ACM通信
观点
观点/对立面:美国应该禁止无纸化电子投票机
Mario Tama摄影
当美国选民下个月进行投票时,将无法确定许多州的获胜候选人是由于软件漏洞、投票系统中的病毒、投票系统的程序员还是选民自己当选的。这些州的投票机完全依赖电子选票(这些机器被称为直接记录电子投票机,简称DREs)。没有办法知道DRE机器记录的选票是否与选民选择的选票相匹配。
解决办法很简单:禁止使用不可靠的无纸化DREs,并要求使用可审计、准确、可靠、可访问和具有成本效益的现成系统来代替它们。
在目前的技术条件下,无纸化电子投票在原则上是行不通的。它基于一种错误的想法,即我们可以制造出可以信任的计算机来执行无法独立验证结果的操作。但这实际上是一个不可能解决的问题,即使我们尽了最大的努力。没有办法知道参与设计、实现和制造机器的许多人中是否有人犯了错误或引入了恶意更改。如果发生这种情况,就会有足够多的选票被破坏,从而在无形中改变许多选举的结果。这一事实对所有使用无纸化DREs的选举都提出了疑问。即使机器能够完美地计票,我们也无法证实这一点。
为什么无纸化DREs比我们用于银行、医疗设备和飞行软件的计算机更有风险?这是因为运行这些其他系统的结果有独立的验证。如果你的飞机降落在错误的城市或坠毁,或你的起搏器故障,你或你的幸存者都知道。如果银行软件出错,你可以检查你的对账单来找到它。但是无纸化DREs没有独立的验证。如果选票以一种看似合理的方式被改变了,又怎么会有人知道呢?
实际上,当前的dre甚至还没有接近“最佳努力”,这一点已经一再被证明,特别是在去年。加州的安全审查一个最近在俄亥俄州b记录了美国最广泛使用的DRE系统安全设计中令人震惊的错误,这些系统总共处理数百万张选票。在每一种情况下,一个访问权限有限的人可以在一次选举期间将病毒引入系统,从而在下次选举中接管辖区内的所有投票系统。c
迫切需要禁止目前的无纸化DREs。许多州已经这样做了,但也有许多州没有。马里兰州和佐治亚州的所有选民都被迫使用无纸化的DREs,其他州的许多选民也是如此。其他一些州目前正在使用纸质选票,但未来可能会决定改用无纸化电子投票。如果没有联邦立法,一些州的选民将在很长一段时间内不得不接受DREs。
国会应该规定一种特定的纸质选票:每个选民都应该在选民验证的纸质选票(VVPB)上做标记并投出选票。每张选票都可以用手计数,也可以用扫描仪在选区内扫描,检查是否有多余选票或多余标记(这种系统的专业术语是选区计数光学扫描或PCOS)。如果有问题,选民有机会修改选票或重新填写一张选票。否则,选票将被点票并存入安全投票箱。如果需要,也可以手工计票。通过使用选票标记设备,可以让各种残疾选民使用这些系统,通过可访问的电子界面,可以阅读、标记和验证纸质选票。
大多数研究表明,PCOS系统至少与任何其他投票系统一样准确。它们比触摸屏机器更便宜,而且,如果它们出现故障,标记过的选票可以储存在投票箱中,稍后进行计票。最重要的是,手工标记的选票可以进行核实和计票,而不必信任计算机系统。光学扫描系统已经是美国的主导技术,它们已经使用了很多年,而且技术正在稳步改进。
一些人认为,要求纸质选票的立法将阻碍投票技术的创新。但投票技术的主要问题不在于缺乏创新,而在于如何预防和从糟糕的创新中恢复。
为什么是纸而不是其他永久介质,如可记录的cd ?纸可以由人或机器读和写,重要的是,(几乎)每个人都可以在没有机器帮助的情况下读和写。纸上的选票不能在不被发现的情况下删除或更改。关键的书面文件已经处理了好几个世纪,投票工作人员和选举管理人员很容易理解这些程序。例如,如果投票工作人员带着一箱选票消失在里屋几个小时,这很容易被认为是一个问题。
当然,仅仅使用纸质选票并不能保证选举的完整性。选票必须受到保护,储存、运输、处理和计数的过程必须透明。最重要的是,纸质选票能够通过从随机选择的选区或机器中选择选票,并手动点票来检查它们是否与机器的总数相符,从而实现对选举的例行审计。
一些人认为,要求纸质选票的立法将阻碍投票技术的创新。但投票技术的主要问题不在于缺乏创新,而在于如何预防和从糟糕的创新中恢复。州和地方政府不顾计算机技术专家和活动人士的可怕警告,选择购买数以万计的DREs,然后DREs的真正风险被证明比警告更糟糕。现有的要求和认证过程几乎没有保护投票系统免受这种和其他坏想法的影响。
联邦VVPB命令将引导供应商的研发努力改进光学扫描技术,而不是开发和营销利润丰厚但最终可疑的系统,如DREs。如果一项全新的技术被提出,在对这项新技术的真正收益、成本和风险进行彻底的辩论之后,法律就可以被修改——这场辩论本可以避免过去几年DREs的灾难性实验。
对位者:丹尼尔·卡斯特罗
所有选民都希望并理应获得安全的选举;不幸的是,目前市场上没有任何一个投票系统能向选民提供他们的选票已被点票的可核实证据。一些活动人士尤其担心直接记录电子投票系统(DRE)上投票的完整性,因为这些设备依赖于难以审计的软件。虽然大多数人同意投票技术应该改进,但许多人对改进它的最佳方式持不同意见。特别是,一群积极分子已经普及了使用纸质审计跟踪的想法——基本上是drea出具的纸质收据——作为应对欺诈和错误的对策。不幸的是,对于一个更大的问题,这个提议是一个不完整的解决方案。此外,改进投票制度不仅是一项技术挑战,也是一项公共政策挑战。
计算机科学是一门以逻辑和证明为基础的学科,我们在分析投票系统技术时应该依靠这些有价值的方法。要了解这个问题的范围,我们必须首先了解投票过程不会在投票箱结束;为了确保选举安全,投票进程的每一步都必须安全。具体来说,选票必须按预期方式投出,按投票方式收集,按收集方式计算。纸面审计追踪只提供第一步的验证,即选票按预期投出。这很好,但还不够好。如果选民无法证实选举官员正确点票,那么投票系统是否正确投票对他们来说就不重要了。
事实上,狭隘地关注书面记录忽略了确保投票过程中所有步骤的重要性。改善选举安全将涉及改善多种安全控制,包括软件测试、物理安全、并行测试以及选举前和选举后审计。此外,纸面审计跟踪并不是验证选票是否按预期投出的唯一选择。许多类型的审计跟踪就足够了,包括那些使用音频和视频的。例如,奥本大学(Auburn University)的一个研究团队开发了Prime III投票系统,该系统生成一个私人的、独立的、选民验证的视频审计跟踪,记录选民与投票系统之间的屏幕交互。
此外,密码学家设计了一种全新的投票系统,为投票过程的所有三个步骤提供端到端(E2E)验证。这些端到端加密系统为选民提供了一种自相矛盾的证明和隐私的结合——证明他们的选票包含在最终的选票统计中,并保护隐私,以防止选票出售和选民胁迫。端到端投票系统的例子包括PunchScan(见www.punchscan.org), VoteHere (www.votehere.com/vhti.php)和Scratch & Vote。1(另外,参见第16版的新闻报道“廉洁选举”。)
不幸的是,这些考虑在辩论中都被忽略了,辩论只局限于是否需要书面审计追踪,而不是如何改进投票制度这一更大的问题。为了对这个问题提供一个令人信服的答案,安全专家和选举官员必须开发一个可量化的风险分析框架,以评估和比较投票系统的风险。此外,他们必须对提议的改进投票制度的政策进行成本效益分析。这两项举措将提供证据和知识基础,以便根据拟议的投票制度设计变化作出任何决定。鉴于安全专家和选举官员还没有开发出一套全面的风险分析来比较投票系统,大多数关于改进投票系统的辩论还为时过早。跳过这些步骤不仅是糟糕的科学,也是糟糕的政策。
改善投票系统至关重要的第一步是选举援助委员会——负责改善选举的联邦委员会——对每一类投票系统(如DRE、光学扫描和杠杆)进行严格而有系统的风险评估。迄今为止,还没有这类全面的风险评估,可以对不同投票制度的相对风险进行有意义的比较。没有一个投票系统是完美的,但与任何系统一样,关键是找到一个可接受的风险水平。此外,风险评估将使政策制定者对不同投票制度之间的安全差异有一个现实的认识。包括NIST在内的许多项目已经为这样的框架奠定了基础对投票系统的威胁进行分析3.以及布伦南中心的报告民主机制:投票系统的安全性、可访问性、可用性和成本。2
改进投票制度的第二步是对拟议的投票制度改进进行成本效益分析。成本效益分析将揭示这些建议对安全性、可用性、可访问性和成本的潜在影响。例如,书面审计跟踪减少了一些来自软件威胁的风险,但引入了来自书面跟踪的监管链的新风险。此外,纸质审计跟踪降低了可访问性,因为盲投票人无法独立验证纸质审计跟踪。纸张审计跟踪除了打印机的成本外,也很昂贵,县必须支付安全收集、转移、跟踪、存储和计数纸张跟踪的费用。
强制执行书面审计追踪可能会排除在不久的将来执行这些系统的任何机会。我们不应该让投票技术倒退,而应该制定政策鼓励我们的投票系统的创新。
虽然投票系统的安全性受到很多关注,但它只是投票系统必须满足的众多需求之一。例如,如果一个完全安全的投票系统非常复杂,以至于没有人可以使用它,那么它就毫无价值。同样,如果一个极为用户友好的投票系统不安全,选民也会拒绝它。在投票制度中,与任何其他类型的制度一样,相互竞争的价值观应该相互平衡。只有同时进行风险评估和成本效益分析,政策制定者才能实施那些在安全性、可用性、可访问性和成本方面提供最佳整体改进的设计更改。
最后,安全专家和选举官员必须认识到,改进投票系统不是一个短期项目。大多数投票系统的实质性改进可能不会来自短期补丁,而是通过长期的技术创新。特别是,密码学和端到端加密投票系统提供了彻底改变投票的潜力。然而,强制进行书面审计追踪可能会排除在不久的将来实施这些系统的任何机会。我们不应该让投票技术倒退,而应该制定政策鼓励我们的投票系统的创新。首先,联邦政府需要提供资金支持投票系统的研发、试点测试和风险评估。
此外,投票系统指南应该定义功能标准(如要求独立的、选民可验证的审计跟踪),而不是技术上有限制的设计标准(如纸质审计跟踪)。功能标准定义了系统必须符合的最低操作需求。由于功能标准没有定义任何特定的技术或过程,它们足够灵活,允许研究人员开发新的方法来解决现有的问题。正如政府不应该要求所有的电脑都运行Windows系统一样,它也不应该要求所有的投票机都使用纸张。
政策制定者不能忽视投票系统技术,计算机科学家也不能忽视他们的建议对公共政策的影响。真正的挑战不是设计完美的投票机,而是设计完美的选举。这个问题既不属于计算机科学的专有领域,也不属于公共政策的专有领域。相反,来自多个领域的专家必须共同努力,制定出一种能够满足一场良好选举的所有特征的解决方案。虽然权宜之计在纸面上听起来不错,但更深层次的分析表明,这些建议中的许多都存在严重缺陷。此外,书面记录不是安全问题的短期解决方案,因为它们只解决了更大问题的一小部分。如果房子的后门大开着,加固前门是毫无意义的。安全专家和政策制定者应该制定一项战略,在合理分析和确凿证据的基础上,推进投票系统技术,而不是试图将一个未经验证的、昂贵的纸质补丁应用于现有的投票系统。
反驳:大卫L.迪尔
我曾说过,美国的投票系统之所以陷入危机,是因为不明智地采用了固有缺陷的DRE(直接记录电子)投票机,这种投票机不透明,对内部人士和外部人士的攻击都非常不安全。幸运的是,通过使用选民标记的选票和选区计数光学扫描技术(PCOS),这个问题可以很容易地解决,这种技术已经被广泛使用,并已被证明是可靠的和具有成本效益的。特别是,我并不认为在DREsPCOS中添加打印机是选民选票验证的最佳选择。
卡斯特罗说,书面记录并不能解决投票中的所有问题。这是事实,这对支持纸质选票的人来说并不奇怪。纸制选票是值得信赖的选举制度的一个基本组成部分,该制度还必须包括严格的选票实物安全、人工点票以审计选举结果以及其他程序和法律保障措施。但在目前的无纸化DREs中,不可能有值得信赖的选举。机器的制造商和程序员,甚至没有特殊访问权限的外部攻击者,都可以完全控制选票的存储和计数。一个
卡斯特罗说,对书面记录的关注忽视了投票制度的其他方面。在现实中,PCOS系统的倡导者已经考虑了更广泛的问题,包括成本、准确性和可及性。在所有这些方面,PCOS系统与DRE系统具有竞争力。
卡斯特罗认为,如果没有“可量化的风险分析框架”和“成本效益分析”,我们就不能采取行动。风险分析和成本效益分析是很好的想法;如果这些类型的分析得到执行和重视,DREs就永远不会被购买。但是,立法不需要等待进一步的研究,因为DRE系统显然比PCOS系统风险大得多,这一事实要求立即采取行动。迄今为止最全面的研究(这是卡斯特罗引用的摘要的基础)得出的结论是,一个人可以通过无纸化DREs改变势均势敌的选举结果,但如果采用适当的程序(包括手动审计),则需要一个更大的攻击团队使用pcos来窃取选举。d在成本效益分析方面,PCOS系统以较低的成本获得了DREs和更多的好处。e
卡斯特罗声称还有其他方法可以解决电子投票的问题,包括Prime III系统和一些端到端系统(Punch-scan, VoteHere和Scratch&Vote)。Prime III有视频和音频(而不是书面记录),这在实践中很难审核。打孔扫描和刮刮投票可以说是选民验证的纸质选票系统,尽管是加密的。更重要的是,这些系统在数年内(如果有的话)都无法取代DREs。VoteHere的系统也有纸质收据,但一直没有流行起来,可能是因为选举官员、技术审查人员和公众觉得它很难理解。
在一个民主国家,选举结果可能被漏洞或恶意软件无法察觉是不可接受的。在对这一严重问题执行一项现成的解决办法方面,没有任何借口进一步拖延。
反驳:丹尼尔·卡斯特罗
尽管大卫·迪尔热情地为纸质选票辩护,但他忽略了一个顽固的事实:从历史上看,纸质选票是大多数投票舞弊的根源。这并不奇怪,因为纸质选票很容易被更改、丢失、被盗或作废。然而,他的解决方案是在选区计数光学扫描(PCOS)系统上投入更多资金。虽然这些纸质投票机最初有一些吸引力,但它们不是万灵药。
首先,他声称PCOS系统比其他形式的投票技术成本更低是完全错误的。这类似于声称苹果比橙子贵。一个县的投票系统的总成本取决于许多因素:投票设备的价格和数量,每年的选举次数,设备的生命周期,以及重新计票、存储、维护和处理的成本。5此外,任何改变投票技术的建议也必须考虑到转换技术的成本,例如重新培训选举官员。
第二,PCOS系统可能被黑客攻击。事实上,布伦南中心在其关于投票系统的报告中写道:“我们的研究或分析中没有任何证据表明,特洛伊木马或其他软件攻击程序对PCOS系统的攻击比对DREs系统更困难。”4人工重新计票可以防止一些攻击,但不是所有攻击。例如,攻击者可以在某些县的光学扫描仪上禁用投票过多/投票不足警报,从而导致许多无效选票。由于多票/少票占总票数的4%,这次攻击可能会影响一场势均力敌的选举。
此外,PCOS系统不向选民提供他们的选票被列入最终点票的任何证据。PCOS系统也不能向选民提供任何形式的保证,保证没有非法选票被添加到计票中。实现这种信任水平的唯一方法是提供端到端(E2E)可验证性,这就是为什么我推荐将端到端投票系统作为长期解决方案。
作为短期解决方案,我们应加强保安规定,以消除已知的漏洞,并确保选举程序一致。选举官员可以使用选前和选后审计来确保机器完成它应该做的工作,并行测试来确保它在选举期间正常工作,以及散列代码测试来确保机器上的软件与之前测试和存档的软件相同。
各州可以使他们目前的电子投票系统相当安全,而无需联邦政府对纸质审计记录的要求。将每个县改为PCOS或纸质选票将花费超过11亿美元,而且仍然不能解决安全问题。最终,切换到PCOS或纸质选票是一种浪费时间、金钱和精力的行为,因为它并没有把我们带到我们想去的地方:端到端可验证性。要求使用纸质选票只会让我们偏离方向,甚至倒退,我们应该前进。
参考文献
1.阿迪达,B.和里维斯特,R.L. Scratch & vote:独立的基于纸的密码投票。第五届ACM电子社会隐私研讨会论文集(WPES’06)(Alexandria, VA, 2006年10月30日),ACM, NY, 2940。
2.诺顿,L.等。民主机制:投票系统的安全性、可访问性、可用性和成本。技术报告,纽约大学法学院布伦南司法中心,2006年10月。
3.国家标准与技术研究所对投票系统的威胁进行分析:vote.nist.gov / /威胁。
4.诺顿,L.等。民主的机器:在电子世界中保护选举2006年10月,纽约大学法学院布伦南司法中心。
5.诺顿,L.等。民主机制:投票系统的安全性、可访问性、可用性和成本。技术报告,纽约大学法学院布伦南司法中心,2006年10月
脚注
a. M. Bishop,“红队报告概述”,自上而下的审查,加州州务卿办公室;/ voting_systems / ttbr / red_overview.pdf www.sos.ca.gov选举。
b.为俄亥俄州州务卿编写的EVEREST投票设备安全研究新闻稿可在www.sos.state.oh.us/SOS/PressReleases/2007上查阅。详细报告见www.sos.state.oh.us/SOS/elections/voterInformation/equipment/。
c.在youtube.com/watch?v=aZws98jw67g上有一个普林斯顿团队的视频,展示了几种入侵Diebold AccuVote-TS DRE的方法。
d. Norden, L.等。《民主的机器:在电子世界中保护选举》。2006年10月,纽约大学法学院布伦南司法中心(见第50页和第83页);brennan.3cdn.net/52dbde32526fdc06db_4sm6b3kip.pdf。
e.参见www.verifiedvotingfoundation.org/article.php?list=type&type+77。
DOI: http://doi.acm.org/10.1145/1400181.1400192
©2008 acm 0001-0782/08/1000 $5.00
允许为个人或课堂使用本作品的全部或部分制作数字或硬拷贝,但不得为盈利或商业利益而复制或分发,且副本在首页上附有本通知和完整的引用。以其他方式复制、重新发布、在服务器上发布或重新分发到列表,需要事先获得特定的许可和/或付费。
数字图书馆是由计算机协会出版的。版权所有©2008 ACM, Inc.
没有找到条目