时美选民下月投票时, 将无法判断多州胜选者是否由软件故障、投票系统病毒、投票系统编程员或投票人自身推举产生这些国家有完全依赖电子投票机(这些机称为直接记录电子投票机或DREs)。无法判断DRE机所录票与选民所选票相匹配
解决方案直截了当:禁止使用不可信无纸DREs,并请求随时可用并可审计、准确、可靠、可访问和成本效益高的系统代之以使用
无纸电子表决在当前技术中原则上不可行基础错误思想是,我们可以建计算机可可信执行无法独立验证结果的操作但要解决几乎是不可能的问题 即便我们尽了最大努力无法知道参与设计、实施和制造机器的多人中是否有人出错或引入恶意修改足够选票可能被腐蚀改变多场选举结果 — — 不可见地。这一事实引出所有使用无纸DES选举问题即使是机器完全计票 我们也无法确认
为何无纸化DRE系统比计算机风险更高?这是因为对操作这些系统的结果有独立验证或起搏器故障 或你或你的生还者知道银行软件出错时,可查报表查找无纸DREs没有独立验证投票变换似然 谁会知道
现实中,当前DREs甚至不近于“最大努力”,一如多次显示,特别是在去年。加利福尼亚安全评审a/最近俄亥俄州b/记录最常用DRE系统安全设计中的令人叹为观止的错误,这些系统集体处理数以百万计的选票单人有限访问权可在一次选举期间向系统注入病毒,下次选举可接管辖区内所有投票系统C级
迫切需要禁止当前无纸DES多州已经这样做了,但多州没有这样做。所有去马里兰州和佐治亚州投票的选民被迫使用无纸DES和其他州的许多选民一样其他一些州现在使用纸选票,但将来可决定转换为无纸电子投票没有联邦立法,某些州的选民将长期受DES约束
国会应授权特定类纸迹:每位选民应标注并投出经选民验证的纸投票每一轮投票可人工计算或扫描分区内扫描仪检查多票或误差标记(这类系统技术术语为分数光学扫描或PCOS)。投票者有机会修补投票或填充新投票否则,选票计数并存放在安全投票箱中或选票可点手计算通过使用选票标识设备,这些系统可以向各类残疾选民开放,通过无障碍电子接口允许读取、标注和验证纸选票
多数研究显示PCOS系统至少像任何其他投票系统一样精确成本比触屏机低,如果失标,标注选票可储存在投票盒内并计数后方最重要的是手记票可以校验计数而不必信任计算机化系统光扫描系统已经是美国的主要技术-这些技术使用多年,技术正在稳步提高。
一些人认为,立法要求纸票会妨碍投票技术创新投票技术的主要问题不在于缺少创新,而在于如何从不良创新中预防并恢复
何以造纸非永久介质像可录制光盘纸可以由人或机器阅读写作,更重要的是,由没有机器帮助的所有人阅读写作纸面投票不检测就不能删除或修改纸面关键文档处理多百年,投票工作者和选举管理员很容易理解程序举例说,很容易识别为问题,如果民调工作者带一盒选票在后房消失数小时
简单使用纸选票并不能保证选举完整性选票必须保护,存储过程、运输过程、处理过程和计数过程必须透明化关键点是,纸选票通过随机选择选区或机器的选票并人工计数看是否符合机器总和,使例行审核选举成为可能。
一些人认为,立法要求纸票会妨碍投票技术创新投票技术的主要问题不在于缺少创新,而在于如何从不良创新中预防并恢复州和地方政府选择购买数以万计的DRE,尽管计算机技术员和活动家都发出可怕的警告-然后DRE的真实风险比警告还差现有要求和认证过程对保护投票系统不受此坏点子和其他不良点子的影响无济于事
VVPB授权引导商家研发改进光扫描技术,而不是开发营销有利可图但归根结底可疑系统如DREs假设并当提出了全新技术时,法律可以修改-经过彻底辩论新技术的真正利益、代价和风险-这一辩论本可避免过去几年里DREs灾难实验。
反点:Daniel Castro
所有选民都想并应该得到安全选举可惜市场目前没有投票系统向选民提供可验证的证明,证明他们的选票已被计数一些活动家特别关注直接录制电子投票系统投票完整性问题,因为这些设备依赖难以审核软件。多数人都同意应提高投票技术,特别是,一群活跃分子推广使用纸审计轨迹的想法-基本由DRE生成的纸收据-作为反欺诈和错误的对策不幸的是,这项建议不完整地解决大得多的问题。改善投票系统不仅仅是技术挑战,也是公共政策挑战
计算机科学学科基于逻辑和证明,我们应该依赖这些宝贵方法分析投票系统技术理解问题范围必须先理解投票过程不结束投票箱安全选举投票过程的每一步都必须安全具体地说,选票必须按原意投放,按投方式收集并计数论文审核轨迹仅提供第一步验证-即投票按原意投影不错,但不够好投票系统正确投票无关紧要,如果他们无法验证选举官正确计票
偏重论文路径忽略了保障投票过程所有步骤的重要性提高选举安全将涉及改善多重安全控制,包括软件测试、实体安全、并行测试以及选前和选后审核此外,纸审计线索并非唯一验证选票按原意投影的选项多类审计线索即已足够,包括使用音视频的线索Auburn大学研究团队开发了Prime 3投票系统,生成由投票者验证的私自视频审核轨迹,以观察投票者与投票系统之间的屏幕交互作用
完全新类投票系统由密码员设计,提供投票过程所有三步端对端核查E2E系统为选民提供自相矛盾的证明和隐私保护组合-他们的选票包括在最后投票计票和隐私中,以防止投票出售和投票强制E2E投票系统的例子包括PunchScan(见www.punchscan.org)、VoteHere(www.votehere.com/vhti.php)和Scratch投票一号并见新闻故事CleanEduction第16页-Ed
不幸的是,许多这些考虑因素没有出现在辩论中,辩论狭隘地侧重于是否要求提供纸审计轨迹,而不是大问题,即如何改善投票系统安全专家与选举官必须开发量化风险分析框架,此外,他们必须对改善投票系统的拟议政策进行成本效益分析。这两项举措将提供证据和知识库,据以根据对投票系统的拟议设计修改作出决定。多数关于投票系统改进的辩论为时尚早, 因为安全专家和选举官员尚未开发综合风险分析比较投票系统跳过这些步骤不仅是不良科学,也是不良策略
改善投票系统关键的第一步是选举援助委员会-负责改善选举的联邦委员会-对每一类投票系统(例如DRE、光学扫描和拉杆)进行严格和有条理风险评估迄今尚未对这类类型进行全面风险评估,无法对不同投票系统相对风险进行有意义的比较。没有一个投票系统完美无缺,但像任何系统一样,关键是要找到可接受的风险水平。此外,风险评估将使决策人现实地了解不同投票系统之间安全差异。多项目为这种框架打下基础,包括NIST开发威胁投票系统分析3Brennan中心报告机制民主:投票系统安全性、无障碍性、可用性与成本2
改善投票系统第二步是对拟议的投票系统改进进行成本效益分析成本效益分析将揭示这些建议对安全性、可用性、可访问性及成本隐蔽影响论文审核轨迹减少软件威胁的某些风险,但引入文件轨迹链托管新风险此外,论文审核路径减少无障碍性,因为盲选人无法独立验证论文审核路径论文审核跟踪费也很昂贵-除打印机成本外,县必须付费安全收集、传送、跟踪、存储和计数文件跟踪
授权论文审核轨迹可能排除近期实施这些系统的可能性与其回调投票技术时钟,不如制定鼓励投票系统创新的政策
投票系统安全备受关注,只是投票系统必须满足的许多要求之一完全安全投票系统如果复杂到无人使用类似地,选民会拒绝极方便用户投票系统,如果它不安全投票系统同任何其他类型系统一样,竞相值应相平衡唯有同时进行风险评估和成本效益分析,决策者才能实现设计修改,从而在安全性、可用性、无障碍性及成本方面实现最佳整体改善
最后安全专家和选举官必须认识到改善投票系统不是一个短期项目投票系统的大部分实质性改进可能并非来自短期补丁,而是通过长期技术创新实现的。特别是密码学和E2E投票系统为投票革命提供潜力授权论文审核轨迹可排除近期实施这些系统的可能性与其回调投票技术时钟,不如制定鼓励投票系统创新的政策启动前需要联邦资金支持投票系统研发、测试和风险评估评价
此外,投票系统指南应定义功能标准(例如要求独立、可验证审计轨迹),而不是技术约束设计标准(例如文件审计轨迹)。功能标准定义系统必须符合的最低操作需求功能标准不定义任何具体技术或过程,因此它们足够灵活,允许研究人员开发新方法解决现有问题和政府不要求所有计算机运行Windows一样,也不要求所有投票机使用纸张
决策人不能忽略投票系统技术,计算机科学家也不能忽略建议对公共政策的影响真正的挑战不在于设计完美投票机,而在于设计完美选举这个问题既不完全属于计算机科学领域,也不完全属于公共政策领域。取而代之的是,来自多领域专家必须共同努力开发出能满足良好选举所有特征的解决办法。快速修复思想在纸面上可能听上去不错,深入分析显示,其中许多建议有严重故障。此外,纸迹不是短期安全解决办法,因为它们只处理大问题中的一小部分问题。后门开开,加固前门毫无意义安全专家和决策者应制定策略,根据推理分析和实证推进投票系统技术
David L.迪尔
上头说美国投票系统陷入危机,原因是错误地采行固有缺陷DRE(直接记录电子投票机),这些机不透明,极不安全,不受内人和局外人攻击。幸运的是,这个问题很容易通过使用选民标注投票和分块光学扫描技术解决,这些技术已经广泛使用并证明可靠和成本效益高特别是,我并不主张DREs加印-PCOS是投票者验证的最佳选择
Daniel Castro表示纸迹无法解决所有投票问题事实如此 支持纸选票者并不奇怪纸选票是可信选举系统的一个基本成份,其中还必须包括严格的选票实体安全、人工计票审核选举结果以及其他程序和法律保障可信赖的选举在当前无纸化DRE中是不可能的机器制造程序员甚至外部攻击者无特殊访问权可完全控制选票存储和计票a/
卡斯特罗表示聚焦纸迹忽略投票系统其他方面支持PCOS系统者在现实中思考更广泛的问题,包括成本、精度和无障碍性PCOS系统在所有这些维度上都与DRE系统竞争
Castro说,没有量化风险分析框架和成本效益分析,我们无法行动如果这些类型分析得到执行和注意,DREs永远不会购买然而,立法不必等待进一步研究,因为DRE系统显然比PCOS系统风险大得多,这一事实需要即时行动迄今最全面研究(这是Castro引用摘要基础)得出结论,单人可改变无纸化DREs近距离选举结果,但需要大得多攻击队使用PCOS窃取选举-假设适当的程序包括人工审核d级关于成本效益分析,PCOS系统以较低成本获取DREs等e类
Castro称还有其他方法解决电子投票问题,包括Prime III系统及数端对端系统(Punch-scan、VoteTe初级三级拥有视频和音频(而非纸迹),在实践中很难审计Punchscan和Scratch+Vote可说是选民验证纸投票系统,尽管密码系统更重要的是,这些系统多年无法替代DREs(如果有的话)。VoteThere系统也存有纸质收据, 可能因为选举官、技术审核员和公众发现难以理解
民主选举结果可能被错误或恶意软件不可检测地染指,这是不可接受的没有理由进一步拖延实施现成解决这一严重问题的办法。
丹尼尔·卡斯特罗
David Dill热切推理纸选票时省略了一个固态事实:从历史角度讲,纸选票是大多数投票欺诈的根源这并不奇怪,因为纸选票很容易变换、丢失、窃取或失效解决之道是向分治光学扫描系统投出更多钱纸投票机有初步吸引力,但不是灵丹妙药
第一,他称PCOS系统比其他形式的投票技术低费用完全是虚伪的。仿佛说苹果比橙子贵县投票系统总成本取决于多项因素:投票设备价格和数量、每年选举数、设备生命周期以及计票、存储、维护处置成本5改变投票技术的任何建议还必须考虑到交换技术成本,如再培训选举官
第二 PCOS系统黑客Brennan中心在其关于投票系统的报告中写道,“我们的研究或分析没有显示Trojan马或其他软件攻击程序比对DREs程序难上加难。”4人工重计避免攻击,但不是所有攻击举例说,攻击者可禁用某些县光学扫描机高/低投票警示,结果产生多张无效票上下票占总投票率4%后,
PCOS系统不向选民提供任何证明,他们的选票被列入最后计票PCOS系统也没有向投票者提供任何保证,保证计票中没有增加非法选票实现信任度的唯一方法就是提供端对端可核查性,正因如此,我建议E2E投票系统作为长期解决方案
短期解决方案是加强安全需求消除已知漏洞并确保选举程序一致性选前和选后审核确保机器照样运行,并行测试确保其在选举期间正确运行,散码测试确保机上软件与先前测试并存文件相同
州可以使其当前的电子投票系统相对安全,而无需联邦文件审核跟踪切换县PCOS或纸选票将耗资11亿多美元,仍然无法解决安全问题归根结底,切换PCOS或纸选票是一种时间、钱和努力的浪费,因为它不会把我们推向我们希望去的地方:端对端可核查性。要求纸选票只会移位或退步-我们应该向前推进
加入讨论(0)
加入或签名发布注释