52、纸质端到端投票系统的攻击与防范

纸质端到端投票系统的攻击与防范

1. 主流纸质投票系统介绍

1.1 Punchscan投票系统

Punchscan是一种纸电混合的加密投票方案，使用纸质选票。每张Punchscan选票由两张单独的纸张组成，选民必须同时与这两张纸交互才能完成投票。单独查看时，每张纸都不直接包含足以确定选民选择的信息。
- 选票结构 ：顶层纸张包含选票问题，每个问题将选择映射到特定字母（或其他符号），并配有一组孔。这些孔与底层纸张上印刷的字母排列相对应。
- 投票流程 ：
1. 选民查找与期望答案对应的字母，并通过顶层纸张的孔找到该字母。
2. 选民使用宾果标记笔标记该字母，从而在底层纸张上标记字母，并在顶层纸张的孔周围区域留下痕迹。
3. 两张选票分离，选民选择销毁其中一张。
4. 剩余的纸张被扫描，为选举管理员提供投票的数字记录，而实体纸张成为选民的收据。
5. 数字选票的表示会发布在公共公告板上，选民可以将收据上的标记与公告板上的标记进行比较。
- 计票与审计 ：选举管理员使用包含解密每张选票说明的表格（Punchboard）来统计选票。通过在选举前后进行审计，选民可以确保他们的半张选票被正确转换为他们期望的投票。

1.2 Prêt-à-voter投票系统

Prêt-à-voter方案基于候选人的随机排列对选票进行编码。选票被分成两半，由穿孔边缘隔开。
- 选票结构 ：左半部分以排列顺序显示候选人，右半部分有用于标记投票的框。右半部分还包含左半部分候选人排列的加密副本，此排列通常使用阈值密码学或洋葱加密进行加密，只有一组选举管理员能够解密。
- 投票流程 ：
1. 选民标记所选候选人旁边的框。
2. 沿着穿孔边缘将两半分开。
3. 包含候选人姓名的半张选票被销毁，带有投票标记的半张选票被扫描并记录为投票。
4. 选民可以将右半张选票带回家，并与发布在公告板上的扫描副本进行比较。
- 审计机制 ：选民可以选择使用特殊审计设备对选票进行审计，该设备将解密右半张选票并返回候选人的排列。选民可以验证此排列是否与左半张选票上的候选人列表匹配。审计选票会使该选票无效，选民必须获取另一张选票进行投票或审计。

1.3 ThreeBallot投票系统

ThreeBallot投票系统完全基于纸质选票，无需先进的加密技术进行审计或维护选民隐私。
- 选票发放 ：每位选民收到三张相同的选票，每张选票都有唯一的序列号。
- 投票流程 ：
1. 为了投票给特定候选人，选民在三张选票中的两张上标记该候选人的姓名。对于其余候选人，选民在三张选票中的一张上标记其姓名。
2. 选民将多张选票放入检查器，检查器验证选票是否填写正确。
3. 如果填写正确，检查器会在多张选票上放置一条红色条带，并要求选民选择其中一张选票进行复印。
4. 检查器分离选票并将其返回给选民，同时提供所选选票的副本。
5. 选民将原始三张选票投入投票箱，并将复印的选票带回家作为收据。
- 计票与验证 ：选举结束后，投票的数字表示会发布在公告板上。选民可以验证公告板上是否有与带回家的收据匹配的选票。任何人都可以通过简单地计算选票上的票数来统计选举结果，但结果会因选民数量而膨胀。

为了更清晰地展示各投票系统的特点，我们列出以下表格：
| 投票系统 | 选票形式 | 加密需求 | 投票流程 | 计票方式 | 审计机制 |
| — | — | — | — | — | — |
| Punchscan | 两张单独纸张 | 是 | 标记字母，分离并销毁一张 | 使用Punchboard解密计票 | 选举前后审计 |
| Prêt-à-voter | 分成两半 | 是 | 标记框，分离并销毁一半 | 扫描记录，解密验证 | 特殊设备审计 |
| ThreeBallot | 三张相同选票 | 否 | 按规则标记，检查复印 | 统计选票票数 | 公告板验证 |

下面是Punchscan投票系统的流程图：

graph LR
    A[选民收到选票] --> B[查找对应字母]
    B --> C[标记字母]
    C --> D[分离选票]
    D --> E{选择销毁一张}
    E --> F[扫描剩余纸张]
    F --> G[生成数字记录]
    G --> H[发布公告板]
    E --> I[保留实体收据]
    I --> J[与公告板对比]

2. 选举欺诈：印刷错误选票的攻击

2.1 攻击原理

Punchscan和Prêt-à-voter的计票准确性依赖于选票的正确构造。攻击者可以通过替换少量选票来篡改选举结果，而这种篡改在典型的审计程序中可能不会被发现。
- Punchscan攻击方式 ：攻击者将一小部分选票替换为篡改后的选票，这些选票的前页保持不变，而后页上两个字母的位置被交换。例如，选民试图投票给Smith时，标记的是第三个孔，但该投票会被Punchboard解密为投票给Jones。
- 攻击条件与影响 ：当选民在选举官员分发选票之前告知他们将保留哪张纸作为收据时，选举官员可以只向选择保留未修改前页的选民提供印刷错误的选票。如果针对特定政党的选民进行攻击，可能会极大地改变选举结果。

2.2 防范措施

• 强制承诺 ：迫使选举官员在要求选民选择收据纸张之前承诺特定的选票，可防止上述简单的投票交换攻击。
• 处理不可扫描选票 ：
  1. 不可扫描的选票应与其他无效选票区别对待。
  2. 选民必须被允许保留不可扫描选票的未标记副本作为收据，并获得再次投票的机会。
  3. 在选举后审计期间，选举官员应打开与选民收到的半张选票相同部分的承诺。选民可以使用收据检查是否发生了这种攻击。为了防止胁迫攻击，另一半的承诺应保持未打开状态。

2.3 对其他系统的影响

类似的攻击也可以应用于Prêt-à-voter系统，但需要选票扫描仪的配合。在这种情况下，选票的右侧会通过交换两个候选人的姓名进行更改，攻击者还会修改选票扫描仪，使其在审计修改后的选票时返回错误信息。不过，这种攻击在实践中不太可能不被发现。

下面是印刷错误选票攻击及防范的流程图：

graph LR
    A[攻击者篡改选票] --> B[选民选择保留前页为收据]
    B --> C[选举官员提供错误选票]
    C --> D[投票结果被篡改]
    E[强制承诺选票] --> F[防止简单攻击]
    G[处理不可扫描选票] --> H[选民保留副本再投票]
    H --> I[选举后审计验证]
    I --> J[防止攻击]

3. 激励、选民胁迫和选票买卖

3.1 选民胁迫攻击概述

选民胁迫攻击旨在让一个人对另一个人的投票产生不当影响。攻击者通常通过奖励选民投票给特定候选人或惩罚未这样做的选民来实现这一目标。选民胁迫本质上是一种合同，成功的攻击需要一种执行合同的方式。

3.2 伪造选票攻击

Punchscan和Prêt-à-voter的选票被分成两半，单独的半张选票相当于加密的选票，只有选举官员能够读取。攻击者可以向选民提供伪造的半张选票，让他们销毁，而不是销毁原始的半张选票。这样，选民可以带着两张半张选票离开投票站，从而证明他们的投票方式。

3.3 激励攻击

3.3.1 ThreeBallot Pay-Per-Mark

这是一种针对机器标记的ThreeBallot设备的激励攻击。投票买家按收据上符合其要求的标记向选民支付费用。例如，投票买家为每个对应辉格党成员的标记支付一美元。不投票给辉格党的选民，每张选票大约有n/3个辉格党标记；而在每个问题上都投票给辉格党的选民，预计会找到一张有2n/3个辉格党标记的选票。但这种攻击在影响个别竞选时效果不佳，且在竞选相互分离时不起作用。

3.3.2 ThreeBallot Pay-for-Receipt

投票买家可能只对在单个选票问题上胁迫选民感兴趣。例如，在Smith和Jones的激烈竞争中，投票买家试图为Smith争取选票，可以要求选民返回一张包含对Smith的投票但不包含对Jones的投票的选票。如果选民按指示投票，肯定能获得这样的选票；如果投票给Jones，只有1/3的机会获得；如果两者都不选，则有2/3的机会获得。这种攻击也可以作为选民胁迫攻击，要求选民返回正确的收据以避免惩罚。

3.3.3 Punchscan的类似攻击

可以通过扩展相关思路对Punchscan进行类似的攻击。攻击者可以开发一组标记的收据，如果选民按指示投票，总能获得其中一张；如果投票给不同的候选人，则可能无法获得。

为了更清晰地展示激励攻击的特点，我们列出以下表格：
| 攻击类型 | 攻击对象 | 攻击方式 | 效果 |
| — | — | — | — |
| ThreeBallot Pay-Per-Mark | 机器标记的ThreeBallot | 按收据上符合要求的标记支付费用 | 对个别竞选影响不佳 |
| ThreeBallot Pay-for-Receipt | 机器标记的ThreeBallot | 要求特定投票结果的收据 | 可作为胁迫攻击 |
| Punchscan类似攻击 | Punchscan | 开发特定标记的收据 | 影响选民投票 |

下面是激励攻击的流程图：

graph LR
    A[投票买家设定激励条件] --> B{选民选择投票方式}
    B --> C[按指示投票]
    B --> D[不按指示投票]
    C --> E[获得对应奖励]
    D --> F{获得奖励概率不同}
    F --> G[低概率获得奖励]
    F --> H[高概率获得奖励]
    E --> I[继续受激励投票]
    G --> J[可能改变投票方式]
    H --> K[维持原投票方式]

综上所述，纸质端到端投票系统虽然在一定程度上保障了选举的公平性和透明度，但仍然面临着多种攻击的威胁。通过了解这些攻击方式和相应的防范措施，可以更好地保护选举的公正性和选民的权益。在实际应用中，需要不断完善投票系统的设计和管理，以应对不断变化的安全挑战。

4. 投票系统安全性分析与综合防范策略

4.1 各投票系统安全性对比

为了更全面地评估各投票系统的安全性，我们从多个方面对Punchscan、Prêt - à - voter和ThreeBallot进行对比分析，具体内容如下表所示：
| 投票系统 | 加密依赖 | 抗篡改能力 | 防胁迫能力 | 审计可行性 | 易用性 |
| — | — | — | — | — | — |
| Punchscan | 高 | 一般，易受印刷错误选票攻击 | 较弱，存在伪造选票和激励攻击风险 | 有一定审计机制，但仍有漏洞 | 操作相对复杂 |
| Prêt - à - voter | 高 | 一般，类似攻击需扫描仪配合 | 较弱，存在伪造选票和激励攻击风险 | 有审计机制，但审计后选票无效 | 操作相对复杂 |
| ThreeBallot | 低 | 较好，无复杂加密依赖 | 较弱，易受激励攻击 | 可通过公告板验证 | 操作相对简单，但计票结果需处理 |

从表格中可以看出，每个投票系统都有其优势和劣势。加密依赖高的系统在一定程度上保障了投票的隐私性，但也增加了系统的复杂性和受攻击的风险；而加密依赖低的系统虽然操作相对简单，但在防胁迫和抗篡改方面可能存在不足。

4.2 综合防范策略

为了提高纸质端到端投票系统的安全性，需要综合考虑多种防范策略：
1. 技术层面
- 加强加密算法 ：对于依赖加密的投票系统，如Punchscan和Prêt - à - voter，采用更先进、安全的加密算法，提高加密的强度和可靠性，防止攻击者破解加密信息。
- 改进选票设计 ：设计更安全的选票结构，增加防伪标识和验证机制，使伪造选票更加困难。例如，在选票上添加二维码或水印等防伪元素。
- 优化扫描设备 ：确保扫描设备的安全性和准确性，防止攻击者利用扫描设备进行攻击。定期对扫描设备进行维护和更新，修复潜在的安全漏洞。
2. 管理层面
- 严格人员培训 ：对选举官员进行专业培训，使其熟悉投票系统的操作流程和安全要求，避免因人为失误导致的安全问题。
- 加强监督机制 ：建立健全的监督机制，对选举过程进行全程监督，确保选举官员遵守规定，防止舞弊行为的发生。
- 完善审计制度 ：进一步完善审计制度，增加审计的频率和范围，确保选票的正确构造和计票的准确性。同时，对审计结果进行公开透明的处理，增强选民的信任。
3. 法律层面
- 制定严格法律 ：制定严格的法律法规，对选举欺诈、选民胁迫和选票买卖等行为进行明确的界定和严厉的处罚，提高违法成本。
- 加强执法力度 ：加强执法部门对选举违法行为的打击力度，确保法律的有效执行，维护选举的公正性和合法性。

下面是综合防范策略的流程图：

graph LR
    A[技术层面] --> B[加强加密算法]
    A --> C[改进选票设计]
    A --> D[优化扫描设备]
    B --> E[提高加密强度]
    C --> F[增加防伪标识]
    D --> G[防止设备攻击]
    H[管理层面] --> I[严格人员培训]
    H --> J[加强监督机制]
    H --> K[完善审计制度]
    I --> L[避免人为失误]
    J --> M[防止舞弊行为]
    K --> N[确保计票准确]
    O[法律层面] --> P[制定严格法律]
    O --> Q[加强执法力度]
    P --> R[明确违法界定]
    Q --> S[打击违法行为]
    E & F & G & L & M & N & R & S --> T[提高投票系统安全性]

5. 未来发展趋势与展望

5.1 技术创新趋势

随着科技的不断发展，纸质端到端投票系统也将迎来新的技术创新。例如，区块链技术的应用可能会为投票系统带来更高的安全性和透明度。区块链的分布式账本特性可以确保选票的不可篡改和可追溯性，同时智能合约可以自动执行投票规则，减少人为干预。此外，生物识别技术如指纹识别、人脸识别等也可能被应用于投票系统，提高选民身份验证的准确性和安全性。

5.2 社会需求与挑战

社会对选举公正性和选民权益保护的关注度不断提高，这对投票系统的安全性和可靠性提出了更高的要求。同时，随着全球化和数字化的发展，选民的投票方式和需求也在发生变化，如何满足不同选民群体的需求，提高投票的便利性和参与度，是未来投票系统发展面临的重要挑战。

5.3 应对策略与建议

为了应对未来的发展趋势和挑战，我们可以采取以下策略和建议：
1. 持续研究与开发 ：加大对投票系统技术研发的投入，不断探索新的安全技术和解决方案，提高投票系统的性能和安全性。
2. 公众教育与宣传 ：加强对选民的教育和宣传，提高选民对投票系统安全性和重要性的认识，增强选民的参与意识和监督意识。
3. 国际合作与交流 ：加强国际间的合作与交流，分享投票系统的经验和技术，共同应对全球性的选举安全问题。

总之，纸质端到端投票系统在保障选举公平性和透明度方面发挥着重要作用，但也面临着诸多安全挑战。通过深入分析攻击方式、制定综合防范策略以及关注未来发展趋势，我们可以不断完善投票系统，确保选举的公正性和选民的权益得到有效保护。在未来的发展中，需要政府、技术专家、选民等各方共同努力，推动投票系统的不断进步和完善。