Артем Костырко - Ищем выход... - 2021-07-15
А.Венедиктов
―
20 часов, 6 минут в Москве. Это Алексей Венедиктов у микрофона. Но вечер не добрый. Петр Мамонов, который, в том числе, был автором программы на «Эхо Москвы», ушел сегодня от ковида на 71-м году жизни. Я выражаю соболезнования, прежде всего, возможно, слушателям Петра Мамонова и, прежде всего, всего семье. Ковид не разбирает. Сегодня же ушел 50-летний солист «Хора Турецкого». Не разбирает ковид. И это очень печально.Я вам обещал и, как обещал, пригласит Артема Костырко, который возглавляет и возглавлял группу разработчиков электронного голосования в Москве. И я вам говорил о том, что я не могу отвечать на все вопросы – это прямой эфир, хочу сразу сказать, – на многие вопросы. Я хочу сейчас, чтобы вы задавали вопросу Артему, если у вас есть сомнения, то и хорошо. Я вижу, что вас беспокоит отсутствие Шендеровича. Он в отъезде. И пару недель его не будет, потом вернется на свое место. Не волнуйтесь.
Начнем вот с чего. 29-30 июля в Москве будет тестироваться, видимо, новая система – московская платформа, но новая система электронного голосования. Мы, конечно, поговорим, в чем новизна.
А.Костырко
―
Добрый вечер! Система не совсем новая. Просто она приобрела некий новый функционал. То есть это та же самая система, на которой мы голосовали на общероссийском голосовании, только с дополнительными функциями. Собственно, голосование тестовое, которое 29-30-го, мы предлагаем провести среди тех москвичей, у которых есть подтвержденный кабинет, то есть не будет особой системы записи, не надо заранее записываться. 29-го числа просто в кабинете тех, у кого подтвержденная запись на портале Мос.ру. появится кнопка, приглашающая принять участие в этом тесте. Два вопроса. Из функционала нового – это, конечно, «отложенное решение», которое обсуждалось…
А.Венедиктов
―
Это, практически, переголосование, возможность изменить свое решение.
А.Костырко
―
Да, мы называем это «автосохранением», то есть это очень легко сравнить с автосохранением офисного документа. Нажали кнопочку «Назад» и, соответственно, внесли изменение, потом сохранились и все.
А.Венедиктов
―
Артем, стоп! Первый вопрос нормальный пришел. Игорь пишет: «Кто гарантирует анонимность и как это происходит?
А.Костырко
―
Про анонимность. Это ровно та же самая система, которая отработала на общероссийском голосовании. Анонимность и тайна – это две функции, они обеспечиваются, безусловно, техническим тем решением, которое работает и работает с 2019 года. А я сейчас постараюсь объяснить простым обывательским языком по поводу анонимности.Анонимность – это тогда, когда никто не может сказать, чей это зашифрованный голос.
А.Венедиктов
―
При подсчете.
А.Костырко
―
Да, при подсчете и даже как только вы отправили свой, уже зашифрованный тайный голос, который зашифровался ключом шифрования, никто не может сказать, кому он принадлежит. То есть анонимность. То есть анонимность – это когда непонятно, как это связывается с человеком из реестра избирателей.Первый простой пример, первая аналогия – это то, как люди каждый день ездят на метро. То есть мы с вами подходим к валидатору, приложили карточку – система дала нам доступ, и мы, соответственно, дальше прошли на станцию. Где мы выйдем, какую пересадку сделаем, сколько станций проедем, не знает никто. И, в принципе, установить это даже теоретически очень сложно. В нашей системе даже теоретически невозможно. Это на входе проверяется, что человек входит в реестр избирателей, он подавал заявление. Это кабинет, в который подавалось заявление. Это телефон, на который приходила смс при подаче заявления. Всё, и дальше он попадает в анонимную зону.
Чуть более для продвинутых, кто пользуется VPN-гейтами, VPN-серверами, то это, в принципе, такая же точно технология. До сих пор все хакеры мира еще не пойманы. Все проблемы в интернете не решены. Это, в том числе благодаря тому, что все научились за последнее время пользоваться этими VPN-серверами, приложениями и менять свой маршрут, чтобы нельзя было отследить, от кого он ушел.
Но самый простой пример, самая простая аналогия – это поведение в метро. На входе вас проверяют, что вы имеете право пройти. И дальше, соответственно, след теряется. То же самое реализовано и у нас в системе.
А.Венедиктов
―
Это, видимо, про сентябрьское голосование. Спрашивает Антон Антошкин: «Можно ли разделить результаты электронного голосования по участкам, чтобы можно было детально сравнить электронку с бумагой?»
А.Костырко
―
Как правило, электронка, она же не повторяет. То есть, с точки зрения списки избирателей, то есть, кто конкретно исключен на электронное голосование, он по месту жительства на своем участке вычеркивается, чтобы не было двойного голосования: бумажного и электронного. Но все электронные избиратели объединяются в рамках списка электронных избирателей.
А.Венедиктов
―
То есть отдельный участок.
А.Костырко
―
Отдельный электронный участок, который создается. Результаты обычно подводятся по нему.
А.Венедиктов
―
«Вы сами голосуете электронно?» – спрашивает Ярослав.
А.Костырко
―
Да, мы все разработчики, как правило, является тестерами и сторонниками этого решения. Да, мы голосуем электронно.
А.Костырко: Просто так нажать кнопку «Проголосовать», не отметив галочки, невозможно
А.Венедиктов
―
Скажу страшную вещь: я тоже буду голосовать электронно. Я буду и на тесте голосовать электронно и таким образом…Вопрос от Мистера: «Здравствуйте! Теперь голосовать можно будет только с подтвержденной записью? На прошлых выборах можно было голосовать со стандартной записью».
А.Костырко
―
Да, на общероссийском голосовании по поправке можно было голосовать по стандартной записи, потому что не было обязательной привязки к адресу. У нас, собственно, вся территория Российской Федерации был один избирательный округ, один вопрос на все. А сейчас одномандатные округа и список по каждому адресу разный. Поэтому очень важна привязка человека. Поэтому да, подтвержденная запись.
А.Венедиктов
―
То есть для того, чтобы иметь кабинет, нужно иметь подтвержденный кабинет. Сколько сейчас в Москве таких кабинетов?
А.Костырко
―
У нас сейчас всего таких кабинетов…
А.Венедиктов
―
Если сегодня голосовать.
А.Костырко
―
Если сегодня голосовать, то сегодня подтвержденных в Москве кабинетов уже 4,7 миллиона. После этого еще будет процедура сопоставления с реестром ЦИКа – это тоже отдельный момент. Нужно будет проверить не только то, что данные в кабинете внесены и запись подтвержденная, но еще они актуальные и человек обладает активным избирательным правом именно по этому адресу.
А.Венедиктов
―
Дмитрий: «Как будет гарантирована честность подсчета и защита от вбросов?
А.Костырко
―
Соответственно, у нас система – честность подсчета и гарантия от вбросов. По поводу вбросов очень простая история. Система абсолютно прозрачна с точки зрения того, что каждый может реально найти свою транзакцию. Во-вторых, все транзакции, которые идут в системе, они видны в специальном обзёрвере, а он транслируется в интернет. Никаких не надо учетных записей, ничего. Каждый может посмотреть. Транзакции мы показываем все, не только зашифрованный голос, но с самого начала системы. Самая первая транзакция – это загрузка ключей шифрования, которыми, собственно, шифруются голоса. И дальше там проверка доступа, выдача бюллетеня, зашифрованный голос и так далее. Всего 16 типов транзакций. Соответственно, этот обзёрвер, он каждую секунду обновляется, в онлайне даже чаще, чем раз в секунду. И каждый может убедиться в том, что не было сборку никаких голосов.Как это можно сделать? Одна из первых транзакций – это загрузка реестра избирателей. То есть там прямо видно: все, кто записался, кто получил одобрение…
А.Венедиктов
―
Давайте скажем только, что на тест записываться не надо.
А.Костырко
―
Да, на тест записываться не надо.
А.Венедиктов
―
Вот на голосование в Государственную думу 17 сентября со 2 августа надо будет дополнительно подавать заявление.
А.Костырко
―
Да. Сейчас мы на тесте просто все 4,7 миллиона почти кабинетов, которые являются подтвержденными, просто возьмем и в этот реестр впишем.
А.Венедиктов
―
Кто захочет, из них может спокойно…
А.Костырко
―
Любой, кто захочет, может придти. Мы просто по умолчанию весь реестр туда загрузим, и можно будет попробовать потестировать систему. Но в целом загрузка этого списка делает невозможным приход голосующих со стороны. Каждый получает некую строку, некий код. И дальше этот код обратно к человеку не возвращается, то есть его нельзя расшифровать и понять, что это Иванов, Петров или Сидоров. Это так называемое безвозвратное шифрование. Все эти строки, которые представляют собой зашифрованных людей, заливаются в систему, и дальше в каждом бюллетене, в каждой транзакции видно, что такая-то строка зашифровала голос, проверила право доступа, получила бюллетень и так далее. Это всё видно. Соответственно, так мы убираем возможность того, чтобы сбоку не было каких-то людей и так далее.А то, что касается голосов, можно очень просто посмотреть. Это тоже нас проверяли и критиков у системы много, и мы очень им рады, потому что они повторяют системе развиваться гораздо быстрей и надежней, чем это бы делали просто без какого-либо контроля со стороны.
Можно сравнивать, то есть есть так называемая «воронка входа», то есть те, кто зашел в кабинет, получил смс, получил доступ к бюллетеню, далее – зашифрованный голос. Это однозначная последовательность. Вот она соблюдается неукоснительно. И вот так нас проверяют. Можно, в принципе, посмотреть, в какую единицу времени какие транзакции проходили. И плюс ко всему вы сами можете посмотреть свой голос. Такая возможность, она, к сожалению, до сих пор нормативно не закреплена. Но уже и «Медуза»*, и «Голос», они публиковали свои собственные статьи и показывали, как это можно сделать. Для этого не нужно обладать навыками программиста или еще что-то. Там буквально 5 шагов достаточно простых убедиться в том, что твоя транзакция дошла до блокчейна и там находится.
А.Венедиктов
―
И не изменена.
А.Костырко
―
И не изменена. Потому что зашифрованный голос, который у вас в с браузера отправлен, знаете про него только вы, потому что вы, собственно, его и оставляете. Вы эту транзакцию зашифрованную у себя в окошке видите. Никто кроме вас не видит ее. И когда вы закроете браузер, она, в принципе, пропадет. Она же и окажется у вас в блокчейне
А.Венедиктов
―
Я напоминаю, что в прямом эфире «Эхо Москвы» – Артем Костырко, который возглавляет группу разработчиков и сопровождает систему электронного голосования в Москве. Потому что в других 6 регионах другая система – федеральная. Мы вернемся в студию через 2 минуты после рекламы. И я напомню, что можно задавать вопрос через cvc: +7 985 970 45 45. Не забывайте подписываться.РЕКЛАМА
А.Венедиктов
―
Артем Костырко, разработчик и руководитель группы разработчиков электронного голосования в Москве. Я напоминаю, что можно в чате задавать вопросы. Не забивайте чат хренью всякой. Сюда пришли люди, которым это важно, интересно, скептические люди, которым хочется получить ответы, а не выслушать мнение тех, кто здесь пишет и давно определился. +7 985 970 45 45.Арата пишет: «Но ведь можно переголосовать? Как же система у знает, чей голос поменять, если невозможно восстановить, чей это был голос?»
А.Костырко
―
Давайте я расскажу про отложенное решение.
А.Венедиктов
―
Вообще про систему так называемого переголосования.
А.Костырко: В электронном голосовании вы можете голосовать из любого места на любом устройстве
А.Костырко
―
Идем сверху вниз. Первое условие: никакая тайная анонимность не нарушается. Этот постулат обеспечен технически, я сейчас объясню, за счет чего. Второе: никто не достает ваш бюллетень обратно, что-то в нем меняет – галочки – и кладет обратно. Как это сделано. Когда вы попадаете в анонимную зону – то, что я пытался вначале сказать – каждый человек – это уже не Иван Иванович уважаемый, а это некая строка, состоящая из символов, некий код, который присваивается в анонимной зоне и обратно восстановить там до Ивана Ивановича нельзя. Это некий случайный набор маршрутов, некая случайная последовательность.Но за счет того, что шифрование конкретного пользователя идет по единому правилу, то у одного и того же человека есть некое ядро, некий набор характеристик, которые шифруются одинаковым образом. Поскольку шифрование происходит в анонимной зоне, никто не поймет, даже не системный администратор и прочее, не смогут его восстановить обратно до человека, но за счет того, что используется определенный ключ, то один и тот же пользователь будет иметь похожий набор элементов в каждой строке, сколько бы раз он к системе не обратился. Зашли в анонимную зону – получили бюллетень, зашли в анонимную зону – получили бюллетень. При каждом вашем входе тот набор маршрутов, который выдается, он будет содержать в себе определенный набор символов, который является одинаковым.
Соответственно, грубо говоря, это выглядит каким образом? Вы попали в анонимную зону, вам выдали анонимные абсолютно бюллетени, там ненумерованные бланки без всяких пометок, безо всего. Это просто некий адрес, по которому вам на экран показан бюллетень. Точно так же вам выдали… по сути дела это ручки, которыми вы ставите галочки в бюллетене. То есть миллион цветов, миллион бюллетеней. Вам достается ручка определенного цвета. Но при этом каждый раз вам будет доставаться ручка одного и того же цвета Кто-то ставит только зеленым, кто-то ставит только синим, кто-то только красным. Цвета не повторяются, цвета ручек уникальны.
Дальше попадают в систему все помеченные ручками разного цвета бюллетени, и после расшифровки, после того, как бюллетени как бы раскрыли, посмотрели: тут зеленые ручки, тут синие ручки, тут красные ручки – и сложили в стопочки по цветам. Дальше тот, кто выдан последний по времени, он и отправляется в электронную урну для подсчета.
Соответственно, сейчас на тесте мы настроили систему таким образом, что воспользоваться функций отложенного решения можно не чаще, чем раз в 3 часа. Это во многом сделано для того, чтобы не было ненужного спама. В принципе, это ограничение настраиваемое. И еще мы предложили так, что принять решение в том, что нужно вернуться и еще раз что-то поставить, какие-то галочки, можно сделать только в течении календарного дня голосования.
А.Венедиктов
―
Давай я проще. Если вы проголосовали первый раз 17-го (там три дня, как вы помните), то вы можете переголосовывать только через 3 часа каждые три часа, но только 17-го. В 00 часов ваш бюллетень, ваша тыква превратиться в карету или наоборот, эта упадет – и всё. Я правильно понял?
А.Костырко
―
Да.
А.Венедиктов
―
Это на тесте мы сделаем.
А.Костырко
―
На тесте мы настроили таким образом. Потом соберем, послушаем, узнаем, что люди про это думают: удобно – неудобно. Тесты для того и сделаны, чтобы проверять. И посмотрим, как это дальше делать.Но здесь тоже есть некие косвенные плюсы. Не надо откладывать на последний час, не надо голосовать ночью, тем более, в пятницу. И, соответственно, если вы решили проголосовать и сделали это утром, то у вас есть целый день, если что-то случилось, то перерешить.
А.Венедиктов
―
Ярослав спрашивает: 4,7 миллионов подтвержденных записей – это люди с московской регистрацией? Подтвержденную запись можно получить и без московской регистрации?
А.Костырко
―
Да, мы говорим про москвичей. У нас московский портал, московская платформа. Голосование да, про москвичей.
А.Венедиктов
―
Алексей Корнев спрашивает: «А где гарантии, что этот список, реестр не содержит 500 тысяч левых адресов, которые также будут голосовать?» То есть ложные избиратели.
А.Костырко
―
Механизм проверки того, что за компьютером находится человек, он реален. Кроме технических средств, которые существуют и у нас работают, начиная с проверки того, что этот аккаунт, – у нас их будет достаточно много, мы об этом будем еще рассказывать, как начнется запись на боевое голосование. Но уже сейчас могу сказать следующее. У нас это действовало уже на общероссийском голосовании. Кабинеты, которые не осуществляли никакой активности, то есть подтвержденная запись – это значит, что вас проверили, в МФЦ – установили личность, вы с паспортом, в банке или вы, допустим, в офисе Госуслуг тоже проходили какую-то идентификацию. То есть если наберется 500 тысяч таких кабинетов подтвержденных без физического присутствия – с уполномоченным сотрудником этого сделать нельзя, – то эти 500 тысяч паспортов, по сути дела, физически…
А.Венедиктов
―
То есть сейчас уже нельзя создать.
А.Костырко
―
Сейчас нельзя, да. Создать подтвержденный кабинет, чтобы он был создан роботом и больше ничего не делал, я не знаю. Технически эта задача для меня пока нерешаемая. Предложите алгоритм, мы на него с удовольствием посмотрим, подискутируем, как система в целом – не наша электронного голосования – а в целом электронных сервисов, портальная система, она не примет этот кабинет. Потому что, во-первых, это физическое присутствие. Во-вторых, там полный набор связок. У вас должен быть СНИЛС, ФИО, дата рождения человека. Паспорт с такими же ФИО, датой рождения. И вы должны в системе Пенсионного фонда и МВД, и в реестре избирателей ЦИКа России, соответственно, угадать эту комбинацию. При условии того, что у нас всего кабинетов… То есть нельзя завести на Мос.ру два кабинета на один телефон, несколько кабинетов на один СНИЛС и так далее. Nо есть у нас всего в городе примерно 12 миллионов человек. И всего кабинетов, которые с уникальным телефоном, их порядка 11 с небольшим миллионов.
А.Венедиктов
―
Это несовершеннолетние здесь…
А.Костырко
―
Это понятно. Но в любом случае условие, что телефон и СНИЛС уникальные, оно соблюдается. Поэтому комбинация: телефон и СНИЛС уникальные, то есть это стандартная учетная запись – у нас больше 9 миллионов. То есть нужно где-то найти людей старше 18 лет с паспортами, СНИЛС, всеми данными и на них это зарегистрировать.
А.Венедиктов
―
Пишет…: «В прошлый раз вы говорили о двух базах данных на Госуслугах и Мос.ру. Так две базы данных или два интерфейса в одной базе?»
А.Костырко
―
Базы пользователей Госуслуг и Москвы – это разные базы пользователей. Но для голосования боевого мы будем делать точно так же, как делали на общероссийском голосовании. То есть зайти, записаться можно будет как через Госуслуги, так и через Мос.ру, но проголосовать москвичам можно будет только на платформе Москвы. То есть входа два, а, соответственно, проверки по поводу того, что запись является подтвержденной, делают и Госуслуги, и мы, но проголосовать можно будет на платформе. А вот там на платформе база и реестр электронный избирателей, он один. И, соответственно, он один и заливается в блокчейн тех, кто записался на голосование.
А.Венедиктов
―
Янова говорит: «Нет у меня доверия к такому голосованию». Голосуйте бумажно.
А.Костырко
―
Это же альтернативный способ.
А.Венедиктов
―
Сторонник вообще отменить вообще бумажное голосование и голосовать только электронно. Но кто же мне даст.Виктор задает странный вопрос. Может быть, вы поймете: «Возможно ли голосование, если в день голосования находишься не по адресу прописки?»
А.Костырко: Если вы решили проголосовать и сделали это утром, то у вас есть целый день - перерешить
А.Костырко
―
В электронном голосовании вы можете голосовать из любого места на любом устройстве. Если хочется проголосовать бумажным образом на участке не по адресу регистрации по месту жительства, то есть сервис «Мобильный избиратель», и, соответственно, тоже со 2 августа можно переписаться по месту фактического нахождения и переголосовать. Это возможно.
А.Венедиктов
―
Дамир спрашивает: «Как относится Путин к мобильному голосованию?» Скажу страшную вещь: он голосует бумажно. Во всяком случае, до сих пор голосует бумажно. Так и судить. Так же, как вы, собственно говоря. Так что вы, верные путинцы, с чем я вас и поздравляю.«Если начальник хочет, чтобы сотрудники проголосовали именно за кого-то, то надо собрать сотрудников голосовать из кабинета начальника в 21 час, тогда уже сотрудники переголосовать не смогут». И этот же вопрос задает коллега из «Интерфакса».
А.Костырко
―
В 21 час, он, скорей всего, не выполнит поставленную задачу, потому что голосование в 20-00 закончится, если речь идет о голосовании в последний час.
А.Венедиктов
―
Не важно. Ладно. Он скажет – в 17 часов.
А.Костырко
―
Вопрос много раз задают. Понимаете, у нас на общероссийском голосовании был миллион москвичей, который проголосовали. Руководитель, который соберет у себя не важно, в какое время – за 30 секунд до конца голосования, тех, кто перед этим записался электронно, чтобы они перед ним проголосовали. Во-первых, это преступление. И в наш век, когда действия оказываются выложены в ТикТок и в Инстаграм, в соцсеть еще раньше, чем закроются двери, он, в принципе, очень сильно рискует. Потому что в большом количестве не получится контролировать, потому что тебя снимут, выложат у соцсеть. Это очень большой риск.А, во-вторых, непонятно, зачем. То есть в воскресенье, в последний день голосования вечером в 19-45 собирает руководитель своих сотрудников. То есть это будто легко контролируемо и легко вскрываемо. Во-вторых, никакого влияния на голосование, даже если бы он сильно захотел, не привнесет. Миллион уже проголосовало и все.
А.Венедиктов
―
Сразу после новостей мы вернемся в студию. Пока формулируйте вопросы либо по СМС: +7 985 970 45 45, не забывайте подписываться. А также чат. Повторяю: будете хамить – я вас буду блокировать.НОВОСТИ
А.Венедиктов
―
Артем Костырко в эфире. Напоминаю, мы говорим об электронном голосовании в Москве. Напомню, 29-30 июля у нас будет тест. Мы к этому вернемся.Коллеги из редакции ТАСС спрашивают: «Какое максимально количество избирателей может одновременно войти на московскую платформу для голосования?» Выдержит?
А.Костырко
―
В принципе, могу так сказать. Вопрос не в количестве людей, вопрос в количестве одномоментных транзакций, то есть можно как бы войти и остаться.
А.Венедиктов
―
Имеется в виду, сколько выдержит, вопрос прочности, короче.
А.Костырко
―
Мы тестируемся сейчас на количестве где-то одномоментного входа где-то 4-5 миллионов.
А.Венедиктов
―
Одномоментного?
А.Костырко
―
Да. Это делается специально с запасом. Но это то количество, на которое мы тестируемся. Понятное дело, что это всё тесты синтетические. Если кто занимался этим, – то это синтетика. Это некий искусственный трафик, который гонит, представляя из себя некие роботы, которые представляют человека. Он кликает только один раз, он делает последовательность через равные промежутки времени. Понятно, реальность гораздо тяжелее. Когда у нас было общероссийское, то там голосовали же жители Новгородской области. Там мы столкнулись с тем, что к нам приходят через порядка 30 сетей. То есть они так настраивали VPN, что к нам просились люди через 30 сетей. Система безопасности их просто отрубала на входе, потому что по всем протоколам это было похоже на злоумышленников. На самом деле, это не злоумышленники, а так организована инфраструктура в области. Так оказалось.Соответственно, пока мы рассчитываем на такое количество.
А.Венедиктов
―
То есть 4-5 миллионов одномоментно транзакций.
А.Костырко
―
В 8 утра зашло и 4-5 миллионов, соответственно, нажали на кнопочку «Войти».
А.Венедиктов
―
Так что не упадет.
А.Костырко
―
От количества – нет.
А.Костырко: Никто не достает ваш бюллетень обратно, что-то в нем меняет – галочки – и кладет обратно
А.Венедиктов
―
ТАСС же спрашивает у меня: «С какой целью на тесте будет организовано голосование, в котором будут выбрано несколько вариантов ответов?» Здесь вопрос в том, что московская электронная система, она не только для выборов, она и для рейтингового голосования. Мы там еще рейтинги голосуем, когда можно будет выбрать. Собственно говоря, это и будет. Мы тестируем всё на самом деле.Виктор спрашивает: проводилась ли экспертиза системы на защищенность от внутреннего вмешательства со стороны администратора системы. Все может быть хорошо, но на выходе администратор меняет итоговые цифры».
А.Костырко
―
Да, это называется «проблема внутреннего нарушителя». Она входит в модель угроз, которую рассматривает ФСБ ФСТЭК. Модель угроз согласована. То есть считается, что мы нашли технические решения, которые позволяют ее избежать.Соответственно, сразу скажу, часто встречающийся вопрос: Нет единой системы логирования. То есть в системе есть три абсолютно автономных друг от друга модуля, между которыми нет единой сквозной системы логирования.
А.Венедиктов
―
Ничего не понял. Но не важно.
А.Костырко
―
Грубо говоря, у вас есть реестр избирателей, есть бюллетени и есть блокчейн, скажем так, грубо. Там реестр избирателей – портал. Плюс портал через который заходите. Это один модуль. Бюллетень – самая защищенная часть, где происходит голосование, шифрование – это второй модуль. И блокчейн, куда попадают зашифрованные голоса – третий. Между ними сквозной системы логирования нет. И, собственно, сама зона анонимизации, когда вы находитесь на бюллетене, она физически отделена от всех остальных систем. И это проверяется регуляторами. И, в принципе некоторая тоже технологическая возможность сказать, что невозможно сопоставить и нарушить тайну анонима за счет внутреннего нарушителя.
А.Венедиктов
―
… спрашивает: «То есть в реалии 400 тысяч одномоментных обращений – сервис не выдержит и упадет, или 4 миллиона?»
А.Костырко
―
Нет, мы говорили про 4 миллиона – это люди, которые заходят в кабинет и, соответственно, остаются. Но в любом случае у нас в системе предусмотрена такая штука, она использовалась, когда проходил чемпионат мира, чтобы болельщики могли записаться, – система очереди. То есть если превышен какой-то порог пропускной способности, то у вас на экране появляется колесико и будет сказано: «Подождите, пожалуйста. Слишком много сообщений. Через несколько минут вы сможете войти». То есть нет такого, что вываливается ошибка, и вы там больше ничего не сможете сделать.
А.Венедиктов
―
Михаил из Москвы эсэмэску прислал: «Если я хочу условно испортить бюллетень, могу ли я поставить галочки против нескольких кандидатов? Речь идет о сентябре. Или отправить незаполненную форму, аналог порчи бумажного бюллетеня?» Как система то воспринимает?
А.Костырко
―
Если на бюллетене можно поставить несколько галочек и вы поставите, – если только одну, значит, только одну. Но, поскольку бюллетеней несколько будет, можно проголосовать на одном бюллетене, на втором не голосовать, завершить голосование. Собственно, тогда в систему отправится только тот бюллетень, на котором вы поставили галочку и нажали кнопку «Проголосовать». Просто так нажать кнопку «Проголосовать», не отметив галочки, невозможно. Ничего не будет отправлено.
А.Венедиктов
―
Если человек получил бюллетень и не отправил его, то это и есть порча?
А.Костырко
―
Можно так назвать. То есть до некоторой степени статистикой будет учтено, что человек получил доступ к бюллетеню, то есть явка засчитается. Бюллетени ему выданы. Дальше, что он с ними делает, мы не знаем. Даже этот факт, он защищен. То есть если человек ничего не сделал, закрыл браузер и ушел – всё, то есть никакая транзакция не отправлена. Мы не знаем, что этот человек так сделал. В данный момент просто в явке будет засчитано, что конкретный Иванов Иван получил бюллетень, но что он с ним сделал – закрыл, отправил, – неизвестно.
А.Венедиктов
―
Как в бумаге.
А.Костырко
―
Да. В бумаге то же самое.
А.Венедиктов
―
Валерий из Петербурга: «Когда будут опубликованы результаты электронного голосования?» Сколько нужно времени, чтобы посчитать этот условный миллион?
А.Костырко
―
Это миллион голосов. Сейчас мы проводим тесты, как это будет выглядеть с отложенным решением, потому что там другая процедура. Мы в предварительном блоке храним все эти голоса, вы их видите в обзёрвере, то есть все эти транзакции, сколько там дополнительно человек вернулось и смогло снова отправить транзакцию, предсказать сейчас достаточно сложно. И, соответственно, после этого они должны быть отправлены на сервис расшифровки. Там остается последний по времени голос, зашифрованный отправляется не дешифрацию тем самым ключом, который мы перед голосованием разделяем. Собственно, это плюс процедура. То есть мы сейчас тесты проводим, но мы надеемся, что где-нибудь за обозримое время, не сильно большое мы расшифруем. Мы пока себе ТЗ ставим где-то час-полтора, не больше где-то в количестве 2 миллиона человек.
А.Костырко: Нельзя понять, что это Иванов, Петров или Сидоров. Это так называемое безвозвратное шифрование
А.Венедиктов
―
Еще раз напомню про московскую систему голосования, что результаты по голосованию в Москве по вопросу поправок к Конституции совпали с исследованиями Леонида Волкова, хорошо вам известного, который возглавлял статистический отдел ФБК, признанный иногаентном, а также с математическими раскладами Шпилькина. И не известны случаи, когда людей заставляли массово голосовать под контролем. Это миллион человек проголосовало. Нам это неизвестно. Не обращались.Черный кот: «Могут проголосовать с одного компьютера все члены семьи или нужны разные компьютеры? Хороший вопрос.
А.Костырко
―
Изначально было нельзя. Мы блокировали доступ с одной машины. Я тоже вижу, про айпишники задают вопрос. Айпишники – это как ИНН фирмы, то есть оно не дает однозначного понимания, что это одна и та же станция. Там комбинация параметров. Изначально мы это блокировали. Но, в принципе, проголосовать с одного компьютера можно. Единственно, что мы настоятельно всем рекомендуем – это самый частый вопрос в техподдержку в день голосования: «Я не голосовал, а у меня на экране написано, что я проголосовал». Все дело в том, что если компьютер семейный, вы в браузере открыли вкладочку, зашли в свой личный кабинет, проголосовали. Ну, и, как правило, ушли с компьютера. Человек приходит следующий – жена, муж – и видят: «Спасибо! Вы проголосовали». Это потому что супруг перед этим проголосовал или ребенок, которому больше 18 лет. Не забывайте выходить из браузера, и все будет нормально.
А.Венедиктов
―
Петр говорит: «Можно ли принимать всерьез голосование, если на него не допускаются независимые международные наблюдатели? Что вообще с наблюдением?
А.Костырко
―
У нас наблюдателем может стать каждый. Прелесть нашего электронного голосования в том, что обсзёрвер транзакций, все транзакции системы, они транслируются в онлайне в интернете. То есть хотите – из любой абсолютно точки можно наблюдать, смотреть и так далее. Тут, скорей всего, речь идет о том, что некая экспертиза исходного кода, экспертиза архитектуры и так далее. Мы с 19-го года, когда система только начинала разрабатываться, организовали техническую группу при общественной палате Москвы, и с тех пор там есть количество людей, которые с 19-го года работают. Недавно даже Мельконьянц прислал, что 11 июля у нас день рождения некий был, потому что два года с тех пор, как мы этой системой начали заниматься.Но доступ в эту группу до сих пор открытый. Код исходный на GitHub публикуется. Все обсуждения мы проводим под запись. Нас записывают все члены рабочей группы. Там есть отдельный товарищ, который целый канал ведет на этот счет. То есть записи до сих пор в YouTube есть, и можно найти: «Электронное голосование, Git, Артем Костырко». То есть это не реклама, но все записи лежат. И все обсуждения там без всяких купюр и все предложения. Кстати, «отложенные решения» – это на самом деле предложение технической группы, за что спасибо. Когда мы проводили общероссийское голосование, было сказано, что если вы такие открытые, придумайте, как сделать так, чтобы можно было застраховаться от давления того самого мифического работодателя.
А.Венедиктов
―
Почему мифического?
А.Костырко
―
Возможно, да. Но на самом деле, почему мы это «отложенное решение» придумали и продвигаем, потому что мы помним опыт 19-го года, когда на первом серьезном голосовании случился технический сбой, и, соответственно, все люди, кто захотел, смогли проголосовать, но с тех пор мы во главу угла ставим именно безопасность и надежность, – так вот «отложенное решение», оно эту надежность возводит практически в абсолют. То есть что бы ни случилось с вашим устройством – интернет пропал, еще что-то, – вы сможете к бюллетеню вернуться и проголосовать. Это, собственно, функция, которая за это отвечает. То есть даже если интернет пропал в доме, на устройстве, еще что-то произошло, – у нас будут стоять на всех участках, где будет бумажное голосование, на всякий случая компьютеры. Во всем МФЦ есть рабочие места, куда можно зайти в свой кабинет и проголосовать электронно.
А.Венедиктов
―
«Если человек получил доступ онлайн, не завершив голосование, сможет ли он пробиться на обычный участок? Смогут ли обнулить его испорченный бюллетень?
А.Костырко
―
Нет, ЦИК принял решение…
А.Венедиктов
―
Да, это была наша война с ЦИКом. Нам не удалось убедить, как во время поправок в Конституцию в Москве можно было пробиться. Сейчас если за три дня вы не отменили свою запись на электронку, не отозвали свое заявление, то вы можете проголосовать только электронно. На каждом участке в Москве – их 3600 – будут поставлены специальные защищенные компьютеры, где, если вас гаджет не сработал, можно зайти…
А.Костырко
―
Или человек забыл, что он на электронное… То есть в любом случае, решил протестировать систему, он будет исключен из списков прямо по месту жительства, прямо вычеркнут из списков избирателей ручкой, там будет написано, что он электронный избиратель, и если он вдруг запутается, придет – мы сами сидели, принимали участие, как происходит на участках, – есть, действительно случаи: «Я пришла, я забыла, теперь чтобы не спускаться, лишний раз по лестнице не подниматься…» Вот компьютер – пожалуйста.
А.Костырко: Система абсолютно прозрачна с точки зрения того, что каждый может реально найти свою транзакцию
А.Венедиктов
―
Игорь спрашивает: «По статистике, какая доля в прошлый раз не голосовала из тех, кто подал?» Это интересно.
А.Костырко
―
У нас из тех, кто записался и не голосует, то есть явка электронных избирателей, она не падает ниже 92% с 2019 года. То есть 8% из тех, кто записался, не доходят до электронного голосования. Не ниже, чем 92% явка.
А.Венедиктов
―
Наиль предлагает: «Почему нельзя сделать страницу «Спасибо, вы проголосовали!» сама себя закрывать при отсутствии активности? Это не так сложно сделать».
А.Костырко
―
Но мы даже здесь, если посмотрите поподробнее, сделали так, что эта выходная страница, она вообще находится на другом домене, и это на самом деле не страница, а просто такой ярлык висящий. И чтобы из анонимной зоны нельзя было проследить какими-то средствами, откуда вы пришли, то есть раскрутить маршрут последнего шага, – это просто переадресация на этот ярлык висящий в интернете, то есть на эту страничку – один из видов троллинга – нам много раз присылали эту страничку, а нее можно попасть из интернета, а не из своего кабинета. Это просто некий, висящий отдельно домен, куда направляется человек после анонимной зоны, чтобы нельзя было раскрутить обратно.
А.Венедиктов
―
Надежда спрашивает: «Можно ли составить шпаргалку для нас, профанов? Спасибо!»
А.Костырко
―
Да, мы открыли лендинг на портале Мос.ру. Можете посмотреть, сегодня новость висит на главной странице. Там соответственно, у нас выложены все вопросы часто встречающиеся, у нас выложены объяснения. Плюс мы начинаем систему информирования. Мы это делаем регулярно каждую кампанию. И, соответственно, там есть и адрес почты службы техподдержки, куда можно обращаться по вопросам, в том числе, и записи, соответственно, мы постарались в понятной форме донести это и, в том числе, визуал, и будем это делать дальше.
А.Венедиктов
―
Наиль спрашивает: «Ведутся ли какие-то переговоры, чтобы распространить именно эту платформу на федеральный уровень?».
А.Костырко
―
Тут вопрос не в переговорах. У нас все-таки, почему две платформы? – тоже часто встречающийся вопрос. Потому что мы был первыми и до сих пор этот эксперимент продолжаем с набором новых функций и так далее. На федерации другая проблема. Мы можем себе позволить экспериментировать и изобретать функционал, который для Москвы, скорее всего, будет востребован и валиден. Все-таки на федерации другая проблема. Там гораздо больше специфики, связанной со структурой, с сетями. Там гораздо больше разнообразие выборов. Вот мы только сейчас будем пробовать несколько бюллетеней одновременно. А на федеральной платформе, там уровень функциональных возможностей должен быть, наверное, немного пониже, но за счет общей употребимости система должна быть более стабильна, более понятна, более проста.
А.Венедиктов
―
Сергей спрашивает: «Силовики смогут узнать, за кого ты проголосовал, если передать им алгоритмы?»
А.Костырко
―
Нет.
А.Венедиктов
―
Почему?
А.Костырко
―
У нас как раз тот анонимайзер, который сделан, он сделан децентрализованным. То есть даже одно из некоторых отличий от федеральной системы: у них централизованный сервер, основанный на слепой подписи. У нас децентрализованное перемешивание. То есть, кроме того что у нас зона анонимная инфраструктурно, сам маршрут анонимный, к нас еще сделан миксер и на входе и на выходе. То есть не просто попадать в эту анонимную зону прямым ходом, но вы попадаете в некоторую очередь, которая, во-первых, еще сама перемешивается, и на выходе ваш голос, он тоже попадает в некий случайный блок, тоже перемешивается, и уже потом отправляется в блокчейн.Мы это специально сделали. Тоже техническая группа подсказала, что если голосование ночью, и вот кто-то очень упорный захочет посмотреть из системных администраторов, кому же не спится, как и ему в 2-30 или 3-30 ночи. Вот, соответственно, чтобы этого не было, даже он понять не сможет, кто вошел и кто проголосовал. Потому что есть эта система искусственного перемешивания.
А.Венедиктов
―
Кстати, вспомнил, как вы объявляли награды за найденные дыры в системе электронного голосования в прошлом. Будет ли нечто подобное в этот раз?Я объявляю награду в 2 миллиона рублей для тех, кто сможет эти дыры пройти. Кстати, какие вы видите… кто-то спросил, какие дыры уловки?
А.Костырко
―
Это скорее не дыры, это возможность злоумышленника скомпрометировать систему. То есть очевидно, что мы будем всячески стараться защищаться от компроментации купленным кабинетами угнанными учетками и будем людям объяснять, что, в принципе, держите свои пароли в теплом и сухом месте и не отдавайте их никому. Потому что защититься от того, что у человека угнали кабинет, потому что у него логин Артем, пароль Артем, достаточно тяжело. И это стандартная система. То есть тем, кто не заходил в кабинет продолжительное время будет напоминалка и сброс пароля. Тем, у кого мы найдем телефон или почту в даркнете, будет напоминалка с сброс пароля. То есть мы те вещи превентивные, которые делают банки, делают сотовые операторы, интернет-правайдеры, мы это, разумеется, то же самое делаем. Это делают все, кто ведет базы пользователей.Но защититься именно от злоумышленника, захочет скомпрометировать, показав, что он получил доступ к какому-то другому кабинету – вот, наверное, это основной риск. Он не касается устойчивости системы, но он имеет отношение к доверию. Поэтому для нас он самый болезненный и от него бы будем защищаться в первую очередь.
А.Костырко: Что бы ни случилось – интернет пропал, еще что-то, – вы сможете к бюллетеню вернуться и проголосовать
А.Венедиктов
―
Дмитрий спрашивает: «Смогли ли я постфактум проверить, не изменили ли мой голос?»
А.Костырко
―
Да, вы сможете в обзёрвере, там прямо поисковая строка в самом верху, мимо не пройдете, – введите свою транзакцию, которая с браузера отправлена, и он вам покажет блок, в который она записана, соответственно, ваши соседей, все суммы, и вы можете видеть все время голосования. Есть специальные роботы, которые написали наши члены рабочей группы, они просто проверяют неизменность транзакций ежесекундно, что там не появилось и не исчезло каких-то транзакций. Ни разу не нашли.
А.Венедиктов
―
От меня вопрос. К Москве и к некоторым московским округам приписаны зарубежные участки, то есть люди, которые не прописаны в Москве, естественно, не имеют кабинетов, они приписаны, скажем, в Сан-Франциско, их 10 тысяч человек. Каким образом они смогут проголосовать, если учесть, что консульство в Сан-Франциско закрыто американскими властями? Смогут ли они электронно проголосовать?
А.Костырко
―
У нас не совсем по адресу вопрос. Если они находятся в списке избирателей Москвы и ГАС «Выборы» будут их валидировать в этом списке, то, естественно, они смогут. Для этого достаточно иметь подтвержденный кабинет на Мос.ру. Если они не москвичи и неподтвержденный кабинет, то хоть в Хьюстоне, хоть в Сан-Франциско, все равно. То есть, если нет московской прописки, нет подтвержденного кабинета – ну, как бы извините.
А.Венедиктов
―
Но ЦИК их приписал, это решение ЦИКа. По Москве.
А.Костырко
―
Если ЦИК их приписал, они находятся в избирателях Москвы и у них есть подтвержденный кабинет в Москве, то они смогут, мы их провалидируем.
А.Венедиктов
―
То есть для этого им надо создать кабинет.
А.Костырко
―
Им нужно создать кабинет с паспортом, со всем остальным, подтвердиться в МФЦ. Если они в Сан-Франциско, то это им достаточно тяжело будет сделать.
А.Венедиктов
―
Пишет Ольга Никишина. Спасибо за хороший вопрос: «В этот раз будет два бюллетеня. Можно будет по одному проголосовать электронно, а по другому – бумажно?»
А.Костырко
―
Нет, если голосуете электронно, значит, электронно. Если речь идет про боевое голосование, то, разумеется, вы записываетесь на голосование электронное и, соответственно, и по федеральному списку. и по одномандатному голосуете электронно.
А.Венедиктов
―
Тут говорят, почему бы не устроить разговор Артема в «Точке»? Это вопрос к Плющеву. Это вопрос не ко мне.
А.Костырко
―
Я был, меня приглашали. Мы с Ппющевым переписываемся. Пригласит – приду.
А.Венедиктов
―
Пишет… из Владимирской области: «Почему вы не используете для блокчейна сторонние, независимые сервера?»
А.Костырко
―
Это, наверное, вопрос не про сервера, а про валидаторы.
А.Венедиктов
―
Я не знаю, тут написано: «сервера», я читаю: сервера.
А.Костырко
―
Вопрос в том, что у нас выбрана модель блокчейна, при которой – у нас это будет на лейдинге Мос.ру отдельная статья по поводу того, какой блокчейн и чем отличается публичный от приватного и что такое приватный блокчейн с абсолютной публичностью. Вот у нас сделано так, что записать голоса в сеть могут только те валидаторы, которые находятся на серверах, грубо говоря, в российских ЦОДах. То есть поставить себе на компьютер ноду и начать писать свои собственные голоса или чужие голоса в сеть, невозможно. Так, в принципе, не делает никто.Здесь просто есть очень много рисков. Та же самая проблема 51 распространенная. Но в целом мы это выложим на Мос.ру. В целом это сложно мне голосом рассказать. Но если совсем в двух словах, то те, кто записывают транзакции в сеть, это валидаторы, которые находятся на серверах под управлением правительства Москвы. Но то, что они записывают, какими ключами они это шифруют, доступно и видно всем. Первая транзакция в сети бокчейн, которую публично видно через обсервер, – это как раз загрузка ключей валидатора. В каждой транзакции вы видите, какой валидатор, какие голоса записал, какими ключами зашифровал и так далее. То есть мы показываем абсолютно все, в том числе, те валидаторы, которые пишут.
Когда у вас якобы публичные сервера, которые могут писать блокчейн-данные, вы их не видите, вы их не знаете, кто конкретно и какую транзакцию записал. Здесь уровень доверия должен быть еще ниже. Потому что перехватил кто-то управление по этой сети не перехватил, вы это не знаете. А здесь есть набор валидаторов, которые вы видите. Вы видите всю их деятельность, соответственно можете проверить, что они сбоку не приписали ни человека не из списка, ни транзакцию, которая не зашифрована этими ключами.
А.Венедиктов
―
Ярослав пишет: «Вы сказали, подтвердить запись в МФЦ. У меня подтверждение Мос.ру через федеральные Госуслуги. В МФЦ не ходил. Я смогу проголосовать?»
А.Костырко
―
Да, сможете проголосовать, записаться сможете с обеих записей и проголосовать. Подтверждение через Госуслуги мы тоже принимаем. Это синхронизация двух систем. Так же, как и подтверждение через «Сбербанк». Просто у Госуслуг была своя история. Подтверждения не рассылали листки с паролями. Тому надо придти в офисы Госуслуг и это подтвердиться.
А.Костырко: Никакая тайная анонимность не нарушается. Этот постулат обеспечен технически
А.Венедиктов
―
То есть это можно.
А.Костырко
―
Да.
А.Венедиктов
―
Я напомню вам, что у нас в Конституции в Москве более миллиона попросило бюллетеней, проголосовало 997 тысяч. И по нашим прикидкам больше проголосует с учетом ковида, с учетом 3-дневного голосования на выборах в Государственную думу. Обращаю ваше внимание, что если явка в Москве 40% предположим, то у нас 7,5 миллионов избирателей, умножаем на 7, получаем 40% процентов – 3 миллиона. Это означает, скорее всего, что большинство тех, кто придет на голосование, будут голосовать электронно. И те кандидаты, которые будут призывать голосовать не электронно, проиграют изначально. Просто имейте в виду.Спасибо большое, Артем! Я напоминаю, что это не единственная наша передача про электронное голосование. Призываю вас принять участие в тесте ровно для того, чтобы понять, какие дырки, чтобы понять, какие угрозы, чтобы понять, чего вас не устраивает. 29-30 июля. Это будет вопрос об обязательности вакцинирования, то есть 100-процентного вакцинирования для, соответственно, разных профессиональных групп. И это будет вопрос, который по просьбе мэра мы вставили. Это вопрос: Куда город должен больше вкладывать деньги: в общественный транспорт или в развитие инфраструктуры для частного, личного транспорт? То есть, я думаю, что он примет к сведению этот результат. Так что приходите, за одним бюллетенем, за двумя, как хотите.
Артем Костырко, руководитель группы разработчиков электронного голосования в Москве. В следующем часе у нас Ирина Воробьева схлестнется с Николаем Рыбаковым, который возглавляет список «Яблока». Спасибо большое!
* российские власти считают иноагентом