доказать свой голос, может пометить все бюллетени по заранее согласованной схеме, которая впоследствии может доказать третьей стороне как он проголосовал . В любом случае, тайность голосования не может быть обеспечена в полном объёме, так как выбор отслеживается по идентификационному номеру, указанному в квитанции.
Позже Ривест признал эту ошибку и внёс в схему изменения , требующие отрывать каждую строку отдельно и создавать уникальные номера отслеживания для каждой отметки в каждом бюллетене (а не только по одному идентификатору для каждого столбца бюллетеня). С одной стороны, эти требования снова сделали систему проверяемой и анонимной, с другой — значительно усложнили процедуру обработки голосов для избирателя, просматривающего квитанцию, тем самым была подорвана предполагаемая простота . Позже была выдвинута идея использования электронной версии, устраняющей проблемы с обработкой бумажных бюллетеней и делающей использование системы более удобным .