自动化和数字化选票处理本质上是否比手动铅笔和纸更危险?

信息安全 电子投票
2021-08-26 22:10:39

这是有点外行的水平。我不是安全专家。

从非常、非常广泛和笼统的角度来看:

选举舞弊绝对是一个严重的问题,需要非常严格地加以防范,最好是由许多第三方官员和监督者来防范。如果您有随机人在投票站工作,有些人可能会想扔掉选票或填写额外的选票。你有很多随机的人,每个人都有潜在的党派安全风险。

因此,为了降低风险并加快计票速度,给定的司法管辖区使一切都完全数字化(没有纸质选票),并且它们使计票完全自动化。

只是模糊地看这个,我看到的一些问题是:

  1. 软件中的真正错误。并非所有问题都是恶意的。
  2. 制作该软件的组织确实是恶毒的。
  3. 即使他们不是恶意的,完全外部的黑客仍然可以尝试进入并进行干预。
  4. 来自辖区工作人员和官员的黑客也可以尝试进入并进行干预。或者即使他们没有按照最字面的方式进行破解,他们仍然可以在最终结果制作完成后,但在将其呈现给另一方或公众之前,找到其他方法来修改最终结果。
  5. 整个系统就像一个不透明的黑盒子。 这意味着尝试监控选票收集以及计票本身与尝试调试黑匣子、第三方项目中的软件缺陷具有相同的问题。记录信息会有所帮助,但它与拥有透明/白框不同。

即使软件是由司法管辖区自己内部开发的,它仍然只是该司法管辖区的一小部分(仍然可能是腐败的),可以立即熟悉代码以及如何分析它以发现潜在问题。腐败问题和黑匣子问题仍然在起作用。

另一方面,假设另一个司法管辖区选择完全避免使用计算机来收集选票和计票。出于显而易见的原因,这个其他司法管辖区仍然使用计算机来验证某人尚未投票或在员工之间发送内部通信。然而,选票都是纸质选票,都是人工手动收集的,选票是人工计算的 - 并汇总在一起。

这意味着没有黑客攻击,这也意味着我们现在正在处理的东西至少在某种程度上更接近于透明/白框。如果您有腐败的个人收集选票并手工计算选票,您还可以让来自管辖范围内和第三方的安全和监视器监视它们。如果他们实时错过了什么,摄像机有时可以提供事件的镜头。如果这两个都失败了,你仍然有一套实物选票、信封和其他任何东西。它可能不是真正集合(选票缺失或添加腐败 -或无意识错误),但具有A 集,大量来自真正的投票集,通常比没有投票要好。

总而言之,它可能更容易监控。

话虽如此,第一个司法管辖区的选举过程可能仍然比第二个司法管辖区安全得多,但这取决于投资于安全性的资源等因素,更重要的是,它们各自管理事情的能力如何。

但是,第一个司法管辖区依靠计算机来收集选票和/或统计选票是否固有地存在额外的风险与第二个管辖区相比,第一个管辖区是否相当于使用 HTTP 而不是 HTTPS,编写公然省略 SQL 参数的数据访问代码,或者让汽车在早上准备时解冻和解锁 10 分钟?

更新: 这里有很多很好的答案。我认为至少有一对或多或少并列第一,所以我希望至少接受几个不同的。

4个回答

关于供应链攻击、复杂性和透明度的答案已经很好了。我将在不同的方向给出答案:问责制和可审计性(基本上;从头开始重新计票有多容易?)。

使用纸质系统,在发生争议的情况下,只要盒子没有丢失或损坏,您总是可以回到纸质的真实来源并重新计票。例如,如果投票机发生了故障,您可以去最高法院就“悬吊或酒窝”是否算数作出裁决,然后再回到报纸上重新计票。

使用计算机化系统,如果出现问题并且数据库中的选票记录不正确(无论是意外还是恶意),与论文相比,数据丢失的风险要大得多,并且不可能重建选民的原始意图系统。

TL;DR考虑到我们对自由和公平选举的重视程度,以及我们假设攻击者可能会尝试颠覆他们的努力,我们对风险的容忍度非常低。Paper 出错的地方更少,并且更容易回到真相的来源并重新计算。

大多数答案似乎都集中在为什么不使用自动系统或不被认为是一个好主意上。我将尝试解决核心问题,即是什么让它们本质上更不安全/更安全。这里的核心权衡是:违规风险与违规影响

违规风险:软件系统赢了如果我们孤立地看待它们。随机选择一个人,可以说软件系统比纸质投票更难克服。即每个人都知道如何伪造纸质选票:只需在盒子里多塞几张选票(如果你更聪明一点,还可以取出其他一些选票)。要克服软件系统,您(应该*)至少需要一些基本的专业知识。因此,软件系统的初始障碍通常更高。如果整个投票过程设计不当,有几种方法可以解决这个问题,例如,如果人们通过“帮助”他们很容易投票反对他们的意图。请注意,这仅考虑“本地”违规风险,即给定一个随机人员,他们能否克服系统。然而,使用软件系统进程可以扩大目标范围,即 来自另一个国家的攻击(或准备工作)可能更容易发生(但仍然由专家),这意味着它不一定需要被攻击国家的居民参与(或至少更少)。因此,整体风险评估不太清楚,取决于您认为更有可能发生的攻击场景。

违规影响 然而,在频谱的另一端,违规可能更为严重,因为

  1. 它更难检测(它还需要专家来检测违规行为,而许多手动违规行为可以在睁开双眼的情况下检测到,例如用 4 只眼睛看着投票箱,捕捉那些讨厌的手交换选票)。
  2. 因此,也更难让公众相信 a) 存在违规行为或 b) 不存在违规行为
  3. 一旦发现违规行为,可能会产生更广泛的影响:如果相同的软件计算了一个国家/地区的一半选票,则单个违规行为可能会改变每个投票区的结果(并且如果违规行为可以通过某种方式在线执行涉及的人数很少)。因此,被检测到的风险都很低,因为所需的交互数量非常有限,而且影响可能很大。

尤其是因为它可能只需要一小群训练有素/薪酬丰厚的专家,这似乎很反民主,因此不适合处理投票,因为它会落入任何“坏精英”或现有威权政府的手中在没有人发现的情况下操纵选票。

对个人违规行为的高违规影响也意味着这些违规行为非常有价值,因此具有一定访问权限的每个人也是一个有价值的目标,您只需要成功贿赂一小部分人而不是多个人。

另请注意,总体风险(违规风险或影响)会随着我们希望获得的好处而增加:我们通常更喜欢自动投票,因为它应该更快/更方便地投票和计票。但几乎所有使其更加快速和方便的措施通常都会增加违规风险或违规影响。从您的个人电脑/手机投票?安全性低得多的环境和普通木马可以操纵您的投票(更不用说整个验证过程,只需等到投票结束前 10 秒,然后为所有尚未投票的人提交投票)。没有适当的(!)纸张痕迹(或每次都不查看)的自动计数:高影响风险。

*应该,因为它周围的系统和过程总是很糟糕,并且有两个世界的弱点;示例:使用纸张收集选票,将其填入投票箱,然后第二天将其上传到基于云的系统中,该系统具有管理界面以检查计数和调试功能,可在www.voting.com上在线更改个人选票, 上传后直接自动烧纸;)

这里的重点是信任和控制。

如果您可以信任数字化投票系统,那么欺诈和错误的风险比手动程序要小得多。但是...如果您可以信任...

在手动程序中,通过让观察员代表候选人来降低欺诈风险。它当然远非完美,但它可以使用几个世纪而不会出现重大问题 - 在这里我假设组织投票的部分足够公平,可以接受受信任的观察者,但可以接受所有候选人。这意味着它并不完美,但它可以由所有相关方控制。

在数字化过程中,只有专家才能控制任何事情,而允许攻击者控制的错误或缺陷可能会导致真正的灾难,而候选人或其代表几乎没有办法降低风险

以下仅代表我的观点。

尽管如此,我认为我们正在走向数字化选举,因为人工程序在人类时间上的成本,并且因为年轻人更倾向于信任自动系统而不是总是试图有手动紧急解决方案的老年人.

无论是数字自动化还是手动手动操作,无论使用何种投票方法,供应链攻击都适用于这两种情况。因此,必须与选举委员会建立某种程度的信任,否则无法验证。EVM 和投票箱都向不同的攻击媒介开放,并且大多数情况下,内部威胁处于篡改选票的位置。

EVM 的问题在于无法知道它是否已经被制造商破坏。因此,调试机构必须验证供应链中每个 EVM 的组装情况。但是必须信任验证硬件和固件的工程师。承诺的安全性不是一种安全的设计。

对于投票箱,必须信任可能与 EVM 制造商一样腐败的验证机构,但他们的计数可以由观察机构验证和监控,这提供了一定程度的公平保证。

涉及的授权数量越多,监控一切就越难,这就是供应链攻击变得更强大的地方。这取决于谁可以在这个过程中被信任,因为设计的安全性需要一定程度的信任。

其它你可能感兴趣的问题
上一篇更改用户名时如何防止用户名和密码匹配? 下一篇是否可以将 IP 地址欺骗为确切的数字?