Аналитик Петр Лосев в видео разобрал, как работает электронное голосование и можно ли ему доверять. Лосев показал всю неоднозначность этого вида голосования, разобрал манипуляции со всех сторон избирательного процесса и рассказал о проблемах архитектуры ДЭГ.
В этом материале — полное видео Петра Лосева и ключевые тезисы из его выступления.
Кто такой Пётр Лосев
Я работал в IT-консалтингах, где делал различные крупные системы, а в перерывах участвовал в избирательной кампании как политменеджер. В 2019 году я работал в Чертанове на выборах в Мосгордуму, где пилотным решением было введено ДЭГ. Мой кандидат проиграл с разницей менее 100 голосов — как раз из-за нагнанных через электронное голосование бюджетников. Поскольку экспертов в этой теме не было, пришлось разбираться самостоятельно и даже немного поучаствовать в создании первого критического обзора о дистанционке.
Далее ДЭГ начали вводить повсеместно, а значит, выиграть для независимого кандидата на более-менее крупных выборах после 2021 года стало невозможно. Неважно, какие результаты на избирательных участках — электронные голоса всё равно всё перевесят.
С того времени я продолжил изучение темы электронного голосования в качестве хобби, участвуя наблюдателем почти на каждых выборах. В процессе я написал пару статей и даже стал экспертом технической рабочей группы при Общественной палате РФ. В ней я занимаюсь, по сути, лоббизмом расширения прав наблюдателей.
Что такое ДЭГ
Можно подумать, что ДЭГ — это программа, которая считает голоса. Но это не так. ДЭГ — это конгломерат государственных систем, который можно условно разделить на три части.
- Это программы списков избирателей, ГАС «Выборы» и прочие программные обеспечения ЦИКа. Они определяют, кто может голосовать, как и где.
- Программы, обеспечивающие аутентификацию. То есть системы, которые проверяют, что вы — это вы. Для федеральной системы это Госуслуги, а для московской — mos.ru.
- Сами программы голосования, непосредственно система, которая производит подсчет голосов.
Как видите, чтобы назвать выборы честными, нам надо доверять каждой из трёх этих частей.
Тут начинается первая манипуляция. Организаторы зачастую подразумевают под ДЭГ только третий пункт, утверждая, что электронное голосование — это только сама программа, которая непосредственно считает голоса. А это не так.
Фальсификации могут происходить на каждом этапе.
В списках избирателей могут быть мёртвые души, а в программах аутентификации — скрипты, способствующие массовому голосованию за определённого кандидата. Нам дают только понаблюдать за программой подсчёта — и то частично. Что происходит в других частях, полностью неизвестно и не подконтрольно наблюдению.
Как работает ДЭГ
Есть ГАС «Выборы», из которой загружаются списки избирателей в ДЭГ. Потом вы проходите авторизацию на Госуслугах или mos.ru, после которой попадаете непосредственно в электронное голосование.
Когда вы голосуете, ваш бюллетень шифруется. Далее он попадает в некое хранилище, и только после окончания выборов ваш голос оттуда вынимается, расшифровывается, и комиссия подводит итоговые результаты.
Дальше будет немножко сложно, поэтому давайте введем аналогию: шифрование — это навешивание замка, а дешифрование, соответственно, — его снятие. Ключи в этом примере, очевидно, просто ключи. К сожалению, без таких упрощений понять, о чем будет идти далее, сложновато. Поэтому держим эту аналогию в голове.
На пальцах процесс голосования выглядит следующим образом: с вашего браузера приходит бюллетень с одной половинкой замка. Сервер вам выдает вторую половинку, замок соединяется, навешивается на бюллетень, закрывается ключом — и ваш бюллетень идет на сервер в зашифрованном виде. В конце этот замок снимают и считают итоговый результат выборов.
Но что это за ключ?
Чтобы его сделать, не побоюсь этого слова, организаторы проводят настоящую театральную постановку. Чтобы зашифровать, а потом расшифровать итоговые результаты выборов, и в федеральном ДЭГ, и в московском проводят номинальное представление по разделению ключей.
Что это вообще такое? Есть такая концепция в криптографии, как Secret Sharing, или по-русски — разделение секрета. Допустим, проходит лотерея на пять человек. Участники покупают билеты и месяц ждут оглашения результатов. Организатор заранее знает, какой билет выигрышный, и ему нужно сохранить эту информацию до самого конца лотереи. Поэтому он кладёт конверт с правильным ответом в сейф, запирает его ключом, разламывает ключ на пять частей и выдаёт каждому, кто купил билет. Одна часть ключа не может открыть сейф, поэтому нужно всем пятерым собраться, объединить этот ключ и вместе открыть сейф, чтобы узнать имя победителя. Все пятеро друг другу, естественно, не доверяют, поэтому номер выигрышного билета будет неизвестен до самого конца, пока все участники не соберутся вместе.
Что мы видим в электронном голосовании? В Москве разламывают ключ и раздают пяти членам одной вертикали, у которых один начальник. А в федеральном ДЭГ эти ключи даже не отдают членам комиссии, а просто хранят под камерой в одном месте.
То есть изначальная концепция разделения между недоверяющими друг другу сторонами полностью отметается. Как вы понимаете, это противоречит самой сути концепции разделения секрета. На мой взгляд, эта процедура сделана просто для того, чтобы занять хоть каким-то делом членов комиссии, которые откровенно скучают и вообще не разбираются, что такое ДЭГ и как он работает.
Два ДЭГа
Электронных голосований два. Почему? Намного логичнее и проще сделать одну систему для всех случаев. ДЭГ — это мощные силы. Ни одна из группировок (ни московская, ни федеральная) не хочет отдавать власть и деньги конкуренту. По сути, это битва двух кланов, у каждого из которых есть свои основные лица, свои ручные эксперты и свои разработчики.
Московский ДЭГ
Кто представляет? Артём Костырко — начальник Управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы.
Главное, чем знаменит Костырко, — это фраза: «Система работает стабильно». Система, правда, может не работать часами: списки голосующих могут утекать в открытый доступ, блокчейн — останавливаться. Но кого это волнует, если «система работает стабильно»?
Кто разрабатывает систему? Разработкой московского ДЭГа занимается Департамент информационных технологий Москвы.
Что не так с московским ДЭГ? Да практически всё.
Московский ДЭГ постоянно пиарится новыми функциями: что у них блокчейн, вот-вот будет открытый код. Когда начинаешь спрашивать про этот код, они сливаются, говорят: «Будет, но некуда выкладывать, потому что западный GitHub (платформа для размещения IT-проектов и совместной разработки — прим. ред.) — это враг, а нашего ответа пока не сделали». Сейчас уже всё есть, а кода как не было, так и нет. Обещали дать ноду для наблюдения, но она оказалась в руках «Единой России».
Архитектура московского ДЭГа меняется каждый год. Иногда версия на тестовом голосовании отличается о той, что будет на выборах — как в 2022 году. Тогда они не только полностью сменили архитектуру, но и начали всё шифровать поверх. То есть провести независимую перепроверку стало невозможно.
Кроме этого, мы обнаружили подмену ID кандидатов, что позволяет перекидывать голоса между ними. Вдобавок они параллельно всё складывают в резервную базу данных — не на блокчейне. В теории они могут наблюдать за голосами онлайн. Короче, это просто ужас с точки зрения архитектуры.
Федеральный ДЭГ
Кто представляет? Олег Артамонов — глава Партии Прямой демократии. Он продвигает ровно противоположный Москве подход. Артамонов сразу говорит, что в федеральной системе всё закрыто: распределённого блокчейна нет, и он там вообще не нужен; открытого кода нет — и его тоже не будет.
Но стоит отдать ему должное: Артамонов технически подкован и действительно прилагает усилия, чтобы провести наблюдателей. Да и в целом он достаточно открыт, хотя не скрывает, что ходит на Старую площадь.
При этом Олегу Артамонову всё равно, что оправдывать: он может повернуться на 180 градусов, если ветер поменяется. При мне он за три минуты дважды полностью поменял позицию о том, может ли Общественная палата выдвигать наблюдателей.
Кто разрабатывает систему и кто является ее лоббистом? Я на уверен на 100%, но мне кажется, что это Администрация президента. Все следы ведут туда.
Разработчиком федерального ДЭГа является Ростелеком. Его подход полностью противоположен ДИТ Москвы. Это долгая, нудная, дорогая, неповоротливая, но достаточно надёжная разработка.
Что не так с федеральным ДЭГ? Сбоев у федералов практически не было. На фоне вечно «падающей» Москвы внимание наблюдателей было приковано к столице, а не к федеральному ДЭГу. До последних выборов.
Там, по заявлению организаторов, произошла массовая DDoS-атака, что привело к нарушениям в работе системы. Насколько сильно были повреждены данные, нам понять не удалось. Но при изучении этого кейса всплыла другая проблема. Мы нашли, что в блокчейн было загружено 211 тыс. голосов избирателей — меньше, чем было голосов. То есть явка в некоторых регионах превышала 100%. Как вы понимаете, такое просто невозможно.
Я начал копать и понял, что истинная архитектура ДЭГ другая. Организаторы в любой момент могут редактировать списки избирателей. Я выдвинул гипотезу, с которой согласились разработчики электронного голосования: можно в какой-то момент просто добавить список избирателей и проголосовать за кого надо. А чтобы совсем не палиться, можно просто часть людей, которые еще не проголосовали, вырезать, убрать. Тогда для внешнего наблюдателя всё будет отлично. То есть отличить эту ситуацию от того, что люди просто голосуют, невозможно.
Как можно наблюдать за электронным голосованием
Есть два способа наблюдения:
- портал наблюдения
- нода наблюдения
Портал наблюдения — это сайт ДИТа Москвы и Ростелекома, куда выкладывают результаты работы блокчейна, которые можно исследовать на предмет аномалий. Нет никакой гарантии, что эти данные хоть как-то связаны с реальными выборами. С таким же успехом можно залить на эти сайты данные, которые вы сформировали самостоятельно.
Нода наблюдения более надёжный способ проверки голосования, но более сложный. Это специальный сервер, куда дублируется весь код голосования в реальном времени. К нему можно подключиться и видеть, как люди голосуют в эту же секунду, или скачать все операции за всё время.
Анализировать ноду могут буквально единицы: требуется редкий комплекс навыков, чтобы разобраться, что это вообще такое. Наблюдатель должен разбираться в выборах, быть айтишником, понимать базовую криптографию, уметь работать с базами данных и уметь описывать это так, чтобы вообще это хоть кто-то прочёл. Как вы понимаете, таких людей практически нет.
Чтобы было понятно, насколько это сложно: я предложил самостоятельно расшифровать ноды главе федерального электронного голосования, и он это сделать не смог. Ноды есть только у федералов. В московском ДЭГ к ноде вообще нет доступа.
Кто анализирует работу ДЭГ
Во-первых, это лояльные аналитики, которых привлекают организаторы, чтобы те сказали, как хорошо работает система. Их можно разделить на тех, кто всегда со всем согласен, и аналитиков, которые зачастую говорят правду. В большинстве случаев это технические специалисты, которых попросили прокомментировать номинальный модуль, не связанный с потенциальным вмешательством в выборы. Они дают честный ответ по своей специализации.
Во-вторых, это независимые аналитики. Они делятся на критиков по духу и по букве.
Первая категория не особо смотрит на закон и руководствуется тем, честно ли проходит голосование или нет. Второй категории важно, чтобы соблюдался закон. Например, некоторые очевидные технические ошибки они могут трактовать как намеренные фальсификации.
В ДЭГ много проблем с точки зрения законодательства, но не потому, что организаторы хотят этим прикрыться, а потому, что электронное голосование натягивают на бумажное законодательство.
Фальсификации и аномалии
За всю историю организаторы ДЭГ не были пойманы за руку на прямых фальсификациях. Конечно, с таким доступом наблюдателей, как у нас, сделать это практически невозможно. Но всё равно железобетонных доказательств у нас нет. Главные проблемы поиска махинаций в ДЭГ — это то, что мы не можем поймать злоумышленников на месте преступления, как это можно сделать с бумагой, например, просто засняв вброс бюллетеней на камеру.
Чтобы понять, что вообще происходит, наблюдатели могут анализировать только две сущности: работу блокчейна и графики данных голосования.
Анализ блокчейна
Блокчейн можно представить себе как сердце. Оно сокращается через определённые промежутки времени и перекачивает кровь по сосудам. В блокчейне происходит нечто похожее: каждые N секунд голоса формируются в блок, который записывается в базу данных. Как сбои в сердцебиении могут говорить о проблемах с организмом, так и нестабильное время формирования блока может приводить к теоретическим потерям голосов. Мы можем построить гистограммы времени формирования блока и понять их распределение. Но дальше нам это практически ничего не даёт, так как проверить, были ли потеряны голоса или нет, мы не можем.
Анализ данных хода голосования
По тем данным, которые публикуют организаторы, можно строить графики активности и искать на них аномалии. Например, при традиционном голосовании избиратели, как правило, голосуют равномерно в течение дня. Теоретически и в ДЭГ должно быть так же — но на практике всё иначе. Часто бывает, что в первые два часа голосования голосует более половины всех избирателей. В оставшееся время активность падает и остаётся низкой.
На графиках можно выделить два основных типа аномалий: резкие скачки и прочие отклонения. Скачки — это внезапный рост или падение числа принятых бюллетеней, которые невозможно объяснить обычным поведением избирателей.
Это может быть сигналом о вмешательстве, но с текущим уровнем доступа наблюдателей это остаётся лишь гипотезой, не доказательством.
Как я говорил ранее, ДЭГ — это конгломерат систем, и фальсификации возможны на любом из уровней. Рассмотрим потенциальные варианты для манипуляций с учётом особенностей реализации каждого из уровней.
1. Списки избирателей
Всё начинается с формирования книг избирателей — то есть перечня тех, кто имеет право голосовать. Просто так дописать в них «мёртвые души» довольно сложно: это оставляет множество следов. Поэтому такой сценарий встречается редко.
Кроме того, дополнительной защитой служит то, что эти списки проходят множество этапов проверки, включая МВД. Если в Москве такая подмена ещё технически возможна — за счёт единой вертикали власти, — то для федерального ДЭГа это гораздо труднее: каждая избирательная комиссия работает независимо.
2. Система авторизации
Тут происходит самое интересное. Список людей загружают в систему авторизации — mos.ru или Госуслуги. Чтобы проголосовать, человек должен зайти на сайт, войти в личный кабинет и выбрать кандидата. Доказательством того, что конкретный человек является владельцем конкретной учётной записи является смс.
Поскольку вся структура находится в одних руках (например, в Москве) ничто не мешает написать программу, которая массово заходит в реальные учётные записи и голосует за нужного кандидата. Обойти этап смс или другие варианты аутентификации тоже возможно, когда всё централизовано.
На этом организаторов уже ловили. Так, в 2020 году в Москве, при голосовании за «обнуление» Конституции, было обнаружено 25 тыс. несанкционированных учёток. Федеральный ДЭГ в подобном замечен пока не был. Но и там такая махинация теоретически возможна, так как и Госуслуги, и ДЭГ находятся под одной крышей — Ростелекома.
3. Само дистанционное электронное голосование
Здесь можно разделить этот уровень манипуляции на два типа: архитектурные дыры и непосредственное вмешательство в выборы.
3.1 Архитектурные дыры
Это уязвимости в архитектуре систем. Архитектурно оба ДЭГа закрыты. Мы можем только косвенно получать факты об их реальном строении, исходя из особенностей их работ. Таким анализом «чёрного ящика» мы выяснили, что в московском ДЭГе есть возможность перераспределить голоса между кандидатами. В этом случае используется подмена номеров кандидата вне блокчейна.
Представьте, что у вас проходят выборы с двумя кандидатами №1 и №2. Вы голосуете за кандидата №1, а в систему он идёт как кандидат №10, которого вообще не существует в природе. При расшифровке голосов система возвращает подменённые значения — например, вместо кандидата №10 появляется номер вашего кандидата. Но ничто не мешает заменить голос не на кандидата №1, а, например, на кандидата №2. Мой коллега Пётр Жижин смог продемонстрировать, как можно подменить голоса, развернув у себя локальную копию системы ДЭГ.
В федеральном ДЭГе была следующая история: количество голосов в протоколах оказалось на 211 тыс. больше, чем было загружено избирателей в систему ДЭГ. Из-за этого явка в некоторых регионах получилась больше 100%. На Камчатке аж 805%! Это, конечно, ошибка, но именно она дала нам понимание об истинной архитектуре ДЭГа.
Оказалось, что в федеральном ДЭГе можно прямо во время голосования добавить людей и дать им возможность проголосовать незаметно от наблюдателей. Важное уточнение: если так можно сделать, это не значит, что так и было сделано.
3.2 Непосредственное вмешательство в выборы
Ещё ни разу мы не смогли никого поймать за руку, поэтому перечислю гипотезы потенциального вмешательства:
- Фейковые учётки. Как было сказано выше, можно просто зарегистрировать «мёртвые души» и голосовать от их имени. Но несуществующих людей за все время ДЭГа найти не удалось.
- Доступ к учёткам реальных людей. Здесь вспоминаем кейс Москвы с её 25 тыс. симок реальных пенсионеров, с которых регистрировалось на голосование. То есть такая схема не только возможна, но уже и применялась на практике. Сколько таких кейсов прошло мимо наблюдателей, просто неизвестно.
- Автоматическое голосование. Есть вероятность, что существуют программы, которые автоматически голосуют по загруженным в них учёткам. Например, в первые секунды после старта голосования фиксируется аномальное количество голосов, отданных за короткий промежуток времени. Единственное объяснение, которое предлагают организаторы, — это якобы реальное поведение избирателей: якобы тысячи человек сидели перед экранами, нажимали кнопку «Обновить» в браузере и, как только система открылась ровно в 7:59, моментально отдали свои голоса. Объяснить, откуда взялся такой массовый энтузиазм просто невозможно.
- Накрутка. В какой-то момент наблюдается резкий скачок голосов за провластных кандидатов: их доля быстро возрастает, а затем столь же стремительно возвращается к прежним значениям. Происходит это вручную или автоматически — не так уж важно. Подобная аномалия была зафиксирована на выборах в Мосгордуму: в последний день голосования почти во всех округах доля голосов за «Единую Россию» резко подскочила около двух часов ночи и удерживалась на этом уровне до 16:00 воскресенья. После этого показатели внезапно вернулись к обычным значениям.
- Переголосование. Разовый случай произошёл в Москве в 2021 году, когда появилась возможность переголосовать. Формально это объяснялось заботой о свободе выбора: если избиратель оказался под давлением на работе и проголосовал «как велели», то позже он мог изменить голос уже по собственной воле. Но на практике всё вышло наоборот: голоса в основном меняли за провластных кандидатов. Это ещё раз показывает, что у организаторов коллективного голосования есть инструменты для влияния на итоговый результат.
- Синхронизация. В нескольких часовых поясах графики голосования совпадают буквально до деталей — и это выглядит крайне маловероятно. Представьте: в Московской области в 10 утра поведение избирателей на графике точно такое же, как в Калининграде (где в это время 9 утра), и в Алтайском крае (где уже 14:00). Если бы пики активности совпадали по местному времени — например, в 12 часов дня, когда все уходят на обед — это ещё можно было бы объяснить. Но здесь все аномалии синхронизированы по одному часовому поясу. Это наводит на мысль, что существует централизованная система накрутки, которая управляет голосованием сразу в нескольких регионах.
- Переписывание результатов. Такого пока не было, но в теории легко сделать.
