超级会员免费看
保障光学扫描投票系统的安全性
1. 端到端选举系统概述
端到端(E2E)选举系统通常会为选民提供带有签名或盖章的投票收据。为保护选票保密性,收据不会直接显示选民的投票选择,而是通过加密或基于排列的混淆方式间接表示投票。投票站设备记录相同的间接表示,而不会看到选民的实际选择。投票结束后,选举机构会将收到的所有表示信息公布在公共公告板上,选民可以检查自己的选择是否被正确记录且未被修改。若出现错误,收据上的签名可作为差异证明,根据选举政策会触发不同的响应措施。
选举官员会通过解密或反转混淆排列的方式,从选票的间接表示中恢复选票,生成最终计票结果。为保护选民隐私,计票过程通过专门设计的协议进行,该协议会明确去除收据与所代表选择之间的对应关系。为确保该协议的绝对完整性,会对其进行强制审计,以数学确定性证明所有选票都被正确恢复,且选择未被修改,该审计过程任何人都可独立重复进行。
2. Punchscan系统的问题与设计目标
Punchscan系统的前端因其使用间接方式而受到批评,这可能导致选民意图错误,并显著增加投票时间。填写Punchscan选票时,选民需要在一排随机排列的符号中找到与所选候选人对应的字母,然后标记相应的孔。目前,尚未有经过同行评审的用户研究评估Punchscan选票的可用性,尽管这些批评缺乏确凿证据,但看起来有一定合理性。
使用Punchscan系统还存在一些权衡问题。它无法按需生成选票,因为每次选举都需要在纸张上打出独特位置的孔,这虽然快速且成本低,但需要特殊设备。此外,该系统对环境不友好,需要销毁组成选票的两张纸中的一张。
另外,扫描Punchscan选票需要定制软件。虽然现有的光学扫描投票设备可获取选票图像,但硬件是为标记感应扫描而开发的,用于检测形状是否被填充或箭头是否被绘制。扫描Punchscan选票的软件虽然简单,但升级现有光学扫描仪软件的成本和不便,严重阻碍了Punchscan系统的采用。
Punchscan系统使用一种不熟悉的计票机制。尽管它具有极高的完整性,但不符合要求手动重新计票时使用可手工计数纸质选票的立法和投票标准。选民和选举官员对熟悉元素的偏好,可能最终会使新投票技术的采用决策偏离Punchscan等系统。对于选举运营者来说,仅进行易于解释和理解的最小更改,对于采用过程的成功至关重要。
在隐私方面,Punchscan选票优于光学扫描选票。使用Punchscan时,扫描仪只能看到不显示选民投票选择的收据,而看不到完整选票。此外,选民留在扫描纸上的指纹无关紧要。然而,这使得无法通过选区光学扫描报告结果或进行手动重新计票。尽管Punchscan最终提供的准确性证明比手动重新计票更强,但这在许多司法管辖区是其采用的法律障碍。
考虑到这些批评、权衡和缺点,我们为一种可与Punchscan后端接口的新选票样式制定了一组设计目标。这并非要取代Punchscan,也不应被视为在所有方面的改进。一些司法管辖区可能会选择Punchscan提供的增强隐私特性,而放弃进行手动重新计票或使用现有设备的能力。由于与Punchscan共享后端,选票可以在同一次选举中混合使用。一些选票可以采用Punchscan样式打印,而其他选票可以是新类型。具体设计目标如下:
1. 消除间接方式
2. 允许按需打印
3. 使用单张纸
4. 使用熟悉的选票标记方法
5. 允许使用现有投票设备而无需升级
6. 不干扰光学扫描计票
7. 不排除手动重新计票的选项
8. 允许与Punchscan的增强隐私选票结合使用
3. 新选票设计
我们的技术的一个主要优势是能够保留法律或设备制造商规定的选票布局。使用我们的方法,候选人在每张选票上的出现顺序可以相同。我们在典型的光学扫描选票配置基础上增加了两个元素:与每个候选人配对的符号和以标记感应扫描仪可以读取的形式表示的序列号。
选举前,会为选票上的每个竞选公布一组符号。这些符号可以是字母、数字、形状或多字符代码。同时会建立与候选人顺序对应的符号固定规范顺序,这里我们从字母顺序开始。对于每张选票,符号会相对于规范顺序进行洗牌,并打印在与候选人相关的椭圆旁边。在不同的两张选票上,与同一候选人关联的符号可能不同。因此,如果符号顺序的分布在所有选票上是均匀随机的,那么知道为某个特定符号投了票,并不能在统计上帮助确定选民投票给了哪个候选人。
每张选票的序列号以易于扫描的方式打印。假设扫描仪使用标记感应技术,序列号用数字矩阵表示,序列号的数字被涂黑。使用这种表示方式,任何现有的标记感应扫描仪都可以配置为识别序列号,即使它不知道正在扫描的是序列号而不是选票。标记感应尝试确定几何形状是否被填充。可以定义一组形状,使得在每个竞选(如简单多数制选票)中只允许填充一个形状,如果出现多个被填充的形状,通常会选择颜色最深的那个。扫描仪的输出是电子选票图像(EBIs),即每个形状及其状态(填充或未填充)的列表。对于我们的方法,选区扫描仪存储的信息将是被填充的位置,其中一些位置代表序列号。
新选票的最后一个方面是预留了一部分作为票根,可沿纸张上的穿孔撕下。票根上也印有选票的序列号,但这个序列号是供选民查看的,而不是供扫描仪读取的,可以用数字形式表示。
4. 投票流程
投票日当天,选民经过身份验证后,会收到经过改进的选票。选民像使用任何光学扫描系统的选票一样,填写所选候选人旁边的椭圆。在扫描选票之前,选民撕下票根,并可以在上面或任何纸张上写下与所选候选人对应的符号。之后,选票被扫描并放入投票箱,这与正常的光学扫描投票程序相同。
如果选民在填写选票时出错,选票将被正式标记为废票并返还给选民。此外,选民也可以选择故意作废一张选票。如果选民希望这样做,必须在领取选票前告知选举官员。选举官员会向选民提供两张面朝下的选票,使选民看不到符号的顺序。选民可以选择其中一张作废,另一张用于投票。这些废票可用于审计选举的完整性。选民可以自己保留废票,也可以将其交给信任的组织(如妇女选民联盟),让其代表自己检查选举的完整性。
投票结束后,任何人都可以访问公告板(官方选举网站),输入票根上的选票序列号。公告板会返回与选票上所选候选人配对的符号列表。由于同一符号在不同选票上可能对应不同的候选人,公告板在提供足够信息以可验证地计算选举结果的同时,保留了选票的保密性。
如果选民在检查公告板后,看到与自己记录相同的符号,将获得以下三个保证:
1. 扫描仪正确读取了选票。
2. 扫描仪正确发布了符号。
3. 中央选举机构收到并统计了带有正确符号的选票。
更一般地说,选民可以确信自己的投票被选举机构正确解释和接收。但选民仍然不知道自己的选票是否被正确计入所选候选人的票数。
以下是投票流程的mermaid流程图:
graph LR
A[选民身份验证] --> B[领取选票]
B --> C[填写选票]
C --> D{是否出错或故意作废}
D -- 是 --> E[标记废票并返还选民]
D -- 否 --> F[撕下票根记录符号]
F --> G[扫描选票]
G --> H[放入投票箱]
H --> I[投票结束]
I --> J[访问公告板查询结果]
5. 选举结果生成
5.1 Punchscan的后端:Punchboard
Punchscan系统将选民标记转换为选民选择的后端称为Punchboard,它是一个专门构建的匿名网络。文献中提出了多种匿名网络,其中大多数基于Chaum的混合网络。在混合网络中,匿名消息会多次加密形成“洋葱”,然后通过一系列节点传输,每个节点使用秘密排列去除输入和输出消息集之间基于顺序的对应关系,并通过解密每条消息一次去除基于内容的对应关系。另一种由Chaum提出的匿名网络是DC - net,它将匿名消息隐藏在随机数中,这些随机数相加时相互抵消,从而揭示消息。Punchboard与这两种匿名网络既有区别又有相似之处。
与混合网络类似,Punchboard对一批输入消息(选民标记)进行处理,并以排列后的顺序生成输出集(选民选择)。但与混合网络不同的是,Punchboard不会在多个节点之间分配信任。相反,排列是由在阈值方案中多个受托人共享的秘密选举密钥生成的。这个选举密钥不会存储在内存中,而是在每次需要Punchboard时,通过受托人提供的密码短语的加密组合重新生成。选举受托人可以包括敌对对手,如各政党代表以及政府官员,以确保该团体没有勾结的动机。
选举开始前,选举受托人使用这个选举密钥在Punchboard中生成秘密排列,并计算每个排列的加密承诺并公布。这些承诺将作为证明Punchboard在选举过程中未被更改的基础,任何独立的感兴趣方都可以验证该证明。每次选举每张选票都有一条路径。与一些其他投票系统中使用的混合网络相比,Punchboard的一个优势是它不使用加密和解密功能,而是使用基于模加法的更快方法。选民标记可以看作是一些随机数(在Punchscan选票上由符号的随机顺序表示)和选民标记位置的总和。Punchboard的第一个节点会在这个总和中添加一个额外的随机数,使得检查第一个节点的输入和输出集时无法追踪。第二个节点减去所有随机数的总和,留下获得该选票投票的候选人的位置。
假设使用随机化部分检查来审计Punchboard,至少需要两个节点。对随机数的承诺可以是独立的,也可以与路径的承诺合并,即使用单个承诺同时对一条路径和一组数字进行承诺。Punchboard非常快,因为它可以使用高效的基于哈希的承诺方案实现,并且不使用公钥或对称密钥加密。
5.2 新选票与Punchboard的结合使用
为确保选票印刷正确,会对一些印刷好的选票进行审计。该审计由指定的挑战者(投票站的选民或独立组织代表)进行。挑战者从选票集中选择一张选票,投票工作人员将该选票标记为废票,标记所有竞选内容使其不能用于选举,并将其交给挑战者。对于每张废票,选举机构会揭示Punchboard中的整个路径。挑战者可以将揭示的路径与该选票的承诺进行核对,确保每个符号都与正确的候选人配对,从而保证选票会被正确计数。这个过程可以重复进行,直到达到预定的统计确定性,证明所有选票都按照承诺的方式印刷。
在Punchscan中,顶层符号和底层符号根据两个统计上独立的排列从规范顺序进行排列。在新的选票样式中,这两个排列被组合,使得在新选票上标记某个符号等同于在Punchscan中标记某个孔。使用这种方法,新选票上的选民标记可以使用与Punchscan选票相同的Punchboard转换为选民选择。实际上,这允许新选票和Punchscan选票在同一次选举中混合使用,并且两种选票样式在公告板上的呈现可以无差别。
由于光学扫描仪无法读取被标记的符号,它读取的是每张选票上所选的候选人。选举机构从投票站扫描仪收到电子选票图像后,将这些明确的选票转换为标记的符号,执行此转换所需的信息存储在Punchboard中。完成此步骤后,符号和结果将发布在官方网站上。
以下是新选票与Punchboard结合使用的流程表格:
|步骤|操作|
| ---- | ---- |
|1|指定挑战者选择选票|
|2|投票工作人员标记废票并交给挑战者|
|3|选举机构揭示废票在Punchboard中的路径|
|4|挑战者核对路径与承诺|
|5|重复上述步骤直到达到统计确定性|
|6|选举机构接收电子选票图像|
|7|通过Punchboard将选票转换为标记符号|
|8|发布符号和结果到官方网站|
以下是新选票与Punchboard结合使用的mermaid流程图:
graph LR
A[指定挑战者选择选票] --> B[投票工作人员标记废票并交给挑战者]
B --> C[选举机构揭示路径]
C --> D[挑战者核对路径与承诺]
D --> E{是否达到统计确定性}
E -- 否 --> A
E -- 是 --> F[选举机构接收电子选票图像]
F --> G[通过Punchboard转换选票]
G --> H[发布符号和结果到官方网站]
保障光学扫描投票系统的安全性
6. 技术优势与应用前景
新选票设计与Punchscan后端结合的技术方案,具有多方面的优势,在未来的选举应用中展现出良好的前景。
6.1 安全性优势
- 选票保密性 :新选票通过符号随机排列和公告板查询机制,有效保护了选票的保密性。即使有人知道某个符号被标记,也无法确定具体的投票对象,避免了投票胁迫等问题。例如,在投票过程中,选民可以放心地记录符号,而不用担心自己的投票选择被泄露。
- 完整性保障 :Punchboard后端的设计确保了投票过程的完整性。通过加密承诺和随机化部分检查等机制,可以证明所有选票都被正确处理和计数,防止了软件错误、恶意官员或黑客的干扰。
- 可审计性 :整个投票过程具有高度的可审计性。从选票印刷的审计到最终结果的生成,每个环节都可以进行独立验证。选民可以通过公告板查询自己的投票情况,而独立组织或挑战者可以对废票进行审计,确保选举的公正性。
6.2 易用性优势
- 熟悉的操作方式 :新选票采用了选民熟悉的标记方式,如填写椭圆,降低了选民的学习成本。同时,保留了传统选票的布局,使选民更容易理解和接受。
- 现有设备兼容性 :新选票设计允许使用现有的光学扫描设备,无需进行大规模的设备升级。这不仅降低了选举的成本,还减少了设备更换带来的不便。
- 按需打印 :新选票支持按需打印,解决了Punchscan系统无法按需生成选票的问题。这使得选举组织更加灵活,可以根据实际需求调整选票数量。
6.3 应用前景
- 广泛适用性 :该技术方案适用于各种类型的选举,包括地方选举、全国选举等。无论是简单多数制还是其他选举制度,都可以通过调整符号和排列方式来适应。
- 国际推广潜力 :随着全球对选举安全和公正性的关注度不断提高,这种具有高度安全性和易用性的投票技术有望在国际上得到广泛推广。不同国家和地区可以根据自身的法律和选举制度进行适当调整,以满足本地需求。
- 与其他技术的结合 :该技术可以与其他先进技术相结合,如区块链技术,进一步提高选举的安全性和透明度。例如,将选票信息存储在区块链上,可以实现不可篡改的记录,增强选民对选举结果的信任。
7. 挑战与应对策略
尽管新选票设计与Punchscan后端结合的技术方案具有诸多优势,但在实际应用中仍面临一些挑战,需要采取相应的应对策略。
7.1 技术挑战
-
软件兼容性
:虽然新选票设计可以使用现有的光学扫描设备,但扫描软件的兼容性仍然是一个问题。不同品牌和型号的扫描仪可能需要进行不同的配置,以确保能够正确读取序列号和符号信息。
- 应对策略 :开发通用的扫描软件接口,或者与扫描仪制造商合作,提供标准化的软件升级方案。同时,进行充分的测试和验证,确保软件在各种设备上都能正常运行。
-
网络安全
:随着选举过程的数字化程度不断提高,网络安全成为一个重要的挑战。黑客可能会试图攻击选举系统,篡改选票信息或干扰投票过程。
- 应对策略 :加强选举系统的网络安全防护,采用先进的加密技术和访问控制机制。定期进行安全审计和漏洞扫描,及时发现和修复安全隐患。同时,建立应急响应机制,以应对可能的网络攻击事件。
7.2 法律和政策挑战
-
立法适应性
:新的投票技术可能需要适应不同地区的法律和政策要求。一些地区可能对选票的形式、计票方式等有严格的规定,需要进行相应的法律调整。
- 应对策略 :与立法机构和政策制定者进行沟通和合作,推动相关法律和政策的修订。提供充分的技术说明和案例分析,证明新投票技术的安全性和公正性,以获得法律支持。
-
公众接受度
:公众对新的投票技术可能存在疑虑和不信任。一些人可能更倾向于传统的投票方式,担心新技术会影响选举的公正性。
- 应对策略 :开展公众教育活动,向选民介绍新投票技术的原理、优势和安全性。通过实际案例和演示,让选民亲身体验新技术的可靠性。同时,建立透明的选举过程,让选民能够随时监督和验证投票结果。
8. 总结
新选票设计与Punchscan后端结合的技术方案为保障光学扫描投票系统的安全性提供了一种有效的解决方案。通过消除间接方式、允许按需打印、使用熟悉的标记方法等设计目标,提高了选票的易用性和兼容性。同时,Punchboard后端的匿名网络设计确保了选举的完整性和可审计性,保护了选民的隐私和投票权益。
在实际应用中,该技术方案虽然面临一些技术、法律和公众接受度等方面的挑战,但通过采取相应的应对策略,可以逐步克服这些困难。随着技术的不断发展和完善,这种具有高度安全性和易用性的投票技术有望在未来的选举中得到广泛应用,为选举的公正性和透明度提供有力保障。
以下是技术优势、挑战与应对策略的总结表格:
|类别|具体内容|
| ---- | ---- |
|技术优势|安全性(选票保密性、完整性保障、可审计性);易用性(熟悉操作方式、现有设备兼容性、按需打印);应用前景(广泛适用性、国际推广潜力、与其他技术结合)|
|技术挑战|软件兼容性、网络安全|
|应对策略|开发通用接口、加强网络防护、定期审计等|
|法律和政策挑战|立法适应性、公众接受度|
|应对策略|与立法机构合作、开展公众教育等|
以下是整个技术方案的mermaid流程图,涵盖投票流程、结果生成和应对挑战等环节:
graph LR
A[选民身份验证] --> B[领取选票]
B --> C[填写选票]
C --> D{是否出错或故意作废}
D -- 是 --> E[标记废票并返还选民]
D -- 否 --> F[撕下票根记录符号]
F --> G[扫描选票]
G --> H[放入投票箱]
H --> I[投票结束]
I --> J[访问公告板查询结果]
K[指定挑战者选择选票] --> L[投票工作人员标记废票并交给挑战者]
L --> M[选举机构揭示路径]
M --> N[挑战者核对路径与承诺]
N --> O{是否达到统计确定性}
O -- 否 --> K
O -- 是 --> P[选举机构接收电子选票图像]
P --> Q[通过Punchboard转换选票]
Q --> R[发布符号和结果到官方网站]
S[技术挑战] --> T[软件兼容性]
S --> U[网络安全]
T --> V[开发通用接口]
U --> W[加强网络防护]
X[法律和政策挑战] --> Y[立法适应性]
X --> Z[公众接受度]
Y --> AA[与立法机构合作]
Z --> AB[开展公众教育]
希望这种创新的投票技术能够在未来的选举中发挥重要作用,为民主选举的发展做出贡献。同时,我们也需要不断关注技术的发展和应用情况,及时调整和完善相关策略,以应对可能出现的新问题和挑战。
扫一扫
16
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
