Федеральную систему электронных голосований, которую разрабатывает ПАО «Ростелеком» по заданию ЦИК России, регулярно обвиняли в закрытости — до недавнего времени ни документации, ни исходных кодов, ни хотя бы описания этой системы в открытом доступе не было, хотя она уже применялась на выборах 13 сентября 2020 года в Ярославле и Курске.

Однако ЦИК России исправляется: недавно было выложено описание архитектуры системы, а сегодня вечером пройдёт первая очная встреча экспертов и СМИ с Юрием Сатировым, заместителем генерального директора «РТ Лабс» (дочка ПАО «Ростелеком») и руководителем разработки системы ДЭГ.

Юрий не только расскажет об архитектуре системы, принципах формирования доверия к её работе, защите от атак и методах обеспечения тайны голосования, но и ответит на задаваемые вопросы.

Модерировать беседу будет Андрей Анненков, шеф-редактор издания «Цифровая Россия», специалист Экспертного центра электронного государства.

Участие в семинаре — свободное, но если вы хотите посетить его лично или по Zoom, пожалуйста, зарегистрируйтесь, отправив своё ФИО и адрес e-mail в личные сообщения модератору нашего Экспертного клуба @degmod.

Без регистрации вам будет доступна наша трансляция на YouTube и видеочат в нашей группе @degexperts. Вопросы, задаваемые в чатах, будем транслировать Юрию и Андрею. Кроме того, вести трансляцию будет информационный партнёр семинара — TAdviser.

Ссылку на Zoom зарегистрированным разошлём перед началом семинара.

Кстати, сами мы на встрече будем лично, хоть и не полным составом — так что надеемся всех интересующихся там увидеть.

Где: Москва, «Красный октябрь», Берсеневская наб., 6, стр.3, этаж 4
Когда: сегодня, 28 июля, в 19:00

Что это такое — модель угроз? Угроза — это любое действие, которое может нарушить работу, в том числе повлиять на достоверность данных, в системе ДЭГ. Все угрозы можно разделить на три большие группы:

• социальная: например, так называемое голосование под давлением, когда человека принуждает к определённому выбору руководство или родственники;

• электоральная: когда проводятся манипуляции на уровне процедур избирательной системы, например, вброс бюллетеней с фейковых аккаунтов;

• техническая: прямые «хакерские» атаки на инфраструктуру программно-технического комплекса (ПТК) ДЭГ с целью нарушить его работу или исказить данные.

Именно за последний пункт и отвечает модель угроз и нарушителя: это перечисление всех минимально мыслимых атак и всех возможных авторов таких атак — будь то иностранные спецслужбы, администратор серверов или уборщица в дата-центре.

Каждая возможная угроза должна быть упомянута и детализирована — тогда этот документ станет основой для разработки другого документа, модели защиты, которая фактически является ответом разработчиков системы на вопрос «Вот вам все мыслимые угрозы, как вы будете с ними справляться?»

https://ev2021.digitaldem.ru/2021/07/28/threats/

Тем временем, Юлия Леонидовна Латынина на «Эхе Москвы» упрекает Евросоюз в том, что он разучился строить концлагеря, и даёт ряд практических советов.

В передаче зажигательно всё, читайте целиком, но это – лучшее.

https://echo.msk.ru/programs/code/2879618-echo/

Неделю назад Московский арбитражный суд вынес решение по делу швейцарской компании «Сквин СА» против российского офиса Samsung — и запретил использование в России технологии Samsung Pay.

Помимо общего возмущения победой патентных троллей — пусть и не окончательной, ведь наверняка ещё будет подана апелляция — мы заинтересовались тем, как же такое вышло.

Борис Чигидин, кандидат юридических наук, член ВКС Партии прямой демократии, в недавнем прошлом — заместителя руководителя юридической службы платёжного сервиса ЮMoney (ранее — Яндекс.Деньги), напомнил нам, что судебный процесс носит состязательный характер — и если ответчик сам не хочет защищать свою позицию, то судья не будет делать это за него. Говоря проще — Samsung проиграл в основном потому, что недостаточно старался выиграть.

Развёрнутый разбор случившегося — по ссылке: https://digitaldem.ru/2021/08/05/trolls-against-koreans/

А хотите настоящей конспирологии?

Мало кто знает, но никакой «вакцины Pfizer», равно как и «вакцины AstraZeneca», не существует — у этих препаратов есть вполне конкретные маркетинговые наименования. Например, «вакцина Pfizer» на самом деле называется «Comirnaty», ну, как вакцина института Гамалеи — это «Гам-Ковид-Вак», а так-то и вовсе «Спутник V».

Вакцина AstraZeneca — Vaxzevria, Moderna — Spikevax, не взлетевшая Sanofi — Vidprevtyn.

Ещё более интересный факт — все эти названия придуманы одной компанией, про которую вы тоже вряд ли слышали: Brand Institute. Даже несмотря на то, что её история успеха с Pfizer широко освещалась в прессе.

Как сообщает нам Скотт Пьергросси, один из топ-менеджеров Brand Institute, название «Comirnaty» было составлено из слов «Covid» и «immunity», также включает в себя «mRNA» для указания на технологию (ну то есть как включает, там ещё «i» в середину внезапно влезла), а в конечном итоге должно ещё и вызвать ассоциации со словом «комьюнити».

В принципе, довольно очевидно, что такая каша изначально имела не слишком много шансов на успех — и, в общем, она его и не получила. В тех редких случаях, когда это название всё-таки пытаются употреблять, редкий автор может хотя бы написать его правильно — и рождаются и Corminaty, и Corimnaty, и что только не рождается. То есть, в общем, даже знаменитые названия товаров IKEA уже не выглядят столь пугающими на этом фоне.

С Vaxzevria дела обстоят не лучше, и разве что Spikevax выделяется относительной произносимостью и запоминаемостью.

При этом, повторюсь, история успеха. Более того, Brand Institute утверждает, что на её совести 75 % наименований лекарств, регистрируемых в FDA.

Ещё раз: три четверти пресловутой бигфармы пользуется услугами компании, рождающей на свет чудовищ «Comirnaty» и «Vaxzevria». Монополист на рынке именования лекарств.

Не начинает ли вам уже на этом моменте казаться, что бигфарма — это лишь прикрытие, ширма, а истинное гнездо рептилоидов, чипирующих человечество, находится в головном офисе Brand Institute в Майами?..

P.S. Ну и серьёзный вопрос для считающих себя маркетологами: а какие услуги на самом деле Brand Institute продаёт бигфарме?

(оператор наведения — Артём Гавриченков)

Помните историю про то, как Сергей Шпилькин вскрыл, а «Медуза» и «Медиазона» опубликовали страшное: при официальных 6,1 млн. переболевших коронавирусом в России в федеральном реестре переболевших на самом деле аж 30 млн. записей?

Власти скрывают, заболеваемость выше в пять раз, вот это всё?

Собственно, помимо пачки методологических придирок уже на старте был один большой вопрос, который журналисты почему-то не стали ставить перед собой: если в России 30 млн. только диагностированных переболевших, то это же ведь значит, что с учётом недиагностированных бессимптомных и просто не обращавшихся к врачам, переболело уже всё население России?..

То ли ответ на этот вопрос слишком явно ставил под удар всё расследование, то ли что ещё, но как-то он потерялся.

Однако, видимо, внутри что-то скребло, потому что в итоге «Медуза» решила посчитать точнее, с учётом тех методологических замечаний, что накидали читатели.

Вывод получился поистине шокирующий: по оценке журналистов, в реестре переболевших – примерно 6 млн. записей.

То есть, столько, сколько официально и сообщается.

То есть, с 30 миллионами неловко как-то вышло. И не «Минцифры случайно рассекретило», а «мы случайно обосрались».

Правда, «Медуза» не была бы «Медузой», если бы сообщение об этом факте не предварялось бы несколькими экранами текста о том, что государство всё равно обманывает.

Фу такими быть.

Успешно внедряем новую методологию разработки: постаджайл.

Пункт 26 «Общероссийского классификатора информации об общероссийских классификаторах ОК 026-2002» содержит сведения об «Общероссийском классификаторе информации об общероссийских классификаторах ОК 026-2002»

Да что ты знаешь о рекурсии, %username%

Логично.

Следующее мероприятие из серии «встречи с разработчиками ДЭГ» — в ближайший четверг, 19 августа, в 19:00 на Красном Октябре (там же, где был семинар с Юрией Сатировым).

На этот раз — с Артёмом Калиховым, директором по продукту Waves Enterprise (они делают для «Ростелекома» весь кусок системы ДЭГ, связанный с блокчейном).

Участвовать можно как лично, так и по Zoom. Для регистрации отправьте нашему модератору @degmod свои ФИО и адрес электронной почты, ссылку на Zoom мы пришлём непосредственно перед мероприятием.

Также будет прямая трансляция TAdviser и у нас на ютубе; для их просмотра регистрация не нужна.

Что: «Использование технологий блокчейн и криптозащиты в системе дистанционного электронного голосования (ДЭГ)»
Где: Берсеневская набережная, д. 6 стр. 3, этаж 4
Когда: 19 августа, 19:00

Тем временем, написали техническо-популярное сравнение системы дистанционного электронного голосования в России и Эстонии.

Получилось забавно: из-за того, что в Эстонии систему делали 16 лет назад и на legacy инфраструктуре, с тайной голосования в ней проблема — by design она не обеспечивается, уже заполненные и отправленные на государственный сервер бюллетени не анонимны, процедура анонимизации выполняется только перед подсчётом голосов.

А вот российские системы сделаны практически с нуля — они сложнее, но разработчики целятся на то, чтобы требования к голосованию (тайна, неизменяемость голосов, неразглашение предварительных результатов) обеспечивались автоматически, by design.

https://habr.com/ru/post/573556/

Вчера на лекции Артём Калихов (Waves Enterprises) сказал, что техническая возможность проверить свой голос в расшифрованном виде для избирателя в федеральной ДЭГ будет, но ЦИК не планирует публиковать ключи для расшифровки блокчейна.

Это нам показалось несколько странным, и сегодня мы сверились с ЦИК.

В общем, будет так:

• есть два разных ключа: тот, которым расшифровывается результат голосования как гомоморфного сложения зашифрованных бюллетеней и тот, которым расшифровываются сами бюллетени;

• первый ключ будет опубликован, второй хранится в HSM и оттуда не извлекается;

• проверить, что его голос в блокчейне есть, избиратель сможет, проверить, что итоговая сумма голосов получена именно на этих данных — тоже;

• при этом расшифровать конкретный бюллетень и посмотреть, за кого он отдан, избиратель не сможет.

Это — компромисс между предоставлением избирателю возможности проверить, что его голос учтён, и опасением, что это будет использоваться на местах для подтверждения голосования под давлением или продажи голосов.

Ну и в принципе эта схема позволяет в дальнейшем внедрить выдачу избирателю криптографически заверенного квитка «ваш голос учтён», опять же не опасаясь, что очередной начальник троллейбусного цеха будет требовать от своих подчинённых показать эти квитки с «правильно» проставленным голосом уже после завершения голосования.

Написали большую-большую статью про то, как на самом деле в российской федеральной системе ДЭГ обеспечивается тайна голосования:

https://habr.com/ru/post/574360/

Постарались писать популярно, но при этом и ничего важного не упустить.

Facebook продолжает тюнинг того, что вам в нём покажут, по темам — теперь ещё на несколько стран разворачивается программа снижения значимости политики для читателя.

Ну, то есть, компания решила, что её пользователей политика интересует меньше, чем котики, поэтому если ваши друзья написали десять постов про котиков и десять про политику, то котиков вы увидите всех, а про политику — пару-троечку.

По сути, продолжается движение от платформы в сторону редакции, в которой автор может писать любые материалы, но вот как они будут публиковаться и будут ли вообще — определяет не он. Но в отличие от редакции СМИ, автора даже не ставят об этом в известность.

Политика частной компании, скажут нам про это, это другое, понимать надо.

Ура-ура, это наконец случилось!

ЦИК и Ростелеком опубликовали (частично — основные алгоритмы) исходные коды системы ДЭГ образца 2021 года.

https://github.com/cikrf/deg2021

Сегодня в 19:40 в эфире передачи «ЧЭЗ» на РБК-ТВ Олег Артамонов (зампредседателя ТИК ДЭГ, IT-эксперт), а также Юрий Сатиров (главный архитектор ДЭГ компании «Ростелеком») и Георгий Грицай (начальник Управления инновационных технологий в избирательном процессе Аппарата ЦИК России) ответят на популярные и технические вопросы о дистанционном электронном голосовании.

Что конкретно будут обсуждать?

• Сможет ли работодатель проверить как проголосовал сотрудник?
• Возможно ли проголосовать с фейкового аккаунта?
• Как в ДЭГ идентифицируется избиратель?
• Каким образом обеспечивается тайна голосования?
• Почему наблюдение за онлайн-голосованием надежнее, чем за традиционным?
• Какие полномочия у ТИК ДЭГ?
• Почему ЦИК неохотно раскрывает исходные коды системы?

Посмотреть передачу можно будет в прямом эфире на сайте РБК-ТВ.

В принципе, все мы — и наблюдатели с экспертами тоже — ждали официального тестирования ДЭГ 7–9 сентября.

Однако сегодня вечером, практически «без объявления войны», Ростелеком объявил о запуске в эти выходные, то есть 4–5 сентября, публичного технического теста ДЭГ, более того — назвав его хакатоном.

Ну, ладно, будем честны: на внутренних совещаниях в ЦИК России разговоры о возможном тесте ходили уже несколько недель, просто до последнего момента не было понятно, состоится ли он.

Итак: в субботу и воскресенье все желающие, обладающие верифицированный записью на Госуслугах, могут лично посмотреть, как работает федеральная ДЭГ — и действительно ли она соответствует тем принципам, про которые мы рассказывали.

Более того: так как это технический тест, он же хакатон, то с участников не просто официально снимается ответственность за попытки ДЭГ поломать, но и назначается призовой фонд для тех, у кого получится. Два миллиона рублей.

Регистрация на тестирование: https://bb.gosuslugi.ru/

Многое говорилось уже про то, что за дистанционными электронными голосованиями можно наблюдать — но пока что мало о том, как, собственно, за ними наблюдать на практике.

Сегодня Waves Enterprises исправляет этот недочёт — в 20:00 начнётся онлайн-семинар «Наблюдение за электронным голосованием» с детальным и очень техническим рассказом о том, как можно контролировать проведение голосования в ДЭГ, не покидая уютного кресла.

Форматы данных, выгрузки блокчейна, протоколы шифрования и представление утилиты для контроля целостности данных, подсчёта результата и всего-всего-всего.

Попробовать наблюдать при этом можно будет уже прямо сейчас — потому что уже идёт тестовое голосования 7-9 сентября, данные которого практически в реальном времени выгружаются на портале публичного наблюдения.

В общем, хотите лично убедиться, что в ДЭГ целостность голосов и корректность подсчёта обеспечивается на уровне математики и никакого «сколько захотят, столько и нарисуют» там просто нет — смотрите, слушайте и проверяйте сами.