چرا درست رأی دادن سخت است ، قسمت پنجم: DREs (خرابکار: آنها بد هستند)
این پنجمین پست از مجموعه من در زمینه سیستم های رأی گیری است (با بخش های I ، II ، III و IV همراه باشید) ، با تمرکز بر رایانه های رایانه ای. اصطلاح فنی این سیستم ها ضبط مستقیم الکترونیکی (DRE) سیستم های رای گیری است ، اما در عمل معنی این است که شما به نوعی رایانه رای دهید ، معمولاً از رابط صفحه لمسی استفاده می کنید. همانند اسکن نوری با شمارش محوطه ، دستگاه تعداد کل تولید می کند ، که معمولاً روی کارت حافظه ضبط می شود ، روی نوار کاغذ رسید مانند کاغذ چاپ می شود یا هر دو. اینها را می توان به همراه برگه های رای گیری ، به ستاد انتخابات برگرداند ، جایی که آنها جمع شده اند.
یکی از مهمترین نقاط فروش DRE ها قابلیت دسترسی است: دسترسی به برگه های رای گیری کاغذی بدون کمک برای افراد دارای معلولیت دشوار است. حداقل در اصل می توان DRE ها را بیشتر در دسترس قرار داد ، به عنوان مثال با رابط های صوتی ، دستگاه های جرقه دار و غیره مجهز شده است. یکی دیگر از مزایای DRE ها این است که مقیاس آنها برای چندین زبان بهتر است: البته شما هنوز هم باید تعاریف رای گیری را در هر جدید رمزگذاری کنید زبان ، اما نیازی نیست نگران این باشید که آیا به اندازه کافی رأی را به هر زبان مشخصی چاپ کرده اید
در عمل ، دسترسی DRE ها چندان زیاد نیست:
نوئل رانیان از معدود افرادی است که نشسته است در تقاطع
این بحث. او 50 سال تجربه طراحی سیستم های قابل دسترس
دارد و هم دانشمند کامپیوتر است و هم معلول. به گفته وی ، وی
را به این مباحثه كشاندند ، زیرا افراد معدود دیگری بودند كه
در هر دو زمینه سهیم بودند.دستگاههای رأی دادن به وضوح موضع مناسبی نیست ، Runyan
گفت ."[Americans with Disabilities Act] ، هوا و نجابت ایجاب می کند که
ما به افراد معلول اجازه رأی دهی و داشتن سیستم رأی گیری قابل دسترسی را بدهیم"
گفت.با این وجود Runyan همچنین معتقد است كه ماشین های رای گیری در بازار امروز "زباله" هستند. آنها هیچگونه احساس امنیت واقعی در برابر حملات جسمی یا سایبری
كه می تواند انتخابات را تغییر دهد فراهم نمی كنند و همچنین
رابط كاربری مناسبی برای رای دهندگان بدون در نظر گرفتن وضعیت ناتوانی ندارند.
همچنین به بالا 2007 to-Bottom – گزارش قابلیت دسترسی برای کاتالوگ طولانی از نقص سیستم های رأی گیری قابل دسترسی در آن زمان ، که به نظر می رسد پیشرفت چندانی نداشته اند. با تمام آنچه گفته شد ، داشتن نوع دسترسی به هر نوع پیشرفت بسیار بزرگی است. به طور خاص ، این اولین بار بود که بسیاری از رای دهندگان کم بینا می توانستند بدون کمک رأی دهند.
همانطور که در پست های قبلی بحث شد ، یکی از چالش های هر نوع رأی گیری که با دست مشخص شده است ، رسیدگی به موارد لبه ای است که علامت گذاری شده است مشخص نیست و شما باید قصد رای دهندگان را تشخیص دهید. بحث در مورد نحوه تفسیر (یا دور انداختن) این آرا مبهم حداقل در دو انتخابات بسیار پراهمیت در ایالات متحده مهم بوده است ، مسابقه ریاست جمهوری 2000 بوش / گور فلوریدا (انجام شده در ماشین آلات کارت پانچ) و مسابقه سنا کلمن / فرانکن مینه سوتا 2008 ( انجام شده بر روی دستگاه های اسکن نوری). در این مرحله نشان دادن تصویر زیر از یکی از "بازرسان" از بازشماری مجدد فلوریدا در تلاش برای تفسیر رأی دادن کارت پانچ ، سنتی است:
در مقابل ، در یک سیستم DRE تمام تفسیرهای هدف رای دهندگان توسط رایانه انجام می شود ، با این انتظار كه هرگونه سوinter تعبیر توسط رای دهنده در حال بررسی كار DRE باشد (معمولاً در بعضی از صفحه های خلاصه قبل از انتخاب). علاوه بر این ، DRE می تواند به کاربران در مورد خطاهای احتمالی از طرف آنها هشدار دهد (یا فقط آنها را با منع رأی دهندگان از رای دادن به> 1 نامزد و غیره غیرممکن می کند). به میزانی که رای دهندگان واقعاً رفتار صحیح DRE را بررسی می کنند ، این یک مزیت به نظر می رسد ، اما اگر چنین نکنند (به زیر مراجعه کنید) ، این فقط اطلاعاتی را که ممکن است برای انجام انتخابات دقیق تر استفاده شود ، از بین می برد. ما در اندازه گیری میزان خطای DRE ها در این زمینه مشکل داریم – دوباره ، زیرا خطاها پاک می شوند و مشاهده رأی دهندگان واقعی هنگام رأی دادن نقض حریم خصوصی و محرمانه بودن آراست – اما مایکل برن گزارش می دهد که در شرایط آزمایشگاهی ، DRE ها دارای خطای قابل مقایسه هستند نرخ (~ 1-2)) به برگه های اسکن نوری با دست مشخص شده ، بنابراین این نشان می دهد که نتیجه در مورد خنثی است.
DRE ها خواص مقیاس گذاری بسیار بدتری نسبت به سیستم های اسکن نوری دارند. تعداد رأی دهندگانی که می توانند به یک باره رأی دهند ، یکی از محدودیت های اصلی در سرعت عبور مردم از محل رأی گیری است. بنابراین ، شما می خواهید که بیشترین تعداد ایستگاه رأی دهی داشته باشید. با این وجود ، خرید DRE ها (و همچنین تنظیمات) گران است ، بنابراین فشار بر حداکثر تعداد ماشین آلات وارد می شود. برای بدتر کردن شرایط ، شما به ماشین آلات بیشتری احتیاج دارید که فقط با محاسبه کل زمان لازم برای رأی دادن مردم انتظار دارید.
شهود در اینجا این است که مردم در طول روز به طور مساوی رأی نمی دهند ، بنابراین شما به ماشین های بیشتری نیاز دارید. بیش از آنکه شما نیاز به کنترل میانگین نرخ ورود داشته باشید. به عنوان مثال ، اگر انتظار دارید 1200 رأی دهنده را در طی 12 ساعت ببینید و هر رأی دهنده 6 دقیقه رأی دهد ، ممکن است فکر کنید که می توانید با 10 ماشین از پس آن برآیید. با این حال ، آنچه در واقع اتفاق می افتد این است که بسیاری از مردم قبل از کار ، ناهار و بعد از کار رأی می دهند و بنابراین شما یک خط می گیرید که زود جمع می شود ، به تدریج در طول صبح پراکنده می شود ، با بسیاری از ماشین آلات بیکار که در آن کار می کنند ، دوباره در اطراف جمع می شود ناهار ، سپس پراکنده می شود و سپس یک خط طولانی دیگر که از ساعت 5 عصر شروع به جمع شدن می کند. ریاضیات در اینجا پیچیده است ، اما به طور خلاصه به حدود دو برابر دستگاهی که انتظار دارید برای اطمینان از کوتاه بودن خطوط نیاز داشته باشید. بعلاوه ، وقتی مشارکت گسترده مردم وجود دارد ، این مشکل بدتر می شود.
این مشکلات تا حدی با اسکن نوری وجود دارد ، اما تفاوت اصلی این است که ایستگاه های رای گیری – به طور معمول یک میز و یک محافظ حریم خصوصی – ارزان هستند ، بنابراین می توانید توانایی داشتن ظرفیت مازاد علاوه بر این ، اگر واقعاً پشتیبان گیری می کنید ، می توانید به رای دهندگان برگه های رایانه های رایانه ای یا رایانه های دیگر را پر کنید. این بدان معنا نیست که هیچ راهی برای گرفتن صف های طولانی با آرا کاغذی وجود ندارد. به عنوان مثال ، شما می توانید در هنگام ورود به سیستم یا پشتیبان گیری در اسکنر شمارش حوزه مشکلی داشته باشید ، اما به طور کلی کاغذ باید در برابر مشارکت بالا مقاوم تر از DRE باشد. همچنین در برابر شکست انعطاف پذیرتر است: اگر اسکنرها خراب شوند ، فقط می توانید افراد را برای بررسی بعدی در صندوق رأی بیاورند. در صورت عدم موفقیت DRE ها ، مردم نمی توانند رأی دهند مگر اینکه شما برگه های پشتیبان برگه داشته باشید.
DRE ها رایانه هستند و همانطور که در قسمت سوم بحث شد ، هر نوع رای گیری رایانه ای خطرناک است زیرا رایانه ها می توانند به خطر بیفتند. این امر به ویژه در سیستم DRE خطرناک است زیرا رایانه کاملاً تجربه کاربران را کنترل می کند: می تواند به رای دهندگان اجازه دهد به اسمیت رای دهند – و حتی به رای دهندگان نشان دهد که به اسمیت رای داده اند – و سپس رأی به جونز را ضبط می کند. در ابتدایی ترین سیستم DRE ، این نوع تقلب اساساً قابل شناسایی نیست: شما فقط باید به رایانه اعتماد کنید. به دلایل واضح ، این خوب نیست. به نقل از ریچارد بارنز ، "برای امنیت مردم" اعتماد "کلمه بدی است."
نحوه به خطر انداختن یک ماشین رأی دادن
روش های مختلفی وجود دارد که ممکن است یک ماشین رأی دهی به خطر بیفتد . ساده ترین کار این است که ممکن است شخصی با دسترسی فیزیکی آن را برانداز کند (به دلایل واضح ، شما نمی خواهید دستگاه های رأی گیری در شبکه باشند ، چه رسد به اینکه به اینترنت متصل شوند). خبر بد این است که – حداقل در گذشته – تعدادی از مطالعات مربوط به DRE ها ، به خطر انداختن DRE ها حتی با دسترسی لحظه ای بسیار آسان است. به عنوان مثال ، در سال 2007 ، فلدمن ، هالدرمن و فلتن با مطالعه Diebold AccuVote-TS دریافتند كه:
1. نرمافزار مخربی که روی یک دستگاه رای گیری در حال اجرا است ، در صورت خطر شناسایی ، می تواند آرا [
را با کمی سرقت بدزد. این نرم افزار مخرب می تواند
کلیه سوابق ، گزارش های حسابرسی و شمارنده هایی را که توسط دستگاه رأی گیری نگهداری می شود ، تغییر دهد
به طوری که حتی با بررسی دقیق پزشکی قانونی این سوابق ،
هیچ چیز مغایر نیست. ما نرم افزار نمایشی ساخته ایم که
این حمله سرقت رای را انجام می دهد.2. هر کسی که به دستگاه رأی دادن یا به کارت حافظه
دسترسی فیزیکی داشته باشد ، می تواند با استفاده از یک روش ساده که به اندازه یک دقیقه طول نمی کشد ، نرم افزار مخرب
را نصب کند. در عمل ، کارگران نظرسنجی و دیگران معمولاً
دسترسی بدون نظارت به ماشین آلات دارند.
همانطور که در قسمت سوم گفتم ، بیشتر کارهای اینجا در دهه 2000 انجام شده است ، بنابراین ممکن است که اوضاع بهتر شده باشد ، اما موجود شواهد خلاف این را نشان می دهد. علاوه بر این ، محدودیت هایی برای انجام یک کار خوب در اینجا وجود دارد.
همانند ماشین های شمارش محوطه ، چندین روش وجود دارد که یک مهاجم برای حمله به آنها می تواند دسترسی فیزیکی کافی به ماشین داشته باشد. . هرکسی به انباری که ماشین آلات در آن ذخیره شده دسترسی داشته باشد ، می تواند به طور بالقوه در آنها دستکاری کند. علاوه بر این غیر معمول نیست که ماشین های رأی گیری قبل از انتخابات یک شبانه در مکان های رای گیری ذخیره می شوند ، جایی که شما بیشتر به هر چیزی که کلیسا یا مدرسه یا قفل درب آن را بسته اید اعتماد می کنید. همچنین غیرممکن نیست که یک رای دهنده بتواند از دسترسی فیزیکی موقت به یک ماشین برای مصالحه با آن سو explo استفاده کند – به یاد داشته باشید که ماشین های زیادی معمولاً در یک مکان مشخص وجود دارند بنابراین نظارت بر همه آنها دشوار است – اما این حمله تا حدی سخت تر است
حملات ویروسی
با این حال ، روش حمله جدی دیگری نیز وجود دارد: مدیریت دستگاه. قبل از هر انتخابات ، DRE ها باید با محتویات آرا برای هر زمینه تنظیم شوند. جزئیات نحوه انجام این کار متفاوت است ، به عنوان مثال می توان آنها را از طریق کابل به سیستم مدیریت انتخابات (EMS) [–corrected from “Server”] متصل کرد ، یا یک حافظه حافظه را که توسط EMS برنامه ریزی شده است یا گاهی از طریق محلی وارد کنید. شبکه. در هر صورت ، این اتصال الکترونیکی راهی بالقوه برای حمله توسط مهاجمی است که EMS را کنترل می کند. این اتصال همچنین می تواند فرصتی برای حمله به EMS توسط یک دستگاه رای گیری در معرض خطر باشد. با هم ، اینها شرایط بالقوه ویروس را فراهم می کنند: یک مهاجم یک DRE را به خطر می اندازد و سپس از آن برای حمله به EMS استفاده می کند ، و سپس با استفاده از EMS به هر DRE در حوزه قضایی حمله می کند. این امر در سیستم های واقعی نشان داده شده است. در اینجا فلدمن و همکاران است. دوباره:
3. دستگاههای AccuVote-TS در معرض ویروسهای دستگاه رای گیری هستند – ویروسهای رایانه ای
که در طول فعالیت عادی قبل و بعد از انتخابات می توانند نرم افزار مخرب را به طور خودکار و نامرئی از
دستگاه به دستگاه دیگر گسترش دهند. ما
یک ویروس نمایشی ساخته ایم که از این طریق گسترش می یابد و برنامه سرقت آرا [
خود را بر روی هر دستگاهی که آلوده می کند نصب می کنیم.
لازم به یادآوری است که این نوع حمله به طور بالقوه در حوزه نیز امکان پذیر است – count opscan machines: هر زمان که رایانه در محل رأی دهی دارید این خطر را تهدید می کنید. تفاوت عمده این است که با استفاده از ماشین آلات opscan که تعداد آنها محاسبه می شود ، برگه های رأی گیری کاغذی در دسترس شماست بنابراین می توانید بدون اعتماد به رایانه آنها را بازشماری کنید.
ردیابی های ممیزی کاغذ قابل تأیید Voter (VVPAT)
به دلیل این نوع نگرانی ، برخی DRE ها با آنچه که رأی حسابرسی کاغذ قابل تأیید (VVPAT) نامیده می شود مجهز هستند. یک VVPAT معمولی یک چاپگر حرارتی از حلقه به حلقه است (فکر می کنید رسید کارت اعتباری باشد) پشت یک پوشش واضح که به دستگاه رای گیری متصل است ، همانطور که در تصویر دستگاه رای گیری هارت در زیر است (VVPAT جعبه خاکستری سمت چپ است) ) [Picture by Joseph Lorenzo Hall].
روش معمول این كار این است كه پس از انتخاب رای دهنده ، صفحه تأیید نهایی به آنها ارائه می شود. در همان زمان ، VVPAT خلاصه ای از گزینه های خود را که رای دهنده می تواند بررسی کند چاپ می کند. اگر درست باشد ، رای دهنده آنها را می پذیرد. در غیر این صورت ، آنها می توانند برگردند و گزینه های خود را اصلاح کنند و سپس به صفحه تأیید برگردند. ایده این است که پس از آن VVPAT به یک ثبت غیر قابل تحمل – حداقل به صورت الکترونیکی – از انتخاب رای دهندگان تبدیل می شود و در صورت وجود نگرانی در مورد صحت شمارش دستگاه ، می توان آنها را جداگانه شمرد. اگر همه این کار را انجام دهند ، DRE با VVPAT مستقل از نرم افزار است (بحث ما در مورد SI را در بخش سوم این مجموعه بخاطر بسپارید).
مشکل عمده VVPAT این است که رای دهندگان اشتباه می کنند و آنها در بررسی نتایج. این بدان معنی است که یک ماشین در معرض خطر می تواند رای رای دهنده را تغییر دهد (گویی که رای دهنده اشتباهی مرتکب شده باشد). اگر رای دهنده اشتباه را متوجه نشود ، مهاجم برنده می شود و در صورت خطا ، مجاز به اصلاح اشتباه است. ما در این مورد از برنهارد و همکاران ، که [ دستگاه های مارک آرا (BMDs) را مطالعه کرده اند ، داده هایی داریم ، که مانند DRE ها هستند با این تفاوت که برگه های اسکن نوری را چاپ می کنند (به زیر مراجعه کنید). آنها دریافتند که اگر حدود 6.5٪ از رای دهندگان به خودشان رها شوند (در یک محیط شبیه سازی شده اما واقع بینانه) رأی گیری را تغییر می دهند ، که بسیار بد است. در اینجا برخی از خبرهای خوب وجود دارد ، این است که با هشدارهای مناسب "کارگران نظرسنجی" محققان توانستند میزان تشخیص را به 85.7٪ برسانند ، هرچند مشخص نیست که کارگران نظرسنجی چگونه می توانند این هشدارها را بدهند. [19659009] داستان حریم خصوصی / رازداری DRE نیز تا حدودی ناامید کننده است. دو روش اصلی وجود دارد كه سیستم می تواند چگونگی رأی دادن یك رای دهنده را درز كند: از طریق Cast Vote Records (CVRs) و از طریق سابقه مقاله VVPAT. CVR فقط یک نمایش الکترونیکی از رای گیری مشخصی است که در "دیسک" DRE ذخیره شده است. در اصل ، ممکن است فکر کنید که فقط می توانید جمع بندی های مربوط به هر مسابقه را ذخیره کنید ، اما داشتن CVR به دلایل مختلف از جمله تجزیه و تحلیل پس از انتخابات (جستجو برای زیرنویس ها ، خطاهای احتمالی جدول بندی و غیره) راحت است. ، ضبط آنها معمول است و دستورالعمل های سیستم های داوطلبانه رأی دهی (VVSG) که توسط کمیسیون کمک به انتخابات ایالات متحده منتشر می شود ، فروشندگان را به این کار تشویق می کند. در صورت برخورد صحیح با CVR این مسئله مشکلی ایجاد نمی کند ، اما پیوند CVR به رای دهنده غیرممکن است. این بدان معنی است که آنها باید به ترتیب تصادفی و بدون علامت مشخصی که منجر به توالی رای دهنده می شود ، ذخیره شوند. از نظر تاریخی ، تولیدکنندگان همیشه این حق را کسب نکرده اند ، به عنوان مثال ، TTBR در کالیفرنیا پیدا کرده است (بخش 4.4.8 و بخش 6.8 را ببینید). این مشکلات همچنین می توانند در سیستم های اسکن نوری تعداد دفعات وجود داشته باشند ، اما فراموش کردم که در پست خود روی آنها ذکر کنم. از این بابت متاسفم حتی اگر این قسمت به درستی انجام شود ، خطرات حملات رای گیری الگویی وجود دارد که در آن رای دهنده به روشی خاص و منحصر به فرد رأی می دهد ، اگرچه این امر می تواند با اسکن نوری اتفاق بیفتد.
VVPAT همچنین مشکلی را ایجاد می کند. همانطور که در بالا توضیح داده شد ، VVPAT ها به طور معمول یک نوار طولانی از کاغذ هستند ، در نتیجه VVPAT ترتیب رأی گیری را منعکس می کند. مهاجمی که می تواند ترتیب رأی دهندگان را رصد کند و همچنین به VVPAT دسترسی داشته باشد ، می تواند نحوه رأی دادن هر رأی دهنده را به راحتی تعیین کند. این مسئله را بیشتر می توان با رویه های انتخاباتی که قبل از استفاده VVPAT جدا می شود ، کاهش داد ، اما در صورت عدم وجود این روش ها ، این یک خطر محسوب می شود.
آخرین چیزی که می خواهم در این پست پوشش دهم همان چیزی است که به عنوان علامت گذاری رای نامیده می شود دستگاه (BMD) [همچنینبهعنوان نشانگر رای گیری الکترونیکی (EBM) شناخته می شود]. BMD در سالهای اخیر محبوبیت یافته است – به ویژه در بین افراد جامعه رای دهنده در زمینه رای گیری در علوم کامپیوتر – به عنوان طرحی که سعی در ترکیب برخی از بخشهای خوب DRE با برخی از قسمتهای خوب برگه های رای گیری است. به عنوان مثال ، طراحی ماشین منبع آزاد Voting Works مانند دستگاه VSAP جدید لس آنجلس BMD است.
BMD از نظر مفهومی شبیه DRE است اما با دو تفاوت مهم:
- VVPAT ندارد اما در عوض یک رأی را چاپ می کند که می تواند در یک اسکنر نوری قرار گیرد.
- از آنجا که شمارش آرا actual توسط اسکنر انجام می شود ، شما برای شمارش آرا need نیازی به دستگاه ندارید ، بنابراین نیازی به ذخیره CVR یا حفظ رای ندارد. مجموع.
BMD به طور كاملاً م Dثري درباره مسائل محرمانه بودن DRE هاست: شما نيازي به نگهداري CVR در دستگاه نداريد و برگه هاي راي تا حدي در صندوق هاي رأي و فرآيند دستيابي تصادفي هستند. آنها همچنین تا حدی به مقیاس بندی می پردازند: اگرچه BMD ارزان تر نیست ، اما اگر یک خط طولانی ایجاد شود می توانید بدون ایجاد اختلال در هیچ یک از فرآیندهای بازگشت به عقب ، به برگه های اسکن نوری علامت گذاری شده با دست بازگردید.
مشخص نیست که آنها به موضوعات امنیتی بپردازید: BMD به خطر افتاده می تواند به اندازه DRE به خطر افتاده تقلب کند و بنابراین آنها هنوز به رای دهندگان که برگهای رای خود را بررسی می کند اعتماد می کنند. برخی از حملات حیله گرانه به DREs ارائه شده است که در آن مهاجم چاپگر را کنترل می کند به گونه ای که کاربر را در مورد ضبط VVPAT گول می زند و نمی توان آنها را با BMD نصب کرد ، اما مشخص نیست که این حملات در هر صورت عملی است . احتمالاً بزرگترین مزیت امنیتی BMD این است که شما نگران نباشید که به تعداد دستگاه یا کانال ارتباطی از دستگاه اعتماد کنید: شما فقط می توانید آرای opscan را بشمارید بدون اینکه با VVPAT سر و صدا کنید. و البته به دلیل اینکه آنها اساساً فقط مکانیسمی برای چاپ برگه های رأی گیری نیستند ، ساده است که در صورت خرابی یا صف های طولانی به کاغذ برگردیم.
ما اکنون تمام روش های اصلی مورد استفاده برای ریختن و شمارش آرا را پوشش داده ایم. اگرچه این فقط آغاز کار است: اگر می خواهید به یک انتخابات اعتماد داشته باشید باید بتوانید نتایج را حسابرسی کنید. این موضوعی است که شایسته ارسال خود است.
