Сюжеты · Политика

Что уж тут голосить

Все проблемы электронного голосования в России

Андрей Заякин , Сооснователь Диссернета

Глава ЦИК Элла Памфилова недавно попросила членов избиркомов: «Я всех вас призываю: продолжайте, пожалуйста, мои дорогие коллеги, вести ликбез среди ДЭГ-нигилистов». Как член различных избиркомов с правом совещательного голоса (ПСГ) в течение последних десяти лет не могу не последовать этому увещеванию Эллы Александровны: в преддверии единого дня голосования разъясняю, что стало с дистанционным электронным голосованием (ДЭГ).

Фото: EPA-EFE/YURI KOCHETKOV

Некоторые считают, что на фоне происходящего все наши страсти по выборам, от которых остались даже не рога и копыта, а рожки и копытца, весь утонченный электоральный анализ и изящная математическая ловля цифровых мошенников за руку — бессмысленное самолюбование собственными экспертными компетенциями. Что в горящем доме не красят потолок.

Это неверно. Продолжая метафору, дом так быстро и мощно загорелся в том числе от того, что потолок был покрашен чем-то не тем. Мы видели, что даже два с половиной депутата в покойной Госдуме VI созыва, в 2014 году выступавших против нарушения международно-правовых обязательств России, создавали адскую головную боль для Кремля и не позволяли считать одобрение российской агрессии единогласным. Что десяток муниципальных депутатов в нынешнем году вызвали баттхёрт такого уровня, что система огрызнулась сталинским сроком для Алексея Горинова. Что кандидатов в муниципальные депутаты отсекают в ходе нынешней кампании сфальсифицированными делами по «дискредитации» и по другим не менее безумным поводам на дальних подступах, не давая даже дойти до избиркома.

По результатам голосования на выборах в нынешнюю Госдуму победили по крайней мере восемь оппозиционных кандидатов (выкладки можно посмотреть в экспертном докладе для «Либеральной миссии»), которые лишились голосов исключительно за счет ДЭГ. Из них как минимум четыре занимают антивоенную позицию. Поэтому если бы не воровство на ДЭГ, нынешняя Дума была бы не менее оппозиционной, чем VI Дума.

Следовательно, даже в нынешнем аду важно «собирать квитанции» и тщательно фиксировать все удавшиеся и неудавшиеся попытки обмана, а также попытки оправдания обмана.

Что нас ждет

Почему можно уже сейчас говорить, что электронное голосование в этом сентябре сохраняет уязвимости прошлогоднего ДЭГ и, возможно, обогатится новыми?

Во-первых, из-за принятого так называемого «Закона Вяткина-Ламейкина», которым базовые правила проведения ДЭГ были закреплены на уровне закона ФЗ-67 «Об основных гарантиях избирательных прав и права на участие в референдуме». Мы подробно разбирали в отзыве на законопроект, опубликованном на «Либеральной миссии», те дыры, которые были оставлены этим законом в онлайн-голосовании. В прошлом году нарушения, о которых писала российская «Новая газета», — запрет доступа к серверам ДЭГ для наблюдателей, наличие «секретного блокчейна», содержимое которого мы должны были принимать на веру со слов чиновника мэрии, отсутствие публикации полного кода ДЭГ, отличие запускавшегося кода ДЭГ даже от тех его частей, которые были опубликованы, — при большом благоволении к ЦИК можно, если принять роль адвоката дьявола, было бы считать «багами», ошибками исполнителя.

Какие изменения произошли в ответ на масштабные прошлогодние разоблачения ДЭГ? 

Нормативное регулирование ДЭГ так и делегировано, то есть остается предметом усмотрения ЦИК или избиркома субъекта Федерации. При этом запрещено переголосование (ФЗ-67, статья 64.1, часть 18) — это, пожалуй, единственная из новелл, имеющая отношение к потенциальному сокращению простора для возможных фальсификаций. Законодательно не предусмотрено механизмов контроля за оборудованием и запускаемым программным обеспечением ДЭГ. 

Закон также не предусматривает контроля со стороны наблюдателей за идентификацией избирателей и за корректностью записи их волеизъявления в базу данных. 

«Не предусмотрено» — очень мощный инструмент в российском публично-правовом регулировании.

Указанные элементы контроля есть по отношению к обычному «бумажному» голосованию. Наблюдатель до сих пор вправе (часть 9 статьи 30 ФЗ-67), например, наблюдать за выдачей бюллетеней и знакомиться со списками избирателей, то есть может проверить правомерность выдачи бюллетеня. А в ДЭГ он этого фактически не может сделать. Теперь ДЭГ «как-бы-урегулирован» (на деле — нет) на уровне федерального закона. Поэтому дотошный наблюдатель на ДЭГ может потребовать (по меньшей мере на основании аналогии закона) предоставления ему тех же прав, что «бумажному» наблюдателю. Однако в силу отсутствия в ДЭГ тех же «объектов регулирования» (физический ящик для голосования, изготовленные на бумаге списки избирателей) правоприменитель с легкостью откажет (как и было в 2021-м), так как закон «не предусматривает» тех же прав наблюдателя в отношении электромагнитных волн, электронов в проводах и магнитных доменов на жестких дисках.

Еще одна важная новелла — полная ликвидация института членов участковых избирательных комиссий с правом совещательного голоса (ПСГ). Она оголяет и обычные участки, и участки ДЭГ. Остаются лишь наблюдатели, уже много лет существенно ограниченные в правах в части доступа к документам избирательной комиссии. Поэтому, если теоретически ПСГ могли бы требовать исходный код и полные логи работы программ, то для наблюдателей такое право невозможно усмотреть в действующем ФЗ-67, даже толкуя его очень либерально.

…На старый лад

Во-вторых, есть все основания не доверять ДЭГ из-за специфической реакции электоральных властей на экспертные оценки и попытки специалистов разобраться в этой ситуации. «Новая газета» писала о глумливых отписках, которые московская редакция получала в ответ на запросы с предложениями раскрыть детали системы. Начиная с ноября прошлого года функционировала так называемая «Группа общественного аудита ДЭГ» во главе с председателем движения «Голос» Григорием Мельконянцем.

Григорий Мельконянц. Фото: eedialog.org

В нее вошли, в частности, авторы расследований фальсификаций на выборах 2021 года, опубликованных в «Новой газете», и другие IT- и электоральные специалисты. Данная группа направляла запросы, приведем лишь один пример:

«Согласно опубликованному на сайте Github исходному коду московской системы ДЭГ для проведения выборов, использовались следующие подсистемы, исходный код которых на сайте опубликован не был:

  1. «Реестр участников голосования», также именуемая в исходном коде как MDM. Данная система отвечает за выдачу идентификаторов отложенного решения избирателей (groupId), поэтому является значимой для проведения выборов.
  2. «АРМ председателя», по ходу голосования предоставляющая информацию членам избирательной комиссии о персональных данных избирателей, зарегистрированных на ДЭГ, в частности, информацию о количестве обращений к бюллетеню, согласно механизму «отложенное решение».
  3. Сервис взаимодействия с блокчейном. Компонент сервиса взаимодействия с блокчейном осуществляет запись транзакций в блокчейн. В опубликованном исходном коде транзакции для записи в блокчейн записываются в очередь сообщений Rabbit MQ, код которых осуществляет непосредственную запись данных в компоненты dit-blockchain-source и dit-blockchain-private-source.
  4. Сервис, осуществляющий перемешивание и группировку транзакций с голосами избирателей для записи в блокчейн.
  5. Сервис подведения итогов. Осуществляет подсчет голосов и обмен сообщениями между блокчейнами и сервисом шифрования encryptedGroupId.
  6. Портал наблюдения. Сайт observer.mos.ru во время выборов показывал информацию о явке, а также предоставлял выгрузки SQL базы данных транзакций блокчейна.

Просим опубликовать код данных компонентов системы ДЭГ.

Опубликовать описание сервиса авторизации избирателей для доступа к порталу ДЭГ. Опубликовать описание методов REST API данного сервиса.

В ранее опубликованном исходном коде отсутствуют примеры конфигураций сервисов, что сильно затрудняет анализ системы и воспроизведение ее работы. Просим опубликовать конфигурационные файлы данных систем, а именно содержимое папок config и файлов env PHP сервисов form (ballot, form, encryptor).

Просим опубликовать изменения в программном коде системы ДЭГ, которые были внесены после проведения тестового голосования 30 июля 2021 года.

Просим объяснить, каким способом члены УИК ДЭГ и наблюдатели на УИК ДЭГ могут убедиться в том, что опубликованный исходный код соответствовал исполняемому.

Просим предоставить состав системы московской системы ДЭГ и документации на нее».

Несмотря на все эти запросы, исходный код так и не был представлен для анализа во всей полноте.

По этому же поводу очень уместно следующее замечание кандидата технических наук, сотрудника МВТУ им. Баумана Виктора Толстогузова: 

«Не следует надеяться, что сама по себе публикация кода, наконец, сделает систему проверяемой. Но нам неизвестно даже, из чего состоит система. Об этом тоже был вопрос в ДИТ и МГИК, но ответа не получено. 

Исходный код — это одна из небольших составляющих огромной системы. Но есть еще среда функционирования, являющаяся для исходного кода неким всемогущим покровителем и которая значительно больше (можно оценить по байтам), и у нее есть свои входы и выходы. Среда функционирования и ее администраторы могут всё, например, могут незаметно запустить другой код, даже на одну наносекунду. Могут подключить другой провод, другой экран, другую клавиатуру.

Среда функционирования исходного кода внешне выглядит как непрозрачный кремниевый камушек с невидимыми электронами и дырками внутри. И еще никто не предложил объективного метода проверки, что в камушке работает именно тот код, который декларировался».

Напомним, что в кодах выборов 2021 года работа со списками избирателей была вынесена в отдельную систему. Грубо говоря, эта система в том числе проверяла, что человек не голосует несколько раз. И в частности, по ней нет исходных кодов в публичном доступе. 

Также напомним, что отсутствует история изменений кода 2021 года — какие правки кем вносились; при желании разобраться с прошлогодними фальсификациями такая история ой как бы помогла.

Кроме того, для полноценного анализа очень бы помогли логи работы системы (памятуя, однако, о том, что само их наличие еще не доказывает корректности работы системы, коль скоро состав системы нам неизвестен). Так, надо напомнить, на предыдущих выборах от системы сначала был отключен сайт observer.mos.ru, затем результаты появились с сильной задержкой.

До сих пор неизвестно, какие именно операции пришлось делать операторам, чтобы отключить так называемый «портал наблюдения» observer, после чего можно было бы запустить подсчет голосов. Всё это оставалось за закрытыми дверями Департамента информационных технологий (ДИТ) московской мэрии.

А какие-либо следы, которые бы помогли восстановить картину событий той ночи, предоставлены не были. На одном из заседаний экспертной группы Артем Костырко аккуратно сказал, что логи системы не являются документацией комиссии, а соответственно, они не обязаны их хранить. Видимо, намекая, что они всё это аккуратно потерли.

Член группы общественного аудита ДЭГ, автор расследований в «Новой газете» программист Петр Жижин также отмечает:

«Я проверил на своём собственном «стенде», что экспериментально могу подделать выборы. Я попросил на портале запустить свои утилиты, которые бы позволили:

  1. Разобраться, как устроена система.
  2. Деанонимизировать голоса избирателей.
  3. Сфальсифицировать итоги голосования.

В просьбе запустить свой собственный код мне было отказано. Аргументировали как раз тем, что «закрытый контур» сертифицирован уполномоченными органами, и поэтому внесение изменений в «закрытый контур» — преступление».

«Закрытый контур», кстати, — это то, что «легализовали» поправки в ФЗ-67; на юридическом языке это звучит так: “…
должно обеспечиваться выполнение требований о защите содержащейся в государственных информационных системах информации, установленных федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации» (часть 19 статьи 64.1 ФЗ-67).

Поэтому, видимо, всё, что нам остается, — это система «Светофор», разрекламированная Костырко: горит зеленая лампочка — ДЭГ работает нормально. А детали вам знать и не надо.

В порядке анекдота отметим, что граждане России, находящиеся за границей, не смогут проголосовать: как следует из сообщения в ТГ-канале Олега Артамонова, по данным Минцифры, доступ с заграничных IP-адресов будет заблокирован. Наивный совет состоит в том, чтобы заранее прикупить ВПН с российским IP-адресом. Однако опыт говорит о том, что российские казенные сервисы типа Госуслуг даже с таких ВПН часто не открываются из-за границы. Поэтому более реалистичный совет состоит в том, чтобы договориться со своим родственником или другом, находящимся в России, чтобы тот проголосовал за вас, и потом сменить пароль.

Математик и Голиаф

Недавно преподаватель МГУ математик Михаил Лобанов — один из кандидатов, который сейчас был бы депутатом Госдумы, если бы не ДЭГ, — подал жалобу в ЕСПЧ. Жалоба подана на нарушение властями России статьи 3 Протокола № 1 к Конвенции о защите прав человека и основных свобод, гласящей: «…Стороны обязуются проводить с разумной периодичностью свободные выборы путем тайного голосования в таких условиях, которые обеспечивали бы свободное волеизъявление народа при выборе органов законодательной власти». Лобанов прошел все стадии внутригосударственного обжалования вплоть до надзорной жалобы в Президиум Верховного суда России и ожидаемым образом всюду получил отказ. Лобанов также подал жалобу и в Конституционный суд. С точки зрения Лобанова, «экспериментальный» характер правовых норм ДЭГ не соответствует принципу правовой определенности; Лобанов усматривает произвол со стороны ЦИК в регулировании ДЭГ, что нарушает принцип правового государства; вывод голосования из-под доступного без применения специальных знаний публичного контроля лишает выборы их публично-правового характера и не позволяет легитимировать национальный парламент, что не соответствует республиканскому характеру правления в России; создание «мегаучастков» с сотнями тысяч избирателей противоречит принципу подотчетности и транспарентности; в голосовании без визуальной идентификации избирателя членами комиссии Лобанов усматривает возможность разглашения тайны голосования; подсчет голосов сотрудниками ДИТ мэрии Москвы несовместим с запретом вмешательства исполнительной власти в проведение выборов. Однако жалоба в КС не считается эффективным способом защиты права с точки зрения ЕСПЧ, и поэтому Лобанов не стал дожидаться решения по ней. Основание жалобы в ЕСПЧ в том, что власти России не сделали ничего для эффективного разбирательства нарушений в ДЭГ, на которые он жаловался.

И это ровно то же самое, о чем в течение нескольких месяцев твердила группа экспертов во главе с Мельконьянцем.

О чем не сказал ЦИК

В-третьих, ни в новом федеральном законе, ни в актах ЦИК пока что нет ни слова о тех «как-бы-технических» новшествах, которые на деле будут поважнее обсуждаемых законодательных новелл.

Как постепенно становится ясно из публичных заявлений одного из чиновников, отвечавших за ДЭГ, — Артема Костырко (вот в этой программе), по крайней мере в Москве будет радикальное новшество со списками избирателей. Если раньше бумажные списки избирателей на УИКах были доступны в виде книг, контроль за которыми был существенной частью рутины каждого наблюдателя, и из них заблаговременно исключались те, кто голосует электронно, то теперь, со слов Артема Костырко, будет единый электронный список, в который включат всех. Будет возможность выбрать явочным порядком: голосовать онлайн или офлайн. У членов УИК будут компьютеры, где они будут ставить отметку, что человек уже голосовал, если он пришел ногами в помещение для голосования. Если же вы уже проголосовали онлайн, то система не позволит вам поставить отметку. При этом остается невыясненным, будет ли единый электронный список иметь приоритет, например, при расхождении данных с его бумажной копией. Каким будет правовой режим бумажных копий списков избирателей, будут ли они синхронизироваться (и если да — то как?) с электронным списком, будут ли они доступны наблюдателям — неизвестно. Как данное новшество согласовать с буквой закона ФЗ-67 — нам также непонятно.

И это, видимо, самое существенное с технической точки зрения, что произошло с ДЭГ.

Визуальный контроль за списками, проверка, что они прошиты, пронумерованы, проклеены, опечатаны, что в них не внесено недопустимых пометок и записей, а все предусмотренные законом записи внесены, — один из ключевых элементов в работе наблюдателя. Если со списком возможны манипуляции — то можно не заниматься урнами и каруселями. Теперь представьте: список не существует в виде видимого своими глазами физического объекта. Его состояние не контролирует сидящий перед вами член УИКа. Вопрос: кого вы будете ловить за руку?

Но хуже того: вам, скорее всего, и не дадут посмотреть этот список. 

Последние годы на участках и обычного перелистывания «из чужих рук» бывало сложно добиться. Что же говорить о такой «персонализированной» вещи, как чужой рабочий компьютер.

Еще хуже: мы в принципе не сможем знать, как эти списки составляются, модифицируются, кем и куда информация направляется. Если раньше мы могли хотя бы в теории проследить, откуда в ТИК была направлена информация о несуществующих избирателях, кем и когда она включена в список, то теперь такой возможности не будет в принципе. Мы не будем знать, как гарантировать, что туда не будут включены лишние люди. Также еще сложнее будет фиксировать случаи несанкционированного электронного голосования от имени избирателя.

Наблюдателей — в урну!

Какое место на обычном избирательном участке самое неудачное для наблюдения за выборами?

Очевидно, внутри ящика для голосования. Сидя внутри него, вы никогда не поймете, правомерно ли выдан бюллетень, который падает на вас.

Но можно придумать и более неудачное место для наблюдения. Это кусочек кремния в компьютере, в котором бюллетени представляют собой невидимые электромагнитные волны, двигающиеся со скоростью света, и невидимые же электроны, реагирующие на изменение электромагнитного поля.

Так вот, в сентябре на ДЭГе положение наблюдателей будет хуже, чем если бы они сидели в урне или в компьютерном чипе. Если им что-то и будет доступно, то, видимо, это будет только некая «нода наблюдателя» — экран со статистическими данными о голосовании, поступающими из непрозрачного ящика, без возможности контроля достоверности данных. Достоверность данных нельзя проверить изнутри непрозрачного ящика. Тем более этого нельзя сделать, глядя на непрозрачный ящик снаружи с экрана монитора, анализируя разрешенные, а может быть, и заранее подготовленные администраторами для публикации данные, вывод которых можно легко отключить.

Те же, кто оправдывали прошлогодние фальсификации, сулят нам стопятьсот разных изводов этой «ноды», пока что все в форме «существующих технологических возможностей», без публикации принципов действия, полного исходного кода и без проведения стендовых испытаний. Однако даже при реализации амбициозных планов, даже если наблюдение было бы устроено так, что каждая новая строчка базы данных поступала бы на компьютер наблюдателя синхронно с ее внесением в базу на сервере Департамента информационных технологий, не следует забывать о том, что все эти ухищрения не меняют вашей фундаментальной позиции: вы сидите в ящике. Для вас не существуют индивидуальные избиратели, но существуют электроны — полностью неотличимые друг от друга.

Россия — не Москва

В России за исключением Москвы всё будет еще хуже. Федеральная система ДЭГ не обеспечивает расшифровку каждого отдельного голоса. Федеральная система построена на так называемом гомоморфном шифровании. Суть гомоморфного шифрования в том, что оно допускает арифметические действия (сложение или умножение) над зашифрованными величинами без их промежуточной расшифровки. Поэтому анализ, аналогичный прошлогодней серии публикаций в «Новой», на федеральном уровне как был, так и останется невозможным.

Практический вывод

Игры кремлевцев и их шестерок с дистанционным электронным голосованием никуда не делись. Наученные горьким опытом публичного осмеяния, организаторы этой вакханалии больше не продвигают повторное голосование. При этом контроль за выдачей электронных бюллетеней так и не появился. Контроль за программно-техническим комплексом тоже не появился. Немногочисленные элементы контроля, которые обеспечивались членами УИК ДЭГ с ПСГ, теперь тоже похерены в связи с тем, что похерены все ПСГ УИК, не только электронные. Видимо, мы, члены избиркомов с правом совещательного голоса, были все эти годы слишком эффективны даже со связанными руками.

Недобитым кандидатам и избирателям остается мобилизовывать себя на участие в выборах оффлайн, чтобы, во-первых, сделать привод административно мобилизованных онлайн и оффлайн слишком дорогостоящими, а во-вторых, сделать запись информации в блокчейн от несуществующих избирателей слишком заметной по повышению явки по сравнению с теми округами, где ДЭГ не применяется. Видимо, аномалия явки будет наиболее перспективным инструментом для выявления фальсификаций на сентябрьских выборах.