Войти
Образец множественного голосования ThreeBallot, с первой гонкой на пост президента с кандидатами Джонсом, Смитом и Ву и второй гонкой на пост сенатора с кандидатами Ипом и Зинном. ThreeBallot - протокол голосования, изобретенный Рон Ривест в 2006 году. ThreeBallot - это сквозная (E2E) проверяемая система голосования, которая в принципе может быть реализована на бумаге. Его цель заключалась в предоставлении некоторых преимуществ криптографической системы голосования без использования криптографических ключей.
Голосование может быть сложно одновременно проверяемым и анонимным. ThreeBallot пытается решить эту проблему, предоставляя каждому избирателю три бюллетеня: один проверяемый и два анонимных. Избиратель выбирает, какой бюллетень поддается проверке, и сохраняет эту тайну; поскольку счетчик голосов не знает, существует 1/3 шанса быть обнаруженным уничтожением или изменением любого отдельного бюллетеня. Избиратель вынужден заставить два из своих трех бюллетеней аннулировать друг друга, чтобы он мог проголосовать только один раз.
Важнейшими преимуществами, которые предлагает система ThreeBallot по сравнению с сопоставимыми зашифрованными бюллетенями, являются:
Дополнительные теоретические цели системы включают:
В системе трехбаллотного голосования избирателям выдается три пустых бюллетеня, идентичных, за исключением уникального идентификатор, индивидуальный для каждого бюллетеня. Чтобы проголосовать за кандидата, избиратель должен выбрать этого кандидата в двух из трех бюллетеней. Чтобы проголосовать против кандидата (эквивалент оставления пустого бюллетеня в других системах) избиратель должен выбрать этого кандидата ровно в одном бюллетене.
Таким образом, каждый кандидат получает по крайней мере один бюллетень с отметкой и один бюллетень без отметки; в результате просмотр любого бюллетеня не говорит о том, голосовал ли избиратель за кандидата или нет. Хотя это также означает, что каждый кандидат получает по крайней мере один голос при суммировании трех бюллетеней, это постоянное смещение для всех кандидатов (равное количеству избирателей) можно вычесть из окончательной суммы всех бюллетеней.
John Foo [X] [] [X] // Любые два отмеченных столбца указывают на голосование «за» Barb Bar [] [] [X] // Любой единственный отмеченный столбец не является голосом «за». Счет тоже [] [X] []
Однако необходимо обязательно проверить, не ошибся ли избиратель в своем бюллетене: ни один кандидат не может быть оставлен пустым во всех трех бюллетенях, и ни один кандидат не может быть выбран во всех три бюллетеня.
Энди Ой [X] [X] [X] // Не разрешено. Elle Error [] [] [] // Не разрешено.
Это требование означает, что все три бюллетеня должны быть вставлены в машину, чтобы подтвердить это до того, как будут поданы три бюллетеня. Невыполнение этого требования позволит избирателю проголосовать как дополнительный голос за, так и дополнительный голос против, что приведет к фальсификации результатов голосования; По замыслу, за голос не может быть отличен от голоса против, когда он был подан, поэтому это мошенничество с множеством голосов не может быть обнаружено до окончательной проверки подсчета (а, возможно, и тогда), и это не может быть исправлено на этом этапе или даже связано с конкретным избирателем.
Как правило, бюллетени могут быть соединены вместе, чтобы упростить пометку избирателем, но перед подачей бюллетеней обязательно разделять бюллетени. После разделения и объединения с другими бюллетенями в зашифрованном порядке настоящий голос зашифровывается. Например, рассмотрим вышеупомянутый бюллетень для голосования в третьей колонке для Джона и Барб. У каждого из них есть «Х», но на самом деле избиратель голосует за Джона, а не за Барб. Точно так же, если вы видели только второй бюллетень для голосования, он показывает только отметку для Билла, но опять же, общее голосование по трем бюллетеням на самом деле принадлежит Джону. Когда все 3 бюллетеня будут суммированы, в сумме будет 2 балла за Джона и по 1 баллу за Барб и Билла. Вычитание числа проголосовавших, в данном случае 1, дает 1 голос для Джона и ни одного голоса для остальных.
На избирательном участке избиратель делает копию любого из трех своих бюллетеней, включая его идентификационный номер. На практике машина, проверяющая бюллетени, будет выполнять эту задачу автоматически на основе свободного выбора избирателем одного из бюллетеней. Затем все три оригинальных бюллетеня опускаются в урну для голосования. Один экземпляр избиратель сохраняет как квитанцию.
По окончании выборов все бюллетени публикуются. Поскольку каждый бюллетень имеет уникальный идентификатор , каждый избиратель может проверить, что его голоса были подсчитаны, путем поиска идентификатора в его квитанции среди опубликованных бюллетеней. Однако, поскольку избиратель выбирает, какой из своих бюллетеней он получает в качестве квитанции, он может сделать так, чтобы на квитанции была нанесена любая комбинация отметок. Таким образом, избиратели не могут доказать другой партии, за кого они голосовали, исключив продажу голосов, принуждение и т. Д., Используя эту квитанцию.
На самих бюллетенях нет указания, какой из них был скопирован для оформления квитанции. Таким образом, если в какой-то момент бюллетень был «потерян» или злонамеренно выброшен, существует 1/3 шанса, что это будет бюллетень приема. Бдительный избиратель смог обнаружить эту потерю.
Ривест обсуждает другие преимущества и недостатки в своей статье. В частности, он не подходит для рейтингового предпочтительного голосования. Полевые испытания показали, что ThreeBallot имеет серьезные проблемы с конфиденциальностью, безопасностью и удобством использования, а также подводные камни реализации.
Система шифрования, используемая в ThreeBallot, была взломана корреляционной атакой разработан Чарли Штраусом, который также показал, как с его помощью можно доказать, как вы проголосовали. Хотя ThreeBallot безопасен, если в бюллетене есть только один вопрос «да / нет», Штраус заметил, что он небезопасен, когда есть несколько вопросов, в том числе в случае одной гонки с множеством кандидатов, из которых можно выбрать. Его атака использовала тот факт, что не каждая комбинация из 3 бюллетеней образует действительную тройку: предложенные тройки с 3 или 0 голосами в любой строке бюллетеня (а не только за одну гонку интересов) могут быть отклонены, поскольку эти бюллетени не могут быть получены тот же избиратель. Точно так же предлагаемые трины, приводящие к голосованию за более чем одного кандидата в любой гонке, могут быть отклонены. Поскольку существует экспоненциально больше возможных схем голосования, чем количество бюллетеней, поданных на типичном участке (или даже среди людей в мире), статистически большинство поданных бюллетеней может быть обработано однозначно для достаточно длинных бюллетеней. Как правило, 90% бюллетеней можно восстановить по бюллетеням с помощью всего лишь 11-17 вопросов. Это, вероятно, позволяет узнать голоса избирателя любому, у кого есть квитанция. Более того, даже без квитанции происходит утечка информации, которая может дискредитировать заявленный избирателем выбор кандидата. Следовательно, избиратель, сговорившийся с целью доказать свой голос (за деньги, принуждение или потомство), может пометить все бюллетени по заранее согласованной необычной схеме, которая впоследствии может доказать третьей стороне, что согласие было соблюдено (даже не видя квитанции). В любом случае завеса тайного голосования протыкается и отслеживается по идентификационному номеру на квитанции.
Позже Ривест признал эту логическую ошибку в исходной концепции и пересмотрел схему RFC в своей последней публикации, чтобы потребовать оторвать каждую строку (каждый да / нет) индивидуально (нарушая корреляцию вопросов), а также наличие уникальных номеров отслеживания на каждой отметке в каждом бюллетене (а не только по одному идентификатору для каждого столбца бюллетеня). Хотя это действительно восстановило нерушимый аспект схемы, распространение квитанций (по одной в каждой строке) и измельченных бюллетеней сделало механику обработки голосов или для избирателя, просматривающего квитанцию, значительно сложным, что подорвало ее предполагаемую простоту. Коста и др. Предложили электронную версию, касающуюся внедрения бумажных бюллетеней и проблем удобства использования.
