PDA

Просмотр полной версии : Голосование с технической точки зрения



stayer
11.09.2012, 02:26
http://ru-nsn.livejournal.com/1826371.html

Начался процесс регистрации на выборах в КС оппозиции, которые пройдут 20-21 октября ...

http://ic.pics.livejournal.com/ylitka09/13126915/119588/119588_600.jpg (http://ylitka09.livejournal.com/pics/catalog/368/119588)



Эти выборы ЦВК довольно важная штука: именно победившие кандидаты будут отныне управлять протестными акциями. Времена навязанных системой швондеров и самозванцев проходят. По сути это одна из реализаций прямой демократии. Не секрет, что в подобных выборах вначале будет участвовать наиболее активная и "продвинутая" публика, поэтому надеяться на автоматическую победу националистов, имеющую широкую поддержку в основной массе не следует. Для понимания, кто наиболее активно протестует, уместно вспомнить опрос Левады от 4 февраля: http://www.levada.ru/13-02-2012/opros-na-mitinge-4-fevralya (особенно это контрастирует с их мизером в общих опросах и выборах). Поэтому Русскому национальному движению необходимо весьма энергичное голосование за своих кандидатов.

С технической т.з. система голосования устроена по принципу один голос - один человек. Это означает, что будет проводиться деанонимизация избирателей. Есть ряд предложений по верификации (http://cvk2012.org/news/ekspress_faq_po_registracii_izbiratelej/?Year=2012) избирателей: привязка по банковскому счету, копии паспорта и т.п.

Предположим, что механизмов анонимной регистрации нет. Учитывая ненадежность хранения данных ЦВК в условиях рф, вполне возможна утечка информации по избирателям и их результатам голосования. Примем гипотезу, что охранка перехватила эти данные. Что дальше? Дальше она попытаются сделать следующее: проанализирует свзяи между избирателями и попытается установить устойчивые группы среди них. Для этого будут использованы телефоны, при помощи которых проводилась регистарция, возможно, интернет-каналы и т.п. Пример результата: Пупкин П. с вероятностью xxx входит в группу известного экстремиста NNN, Залупкин З. входит ...

Что делать? Личной анонимности тут быть уже не может, но стоит сохранить анонимность групповую, чтобы у тов.майоров кроме регистрационных данных более ничего не накопилось. Поэтому дам следующие советы избирателям: приобрести левую симку (любой ларек, где торгуют сотовыми), использовать ее с чужих, незасвеченных телефонов (телефон посылает уникальный код IMEI (http://forum.dpni.org/showthread.php?t=46553), по которому можно связать симки). Не использовать ее для связи с соратниками, в идеале выкинуть. При любых способах регистрации и голсования должны работать следующие принципы: дать минимум информации, не пользоваться личным каналами связи.

stayer
11.09.2012, 14:22
Про демократию для демократов.

Запуск прямой интернет-демократии один из немногих доступных серьезных шагов оппозиции в сегодняшних реалиях колонии рф. Однако система только создается и на данном тестовом этапе надо вводить ограничения, чтобы не позволить ее повредить и дискредитировать. Когда регистрацию пройдут миллион человек, когда система проверок будет отлажена, когда появится авторитет и узнаваемость, вот тогда можно выходить на боевой режим и никакие говнашисты и сексоты страшны не будут.

Про "националисты ничего не решают", не гоже "стоять с пидарасами" и т.п. Отвечу коротко: без конкурентной борьбы успеха не будет. Если кому-то больше нравится ходить на междусобойчики и дрочить на ниспосланного сверху вождя - тот раб, рабу ярмо.

---------- Post added at 14:22:33 ---------- Previous post was at 14:17:38 ----------


Главное, непонятна перспектива ЦВК. Если нацибольшинство возглавит процесс - то кто-нить верит, что остальная еврейско-либеральная стая пойдет за наци? Сомневаюсь я. Скорее всего тут же создадут свой, жидовский ЦВК, без наци. Главное раскрутить идею. Если большинство начнет участвовать, то им деваться уже будет некуда.

stayer
14.09.2012, 19:04
Сквозная прозрачность

Компьютерные технологии в системах голосования вызывают очень много споров, поскольку с их помощью гораздо легче подделывать результаты выборов.

Компьютерные технологии в системах голосования вызывают очень много споров, поскольку с их помощью гораздо легче подделывать результаты выборов. Но это смотря как к электронике подходить. Как и любой другой инструмент двойного применения, компьютерные системы голосования можно затачивать под манипуляции, а можно и совсем наоборот - под полную прозрачность и проверяемость результатов от начала до конца (или кратко E2E - входящий ныне моду термин "end-to-end audit").

Простые решения сложных проблем

Электронные системы голосования, ускоренными темпами внедряемые ныне в политическую жизнь множества стран, уже успели сильно разочаровать публику своей капризностью и ненадежностью. За последние месяцы применение подобных систем было запрещено в Нидерландах, отодвинуто в неопределенное будущее в Британии и существенно скорректировано новыми законами в США.

Два важнейших принципа честных выборов можно сформулировать так.

1. Избиратели должны совершать волеизъявление с помощью тайного голосования - чтобы было невозможно узнать, кто как проголосовал. Необходимо, чтобы никто не мог подкупить человека или принудить его к голосованию нужным образом, а избиратели, соответственно, не могли бы продавать свой голос.
2. Процесс голосования должен быть точным и проверяемым. Каждый избиратель должен иметь возможность убедиться, что никто не проголосовал больше одного раза; что голоса не были вброшены, уничтожены или подменены; что голосовали только зарегистрированные избиратели, а все отданные голоса были подсчитаны правильно.

Главная проблема честных выборов в том, что два этих базовых принципа очень трудно совместить друг с другом. Совсем несложно сделать голосование точным и проверяемым - просто зафиксировав все пары "избиратель-голос" и открыто опубликовав результаты для всеобщей проверки. Но тогда будет также очень просто покупать голоса и манипулировать избирателями, подрывая основы демократии. Механизмы же тайного голосования, с другой стороны, по "темной" природе своей дают широчайшее поле для злоупотреблений и махинаций с голосами.

Однако, как часто бывает в жизни, очевидный на первый взгляд вывод оказывается неверным. Например, люди веками были уверены, что засекреченная связь возможна лишь между теми, кто владеет общим секретным ключом к шифру. Столь же незыблемы были и представления о единственно возможном механизме организации выборов с помощью избирательных комиссий, подсчитывающих число голосов, отданных за конкурирующих кандидатов. Но четверть века назад в науке о защите информации произошла великая революция. Выяснилось, что существуют математически строгие методы засекречивания, позволяющие шифровать связь между абсолютно незнакомыми и никогда не общавшимися людьми - посредством криптографии с открытым ключом. Попутно ученые установили, что с помощью тех же самых, в сущности, идей можно реализовать и честные выборы, которые примиряют взаимоисключающие принципы.

Правда, поначалу решения были найдены лишь для теоретических моделей, довольно далеких от реалий жизни.
http://offline.computerra.ru/upload/kt-712-928.jpg

Эти модели подразумевали избирателей, подающих голоса в зашифрованном виде, чтобы никто из счетчиков комиссии не знал содержимое заполненного бюллетеня. При этом специальный метод "доказательства с нулевым знанием" (zero knowledge proof) давал счетчикам механизм, подтверждающий правильность учета голосов. Независимые комиссии наблюдателей, в свою очередь, могли проверять эти доказательства и убеждаться, что счетчики действительно не жульничали. Но кто за кого проголосовал, по-прежнему оставалось тайной. Главная красота моделей была в том, что здесь не требовалось слепо доверять честности власти, организующей выборы, или программистам, сделавшим по заказу правительства программную систему для проведения выборов, или кому-либо еще. Никто из них в принципе не мог сжульничать. Потому что это было математически невозможно - обмануть и не быть пойманным (с убедительным доказательством жульничества). Все, что для этого требовалось, - заложить в систему права на верификацию. Теоретически любой человек мог бы тогда воспользоваться программой-верификатором (или написать собственную) и проверить доказательства честности выборов самостоятельно - согласно стандартным процедурам проверки.

Такого рода модели в теории выглядели великолепно, но для практического воплощения они были чересчур сложны. Лежавшие же в их основе нетривиальные математические идеи были доступны для понимания лишь специалистам. А потому убедить среднестатистического избирателя в том, что новая схема выборов намного лучше всех прежних, казалось задачей невыполнимой.

Подобные взгляды держались довольно долго, но затем - к середине нынешнего десятилетия - сразу несколько умных людей вдруг поняли, что те же самые идеи можно реализовать просто, без мудреной математики, на уровне, понятном даже детям. Вряд ли должно удивлять, что людьми этими оказались широко известные в мире ученые-криптографы.

Мы расскажем о двух наиболее значительных системах голосования, о которых широкая публика узнала около года назад.

Punchscan

С 1860 по 1890 годы для борьбы с широкомасштабной подделкой выборов в США было введено множество разных технических средств. Таких, как избирательные урны с прозрачными стеклянными стенками для недопущения двойного дна и встроенных тайных отсеков. Или механические счетчики для опускаемых в щель бюллетеней, чтобы предотвратить хищения отданных голосов и массовое вбрасывание фальшивых бюллетеней.

Систему под названием, переводимым примерно как "Дыркоскан" (punchscan.org), изобрел Дэвид Чом (David Chaum) - автор ряда криптографических протоколов, широко применяемых в электронной коммерции, а также концепции "цифровых наличных". Кроме того, Дэвид Чом был одним из отцов-основателей IACR, Международной ассоциации криптологических исследований, созданной в 1982 году и по сию пору остающейся главной в мире организацией для специалистов, занимающихся открытой криптографией.

При сравнении с традиционным избирательным бюллетенем система Punchscan может показаться замысловатой, однако принцип ее работы прост. Новый бюллетень представляет собой лист бумаги, поделенный на две равные части проходящей посередине перфорацией. На каждой из половин напечатан уникальный номер-идентификатор. Лист складывают по линии раздела, так что на первой странице оказываются напечатаны имена избираемых кандидатов, каждому из которых случайным образом присвоена одна из букв алфавита. Ниже списка имеется горизонтальный ряд круглых отверстий, число которых соответствует количеству кандидатов. Через эти отверстия видны те же буквы алфавита, соответствующие кандидатам, но напечатанные на второй половине бюллетеня опять-таки в произвольном порядке.

Когда избиратель выбирает кандидата, ему надо найти в отверстиях соответствующую букву и отметить ее специальным маркером-фломастером. Красящий стержень у маркера намеренно сделан большего диаметра, чем у отверстия. Поэтому маркер обязательно пометит обе половинки бюллетеня в позиции избранного кандидата. Когда выбор сделан, избиратель разделяет бюллетень по линии перфорации. Одна из половинок (все равно какая) тут же публично уничтожается в шреддере, а вторая пропускается через стандартный портативный сканер и остается у избирателя в качестве проверочной квитанции. Отсканированный бюллетень с распознанным выбором изображается на экране, давая избирателю возможность убедиться в правильности учета и подтвердить завершение голосования.

Таким образом, система Punchscan фиксирует выбор, сделанный избирателями, однако не имеет никакой базы данных, сопоставляющей конкретный бюллетень с использовавшим его человеком. Очень важно случайное присвоение букв каждому из кандидатов, так что в разных бюллетенях эти буквы будут разными у одних и тех же фамилий в списке. По этой причине каждая из половинок бюллетеня по отдельности не дает никакой информации о сделанном выборе. Ибо на одной части есть фамилии с присвоенными им буквами и помеченная дырка, но неизвестно, какая там была буква. А на второй части есть помеченная буква, но неизвестно, какому кандидату она была присвоена.

Благодаря такой системе, избиратели не могут продавать свой голос, предъявляя квитанцию. А комиссии на избирательных участках, соответственно, обеспечивают лишь правильную процедуру голосования, но не знают, как именно отданы голоса. Итоги может подвести лишь центральная система Punchscan, где случайное присвоение букв было изначально зафиксировано в базе для каждого номера бюллетеня. Система, как уже говорилось, ничего не знает о том, каким избирателям достались какие номера. Однако каждый избиратель после итогового подсчета голосов может зайти в онлайновую базу и по номеру оставшейся у него квитанции проверить, что его голос учтен, и учтен правильно.

Комплекс программного обеспечения Punchscan в первой стабильной версии 1.0 был опубликован с открытыми исходными кодами в ноябре 2006 года на условиях лицензии Revised BSD. При этом система Punchscan разработана с учетом принципов безопасного программирования, то есть защита информации здесь реализована программно-независимым образом - на основе известных и надежных криптографических функций. Иначе говоря, такую архитектуру можно реализовывать и в системах с закрытыми кодами вроде Windows.

Система ThreeBallot

http://offline.computerra.ru/upload/kt-712-930.jpg

Другая система, под названием ThreeBallot (http://rangevoting.org/Rivest3B.html), то есть "Бюллетень, состоящий из трех частей", разработана знаменитым американским криптографом Рональдом Райвестом (именно он фигурирует под буквой "R" в популярнейшей криптосхеме с открытым ключом RSA, озаглавленной по фамилиям изобретателей). Райвест известен и благодаря популярным криптоалгоритмам для поточного шифрования, блочного шифрования и хеширования (RC4, RC5, MD5 и многие другие).
В придуманной Райвестом системе выборов ThreeBallot для учета отданных избирателями голосов тоже используется бумажный бюллетень, но другой конструкции. Как можно догадаться по названию, бюллетень состоит из трех практически одинаковых частей, разделенных перфорацией. Каждую часть отличает от соседних (и всех остальных в прочих бюллетенях) уникальный, случайно присвоенный номер-идентификатор, напечатанный по нижнему краю.

Главная хитрость этого изобретения в том, каким образом бюллетень заполняется избирателем. Три идентичные части предоставляют три позиции голосования для каждого из кандидатов. Чтобы проголосовать за кого-то из кандидатов, избиратель отмечает его "птичками" в любых двух из трех частей (в третьей оставляя позицию незаполненной). В то же время здесь следует голосовать против тех кандидатов, которых избиратель выбирать не желает. Для этого напротив них тоже проставляется "птичка", но только в одной произвольной части бюллетеня из трех (чтобы две остальные остались пустыми). Иначе говоря, пустых рядов быть не может, ибо заполнить надо каждую строку бюллетеня - "за" двумя отметками, "против" одной. После этого бюллетень разделяется по перфорации на три части, по выбору избирателя с одной из частей делается копия и выдается ему в качестве квитанции, а затем все три части опускаются в избирательную урну.

В оригинальной статье Райвеста о ThreeBallot (http://theory.csail.mit.edu/%7Erivest/Rivest-TheThreeBallotVotingSystem.pdf) подробно разбирается, каким образом при такой системе с высокой степенью достоверности удается совместить взаимно противоречивые требования к демократическим выборам - тайну голосования и проверяемость точного учета голоса. Одно из важных достоинств системы в ее прозрачности и простоте проверки - поскольку после сканирования всех бюллетеней, изъятых из урн, они полностью и открыто публикуются на веб-сайте избиркома. Кроме того, квитанция - хотя в ней есть фамилии кандидатов и против некоторых из них стоят "птички"! - совершенно не раскрывает информации о том, кем и за кого был отдан голос, то есть не может быть использована в скупке голосов избирателей.

Как и любая другая система голосования, ThreeBallot имеет не только достоинства, но и недостатки. В Массачусетском технологическом институте, где работает Райвест, студенты уже в декабре 2006 года устроили "игрушечные" выборы, дабы проверить работоспособность новой системы. Изъяны ThreeBallot, выявленные "в полевых испытаниях" и в придирчивых аналитических исследованиях коллег, автор попытался исправить в новой работе (http://www.math.temple.edu/%7Ewds/homepage/tb8.pdf), подготовленной совместно с общественным активистом-математиком Уорреном Смитом (Warren D. Smith) и опубликованной летом 2007 года.

Принимая во внимание высочайшую важность эффективных технологий голосования для поддержания и развития демократии, Райвест не стал защищать свое изобретение патентами и лицензиями, а сделал идею ThreeBallot всеобщим достоянием.

Проверки и дополнительная безопасность

На основе системы Райвеста ThreeBallot за последний год разработано еще несколько новых систем голосования: трехчастевой бюллетень VAV (Голос-Антиголос-Голос), упрощенная система Twin с одночастевым бюллетенем и ряд других модификаций. На основе идей Punchscan Дэвид Чом разрабатывает ныне более продвинутую систему голосования Scantegrity. www.scantegrity.org (http://www.scantegrity.org/)

Базовые процедуры проверки честности выборов для описанных систем содержат как несколько общих моментов, так и некоторые существенные различия. В каждой из технологий квитанция, оставляемая у избирателя после выборов, не раскрывает, за кого был отдан голос. Иными словами, в квитанции не содержится никакой секретной информации. Поэтому после выборов избирательная комиссия публикует содержимое каждой квитанции в онлайновой базе данных. А всякий избиратель может свободно зайти в эту базу и, введя идентификационный номер своей квитанции, сверить ее содержимое с учетной записью в базе и удостовериться, что его голос зафиксирован правильно.
Также благодаря такой базе любой избиратель или всякая заинтересованная в честных выборах сторона могут проинспектировать и правильность итоговых подсчетов в целом. В случае системы Punchscan, правда, все содержимое базы предоставить для проверки нельзя, поскольку это позволит установить соответствие между голосами и идентификаторами бюллетеней. Однако половина базы данных может быть раскрыта и без нарушения принципов тайного голосования. А поскольку эта половина формируется в результате случайного выбора записей, контрольная процедура с высокой надежностью позволяет удостовериться, что все бюллетени подсчитаны правильно. В системе ThreeBallot подобной проблемы нет, поэтому для открытого доступа и проверки правильности учета/подсчета публикуются все бюллетени.
Если непосредственно при голосовании использование компьютеров (как звена, наиболее уязвимого для злоупотреблений) сведено к минимуму, то на этапах подготовки выборов и итоговых подсчетов результатов продвинутые инфотехнологии оказываются чрезвычайно полезны для усиления возможностей проверки.

Разработчики Punchscan, в частности, создали целый ряд мер для обеспечения целостности и честности выборов в условиях работы избиркомов, полностью разложенных коррупцией. Для итоговых подсчетов, например, придумана схема из нескольких независимых друг от друга баз данных. Каждая база может быть наполовину открыта для инспекции конкурентами, а при итоговых подсчетах все они должны давать один и тот же результат. Так что если власть захочет подделать итоги выборов, ей придется подделывать содержимое каждой базы данных. Вероятность обнаружения жульничества при этом растет в экспоненциальной зависимости от числа независимых баз. Так что обеспечить честные выборы становится много легче.


http://offline.computerra.ru/upload/kt-712-929.jpg

Созвучные варианты ИТ-подходов разработаны и для обеспечения честных выборов на этапе их подготовки - при печати бюллетеней и создании исходной базы (или баз) данных с идентификационными номерами напечатанных бюллетеней. Методы проверки тут строятся на основе криптографических однонаправленных функций, заранее вычисляющих на основе уникальных идентификаторов и прочей исходной информации хеш-значения или "битовые обязательства" власти не жульничать.

Подводя же общий итог этому краткому обзору новостей в технологиях голосования, можно заключить следующее. Научные методы теории информации, теории вероятностей и криптографии на сегодняшний день позволили построить простые для понимания, эффективные в механизмах и очевидно реализуемые на практике технологии демократии для безопасного и насквозь прозрачного голосования. Реально эти технологии для выборов государственной власти пока что нигде не применяются. Захочет ли вообще власть этими технологиями воспользоваться - вопрос пока открытый.

Какие выборы лучше? Граждане России, США и многих других стран знакомы, главным образом, лишь с одной системой выборов власти - по большинству отданных за кандидата голосов (Plurality Voting). Суть этой системы сводится к нехитрой формуле "выбери одного кандидата из списка - и гуляй отсюда". Выигрывает выборы, соответственно тот, кого отметили в наибольшем числе бюллетеней. К сожалению, эта система весьма неудачна во многих отношениях:


кандидат, значительным большинством избирателей расцениваемый как худший вариант, в таких условиях может легко обойти конкурентов и выиграть выборы (например, если три из четырех кандидатов наберут чуть меньше 25% голосов каждый, а четвертый - не устраивающий почти 3/4 населения, наберет 28% и выиграет выборы);
голосование избирателей за своего любимого кандидата может быть большой стратегической ошибкой (оттягивая очень нужные голоса у более вероятного победителя, противостоящего совсем неприемлемому, но тоже вероятному варианту);
выборы по большинству голосов отражают наименьшее количество информации о реальных предпочтениях людей, опровергая идею о том, что цель голосования - сбор информации о воле народа;
с течением времени страны с выборами по большинству голосов трансформируются в систему двухпартийного доминирования, так что у избирателей остается лишь самый минимальный выбор, подрывающий суть демократии.

При этом уже по меньшей мере двести лет известны куда лучшие системы голосования. Одна из самых простых - это голосование одобрением (Approval Voting), где избиратель отмечает в бюллетене всех кандидатов, которых "одобряет". А выигрывает, соответственно, тот, кто получил наибольшее число одобряющих голосов. Эта система даже проще классической схемы "по большинству", потому что здесь нет никаких особых правил для отбраковки "неправильно заполненных" бюллетеней с голосами за несколько кандидатов. (Один из вариантов голосования одобрением использовался на заре демократии в США, при выборе первых четырех президентов.) Среди наиболее удачных вариантов из альтернатив - голосование ранжированием (Range Voting), где избиратель оценивает каждого кандидата по десятибалльной, скажем, системе от 0 до 9. Понятно, что выигравшим считается кандидат, набравший наибольшее количество баллов. Но одновременно и отдача 9 баллов любимому кандидату никогда не будет стратегической ошибкой, так что избиратели будут голосовать более честно и предоставлять более объективную картину о воле народа.

http://offline.computerra.ru/2007/712/341919/

---------- Post added at 19:04:48 ---------- Previous post was at 18:40:34 ----------

Критика и обсуждение

Вообще говоря, голосования описываются математической теорией группового выбора - частью математической теории принятия решений (http://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D0%BF%D1%80%D0%B8%D0%BD%D1%8F%D1%82%D0%B8%D1%8F_%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B9). Абсолютно хороших систем выбора не существует, существует т.н. парадокс Эрроу (http://ru.wikipedia.org/wiki/%D2%E5%EE%F0%E5%EC%E0_%DD%F0%F0%EE%F3) - "теорема о невозможности коллективного выбора".

Если говорить о практическом интернет-применении E2E, то основной претензией будет невозможность отследить вбросы со стороны администрации системы голосования. E2E гарантирует проверяемость своего выбора каждым избирателем, но не дает механизма проверки выбора других. Процедура верификации избирательных бюллетеней вообще выходит за рамки математики, это технически сложная задача:

идентификационный номер человек должен получать публично, для последующей проверки числа голосовавших. Фиксировать можно on-line видеосъемкой лица и государственных удостоверений личности, сканированием сетчатки глаза, отпечатков пальцев и т.п.
Еще одним слабым местом является схема защиты с ЭЦП: подпись ключа - некое честное слово некоего удостоверяющего центра, не более того. При перехвате ключа возможно подделка как выбора, посылаемого по сети, так и результатов проверки.


Защищённое от злоупотреблений голосование по интернету это очень сложная техническая проблема, которую политики полагают простой


Тем не менее E2E системы являются на сегодняшний день наиболее честными системами голосования среди применяющихся, есть их открытые реализации:




https://www.pgpru.com/themes/plastiq/icons/web.gifThreeBallot (https://secure.wikimedia.org/wikipedia/en/wiki/ThreeBallot)
https://www.pgpru.com/themes/plastiq/icons/web.gifPunchscan (https://secure.wikimedia.org/wikipedia/en/wiki/Punchscan)
https://www.pgpru.com/themes/plastiq/icons/web.gifScantegrity (https://secure.wikimedia.org/wikipedia/en/wiki/Scantegrity)
https://www.pgpru.com/themes/plastiq/icons/web.gif (https://secure.wikimedia.org/wikipedia/en/wiki/Pret_%D0%B0_Voter)Pret a Voter (http://en.wikipedia.org/wiki/Pr%C3%AAt_%C3%A0_Voter)



Что там нареализовывали в ЦВК не знаю ...


Политики вообще не склонны говорить правду, их задачей является получение власти. Вдвойне не склонны говорить правду те, кто управляет голосованием.


https://www.pgpru.com/forum/politikapravorealjnyjjmir/obinternetvyborahibezopasnosti

stayer
19.09.2012, 18:09
Кое-какие околонаучны мысли о голосовании, если отбросить афозный бред:

Парадокс Кондорсе и теорема Эрроу. Двухпартийная демократия с позиций теории игр

http://avtonom.org/sites/default/files/store/imagecache/thumb/donkey-elephantlg.jpg (http://avtonom.org/sites/default/files/store/donkey-elephantlg.jpg)
Парадокс Кондорсе и теорема Эрроу. Варианты содержательной интерпретации теоремы Эрроу: прагматика демократии, апология авторитаризма, научный материализм. Двухпартийная демократия с позиций теории игр (условия устойчивости). Распределенные алгоритмы соорганизации. И институты правового общества, и институты централизованного планирования, предполагают наличие некоей власти. Институциональные формы власти, формы управления, могут быть весьма различны. В частности, современные формы власти формируются посредством некоторого формализованного учета «воли народа». Анализ показывает, однако, что при этом существует целый ряд проблем, далеко выходящих за рамки дилеммы «хорош руководитель или плох».
Еще до первой французской революции математик маркиз де Кондорсе теоретически исследовал некоторые коллизии, возможные при организации выборов. Это направление исследований привело впоследствии к теореме Эрроу, получившего за нее нобелевскую премию по экономике. В одной из содержательных интерпретаций, теорема Эрроу показывает, как стремление к рациональности политической жизни ведет к диктатуре. Не вдаваясь в математически строгие формулировки, поясним существо дела на простой модели, родственной, впрочем, рассуждениям Эрроу. Пусть есть всего два избирателя, и они решают вопросы о порядке предпочтения из небольшого числа- двух или трех- кандидатур, которые будем обозначать инициалами M, B и Vлц. Договоримся, с одной стороны, избегать ситуаций, когда один из двух избирателей становится диктатором, а с другой стороны- попытаемся, чтобы политическая жизнь обошлась без глупостей. Окажется, что эти желания- несовместны: или не всегда умная политическая жизнь, или диктатура. Пусть каждый избиратель формирует свой список предпочтений в виде строки, где на первом месте стоит самый предпочитаемый кандидат, а на последнем- самый неприемлемый, а места разделены запятыми, так что если два кандидата стоят не через запятую- то они занимают одно и то же место. Скажем, 1: V, B, M означает, что первый избиратель ставит на первое место кандидата V, на второе- кандидата B, и на третье- кандидата M. И пусть мы ищем «хорошую» процедуру, которая по двум спискам предпочтений выдает итоговый третий список предпочтений, разумеется, не зависящий от инициалов, а только от порядка, в котором эти инициалы стоят. Если кандидатов всего два, то единственный разумный и не диктаторский вариант состоит в том, что из 1: V, B и 2: V, B следует итог V, B а из 1: V, B и 2: B, V следует итог VB- когда избиратели расходятся во мнениях, то борьба кандидатов заканчивается вничью. Если бы мы захотели при расхождении во мнениях принимать мнение избирателя 1, то в этой простой ситуации он был бы в выигрыше вообще всегда, то есть был бы диктатором- ведь когда его мнение совпадало бы с мнением второго избирателя, его мнение также бы реализовывалось. Поэтому вариант ничьей- единственный антидиктаторский, его и будем, как последовательные противники диктатур, придерживаться. А теперь несколько усложним политическую жизнь, введя в игру третьего кандидата. И рассмотрим структуру мнений 1: V, B, M и 2: M, V, B. Понятно, что V предпочтительнее B – оба избирателя считают его предпочтительнее. Но попробуем теперь, с одной стороны, использовать наше антидиктаторское правило, а с другой стороны, одновременно с ним, устремимся к тому, чтобы политическая жизнь была рациональной. А именно, в качестве реализации стремления к рациональности, будем полагать, что в любой паре кандидатов решения о том, кто лучше, принимаются так, как будто третьего кандидата нет вовсе. Если мысленно убрать кандидата V, получим 1: B, M и 2: M, B что, по нашим антидиктаторским правилам, означает MB- равенство двух оставшихся кандидатов. Если мысленно убрать кандидата B, получим 1: V, M и 2: M, V то есть VM – равенство в несколько другой паре кандидатов. Объединяя результаты, получим полное равенство всех трех кандидатов MBV – раз они равны попарно. Но нами же ранее уже было установлено, что, разумеется, V предпочтительнее B, а вовсе не равноценен ему! В данном примере стремление к отсутствию диктатуры явно ведет к неразумным результатам.
Есть три варианта отношения к теореме Эрроу:


Раз все, формальные, институты демократии, несовершенны, то пусть, из всех из них, стабильно используется, некий вариант, а общество, зная о его несовершенстве, к нему приспособится.
Раз формальные процедуры, работают, настолько глупо, то пусть уж, лучше, так и будет диктатор- при всех, негативных, чертах, диктаторов, они, в среднем, не настолько глупы, как формальные процедуры.
Хорошо бы иметь диктатора, но идеального, который и мало ошибается, и настолько силен, что все ему подчиняются. Да еще, чтобы «не обидно было», то есть, чтобы подчинение, не задевало самолюбия.

Есть люди, предпочитающие, варианты 1 и 2. Вариант 3, кажется им, малореальным. Между тем, вариант 3, не столь нереален. Дело в том, что, кроме субъективных мнений, есть еще и объективная, данная нам всем, в сопоставимых ощущениях, реальность. Например, люди, самых разных убеждений, могут, с примерно равными результатами, использовать, один и тот же, автомат Калашникова- ибо он материален, принадлежит общей, для всех, объективной, реальности. И, вполне возможны, социальные институты, назначающие, на место диктатора, объективную реальность. Например, так устроена мировая наука. Чем еще хороша, объективная реальность, как диктатор- это тем, что она не нуждается, в дополнительных репрессивных органах, для осуществления, своих властных полномочий- у ней свои методы.
В Исламе есть легенда, о праведнике Ибрагиме, который обсуждал, с неким властителем, уровень его влияния. Эта легенда привлекла Пушкина, придавшего теме, вид диалога, властителя, с Богом: «Я также, рёк он, жизнь дарую, и также смертью наказую: с тобою, Боже, равен я». Ответ на это, по Пушкину, переложившему, оригинальную точку зрения, Ибрагима: «Подъемлю солнце я с востока: с заката подыми его!»
Возможности, объективной реальности, как субъекта власти, не стоит недооценивать.
Если обращаться к демократической практике, то сегодня наиболее распространены двухпартийные системы, с поочередным уходом партий в оппозицию. Поскольку к любым демократиям надо приспосабливаться, изучим здесь двухпартийные системы, теоретически. Для ряда стран, рассматривающихся сегодня в качестве некоего образца демократии, характерны исторически сложившиеся двухпартийные системы, когда имеются две примерно равные по влиянию партии, напряженное соревнование которых и вынуждает политиков по настоящему учитывать мнения избирателей. Однако, попытки формального переноса соответствующих законодательных норм в другие страны далеко не всегда приводят к позитивным результатам- «так, как в традиционно демократических странах», не получается. В связи с этим, принято говорить о некоторой «политической культуре и демократических традициях», которых и не хватает. То есть, кроме формальных законов, для нормальной работы демократической системы необходимо еще нечто. Попробуем здесь приоткрыть завесу тайны над этим таинственным недостающим компонентом, прибегнув к анализу ситуации конкуренции двух партий за голоса избирателей. Как мы увидим, ситуация, когда реализуется двухпартийная конкурентная демократия, и она работает в известном смысле на благо избирателей, логически возможна. Вместе с тем, при некоторых конкретных условиях такая система может и не работать- и эти условия также будут получены в рамках нижеследующего анализа.
Пусть избиратели разбиты на подгруппы, таким образом, что количество бюллетеней, подаваемых каждой из групп за ту или иную партию, является функцией от предвыборных обещаний партий. В действительности, реакция избирателей имеет вероятностный характер, но мы будем полагать, что группы довольно многочисленны, так что случайные отклонения усреднятся, и в целом каждая группа будет реагировать на содержание предвыборных обещаний почти детерминированно. Далее, примем «гипотезу эгоизма»- будем полагать, что каждая группа реагирует не на предвыборные обещания в целом, а лишь на обещания, адресуемые ей. Наконец, примем «гипотезу реалистичности»- будем полагать, что, обещая одной группе избирателей некие преференции, каждая партия снижает преференции для других групп, и тем становится об этом известно - например, благодаря критике со стороны конкурирующей партии, либо благодаря разумности и образованности избирателей. Будем также предполагать, что предпочтения избирателей ни от чего, кроме текущих предвыборных обещаний, не зависят- не зависят, например, от истории партий, от их имиджа, от авторитета и привлекательности их лидеров.
В описанных предположениях, каждая из двух партий, разрабатывая свою предвыборную платформу, будет решать вопрос, как именно распределить, например, бюджетные субсидии, по группам избирателей, с тем, чтобы в итоге набрать максимальное количество голосов в свою пользу. Такая задача близка к задаче о конкурентной борьбе за покупателей двух корпораций, также решающих, какие средства вложить в рекламу, нацеленную на различные группы. При этом в политической сфере имеется то отличие, что все избиратели имеют равную «платежеспособность»- по одному голосу- тогда как корпорации интересует денежный платежеспособный спрос, то есть, больше интересуют покупатели с большими средствами.
Подобно тому, как это действительно делается при оптимизации маркетинговых стратегий крупных корпораций, для выработки «оптимальной программы» в идеале требуется знать как можно больше о тех функциях, которые описывают отклик избирателей на предвыборные обещания. Здесь мы примем относительно этих функций некоторые упрощающие предположения. Во первых, будем считать, что явка избирателей стопроцентная- тем самым, достаточно предвидеть, сколько избирателей рассматриваемой группы проголосуют за партию a- все прочие проголосуют за партию b. Прогноз для поддержки группой 1 партии a является, вообще говоря, функцией не только от обещаний (допустим, обещаний бюджетных субсидий) со стороны этой партии, но и от конкурентных обещаний со стороны партии b. Мы для простоты положим, что доля поддержки группой 1 партии a является функцией от объединенного параметра- от отношения обещанного субсидирования группы 1 партией a к сумме обещанных субсидирований этой группы партиями a и b. Такое предположение об однопараметричности позволит нам изображать соответствующие функции на графиках. На графике изображена модельная зависимость доли группы 1, голосующей за партию a, как функция от отношения бюджетных обещаний в адрес этой группы со стороны этой партии, Ma, к сумме бюджетных обещаний в тот же адрес со стороны обеих партии, Ma +Mb.
http://avtonom.org/sites/default/files/store/image/economylec/Economics_html_378efc17.gif
Для другой группы аналогичная зависимость может быть иной, например, более пологой, как это изображено для группы 2 на нижеследующем рисунке:
http://avtonom.org/sites/default/files/store/image/economylec/Economics_html_m770c775.gif
Предположим, что на некоторой стадии формирования предвыборных платформ бюджетные обещания в отношении группы 1, и группы 2, были на одном уровне со стороны обеих партий, что соответствует значению параметра Ma/(Ma+Mb)=0.5. Такая ситуация может измениться, в дальнейшем планировании, если хотя бы одна из партий имеет возможность так изменить свои предвыборные обещания, чтобы это было ей выгодно. Но, оказывается, это не всегда просто сделать- вообще говоря, таких изменений может не существовать. Предположим, для краткости (данное предположение, как читатель может удостовериться самостоятельно, на выводы не влияет- и потому не вошло в наш список базовых допущений), что обе рассматриваемые группы избирателей 1 и 2 равны по численности. И пусть партия a решает снизить бюджетные обещания в адрес группы 1 до уровня, показанного пунктиром на графике 1 - параметр Ma/(Ma+Mb) станет меньше, чем 0.5. Высвободившиеся средства эта партия переместит на бюджетные обещания группы 2, и доля ее сторонников во второй группе увеличится, как это показано пунктиром на графике 2. Однако, как видно из сопоставления рисунков 1 и 2, увеличение числа сторонников в группе 2 может совпадать с его уменьшением в группе 1- и тогда такое изменение программы будет бессмысленно, не даст выигрыша. При каких условиях это произойдет? Очевидно, это произойдет только в случае, когда изменения параметра Ma/(Ma+Mb) для групп 1 и 2 специальным образом взаимно согласованы. Скажем, видно, что увеличение этого параметра для группы 2 в рассматриваемом примере больше, чем уменьшение того же параметра для группы 1, в силу того, что для группы 2 график зависимости более пологий. Если считать уменьшение бюджетного обещания партии a группе 1 равным по величине увеличению бюджетного обещания этой партии в адрес группы 2, то большее значение изменения параметра Ma/(Ma+Mb) возможно только за счет меньшей суммы Ma+Mb – то есть, во сколько раз более пологой является зависимость отклика избирателей на изменение соотношения обещаний, во столько раз меньше должна быть сумма обещаний в адрес этой группы. Если такое условие выполнено, то, по крайней мере, столь простые модификации предвыборных платформ, к выигрышу не ведут. Причем в итоге это «необходимое условие устойчивости» задает однозначно предвыборные платформы обеих партий. Действительно, наклон графиков отклика избирателей на изменения относительного уровня обещаний, по крайней мере, в малой окрестности точки равных обещаний- это фиксированная величина (равная 4 для первого графика и 1.5 для второго, в нашем примере). Соответственно, раз суммы обещаний должны быть пропорциональны этой величине – то известно, что второй группе должны обещать 1.5/(1.5+4)=27.2727..% доли бюджета, приходящейся на эти две группы, а первой группе- 4/(1.5+4)=72.7272..% доли того же бюджета, и аналогично решается вопрос при большем числе групп. Если группы не равны по численности, то пропорционально крутизне функции отклика распределяется бюджет в расчете на одного члена группы. Причем программы обещаний каждой из партий практически совпадут- что часто наблюдается в политической жизни некоторых стран.
Что будет, если одна из партий попытается отклониться от вычисленной выше стратегии? А очень просто- другая партия тут же ее переиграет- только в вышеописанных условиях может быть ситуация, когда «противник ничего не может предпринять».
Вышеописанная модель «идеальной двухпартийной демократии» любопытна в том отношении, что по итогам выборов общество не будет расколото- все равно обе партии придерживались по сути одной и той же программы, сбалансированно учитывающей все группы избирателей- просто одна из партий сориентировалась на этот баланс точнее, и нет никаких оснований считать избирателя, голосовавшего не так, как другой, идеологическим врагом.
Но раз партии одинаковые, то зачем их две? А затем, что если не будет конкуренции, то чего ради политики вообще будут столь детально интересоваться мнением народа? Партии именно должны быть примерно одинаковые, и две, и жестко конкурировать в рамках неких правил «честной борьбы».
Двухпартийная демократия реализует некий вариант равенства- а именно, равенства на единицу остроты реакций, а не на один голос сам по себе. Если некая группа избирателей безразлична к предвыборным обещаниям, то есть имеет нулевую остроту реакций- в логике двухпартийной борьбы она не получит ничего, ни от одной из партий- партии будут вынуждены предложить свои обещания иным, менее инертным, группам. Именно вынуждены- попытка действовать иначе приведет партию к проигрышу.
Казалось бы, в обществе в описанных условиях может нарастать степень остроты реакции- это дает возможность даже малой группе избирателей получать большие преференции. И такие негативные феномены видимо имеются в «современной демократии». В то же время, нарастание остроты реакций может приводить к дестабилизации самого института конкурентной демократии, к возникновению ситуации, когда предвыборные платформы неустойчивы, и не отражают в каком-либо ясном смысле действительные интересы избирателей.
Неустойчивость связана с возможностью вовсе не малых модификаций равновесных избирательных программ, исходящей из того, что если некую группу обделять мало- то за счет этого много не выиграешь, а если обделить очень сильно- то она свое несогласие слишком сильно выразить все равно не сможет- больше чем сто процентов своих голосов противнику все равно не отдаст- а других избирателей за ее счет можно эффективно стимулировать. Представим себе, например, что есть группа 1 в 1% избирателей, а прочие избиратели образуют монолитную группу с крутизной реакции x. Если в рамках равновесных предвыборных платформ группа 1 получала некую субсидию, допустим в размере 1% бюджета, то одна из партий может предложить эту субсидию не давать, а отдать большой группе. Тогда первая группа не даст те 0.5*1%=0.5% голосов, которые дала бы при равновесной избирательной платформе- она все свои голоса отдаст той партии, которая продолжает ее интересы учитывать, а не распределит эти голоса примерно поровну между конкурирующими партиями. Но вторая, большая, группа, даст дополнительно на единицу своей численности прирост голосов в количестве около x*(1/(1+0.99)- 0.99/(0.99+0.99)= x*0.01/(2*0.99), или, с учетом численности этой группы, 99%*x*0.01/(2*1.99) голосов. Это может быть выгодно первой партии, если x*0.99%/(2*1.99)1>0.5%, то есть если острота реакции большой группы, x, выше, чем приблизительно 2. В описанных условиях не будет стабильных предвыборных платформ, пропорционально учитывающих интересы всех избирателей, будет выгодно учитывать только мнение большой остро реагирующей на преференции группы, и игнорировать интересы маленькой группы. Причем партии будут вынуждены так поступать, чтобы не проиграть в конкурентной борьбе.Тем самым, слишком высокая острота реакции избирателей также социально неприемлема.
Вообще говоря, при избыточно острой реакции на преференции, не всегда будет иметь место именно диктат большинства, и неучет мнения меньшинства – может быть и просто политическая нестабильность. Ведь и наличие большой монолитной группы- далеко не всегда некая нерушимая данность, напротив, реально всегда есть гетерогенность, и возможность использовать эту скрытую гетерогенность в интересах победы в предвыборной борьбе.
Чтобы лучше понять последнюю проблему, рассмотрим гипотетическое общество, где все группы избирателей реагируют предельно остро- то есть, та партия, которая предложит чуть-чуть больше, чем вторая, мгновенно получает все голоса соответствующей целевой группы (targeted group- термин, используемый в математических исследованиях рекламных стратегий крупных корпораций). Пусть в обществе было 20 примерно равных по численности целевых групп избирателей, и некоторая предвыборная платформа, предлагавшаяся партией a, имела вид, показанный на рисунке.
http://avtonom.org/sites/default/files/store/image/economylec/Economics_html_248e6498.gif
Видя эту платформу, партия b может предложить свою платформу, отличающуюся тем, что финансирование целевой группы #13 исключено, а высвободившийся бюджет поровну распределен между прочими 19-ю группами. Как видно из рисунка, каждая из девятнадцати групп теперь получила несколько больше, чем ранее, а значит, в рамках предположения о предельно острой реакции на преференции, проголосует целиком за партию b. Группа 13, конечно, будет против- но это примерно 5% голосов против, ни на что не повлияет. Но, видя это, теперь уже партия a предложит, по тому же простейшему правилу, свое перераспределение, когда все девятнадцать групп, теперь уже включая группу 13, но исключая на этот раз допустим целевую группу 1, вновь получат преференции- за счет того, что в рамках платформы партии b причиталось ныне обделенной группе 1. И так далее- выиграет та из партий, которой выпадет сделать последний ход, вне связи с деталями мнений избирателей. Конечно, такую ситуацию назвать нормальным управлением обществом нельзя.
Как видим, демократические системы управления- не столь уж простой, и даже не столь уж надежный, инструмент управления обществом. Причем, конечно, в современном информационном обществе навыки «взлома» этих систем совершенствуются. С другой стороны, нет ни тени сомнения, что современная наука могла бы предложить пути решения многих проблем устойчивости и эффективности демократических систем.
Например, разрабатывалась система моделирования “честного рынка решений” на основе материалов анкетирования, когда каждый участник расставлял неотрицательные оценки по вариантам решения некоторого пакета проблем. Компьютер находил по указанной совокупности данных взаимоприемлемый компромисс, руководствуясь следующей процедурой: - оценки решений, полученных от каждого лица, нормируются: делятся на общую сумму выставленных этим лицом оценок (после нормировки сумма выставленных каждым участником оценок делается одинаковой для всех участников, и равной единице, то есть создается аналог ситуации когда на рынке у каждого исходно одинаковая сумма денег); после этого, уже с использованием нормированных оценок, находится решение - аутсайдер, для которого сумма оценок всех лиц по этому решению минимальна. Это наименее популярное из всех рассмотренных решений выбрасывается, после чего вновь производится перенормировка оценок: нормированные оценки тех лиц, которые поставили ноль непопулярному решению, не изменяются, а нормированные оценки тех лиц, которые оценили непопулярное решение выше ноля, вырастают. Тем самым им компенсируется ущерб, вызванный выбрасыванием решения, которое они безнадежным не считали. В противном случае, если не использовать компенсации, мы получим расхождение с “рыночными” принципами - получится, что люди заплатили “деньги за товар который им не дали”, “заплатили не за товар а всего лишь за нереализованное желание его приобрести” (так случается, конечно, и на рынке, но только при нечестных продавцах - честный продавец, если у него не взяли товар, от денег обязательно откажется). При наличии нескольких кандидатов на выбрасывание (практически крайне маловероятная ситуация равенства минимальных оценок) для определенности исключается тот, кто расположен ближе к началу списка (произвол и неоднозначность в этом моменте нас не интересует, поскольку и на рынке можно купить равноценный товар просто у того кто стоит в конце прилавка - главное, чтобы за товар было заплачено; реально “рента” при расположении варианта решения ближе к концу слишком редко выплачивается и невелика, и даже может быть, при наличии указываемых ниже дополнительных правил, различного знака - в реальных ситуациях ею смело можно пренебречь), для укороченного списка решений процедура повторяется, до тех пор пока по некоторому вопросу не останется только одно решение. Такое решение считается принятым, не подлежит выбрасыванию. Аналогия с идеально честным рынком предполагает, что и на “владение” этим уже прошедшим решением продолжают начисляться освобождающиеся баллы - в противном случае получат преимущество те, чьи решения прошли (случайно или преднамеренно) раньше чем у других - эти решения исходно достаются им “слишком дешево”, когда на них еще мало высвобождающихся баллов начислено. В экономике частичным аналогом такой “платы за владение” является, например, налог на недвижимость. Отсутствие более явных аналогий с экономикой обусловлено тем, что в нашем случае баллы - “деньги” одноразового использования, и по мере принятия решений кончаются навсегда. Описанная процедура заканчивается, когда по каждому вопросу останется только одно решение.
Заключительные замечания
В данном цикле статей мы сознательно акцентировали внимание на некоторых острых проблемах современной жизни. Негативные факты нередко дают повод к сомнениям в позитивном предназначении человека. Например, встречаются идеи о заведомой вредности прогресса. В действительности, мы возможно просто не знаем своего предназначения. А потому не можем и утверждать, что все наши проблемы - от бесперспективности нашей жизни. Это ведь могут быть и просто «болезни роста». Ребенок, болеющий свинкой, тоже неприглядно выглядит. Потом проходит. Сейчас человек выглядит как пусть и властвующий над природой, но властвующий бессмысленно. Но это сейчас, выводы делать рано.
Попробуем заглянуть в проблемы самого отдаленного будущего - опираясь исключительно на представления совремнной науки, при всей их ограниченности.
Через миллиарды лет – Солнце выгорит, и схлопнется. Будет взрыв, уничтожающий все живое. Биосфера погибнет. И самые гармоничные животные и растения ничего сделать не смогут. А что же невероятно негармоничный, видимо бесполезный природе, человек?
А он, судя по всему, сможет это. И не через миллиарды лет. Можно начать экстренную программу ухода от взрыва Солнца уже почти сейчас, на почти нашем техническом уровне.

stayer
25.10.2012, 18:58
Голосование в КС оппозиции – надёжно ли это?


Электронная демократия на практике


Непосредственным поводом для написания этой статьи стал тот факт, что ко мне обратились с просьбой стать наблюдателем за выборами со стороны националистической курии и выполнить работу “технологического аудитора” по вопросу о надёжности организованного голосования . Этот текст – отчёт об увиденном и мои оценки сделанной Центральным Выборным Комитетом системы и проделанной ЦВК работы.
В силу жанра самого выступления – аудита безопасности информационной системы, я буду много писать о (гипотетически существующих) уязвимостях. Но для правильной оценки самих выборов нужно различать сам факт существования уязвимости и то, была ли она использована на практике.

Прощу прощения за отсутствие литературных красот в тексте – он готовился в цейтноте, вызванном желательностью быстрой публикацией отчёта после подведения итогов голосования.

1. Как была построена моя работа

У меня не было прямого доступа к информационной системе ЦВК, да он, по большому счёту был бы и бесполезен, даже с правами администратора. Не участвовав в процессе изначальной установки и настройки операционной системы и софта для голосования, я не смог бы гарантировать отсутствие скрытого программного обеспечения, искажающего ход голосования прямо в его процессе.

Поэтому своей задачей я счёл анализ архитектуры системы и процедур, придуманных организаторами, чтобы повысить убедительность голосования, доказать, что подделок всё же не было. Я постарался не получить (и не получил) в свои руки никаких внутренних данных системы, которые не были бы доступны публично, но получал от председателя ЦВК Леонида Волкова необходимые объяснения о внутреннем устройстве системы, организационных процедурах и иную необходимую мне информацию.

Вся эта информация предоставлялась в запрошенном мною объёме и вполне добросовестно.

Так же некоторый объём технической информации о схеме работы системы был опубликован Леонидом по адресу http://leonwolf.livejournal.com/445249.html .
Поскольку, повторюсь, честный анализ безопасности информационной системы не сводится к анализу технической компоненты, но и в обязательном порядке включает в себя анализ организационных процедур – в настоящем документе будет разбор и критика этих самых процедур. Читатель должен понимать, что в этом вопросе я не выхожу за пределы тех действий по аудиту, которые от меня были запрошены.

2. Что такое выборы в КС

Прежде чем говорить о том, насколько безопасно с точки зрения подделок прошли эти выборы, хотелось бы определиться с тем, чем они собственно говоря, являются и чем они НЕ являются.

Итак, прежде всего, необходимо чётко понимать, что выборы в КС оппозиции – это НЕ выборы в государственные или муниципальные органы власти. Более того, несмотря на название выборов, они не являются выборами в Координационный Совет ВСЕЙ оппозиции. Потому что кто угодно, мог бы сказать о себе, что он – “оппозиция”.

Выборы в КС – это выборы проводимые группой политических деятелей, которые добровольно объединились для того, чтобы координировать некоторые политические действия. Свои, своих союзников и сторонников.

Эти выборы проводятся, по крайней мере, теоретически, среди тех, кто является сторонниками хотя бы некоторых из упомянутых политических деятелей. Выборы проводятся в целях обеспечения руководства координации этих действий, никаких других целей тут быть не может – выбирается не альтернативный центр государственной власти. Это - выборы, аудиторией которых не являются “все граждане России”.
Вопрос о представительности этих выборов – это вопрос, осмысленный для сторонников указанных выше политических деятелей и не более того.
Когда, допустим, комиссар движения “Наши” заявляет, что выбранный КС не будет репрезентативен и представлять, его, рьяного оппозиционера (ведь все мы знаем – что “Наши” – это непримиримая оппозиционная организация) интересы, потому как оного комиссара заведомо не включат в список кандидатов, то всё, что я могу ответить на такое заявление, так это признать: да, не будет.

Вопрос о доверии к результатам и процедуре выборов – это вопрос, который должны задавать себе сторонники кандидатов в КС, как выигравших, так и проигравших, но никак не внешние для всех кандидатов политические оппоненты. Вопрос о доверии к выборам в КС, который поднимают, допустим, те же самые представители организации “Наши” имеет не больше смысла, чем вопрос о доверии граждан Таджикистана к результатам и процедуре выборов в Российской Федерации.

Выборы в КС – это игра для тех, кто играет в выборы в КС. Некоторая часть потенциальных игроков отсекается организаторами, которые не готовы к дальнейшим совместным действиям к отсекаемыми.

Центральный Выборной Комитет является исполнителем этой работы, но её заказчиком является Оргкомитет Протестных Действий, ему и нести политическую ответственность за результаты и представительность этих выборов.

3. Что такое атака на процесс голосования?

Атака на процесс голосования – это такие действия, которые могли бы либо существенным образом исказить результат голосования, либо могли бы поставить под сомнение его результаты в глазах тех, кто этом процессе участвует.

Другими словами, такая атака вовсе не обязательно может быть связана с искажением самого процесса выборов. Она может быть осуществлена и путём фабрикации поддельных доказательств таких искажений.

Соответственно, работа ЦВК состоит не только в том, чтобы организовать выборный процесс без искажений, но и в том, чтобы придать этому процессу убедительность в глазах относительно непредвзятого и доброжелательно настроенного наблюдателя и/или участника.

4. Какие существуют угрозы процессу голосования?

Перечислю возможные угрозы (ЧТО может произойти плохого, пока без подробного объяснения – как конкретно). Эти угрозы можно сгруппировать с одной стороны по типу угрозы, с другой – по её источнику. Источников, для наших целей можно выделить два – это внешний злоумышленник и (предположительно недобросовестный) технический персонал ЦВК.

Тип угрозы – это либо уязвимость (например подделка результатов голосования) либо имитация уязвимости (например, злоумышленники делают вид, что результаты голосования подделаны).

Ниже приводится таблица, в которой знаком 0 (ноль) помечены те угрозы, рассматривать которые, с моей точки зрения, не имело бы смысла. Конкретнее, не имеет смысла рассматривать никакие попытки имитации каких-либо проблем в выборах со стороны ЦВК, кроме общего срыва выборов. В самом деле – ведь ЦВК не имеет смысла имитировать свою плохую работу, доведя, тем не менее, выборы до конца. Другие обозначения:

+ - угроза была реализована
- - угроза не была реализована
+- - уязвимость была, но на практике угроза скорее всего не реализовалась
знаком ? обозначены проблемы, которые относятся к политической интерпретации процедур ЦВК, а не к технической стороне его деятельности.
Обратите внимание – речь идёт о потенциально возможных событиях, которые вовсе не обязательно осуществились.






Уязвимость

Имитация






A. Со стороны ЦВК

B. Со стороны внешних злоумышленников

C. Со стороны внешних злоумышленников

D. Со стороны ЦВК



1 Срыв выборов


-

+-


-



2 Раскрытие списка избирателей или его элементов

+

-

+-




3 Раскрытие подробностей голосования конкретными избирателями

+

+-

-




4 Неправомерное исключение избирателей из списка

?

-

?




5 Неправомерное исключение кандидатов из списка

?


+?




6 Неправомерное включение кандидатов в список

-

-

-




7 Неправомерное включение аккаунта в число избирателей (виртуал, имперсонация)

+-

+

+




8 Неправомерное голосование чужим аккаунтом

+-

-

-




9 Искажение результатов голосования


+-

+-

+






5. Разбор полётов. Что я увидел в системе и вокруг неё.

Прежде чем начать собственно разбор, хочу напомнить читателю особенность организованной ЦВК системы – саму процедуру выборов обеспечивал центральный сервер ЦВК, закрытый от прямого доступа публики и спрятанный где-то в облачном хостинге за границей РФ. Процедуру выбора кандидатов избирателем в бюллетене голосования обеспечивают несколько внешних для сервера площадок для голосования, список которых можно увидеть по адресу http://www.cvk2012.org/electorial/sites/

Эти площадки могут обращаться к центральному серверу по специальному протоколу, выступая в качестве фронтендов. Не все площадки были готовы к началу выборов и функционировали одинаково хорошо.

5.0. Организация сайта ЦВК

Ещё одно предварительное замечание касается организации сайта ЦВК. Хочу отметить, что представление на сайте решений ЦВК, т.е. текущих рабочих документов комиссии было сделано достаточно неудобно и неочевидно. На мой взгляд это снижало возможности объективной оценки действий ЦВК сторонними наблюдателями. По какой причине в разделе “Документы” не было подраздела “решения ЦВК” и их пришлось выискивать по сайту в разделе “новости” и где-то ещё – мне решительно не понятно.

5.1. Срыв выборов

Была попытка срыва выборов со стороны неизвестных лиц, организовавших DDOS-атаку.

Звучали обвинения в том, что эта DDOS-атака заказана самими участниками ЦВК (случай 1а) и, со ссылкой на якобы имевшие место (слышал в пересказе, сам не видел) высказывания представителей Лаборатории Касперского, что она вообще не имела места (случай 1d).

Мои впечатления как технического специалиста следующие:

Начальная конфигурация системы оказалась неустойчивой к DDOS-атаке, направленной через внешние выборные площадки по той причине, что там не использовалась каптча (http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BF%D1%82%D1%87%D0%B0). Сами площадки при этом нормально работали, но их запросы перегружали центральный сервер системы. Такую конфигурацию DDOS атаки сенсоры AntiDDOS-системы Касперского обнаружить не смогли бы, т.к. выборные площадки работали штатно, а IP адрес центрального сервера системы электронного голосования Лаборатории Касперского вряд ли был известен. Таким образом, претензии по варианту угрозы 1d (“ЦВК врёт что есть DDOS-атака, срывающая выборы, а её нет”) мне кажутся достаточно голословными.

Отказ от каптчи был ошибочной идеей, поддержанной Леонидом с мотивировкой “политически заряженные пенсионерки не смогут разобраться и проголосовать”. По факту обнаружилось, что в результате уступки гипотетическим пенсионеркам голосовать под атакой не смог никто.

Увы, даже после того, как позиция ЦВК по этому вопросу была изменена, понадобилось достаточно много времени для того, чтобы программисты на площадках голосования вкрутили каптчу и выложили код на рабочие сервера.

Резюмируя вопрос с DDOS-атакой, скажу, что, по моему мнению, она была организована со стороны, а не самим ЦВК. И лучшим доказательством того, что этот так, стало то, что ЦВК сумел её преодолеть. Сначала организовать самим себе DDOS, а затем его побороть, в том числе ценой крайне хлопотного продления выборов на один день – это крайне нелепая стратегия, я в неё не верю, т.к. не вижу, какие цели могли бы быть достигнуты таким способом.

Подробное описание хода DDOS можно найти вот в этом отчёте на Харбре (http://habrahabr.ru/company/highloadlab/blog/155667/).

Серьёзных оффлайновых попыток сорвать выборы так и не было предпринято (сервера за рубежом наверное этому очень поспособствовали), хотя сверхоперативное возбуждение уголовного дела по инициативе сторонников МММ и закрытие некоторых РВК силами правоохранительных органов оставили крайне неприятное впечатление.

5.2 Раскрытие списка избирателей или его элементов – штука неприятная, и она может произойти не только по техническим причинам. Всё что можно было сказать по этому поводу – сказала в своём блестящем эссе Наталья Холмогорова (http://nataly-hill.livejournal.com/1649523.html).

Участники выборов должны чётко понимать, что на уровне телефонов оно уже произошло. Авторизация на выборах осуществлялась при помощи sms, отправляемых с легко идентифицируемого короткого имени.

Нет особых сомнений в том, что списки телефонов, на которые шли эти уведомления, могли очень легко оказаться в руках у тех государственных служащих, которым, в силу их служебного положения, не сложно сопоставить номеру телефона ФИО его владельца.
Считайте, что не просто могли, а уже реально оказались.

Более неприятным фактом является то, что тот же самый список телефонов (без иных идентифицирующих данных) в результате не вполне продуманных действий ЦВК мог оказаться на руках у группы недобросовестных частных лиц.

К сожалению, оказался или нет, мы сможем узнать только в результате действий этих лиц, поэтому я воздержусь от распространения более подробной информации об этом инциденте. Есть небольшая надежда на то, что эти люди – идиоты, и не смогут воспользоваться сделанным им подарком.

Имитация утери ЦВК части списка избирателей теоретически может быть осуществлена, практически она будет, скорее всего, не убедительной.

5.3. Раскрытие подробностей голосования

Заявленные особенности устройства системы, скорее всего, не дадут возможности прямого восстановления результатов голосования по открытым данным.

Сведения о том, кто как голосовал, однако, могут быть получены путём анализа базы данных сервера голосования. Поэтому, я надеюсь, что ЦВК не допустит утечки информации и уничтожит эту базу после того, как выборы в КС закончатся и все заинтересованные лица определятся относительно легитимности выборов и прочих вопросов, для которых БД нужна.

5.4. Неправомерное исключение избирателей из списка

В этом месте я намерен первый раз высказать свои претензии не к ЦВК, а к Оргкомитету Протестных Действий. Оставив ЦВК опирающимися на “здравый смысл и минимум правил”, Оргкомитет тем самым перевалил на ЦВК ответственность за ограничение списка избирателей по принципу “кто тут реальный сторонник оргкомитета, а кто пришёл по принуждению”.

В результате мы получили то, что получили.

Ситуация с МММовцами – это всего лишь первый звоночек. Если считать, что система выборов в КС сохранится, то следует так же ожидать, что оппоненты к следующим выборам сделают определённые выводы и предпримут менее приятные для КС меры противодействия. Мобилизационный потенциал у этих оппонентов достаточно велик. Никто не может гарантировать, что на следующие выборы в КС не придут одновременно представители прокремлёвских молодёжных организаций, Евразийский Союз Молодёжи, рабочие с УралВагонЗавода, движение Суть Времени, партия “Воля“ Светланы Пеуновой, прекрасной, и не проголосуют каждые разом за 3-4 абсолютно случайных кандидатов, полностью обессмыслив процедуру выборов. Собственно говоря, ровно по такой схеме представители МММ и пытались действовать и лишь только то, что они действовали не особенно умно и организованно, спасло выборы от превращения в полный балаган. Статистика выборов показала, что для того, чтобы решить судьбу кандидата достаточно тысяч двадцать голосов. У каждой из указанных выше организаций в одиночку (ну кроме ЕСМ) моб.потенциал сопоставим с этой цифрой.

Техническая возможность вычеркнуть некоторую часть избирателей у ЦВК была и ЦВК ей воспользовался. Было ли это вычеркивание неправомерным – с точки зрения имевшихся в распоряжении установок Оргкомитета на проведение выборов, выяснить логически невозможно, т.к. эти установки включали в себя взаимоисключающие параграфы (http://lurkmore.to/%D0%92%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D0%B8%D1%81%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%D1%8E%D1%89%D0%B8%D0%B5_%D0%BF%D0%B0%D1%80%D0%B0%D0%B3%D1%80%D0%B0%D1%84%D1%8B) “избиратели все граждане страны” и “выборы в Координационный Совет оппозиции”. Взаимоисключающи эти параграфы по вполне очевидной причине – все граждане страны не находятся в оппозиции и не могли бы разумным образом выбрать её координирующее руководство. Организаторы выборов первоначально молчаливо подразумевали, что те, кто не находится в оппозиции – не пойдут на выборы и не будут портить картину. Выяснилось, что такое ожидание было достаточно наивным, что пошли и пытались выборы дезорганизовать и обесценить, лишить практической применимости их результаты.

Т.е. налицо скорее проблема процедуры, а не техники. И вопрос о процедуре – это вопрос, который я обсуждал в разделе 2 – кто является аудиторией выборов, потенциальными избирателями, было бы полезно определить перед началом выборов более чётко и ограниченно.
Опять заявлять, что это – “все граждане страны” уже на следующих выборах в КС будет равнозначным тому, чтобы заранее отказаться воспринимать их результаты как какое-то политическое руководство к чему-то. Ну, или тому, чтобы расписаться в претензии на формирование ”параллельных структур власти”, каковая не только подвела бы организаторов голосования под уголовную ответственность, но и в целом, наверное, не имеет особого смысла в связи с продемонстрированным мобилизационным потенциалом самого Оргкомитета Протестных Действий.

Ряд технических проблем, связанных с выяснением того, реальна ли личность избирателя, обсуждаются в разделе 5.7 .

5.4.1. Замечание по самой процедуре исключения МММовцев

Я могу сказать, что использованная программистами ЦВК эвристика для определения представителей МММ – качественная, в том смысле, что она практически гарантировала, что все избиратели, которые были определены как МММовцы, действительно являлись таковыми. Эта эвристика НЕ относилась к характеру голосования: члены МММ были определены до начала выборов.

В то же время, по всей видимости, от 5 до 7% (моя личная оценка) представителей МММ остались нераспознанными. По очевидным причинам не были так же опознаны члены их семей, которых они тоже втягивали в голосование.

Аргументом для ЦВК за отказ от допуска части избирателей было “они голосуют под принуждением”, т.к. в некоторый момент Мавроди заблокировал им доступ в личные кабинеты системы МММ-2012, требуя предоставить доказательства регистрации в личных кабинетах cvk2012 в виде скриншотов.

Также имели место устные свидетельства МММовцев о том, что предполагается дальнейший контроль того, что они голосовали и голосовали по списку Мавроди, а не как-то ещё. Моё личное мнение состоит в том, что МММ не могло бы организовать такой дополнительный контроль сколько-то массовым образом.

В результате попытки учесть все эти соображения, ЦВК принял сложное даже для понимания в печатном тексте решение (http://www.cvk2012.org/news/reshenie_cvk_80/?Year=2012) по учёту голосов. Оно, будучи представленным в табличном виде, выглядит так.






Голоса опознанных МММовцев, зарегистрировавшихся до блокировки кабинетов на сайте МММ

Голоса опознанных МММовцев, зарегистрировавшихся после блокировки кабинетов на сайте МММ

Голоса всех прочих участников выборов



Голосовали по списку Мавроди


Учитывались

Не учитывались

Учитывались



Голосовали не по списку Мавроди


Учитывались

Учитывались

Учитывались




Критики выборов проверяют какие-то гипотезы (http://politrash-ru.livejournal.com/103536.html) по данному вопросу, между тем ровно то, что они проверяют – открытым текстом написано в пункте 2 решения ЦВК N80.

Вопрос о том, были ли таким способом искажены результаты выборов или наоборот, очищены от искажений, я оставляю на усмотрение читателя.

5.4.2. Проблемы лиц, не имевших сотовых телефонов

Необходимость использовать сотовый телефон при регистрации почти немедленно вызвала претензии со стороны противников использования сотовых телефонов. Да, действительно, их возможность регистрироваться была ограничена, но не до конца. См. так же пункт 5.7.5.

5.4.3. Проблемы лиц, не имевших доступа в интернет

При наличии сотового телефона можно было пойти ногами в РВК, зарегистрироваться и проголосовать там. РВК были не везде. Мне, однако, не известно о жалобах избирателей, которые не смогли бы получить доступ к выборам по такой причине. В конце концов, почти в каждом городе есть публичные точки доступа к интернет в интернет-кафе и на почте. Полагаю, что влияние этого фактора на выборы было минимальным.

5.5. Неправомерное исключение кандидатов из списка

Все те же замечания, что и по пункту 5.4, добавлю, что чисто технически исключить из бюллетеней даже снявшихся в последний момент 2 или 3 кандидатов у ЦВК не получилось и какие-то голоса ушли в их адрес.
ЦВК исключал из списка кандидатов по их собственному заявлению. Таким образом были убраны из списка кандидатов (в порядке принятия решений):

Данил Линдэле (http://www.cvk2012.org/news/reshenie_cvk_62/?Year=2012)
Михаил Делягин (http://www.cvk2012.org/news/reshenie_cvk_65/?Year=2012)
Алексей Готсданкер и Николай Беляев (http://www.cvk2012.org/news/reshenie_cvk_67/?Year=2012)
Людмила Улицкая и Ирина Ясина (http://www.cvk2012.org/news/reshenie_cvk_72/?Year=2012)

Насколько я понимаю, не все заявления кандидатов о самоотводе были проведены решением ЦВК (я не нашёл документа по Илье Пономарёву) и это неправильно. По пояснениям Леонида Волкова:

“…. По Пономареву и Савостину были только электронные письма в пятницу утром, по Лурье вообще не было заявления в адрес ЦВК, так что считаю, что мы действовали единственно возможным образом, не публикуя никаких решений и оставляя их в бюллетенях - иначе можно было бы спровоцировать куда большие скандалы…”

Так же ЦВК отказал в регистрации Максиму “Тесаку” Марцинкевичу (по своей инициативе) и исключил из состава кандидатов Бориса Стомахина и Николая Королёва (на основании обязательного для ЦВК политического решения Оргкомитета Протестных Действий)
По утверждению депутата Госдумы от партия Справедливая Россия Ильи Пономарёва, ЦВК отказал в регистрации нескольких региональных кандидатов (http://ilya-ponomarev.livejournal.com/536004.html) .

“В минувшую пятницу ЦВК, несмотря на двукратное обращение Оргкомитета, окончательно решил не регистрировать 5 региональных кандидатов, за которых я ранее писал гарантийное письмо.” – написал Пономарев.

По пояснениям Леонида Волкова: “…Пономарев написал гарантийное письмо, которым гарантировал уплату оргвзноса за себя, Давыдова, Чувилина, Алексеева, Мазуровского, Клычкова.

Из них:
- Клычков вообще не подал заявки
- Мазуровский подал заявку, но на следующий день - мы не успели ее еще рассмотреть - направил самоотвод
- Давыдов заплатил деньги (и он был зарегистрирован в качестве кандидата. С.Н.)
- за Пономарева заплатили деньги (и он был зарегистрирован в качестве кандидата. С.Н.)
- Чувилин и Алексев ничего не заплатили и им было отказано, номер решения 51 кажется…”.

Полагаю, что Леонид Волков мог бы опубликовать гарантийное письмо Пономарёва, подтвердив свои слова.
Таким образом, Илья Пономарёв реализовал угрозу 5с, попытавшись публично продемонстрировать неправомерный отказ ЦВК к допуску кандидатов на выборы и, как минимум частично, дезинформировав своих читателей. Насколько успешной была демонстрация – предоставляю судить читателям этого отчёта.

Так же ЦВК было отказано в регистрации 52 оплативших регистрацию кандидата от МММ, формально распознанных в качестве ботов, т.к. заполняли свои заявления типовым способом и был исключён из списка первый из МММовцев (т.е. всего мимо выборов пролетели 53 кандидата от МММ) – Борис Ким, которого первоначально ЦВК зарегистрировал.

Учитывая казус Кима, мне чрезвычайно интересно, что могло бы произойти, если бы адептам Мавроди хватило ума написать о себе что-то своё, а не копировать одно и то же заявление под копирку.

Читатель этого отчёта должен понимать, что все перечисленные решения демонстрируют вовсе не техническую, а организационную и политическую проблему, и она, пожалуй, оказала намного большее влияние на процесс выборов, чем технические проблемы системы голосования.

5.6. Неправомерное включение кандидатов в список

Проблемы технически не было.

5.7. Неправомерное включение аккаунта в число избирателей (виртуал, имперсонация)

Напоминаю, что схема регистрации избирателей была построена по следующему принципу:
1) Сначала избиратели регистрировались на сервере
2) Затем они верифицировали себя, т.е. подтверждали свою личность тем или иным способом.
3) Только те избиратели, чья личность была верифицирована, допускались к голосованию.
ЦВК было придумано несколько способов верификации, а именно
- через денежный перевод (банк подтверждает личность отправителя)
- через перевод Яндекс-Денег
- путём личной явки в РВК и предъявления паспорта
- путём фотографирования с паспортом в руке
- с использованием электронной подписи (в конечном итоге не успели реализовать и он не применялся).

При регистрации декларировался контроль уникальности комбинации ФИО и даты рождения, а так же, как дополнительного средства контроля – сотового телефона избирателя.

Гипотеза о том, что в России нет граждан с совпадающими ФИО и датой рождения, которую ЦВК принял в качестве рабочей, является неправильной, но она оказалась приемлемой для той выборки граждан, которые участвовали в выборах. Если кому-то интересно, при формулировании этой гипотезы, представители ЦВК не учли тот нюанс, что имена и отчества распределяются среди граждан не равномерно, а примерно в соответствии с законом Ципфа (http://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%BA%D0%BE%D0%BD_%D0%A6%D0%B8%D0%BF%D1%84%D0%B0) (с фамилиями случай более сложный, но об этом не здесь), а так же то, что распределение дат рождения так же не является равномерным.

На будущее я советовал бы чуть усложнить процедуру проверки уникальности регистрации – иначе теоретически возможно возникновение неприятных казусов.

С каждым из способов верификации, были связаны определённые (потенциальные) проблемы, той или иной степени остроты.

5.7.1. Проблемы верификации путём денежного перевода

Было несколько переводов, сделанных не из банков, а через какие-то терминалы, платёжные системы и т.д. Соответствующие аккаунты не были верифицированы (и это правильно, т.к. бог его знает, есть ли на стороне отправителя реальная процедура идентификации физического лица или данные пользователя можно вписать произвольным образом).

Так же эта процедура уязвима к имперсонации, если злоумышленник вступит в сговор с банковским персоналом в каком-то конкретном банковском учреждении. Это не сложно, имея знакомства в банковской среде и принимая во внимание, что на таких маленьких суммах, скорее всего никакие претензии Росфинмониторинга банку предъявлены не были бы, т.е. для банка такая махинация была бы, скорее всего безопасной.
Борьба с этой уязвимостью могла бы состоять в поиске в массиве переводов таких банковских учреждений, из которых шли массовые переводы для верификации избирателей, голосовавших одинаково. Эта информация в любом случае останется у ЦВК и мне хотелось бы увидеть хотя бы минимальный их собственный отчёт – “проверили, не имело места”, а лучше – дополнение опубликованного протокола голосования указанием на способ верификации и ID банковского учреждения, из которого был отправлен перевод.

Леонид обещал представить такую статистику.

5.7.2 Уязвимость процедуры верификации через Яндекс-Деньги

Я оцениваю её как маловероятную, но теоретически мог бы быть применён такой же механизм сговора как и в предыдущем случае – тем более, что сама процедура верификации пользователя в Яндекс.Деньгах уязвима к такого же сорта атаке через сговор с банковским сотрудником, что и в предыдущем пункте.

Т.е. кто-то мог бы понаделать к выборам большое количество Яндекс.кошельков, обеспечить поддельную идентификацию владельца кошелька в системе и потом верифицировать такими кошельками поддельные анкеты избирателей.

Проверить, имело это место или нет могли бы представители компании – на это, наверное, возможно рассчитывать, имея ввиду присутствие в числе технических-экспертов наблюдателей одного из основателя Яндекса Ильи Сегаловича (http://www.cvk2012.org/cvk/sostav/ilya_segalovich/).

5.7.3. Уязвимость процедуры верификации путём личной явки в РВК

Тут имеет место проблема, аналогичная предыдущим – недобросовестность конкретного РВК могла бы привести к массовой оффлайновой “верификации” виртуалов. Мы обсуждали проблему с Леонидом и он обещал по окончании выборов раскрыть информацию о том, какие ID верифицировались конкретно в каких РВК и какими операторами. Это позволило бы провести статистический анализ голосования и надеяться на эффективное отсечение злоумышленников.

В защиту состоятельности действий ЦВК по взаимодействию с региональными комитетами можно представить опубликованные на сайте решения ЦВК по остановке работы некоторых РВК, свидетельствующие о том, что определённая степень контроля деятельности РВК центральным комитетом всё же обеспечивалась.

5.7.4. Уязвимость процедуры верификации путём фотографирования с паспортом в руке

На мой личный взгляд - это ужасная одноразовая идея, которая как-то сработала на этих выборах, но не должна применяться в будущем. К сожалению, ЦВК кто-то “проконсультировал”, что с ней всё ок. Я утверждаю, что это, увы, не так.

5.7.4.1. В системе отсутствует какая-то возможность проверить корректность действий оператора, осуществлявшего верификацию
По утверждению Леонида, картинки удалялись сразу, как только по ним принималось положительное или отрицательное решение.

С одной стороны, это почти исключало возможность целенаправленного одобрения известных недобросовестному оператору паспортов виртуалов. С другой – у нас нет никакой гарантии того, что все операторы действовали действительно внимательно и ответственно и проверяли корректным образом все необходимые атрибуты на скане паспорта. Моя личная практика руководителя проектов в сфере IT говорит о том, что при массовом ручном вводе данных процент ошибок операторов очень сильно отличается от нуля и повторный контроль их действий необходим.

5.7.4.2. Возможность использования чужих и сфабрикованных сканов паспорта для имперсонации (т.е. для действий от имени реально существующего человека без его ведома) и создания виртуалов.

Сканы чужих паспортов можно взять, например, из Яндекса (http://images.yandex.ru/yandsearch?text=%D1%81%D0%BA%D0%B0%D0%BD%20%D0%BF%D0%B0%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%B0%20%D1%80%D1%84) .

Существуют сведения о наличии в интернет специальной программы для генерации скана паспорта РФ (http://yandex.ru/yandsearch?text=%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0+%D0%B4%D0%BB%D1%8F+%D1%80%D0%B8%D1%81%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F+%D1%81%D0%BA%D0%B0%D0%BD%D0%BE%D0%B2+%D0%BF%D0%B0%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B2&from=fx3&clid=1909644&lr=213) (утверждают, однако, что большинство предлагаемых для скачки её экземпляров заражены троянскими конями и не работают, я не собираюсь проверять эти факты).

На чёрном рынке присутствуют наборы таких сканов, украденные у банков и специальные сервисы, обеспечивающие такую услугу.
Технически не так сложно фабриковать такие сканы при помощи обычных средств редактирования изображений.

Получить в своё распоряжение фотографии каких-то людей, держащих в руках какой-то документ (например паспорт) можно различными способами – найти их в интернете, например в Инстаграмме по хэштегу #выборыКС (http://ww.w.statigr.am/tag/%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D1%8B%D0%9A%D0%A1), поиском в библиотеках изображений и выдаче поисковых систем, и т.д. и т.п.

В результате система оказалась открытой для единичных инцидентов с фабрикацией аккаунтов, что и было продемонстрированно желающими (http://viktorlevanov.livejournal.com/68871.html#comments) в достаточно глумливой форме (по утверждению представителей ЦВК этот конкретный аккаунт в итоге был заблокирован от участия в выборах).

Практика показывает, что, особенно при массовом вводе данных, соответствие лица на фото и лица на фото в документе контролируется не очень хорошо, смена причёски, большой временнОй разрыв между двумя и прочие подобные факторы осложняют работу оператора.

Итого по этой позиции мы имеем как минимум единичные случаи реализации угроз 7b и 7c – шутники и злоумышленники действительно могли сделать таким способом аккаунты, так же у них есть основания говорить о том, что существуют аккаунты, для которых такая операция была проделана, но их ЦВК не распознал в качестве фальшивых.

Моя личная оценка состоит в том, что обладая резервом времени в несколько месяцев и бюджетом от 2.5 млн рублей, можно поставить генерацию таких фальшивок на поток и снизить стоимость “избирателя” примерно до 500 рублей за виртуальную голову, включая стоимость закупки SIM-карт. Учитывая бюджеты оппонирующей стороны и наличие в её рядах квалифицированных специалистов, скажем так, в сферах аналогичной деятельности, я бы очень сильно задумался о целесообразности сохранения этого метода верификации к следующим выборам в КС.
Для каких-то менее значимых выборов его присутствие в алгоритмах работы выборного сервера, наверное, всё же допустимо.

5.7.5. Специальный режим регистрации/верификации, проводимой силами членов РВК (Самостоятельно обнаружено членами РВК Нечаевым и Ермаковым, подтверждено Леонидом Волковым (http://leonwolf.livejournal.com/445249.html) в качестве ранее не вполне задекларированной особенности системы).

У членов РВК была возможность регистрировать и верифицировать избирателей на один тот же номер телефона. Сделано в интересах пенсионерок, которые придут на РВК без сотовых телефонов. По настоянию представителей националистической курии эта возможность была отключена ориентировочно в 15-16 часов 21 октября. По утверждению Леонида, на момент отключения она была использована 8-10 раз. Этот момент необходимо будет перепроверить после окончания выборов путём анализа базы данных системы.

5.7.6. Верификация путём использования электронной подписи государственного образца

Считаю, что этот метод верификации избирателей перспективен. Возможность со стороны государственных органов злоупотребить им является достаточно сомнительной по причинам репутационного характера – в настоящее время цена вопроса с выборами в КС для заинтересованных структур не настолько высока, чтобы подвергать репутационным рискам отечественную инфраструктуру ЭЦП, в развитие которой были уже вложены миллиарды рублей и которая имеет для государства стратегический характер. Жаль, что его не успели адаптировать к этим выборам в КС, надеюсь, что хотя бы к следующим он заработает.

5.8. Неправомерное голосование чужим аккаунтом

Выстроенная ЦВК система доступа к личным кабинетам через одноразовые пароли, высылаемые по SMS выглядит разумной. Считаю, что риск неавторизованного голосования был минимизирован.

В качестве дополнительной меры контроля было бы желательно раскрыть в отдельном протоколе попытки зайти в личный кабинет избирателя после того, как он проголосовал – с привязкой попыток к ID избирателя.

5.9. Искажение результатов голосования

Имели/имеют место следующие проблемы:

5.9.1 Проблема с площадкой Votepoller. (Основано на устных пояснениях Леонида Волкова)

На момент начала голосования программисты Votepoller не полностью реализовали протокол сервера голосования и решением ЦВК не были подключены к серверу. Тем не менее площадка собирала голоса и складировала их где-то у себя. После подключения к серверу ЦВК она отправила их на сервер пакетно. Такая схема работы, во-первых организационно выглядит не вполне корректно, т.к. вообще говоря, не было никаких гарантий, что площадка успеет реализовать все необходимые технические требования, а голоса она собирала.

Во-вторых, эта ситуация создала определённые проблемы с проверкой результатов голосования его участниками после выборов – т.к. реальное время голосования из протокола голосования установить вообще невозможно.

5.9.2. Проблема с юзабилити бюллетеня голосования. (Основано на пояснениях Леонида Волкова). В результате неудачного оформления избирательного бюллетеня, многие избиратели отправляли бюллетень на голосование с одним кандидатом, думая, что всего лишь фиксируют его выбор в бюллетене. К сожалению, с этой проблемой в процессе текущего голосования ничего сделать, наверное, было нельзя, но она проявилась достаточно сильно – в некоторый момент подозрение было в некорректной работе площадок голосования.

5.9.3. Уязвимость на стороне голосовательных площадок (На эту проблему обратил внимание наблюдатель от Фонда Развития Электронной Демократии Юрий Титов)

Теоретически у голосовательных площадок была возможность манипулировать голосами избирателей и никакие специальные меры для борьбы с такой ситуацией, насколько я понял, не предпринимались.

В качестве меры контроля следовало бы раскрыть в протоколе, с какой площадке шёл голос избирателя для каждого из ID.

5.9.4. Потенциальная возможность централизованной генерации заполненных бюллетеней

Незаметное для посторонних искажение результатов голосования со стороны ЦВК теоретически возможно путём прямой корректировки результатов работы программного обеспечения (базы данных, лог-файлов) прямо в процессе голосования. Если считать, что сам по себе процесс регистрации и верификации надёжен, то, тем не менее, такая возможность остаётся.

Для того, чтобы повысить уровень доверия к процессу голосования, ЦВК принял решение начать выкладывать с интервалом в 15 минут протокол работы в виде зашифрованного файла, пароль от которого предполагается раскрыть после выборов. Протокол включает в себя ID избирателя, выбранных им кандидатов.

Протокол не включает в себя время/дату голосования, которые можно восстановить только косвенным путём, по последовательности в протоколе. Это плохо и это неправильно, тем более, что на практике 15-минутный интервал обновления был нарушен в результате DDOS-атак и впоследствии оказался увеличен до 30 минут.

Предполагается, что каждый из избирателей, зная свой ID, мог бы проверить – как отображено его голосование в системе, а заинтересованные лица по окончании выборов - осуществить независимый подсчёт голосов по протоколу и сверить его с результатами, выданными ЦВК.
К сожалению, хотя идея правильная, реализация хромала. Внутри системы ID генерируется случайным образом и его привязка к конкретному избирателю осуществляется с использованием таблицы соответствия ID и необратимого хэша (http://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F) от ФИО+дата рождения.

Теоретически, ЦВК мог бы генерировать фальсифицированные бюллетени голосований прямо в процессе голосования, писать их в общий протокол, а по окончании выборов – раскидать эти ID по хэшам тех избирателей, которые верифицировались, но не проголосовали. Раскидать было бы возможно, т.к. разумной гипотезой будет предположить, что хотя бы несколько процентов верифицировавшихся избирателей всё-таки не станут голосовать.

Основываясь на первоначально полученной от Леонида информации (тогда я его понял так, что хэши в системе считаются от ФИО+дата рождения+телефон) ещё днём 20 октября я предложил дополнить указание ID в протоколе голосований указанием хэшей.

Такая мера усилила бы доверие к процедуре, т.к. будучи уверенным, что некоторое количество верифицировавшихся избирателей не проголосует, ЦВК не мог бы заранее знать, кто проголосует, а кто нет и не смог бы размещать записи о голосованиях в протокол от чужого имени.
При этом указанная комбинация данных повысила бы устойчивость хэшей к словарной атаке (http://ru.wikipedia.org/wiki/%D0%A1%D0%BB%D0%BE%D0%B2%D0%B0%D1%80%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%BA%D0%B0) и могла бы считаться условно пристойной. Даже если бы она оказалась нестойкой – раскрытие выбора отдельных избирателей лучше, чем искажение результатов голосования. По-хорошему же нужно было бы добавить к данным от которых считался бы такой хэш относительно длинную случайную последовательность, которую можно было бы демонстрировать избирателю в его личном кабинете.

Мы договорились, что соответствующее изменение будет сделано 21-го октября в 8 утра. Учитывая, что 20-го из-за DDOS-атаки мало кто успел проголосовать, такое решение могло бы пройти по разряду “лучше чем ничего не сделать”.

К сожалению, на практике 21-го это просто не было реализовано, да и, как выяснилось, хэши, идентифицирующие избирателя, в системе считались немножко по другому принципу (ФИО+дата, без номера телефона) и программисты оказались не готовы внести такое масштабное изменение в систему на ходу. К тому же более короткий набор исходных данных для хэша сделал бы раскрытие предпочтений избирателей 100% реальным.

После совещания с Леонидом и руководителем программистов мы договорились о том, что дополнительно к ID избирателя в протокол будут вписываться последние 3 цифры номера его телефона. Такое изменение было внесено в систему в какой-то момент в период с 23:45 21.10.2012 по 5:35 22.10.2012.

Если бы разработчики перегенерировали бы в тот момент старые записи протокола, тоже добавив к ним 3 последние цифры телефонов, это повысило бы доверие к процедуре голосования сильнее, чем внесение этой информации в протокол только для записей, которые начали создаваться в последний день голосования.

В итоговой версии протокола эта информация есть, кажется, для всех записей, но в какой конкретно момент она была туда внесена – не понятно и это достаточно сильно снижает её ценность.

Так же я считаю, что сама процедура выкладки протокола была реализована неоптимальным путём, затрудняющим сверку версий протокола, выложенных в разное время. Рекомендация на будущее – выкладывать следующие версии протокола не убирая предыдущие и, дополнительно, кроме сайта ЦВК, дублировать эту выкладку на внешних торрент-треккерах.

5.9.4.1. Была ли использована эта уязвимость на практике?

У меня не было технических средств, чтобы строго доказать, что нет.

Как наблюдатель, следивший за процессом отруливания Леонидом Волковым всей процедуры выборов, скажу, что моё личное мнение состоит в том, что либо не была, либо Леонид – очень-очень хороший актёр, играющий по системе Станиславского, который сумел меня обмануть.

Учитывая, что такого сорта обманы практически всегда вскрываются задним числом (программист не может не проболтаться), я не очень верю, что Леонид и команда разработчиков стали бы ставить тут на кон собственную репутацию и репутацию проекта Демократия2 (http://www.democratia2.ru/) (команда разработчиков делала сервер выборов частично на основе кода Демократии2).

В конце концов выборы в КС-2012 – это одноразовое действие, а репутация остаётся очень надолго.
Неприятность этой ситуации состоит в том, что она реально открывает желающим ворота для критики процедуры выборов и с моей стороны так же было бы нечестно не обратить на неё внимание читателей.

5.9.5. Отсутствие защиты от имитации подделки голосов в протоколе

Проще говоря, у ЦВК сейчас нет защиты от голословных заявлений о том, что чей-то голос вписан в протокол неверно (угроза 9c). Хотя механизм такой защиты достаточно тяжёл для понимания неспециалиста, реализовать её было бы не так сложно, сделав прозрачным для тех, кто его не использует и доступным для тех специалистов, которые хотели бы убедиться.

Такая защита должна быть реализована в следующих версиях системы голосования.

6. Безопасность – это процедура

Обратите внимание, что далеко не все перечисленные угрозы сами по себе могут быть решены чисто техническими средствами. Даже по первому взгляду. При более внимательном рассмотрении мы обнаруживаем, что защита от практически всех перечисленные угроз требует принятия не только технических, но и организационных мер.

Если мы всерьёз считаем, что квалифицированными злобными злоумышленниками являются сами члены ЦВК, то предоставляемые ими исходные тексты, описание алгоритмов работы, лог-файлы голосования сами по себе не могут дать 100% гарантии того, что искажения на выборах, проводящихся по текущей схеме, отсутствуют.

Эти материалы могли бы повысить степень нашей уверенности в отсутствии проблем на выборах. Но, если, в рамках паранойи, всерьёз исходить из того, что вся затея с выборами была организована для взятия под контроль оппозиции некими сторонними силами (допустим, засланцами из зловещей Администрации Президента), то, приняв во внимание выделяемые на борьбу с оппозицией бюджеты и уровень квалификации специалистов на той стороне – представителям Оргкомитета Протестных Действий стоило бы отнестись к вопросу о контроле за работой ЦВК более ответственно.

Другой вопрос, что мало кто из представителей оппозиционного лагеря всерьёз рассматривает вопрос о недобросовестности и ангажированности ЦВК и что имитируют параноидальные подозрения по данному вопросу в основном ярые сторонники властей и прочие “охранители”. Но для них смазать политический эффект от этих выборов в глазах сторонней публики вполне реально.

Кроме меня и коллеги от блока националистов Федора Верёвкина, а так же наблюдателя от организации ФРЭД (Фонд Развития Электронной Демократии) (http://idemocracy.ru/) координатора ФРЭД Юрия Титова (http://titov-yuri.livejournal.com/), процесс выборов с технической стороны не контролировал никто. Не было наблюдателей от курий левых и либералов, от общегражданских кандидатов был опять-таки один я, представляя так же, по совместительству, интересы кандидата по общегражданскому списку Натальи Холмогоровой (http://nataly-hill.livejournal.com/).

Так же полностью корректная процедура электронного голосования подразумевала бы достаточно серьёзный анализ логов и данных системы, в том числе закрытых от публики после окончания выборов. Такой анализ должны были бы проводить совместно представители наиболее крупных конкурирующих сил, участвующих в выборах. Мне не известно о каких-либо планах такого рода контроля.

Сейчас нам остаётся только полагаться на добрую волю и хорошую репутацию организаторов ЦВК, отметив, что технически ими запроектирован достаточно серьёзный уровень обеспечения честных выборов, но, тем не менее, он мог бы оказаться недостаточным, если бы против системы голосования была предпринята достаточно квалифицированная и подкреплённая ресурсами атака со стороны.

Очевидный вывод на будущее – если традиция общественных голосований будет продолжена - исходные тексты системы голосования должны быть опубликованы, а процедура настройки системы – вестись гласно и открыто.

Безопасность – это ресурсная гонка. Если вы хотите иметь в своём распоряжении работающую, надёжную систему голосования с хорошей репутацией – пожалуйста, вкладывайте в её развитие ресурсы: время, деньги и информационную поддержку.
Потому что ваши оппоненты БУДУТ вкладывать ресурсы в разрушение и компрометацию этой системы.

Попытки обструкции ЦВК со стороны отдельных оппозиционеров выглядят несколько нелепо. Если Вам система выборов действительно нужна - добивайтесь хорошей работы от того, кто пытается создать и продемонстрировать возможность работающей альтернативы официальным выборам, помогайте ему.

Ну или сделайте сами лучше (но пока что я не видел убедительных претендентов на то, чтобы сделать лучше).

7. Выводы и перспективы

7.1. Технически система голосования в целом построена по правильным принципам, но содержит ряд устранимых уязвимостей, которые могли бы оказать существенное влияние на результаты выборов.

7.2. Нам повезло и скорее всего не оказали. Не оказали, прежде всего, потому, что оппоненты КС не отнеслись к выборам в КС с достаточной степенью серьёзности.

7.3. Построенная выборная система имеет ряд серьёзных процедурных проблем, которые должны быть устранены путём сотрудничества вновь выбранного КС оппозиции и ЦВК. Если они не будут устранены – говорить о дальнейшей работоспособности системы выборов, находящейся в распоряжении оппозиции будет сложно.

7.4. Система электронных выборов показала достаточную устойчивость к внешнему давлению, как техническому (проблемы были, но были устранены), так и административному. Прозвучавшие со стороны Ильи Пономарёва (http://ilya-ponomarev.livejournal.com/536004.html) и представителей МММ предложения сделать ставку на оффлайновую процедуру выборов не выглядят сколько-то конструктивными и обоснованными. Такая процедура будет заведомо более уязвимой как давлению властей, так и к манипуляциям со стороны недобросовестных сотрудников избирательных участков на местах. Кто там сколько голосов на бумажках посчитает – никому проверить вообще будет невозможно даже чисто технически. Т.е. данное предложение заведомо равнозначно замене хоть как-то работающей процедуры выборов её профанацией. Аргумент о том, что не все жители России подключены к интернет, конечно имеет под собой некоторую почву, но, в то же время, если вспомнить о том, что в РФ к интернет подключены 39% всех домохозяйств (http://telekomza.ru/2012/03/21/v-rossii-217-mln-domoxozyajstv-podklyucheny-k-shirokopolosnomu-internetu/), то это проблема для выборов будет намного меньшей, чем то, что кто-то на УралВагонЗаводе сможет завести местный РВК, напечатать бюллетени и голосовать ими на выборах в КС оппозиции за Владимира Путина.

7.5. Сравнительно с официальной системой выборов в России, в том числе с её технической компонентой – ГАС Выборы, система построенная ЦВК продемонстрировала намного бОльшую степень технической состоятельности и открытости. Перечисленные мною уязвимости имеют место, но они видны публике и могут быть устранены. Публикуются и протоколы электронного голосования, которые позволяют как-то анализировать работу системы в её динамике.

ГАС Выборы является полностью закрытым от избирателя черным ящиком, никто не знает, как он работает, наружу не выдаётся никакой толковой статистики. В отличие от представителей ЦВК, представители ЦИК РФ не демонстрируют особой заинтересованности во внешних наблюдателях.
(Например, на организованной редакцией Pravda.ru встрече с Чуровым я обсуждал вопрос какого-то сотрудничества как наблюдателя за технической системой, со мной очень благожелательно пообщались, взяли координаты и пообещали связаться. Жду уже второй год.)

Т.е. вместо объективного внешнего контроля над системой, избирателям предлагают положиться на репутацию господ из ЦИК. Ну извините… На фоне того, что многочисленные засвеченные в публичном пространстве инциденты с надёжностью работы ГАС Выборы вообще никак публично не обсуждались между представителями ЦИК и представителями профессионального сообщества – сравнение между Волковым и Чуровым по этой позиции, увы, не в пользу команды последнего.

7.6 Вопрос о степени доверия этим конкретным выборам может быть решён окончательно после того, как ЦВК раскроет всю обещанную им статистику. Но, как минимум, объём анонсированного раскрытия показывает некоторую степень уверенности ЦВК в том, что они делают.

Хочу предупредить читателей, что уже озвученная в Живом Журнале теория о “статистически недостоверном распределении последних трёх цифр телефона в протоколе голосования”, скорее всего является результатом некомпетентности её авторов.

8. Благодарности

Я благодарен курии националистов, давшей мне возможность получить крайне интересный профессиональный опыт, ЦВК и лично Леониду Волкову, продемонстрировавшему свою состоятельность как архитектора системы и менеджера проекта.

Я благодарен Оргкомитету Протестных Действий за то, что он инициировал эти выборы, избирателям за то, что они пришли и проголосовали, а кандидатам – за то, что выдвинули свои кандидатуры.

Отдельное спасибо:
- alexkuklin (http://alexkuklin.livejournal.com/) , m0na-sax (http://m0na_sax.livejournal.com/), arkanoid (http://arkanoid.livejournal.com/) за консультации по вопросам, которые я знал, но забыл и тяжело/некогда было вспоминать/выяснять.
- sp0raw (http://sporaw.livejournal.com/) за его технические комментарии, которые для меня были небесполезны, несмотря на его брызганье ядом в адрес оппозиции.
- молодому человеку из МММ в красивом галстуке, который звал меня присоединяться к этой замечательной организации. Спасибо, Ваше предложение очень лестно, но, наверное, нет ; - )

9. Приложения

В связи с высокой срочностью публикации настоящего отчёта часть работы (предложения по усовершенствованию технической системы и по раскрытию и анализу результатов этих выборов) будут опубликованы в виде отдельных документов позднее.

10. Контакты

Со мной можно связаться по адресу e-mail [email protected] и через живой журнал (http://golosptic.livejournal.com/).

Источник (http://www.apn.ru/publications/article27389.htm)

stayer
09.11.2012, 11:38
По выборам в сша любопытнй разборчик:
Вчера в своем блоге А.Осин написал: Только вчера узнал, что на выборах Президента США, оказывается, шесть (!!!) кандидатов. В этой связи имею вопрос. В равной ли степени все кандидаты в стране обеспечены вниманием прессы? Могут ли такие выборы быть признаны честными? Отступаю от своего правила – не комментировать высказывание коллег, и отвечаю симпатичному мне, но лично не знакомому Алексею Осину по одной единственной причине: его пост отражает очень популярный сегодня тренд – «МЫ НЕ ЛЮБИМ АМЕРИКУ!». И поэтому, что бы там у них не происходило, нам это не нравится. Вот и Алексею, который вчера узнал, что на пост президента страны баллотируются не только Обама и Ромни, не нравятся такие выборы по причинам, изложенным выше. В качестве справки сообщаю, что всего на прошедших выборах баллотировалось не 6, а 26 кандидатов. Помимо Обамы и Ромни, это были кандидаты от 14 других партий и еще 10 независимых кандидатов. Не вдаваясь в детали сложной американской выборной системы, скажу только, что чисто математически (но не в реальной жизни) шансы на победу, кроме кандидатов от демократов и республиканцев, имели еще 4 претендента – от Либертарианской и Конституционной партий, а также партии Справедливости и партии Зеленых. Но если победить в силу своей низкой популярности они не могли (самая популярная из них – Либертарианская – получила всего лишь 1% голосов избирателей), то повлиять на исход голосования при стечении ряда обстоятельств они могли, чего немного опасались и демократы и республиканцы. Впрочем, на этих выборах их влияние на результаты было ничтожным. А вот 12 лет назад, на выборах 2000 года, благодаря тому, что кандидат от партии Зеленых Ральф Надлер оттянул на себя небольшую часть голосов избирателей во Флориде от демократического кандидата Гора, президентом страны стал Джордж Буш. Теперь о неравенстве освещения в СМИ. Поскольку реальных кандидатов было всего двое, а от того, кто из них победит, радикально зависело, по какому пути пойдет Америка в ближайшие четыре года, все внимание прессы было сосредоточено на выступлениях и действиях Обамы и Ромни. Малая толика внимания досталась четверке партий, которые могли как-то повлиять на президентскую гонку. И абсолютно никакого – остальным кандидатам. Справедливо ли это? Честно ли это? Почему СМИ совершенно не освещает кандидатов, например, от Социалистической рабочей партии Америки или партии Мира и Свободы? Вот как ответил мне на этот вопрос мой коллега на телевидении: «У этих ребят нет ни малейшего шанса. Зачем тратить на них время? Они нам не интересны». И в самом деле, по результатам выборов за эти партии были отданы сотые доли процента голосов. И еще о справедливости. Опять-таки не вдаваясь в их сложную избирательную систему, надо признать, что редко, но все же порой эта система выкидывает странные фортели. Победить на выборах может не тот кандидат, который собрал больше голосов избирателей, а тот, кто сумел победить в ряде решающих штатов. Обычно эти параметры совпадают. Но бывает, что и нет. Согласен, и сложно и не очень справедливо. Но мне ни разу не приходилось слышать в Америке голоса, требующие изменений в законах о выборах. Голоса об отделении от Америки штатов Техаса и Гавайев или территории Пуэрто-Рико – приходилось, а вот о перекройке выборов – нет. Значит, американцев это устраивает. Значит, они видят в этом что-то, чего не видим мы. И еще. Обратите внимание, машина для голосования, которая при нажатии на кнопку с именем Обамы показывала, что голос отдан Ромни, стала в США забавным курьезом, а не поводом для скандала. Знаете почему? Потому что нет в их жизни ни «каруселей», ни вбросов бюллетеней и ничего другого из того, что заставляет людей десятками тысяч выходить на улицу и требовать честные выборы. Но мы не любим Америку. http://echo.msk.ru/blog/taratuta/949070-echo/ Собственно если выкинуть лишнюю идеалистическую чушь, свойственную общечеловеку дрессированному, то описана модель устойчивости демократической системы САСШ. Политическая система находится в состоянии постоянного неустойчивого равновесия (порядка 1%), обеспечиваемое практически оптимальной предвыборной стратегией обеих партий, процедурой выборов и наличием микроскопических политических объединений, которые вносят дополнительную неопределенность.

Крестоносец 88
09.11.2012, 11:55
Все хорошо, но должен заметить, что если в россиянском дурдоме при этой власти даже все проголосуют очень честно - это не значит, что будет для русских - GUT!

stayer
28.12.2012, 15:48
Исследователи РЭШ в работе "Field experiment estimate of electoral fraud in Russian parliamentary elections (http://www.pnas.org/content/early/2012/12/19/1206770110.abstract?sid=ca0a00f8-833d-479e-ab77-8dea491bb3ee)", опубликованной в журнале "Proceedings of the National Academy of Sciences" приводят оценку снизу уровня фальсификаций на думских выборах 2011 года и его зависимость от наличия наблюдателей. Оценка снизу завышения процента за ер - порядка 25%.

Оценка строилась на статистическом анализе результатов голосования по участкам с наблюдателями и без оных. Не учитывая "спецучастков", не учитывая скандальных случаев с удалениями или исправлением итоговых цифр, не учитывая массовое карусельное открепительство. Т.е. реальные цифры фальсификации существенно выше.

Крайне советую для прочтения Людоте и остальным, кто считает, что в рф живут сплошняком идиоты и холопы. Также полезно читать тем, кто ведется на постоянный скулеж неудачников и демотивацию спец. людей типа нах-нахов/кругом-говно/дома-сидеть-надо.

Статья с анализом Навального

Учёные Российской Экономической школы (http://www.nes.ru/) (не британские) опубликовали исследование о влиянии наблюдателей на выборы в Государственную Думу.

Вот само исследование (http://www.pnas.org/content/early/2012/12/19/1206770110.abstract?sid=ca0a00f8-833d-479e-ab77-8dea491bb3ee) (на омериканском). Вот про него пишет Лента.ру (http://lenta.ru/news/2012/12/25/observers/) (на русском):

Ученые Российский экономической школы Рубен Ениколопов (на данный момент работает в Институте перспективных исследований в Принстоне), Василий Коровкин, Мария Петрова, и Константин Сонин совместно с сотрудником Высшей школы экономики Алексеем Захаровым установили, что во время выборов в Государственную Думу в 2011 году присутствие на избирательных участках наблюдателей существенно изменило результаты прошедшего на них голосования. Это позволило авторам установить нижнюю границу уровня фальсификаций на выборах в Москве. Результаты работы опубликованы в журнале Proceedings of the National Academy of Sciences.

В своей статье ученые проанализировали результаты работы общественной организации "Гражданин Наблюдатель". В ходе эксперимента из 3164 избирательных участков Москвы были случайно отобраны 156, за выборами на которых наблюдали волонтеры организации. Из общего числа участков были исключены 210 участков с особым статусом (больницы, военные части и так далее), а случайное распределение проводилось в каждом из 125 территориальных подразделений.

Авторы установили, что распределение голосов за разные партии статистически достоверно отличается на контрольных участках, и на участках, где присутствовали наблюдатели (уровень ошибки 1 процент). Это различие имеет место несмотря на то, что в экспериментальную группу были включены участки, на которых наблюдатели сообщали о нарушениях избирательного законодательства, а некоторые из них были удалены до окончания голосования.

Занятно, что помимо очевидного вывода о том, что наблюдатели мешают мухлевать на выборах и там где они есть результаты ПЖиВ ниже, РЭШевцы установили минимальный порог фальсификаций на выборах в Москве.

http://i.imgur.com/Y69HR.png

То есть если вы голосовали в Москве, то можете быть уверены, что от вашего голоса (и от каждого голоса) вот эти два милых товарища отгрызли как минимум 11% в пользу своей партии.
http://i.imgur.com/EuvPY.jpghttp://i.imgur.com/KkHNw.jpg

Уверен, что если бы выборка была бы больше и захватила больше участков на Юге и Юго-востоке Москвы, где "Единая Россия" "получила" до 75%, то эти 11% легко превратились бы в 25.

Это исследование, кстати, вновь показывает нам насколько реальные политические предпочтения москвичей отражены во власти. И федеральной, и региональной.

Из 11 префектов - 11 члены "Единой России".
Из 35 депутатов МосГорДумы - 32 - "Единая Россия", 3 - КПРФ (http://www.duma.mos.ru/cgi-bin/pbl_web?vid=1&osn_id=0&subr_unom=1290&datedoc=0).

Наверное МосГорДума в которой ЕР имеет 36% (пусть так) была бы полезней для города, чем то сборище (91% - ЕР), которое там сейчас.

Вот и вчера московские депутаты "в интересах жителей города" приняли закон, по которому теперь и одиночные пикеты проводить нельзя будет. И автопробеги запрещены (http://www.gazeta.ru/politics/2012/12/26_a_4907497.shtml).
Да, а ещё милость оказали мосвичам, желающим участвовать в публичных акциях. Теперь у нас есть "Гайд-парки".
В парке культуры и Сокольниках.

В Ведомостях хорошая редакционная статья (http://www.vedomosti.ru/opinion/news/7656561/napravleny_na_ural) на эту тему:

В нашем случае московское правительство в ответ на взрослый вопрос о проблеме публичных акций отвечает в стиле советской сатиры: «Отправляйтесь в Гайд-парк, в Лондон 1850-х гг.». Невозможно воспринимать это серьезно. Это значит откровенно «запустить дурочку», что проявилось даже в выборе места. В качестве площадок предлагались парк культуры, Сокольники, Болотная площадь, Лужники и площадка на месте снесенной гостиницы «Россия». В итоге рабочая группа выбрала парк культуры и Сокольники. Почему не Лосиный Остров?

К чему я это всё?

Да к тому, что вы не лежите на боку, а записывайтесь в члены УИК с правом решающего голоса (http://navalny.livejournal.com/754144.html), пока есть такая возможность.
Это хоть и муторнее, чем наблюдатель, но и гораздо эффективнее.

http://uik.rosvybory.org/register

Апдейт:

Я математический лох и всё гораздо хуже. Соавтор исследования Константин Сонин ( ksonin (http://ksonin.livejournal.com/) ), проректор РЭШ, сообщает, что на самом деле, "отгрызли" примерно четверть, то есть 25%, а не 11%. Потому что 11 - это не проценты, а "процентные пункты". 36% вместо 47% - это примерно на четверть меньше.

http://navalny.livejournal.com/762512.html