ACM通信
新闻
干净的选举
乔·霍尔摄影
尽管在2000年佛罗里达州总统选举的惨败之后,人们再次呼吁改善投票制度,但8年过去了,美国的投票方式几乎没有改变。今天,这个国家的投票标准和方法仍然是名副其实的大杂烩。一些县使用杠杆机,一些县使用纸质选票,一些县使用电子投票机,还有一些县在尝试过电子投票后,又恢复了以前使用的纸质选票。
在公共政策和科技界,关于电子投票和纸质投票孰优孰弊的争论仍在继续,但有一种方法可能会平息整个争议:端到端(E2E)可审计投票。也被称为端到端可核查投票,端到端可审计投票确保以公开可审计的方式保存和维护从准确记录的单张选票到收集选票的统计的过渡,并使选民能够核实他们的个人选票被准确记录,并有能力显示(在很大程度上)所有选票都被正确制表。
(关于电子投票的辩论,见第29页的观点/反驳专栏。)
端到端可审计投票不同于选民验证的纸质选票,后者解决的是每一张选票是否被正确记录的问题,但不能确保所有选票都被准确计算。使用纸质选票或电子投票的端到端可审计投票背后的想法是,整个投票系统利用密码学来精确计票,同时保护选民的隐私。
斯坦福大学(Stanford University)计算机科学教授戴维•迪尔(David Dill)表示:“它的基本概念几乎是不可思议的,那就是选民可以投出一张选票,检查选票是否被清点过,并确认总数是准确的,而其他人不知道他们是如何投票的,即使选民想向第三方证明他们是如何投票的。”
美国和国外的计算机科学家、数学家和密码学家已经花了多年时间研究端到端可审计投票系统。一个早期的竞争者是由安迪·内夫开发的端到端电子系统VoteHere,但VoteHere在2005年更名为Dategrity Corp.,目的是为其审计和验证软件开拓更广阔的市场。
私人数据,公开验证
经过多年的研究,有一种方法在端到端可审计投票中获得了世界上最广泛的关注,而且在美国实际实施方面进展最远。
Scantegrity II(“II”代表“隐形墨水”)主要是由独立密码学家David Chaum与该领域的其他科学家合作开发的,其中包括麻省理工学院计算机科学教授Ron Rivest;泰恩河畔纽卡斯尔大学计算机科学教授Peter Ryan;以及乔治华盛顿大学计算机科学系的研究生Stefan Popoveniuc。
scan完整性II依赖于一种称为“切割和选择协议”的密码学技术,它支持零知识证明。这种密码学技术依赖于零知识证明来表明信息已被加密,而不透露原始信息是什么。在这种情况下,它证明了结果被准确地制成表格,而不透露每一票是如何投的。
scanintegrity II选票与传统选票类似,有候选人列表和相邻的一排填充气泡。为了投票,每个人都要使用一支特殊的笔,在每个气泡中用隐形墨水打印出一个独特的、隐藏的三个字符的代码。三个字符的代码作为密码标记,表明投票人的偏好。但是,如果没有解密密钥,代码就没有意义。
该代码有效地加密或锁定了选民的偏好。然后,每个选票的每个可能的代码被随机化,并公开显示在一个网站上。
一旦代码被随机化,就会使用一组表将每个代码映射到特定的候选代码。然而,轨迹的精确路径隐藏在一个两步程序中,该程序将编码投票的位置与如何转化为结果板上的位置连接起来。
投票结束后,每位选民都会收到一张撕掉的小收据,上面有选票的序列号。如果选民愿意,他(她)可以写下显示的三个字符代码,当在公共网站上输入该代码时,可以验证他们的投票被正确记录。
为了对选票进行审计,审计员或选民将使用原始选票密钥来揭示所有候选人的所有可能代码,从而揭示整个计算链,以证明选票是否被准确记录和制表。为了验证一个人在该过程的任何步骤中没有作弊,可以显示其中一个指针,以确保结果和匿名编码选票之间的正确连接得到维护。
Scantegrity II不是一个替代投票系统,但可以与基于选区的或中央扫描系统一起工作,乔姆说,这一功能使它对政府官员具有吸引力。然而,选票的印刷需要用隐形墨水印刷的能力,并且每张选票都要印得不同。
scanintegrity II可能会在华盛顿特区郊区的马里兰州塔科马公园(Takoma Park, MD)即将举行的市政选举中使用,但市议会尚未做出最终决定。
不同的方法,相同的目标
虽然Scantegrity II似乎是最适合公共选举的系统,但也有一些替代系统,最著名的是Prêt a Voter(或Ready to Vote)、Scratch & Vote和threeballot,它们使用不同的基于密码的方法来实现端到端选民验证的相同目标。
Prêt à Voter由泰恩岛纽卡斯尔大学的Peter Ryan开发,它不依赖于被投票的值进行加密和随机化,而是使用随选票而异的随机候选顺序。一旦投票,带有候选人名单的那一面选票就会被销毁。
端到端的可审计投票系统可以平息关于电子投票和纸质投票孰优孰优的争论。
Prêt à Voter选票的非丢弃一侧的底部包含一个加密字符串,其中包含关于丢弃候选人列表顺序的信息。为了解密候选人名单顺序并确定选票的价值,投票官员或政党代表使用一系列秘密密钥来解密选票。
Prêt à Voter在去年萨里大学的学生选举中被成功使用,瑞安计划在即将到来的泰恩河畔纽卡斯尔大学的学生选举中再次测试Prêt à Voter。
“Scratch & Vote”是由哈佛大学计算与社会研究中心研究员本•阿迪达和麻省理工学院计算机科学系教授罗恩•里维斯特共同开发的,其格式类似于“Prêt à Voter”。
Scratch & Vote选票的中间是穿孔的,左边有一个候选人名单,右边有一系列对应的复选框。在复选框下面是一个2d条形码。划痕面位于条形码下方,穿孔将划痕面与选票右半部分的其余部分隔开。
如果投票人想要审查投票过程,她就选择第二张选票并去除划痕表面,从而使选票无效,投票人将选票交给该场所的可信党派。受信任的一方扫描条形码,读取之前隐藏在刮痕表面下的随机化数据,并可以确认选票是正确形成的。
选民现在在第一张选票上做出选择,丢弃选票的左侧(其中只包含随机的候选人顺序),并将选票交给选举官员。选举官员确保划痕表面完好无损,并将划痕表面分离以丢弃。选民在扫描仪中输入选票的剩余复选标记(表示她的投票)和条形码,这实际上是加密的选票。
选民可以把剩下的选票带回家,在公共网站上查看她的选票是否正确制表,如果不正确,她仍然拥有剩下的选票。此外,选民可以审计计票过程和选举官员进行的可验证解密。
在Scratch & Vote中,每次投票都被记录为加密值,通过使用复选框来确定使用哪个加密值。使用同态加密对值进行计数,这允许两个加密值的和等于该值的加密和。换句话说,通过将加密的选票加在一起并一次解密它们,就可以确定选票投给了谁。
阿迪达在电子邮件中表示:“我并没有积极追求(Scratch & Vote)的实施,但我经常使用它来教授概念。”他说:“我认为,对于某些简单的选举来说,这可能是一个有用的系统,但作为一种教学工具可能更有用。它帮助许多人理解了公开审计投票的力量,即使他们很快就忘记了细节。”
由里维斯特发明的三票制需要给一个选民三张相同的选票。要投票给一个候选人,选民必须在三张选票中的两张上选择该候选人。要投票反对某个候选人,选民必须在一张选票上选择该候选人。在投票站,选民将自己保留的三张选票中的任何一张复印,而三张原始选票则放在投票箱中。
在选举结束时,公布所有选票。由于每张选票都包含一个唯一的7位数标识符,选民可以通过在已公布的选票中搜索标识符来独立验证他或她的选票是否被计数。
Ben Adida表示,Scratch & Vote帮助人们“理解了公开审计投票的力量,即使他们很快就忘记了细节。”
ThreeBallot在不实际使用密码学的情况下提供了密码学投票系统的一些优点。麻省理工学院的学生用ThreeBallot进行了现场测试,发现了可用性、隐私和安全性方面的问题。
虽然许多学术专家表示,端到端可审计系统背后的科学是有前途的,但他们也指出,需要进一步的研究和可用性研究。
阿迪达在电子邮件中表示:“我们正处于需要尝试许多不同的技术来进行公开审计投票的阶段,我们只是不知道在现实环境中哪种技术效果更好。”“现在决定采用一种单一的系统是本末倒置。”
加州大学伯克利分校(University of California at Berkeley)计算机科学教授大卫·瓦格纳(David Wagner)认为,一项广泛的、多年的研究可能是推进端到端可验证投票研究的最佳途径。“下一步是你需要一个非常具体的系统,”瓦格纳说。“密码学的一个特点是,细节决定成败。当你使用这种花哨的数学时,有所有这些细节需要正确处理,任何一个小失误都可能危及整个系统的安全。”
©2008 acm 0001-0782/08/1000 $5.00
允许为个人或课堂使用本作品的全部或部分制作数字或硬拷贝,但不得为盈利或商业利益而复制或分发,且副本在首页上附有本通知和完整的引用。以其他方式复制、重新发布、在服务器上发布或重新分发到列表,需要事先获得特定的许可和/或付费。
数字图书馆是由计算机协会出版的。版权所有©2008 ACM, Inc.
没有发现记录