一些州已经接受了在线投票。这是一个巨大的风险。

在周二的初选中投票的一些西弗吉尼亚州人将被允许点击手机或笔记本电脑，而不是前往投票站。特拉华州的一些人下个月也会这样做。这一趋势可能会蔓延到11月，因为冠状病毒大流行促使人们寻找不会让人们接触这种致命疾病的投票方法。

但是，将选举转移到互联网带来了美国没有准备好应对的巨大风险-危及选民的隐私，危及投票的保密性，甚至危及结果的可信度。

问题：互联网上充斥着黑客可以利用的安全漏洞。选民的电脑、智能手机和平板电脑也是如此。美国从未开发过像爱沙尼亚这样的集中式数字身份系统，爱沙尼亚是一个精通数字的小国，自2005年以来一直在网上举行选举。

包括国土安全部(Department Of Homeland Security)网络安全部门和联邦调查局(FBI)在内的四家联邦机构上月在一份公告中警告称：“目前，在确保选票完整性和维护选民隐私的同时，确保投票结果通过互联网返回是困难的，如果不是不可能的话。”他们称这比邮寄投票风险大得多，邮寄投票是大流行期间吸引了大部分政治辩论的技术。

周日，麻省理工学院(Massachusetts Institute Of Technology)和密歇根大学(University Of Michigan)的研究人员发现，西弗吉尼亚州和特拉华州正在使用的这款产品存在许多安全漏洞，称其“对选举安全构成严重风险，可能会让攻击者在不被发现的情况下篡改选举结果。”

事实上，根据一些专家的说法，美国可能需要十年或更长时间才能安全地将其立法者和总统的选举委托给互联网。尽管如此，在一位有政治背景的科技企业家的鼓励下，少数几个州仍在推进--这个问题的诱人逻辑是，“如果我们可以在网上银行，为什么我们不能以同样的方式投票呢？”

许多人在网上银行、购物和社交-将他们的钱和个人信息置于潜在的被盗或其他剥削的风险中。

除了党团会议和大会外，几乎所有的美国选举都使用为隐私而设计的无记名选票和投票站。这保护了人们不会被勒索或贿赂，以某种方式投票-但这也意味着，除非技术取得进步，否则选民们无法核实他们的选票是否被正确计票，也无法对结果提出质疑。

这与消费者抗辩欺诈性信用卡购买的能力大不相同，这取决于他们的金融机构将他们的活动与他们的身份联系起来。

赖斯大学(Rice University)计算机科学教授丹·沃拉赫(Dan Wallach)是选举安全方面的权威，他说，“你可能用来检测出问题的所有机制，都是我们不允许给你的机制，因为我们要求匿名。”

与出错的银行交易不同，政治和法律因素使选举几乎不可能逆转。破坏选民的意志会威胁到代议制政府的稳定。法院和州选举委员会已经宣布结果无效，只有在特殊情况下才下令重新开始，比如2018年北卡罗来纳州国会竞选中破坏的欺诈证据。

相反，重新计票是解决选举中违规行为的通常补救措施。这就是为什么安全专家坚持所有选举都有每个选民选择的防黑客记录-金本位制是手工填写的纸质选票。

通过互联网传输选票使得有意义的重新计票变得不可能。“你能做的最多就是说，‘把我们的数字再加一次，再得到同样的总数，’”沃拉赫说。

数据不会像开车去超市的人那样直线遍历互联网。它更像是包裹递送，包裹在到达你家门廊之前穿梭于仓库、仓库、飞机和送货面包车之间。这个过程不是人类控制的；互联网会自动选择最有效的路线。

由于安全性在20世纪70年代并不是互联网最初设计者的首要考虑因素，因此这段旅程中的大部分都容易被窥探和恶作剧。

华盛顿特区的某人发送给镇上另一边的人的一封电子邮件，可能会迅速通过达拉斯或孟买的服务器，甚至通过俄罗斯等敌对国家，每一封电子邮件都不会为黑客提供篡改它的机会。

即使可以要求电子选票只在美国通过服务器传输，也没有办法确保沿途每个服务器的安全。这就像信任联邦快递递送包裹一样，包裹必须通过没有上锁的门、打开的窗户和没有安全摄像头的仓库。

沿着这些数字路径保护数据的最有效方法是“端到端”加密，它会对内容进行加扰，使得除了发送者或接收者之外的任何人都看不懂它。投票安全专家认为这也是一个很有前途的保护选票的工具，微软甚至创建了自由软件，允许选民检查他们的加密选票是否计算正确。

但这款软件是新的，仍在测试中，只能在人们亲自使用的投票机上运行。研究人员还没有想出如何在互联网投票中使用端到端加密。

保护通过互联网的选票已经够难的了，但真正让专家们彻夜难眠的是，一想到普通美国人一开始就用电脑或手机投票。

与互联网相连的设备充斥着恶意软件和邪恶的代码，这些代码可以静默地操纵其主机，用于各种目的。选举技术公司Free&；Fair的首席科学家乔·金里说：“我们今天看到的部署在世界上的普通Windows机器上无疑都安装了某种形式的恶意软件。”

现代杀毒软件通常能有效阻止已知的恶意软件，但有时会遗漏通常源自国家情报机构的新的或新兴的病毒变种。此外，许多人甚至没有有效的安全软件-在某些情况下，因为他们的计算机太旧了。考虑到富人比低收入者更有可能拥有具有一流安全保护的现代技术，篡改选票的恶意软件又制造了另一种社会经济鸿沟。

其中一个安全问题涉及“僵尸网络”，即黑客通过感染大量安全状况不佳的机器并命令它们传播垃圾邮件、恶意软件和其他数字威胁而创建的恶意计算机大军。如果互联网投票变得普遍，黑客可以通过将他们的僵尸网络出租给想要植入篡改投票恶意软件的人来发财。

一些僵尸网络包含数百万台僵尸计算机。“这是否足以篡改选举结果？”莱斯大学的沃拉赫问道。“如果这是一场势均力敌的选举，是的。”

重要的是，选举官员不能窥视选民的设备并明确清除恶意软件。如果没有安全设备，端到端加密是无用的，因为恶意软件只会破坏加密过程。

攻击者能做什么呢？“从字面上看，有数百种不同的威胁，”金瑞说。

提供数字选票的一种方式是让选民下载一个包含候选人名单的PDF文件，然后他们填写、重新上传并提交。这些可填写的PDF可能看起来像纸质选票，但它们包含的代码类似于在网站上运行的代码。“这是一个计算机程序，碰巧在你看来就像是一张纸或一张可填写的表格，”沃拉赫说。

通过在选民的电脑或手机上植入恶意软件，黑客可以篡改PDF的代码，并在选民关闭后强迫其编辑投票。或者，网络浏览器中的恶意软件可以在选民点击“提交”后偷偷编辑选票。无论哪种方式，计票的选票都不会与选民的意图相匹配-选民将无法知道。

出于速度和稳定性的原因，现代网站从外部源加载大部分内容，包括图像和其他代码，而不是在自己的服务器上托管所有这些文件。通过黑客攻击其中一个外部代码提供商，不良行为者可以将恶意代码注入互联网投票网站，并同时编辑多个选票，而不需要直接感染选民的设备。

互联网的设计使得“劫持”引导互联网流量的系统成为可能，并迫使发往特定目的地的数据通过不同的路线。Wallach说，通过利用这个漏洞，黑客“可以设置一个看起来像官方服务器并假装是官方服务器的服务器，但实际上它是在一些外国运行的。”然后，他们可以接收投票，篡改它们，然后将其重新传输回适当的服务器。

沃拉赫说，“可能有五到六种不同的众所周知的技术”来实施这种“中间人”攻击。

攻击互联网投票系统最简单的方法之一是用雪崩般的垃圾流量轰炸它，试图减缓它的速度，剥夺它为选民服务的能力。这被称为拒绝服务攻击，黑客经常租用僵尸网络来实施特别大的攻击。

这样的攻击将“比我们在传统选举中看到的危害要大得多，”金瑞说，因为“你不会从根本上知道谁的投票有困难，谁的选票没有通过，等等。”

金瑞将其描述为“16岁天才可以用信用卡做的事情”。

也许最阴险的攻击类型涉及互联网投票供应商的一名员工从内部篡改选举，滥用他们本应用来保持系统正常运行的权力。“今天在美国部署的这些系统中的大多数基本上都是按照你完全信任向你提供服务的供应商的方式建造的，”金瑞说。

更复杂的攻击将在俄罗斯等外国对手的能力范围内，这些国家有能力部署高技能的黑客团队，花几周或几个月的时间研究一个系统的弱点。

安全专家一致认为，如果民族国家黑客将时间和精力集中在试图入侵系统上，他们最终会找到这样做的方法。随着网络投票变得越来越普遍，攻击它的动机只会越来越大。

几乎每一次对互联网投票系统的审计都揭示了严重的、广泛的安全漏洞，尽管黑客利用这些漏洞的容易程度各不相同。

麻省理工学院和安全公司Trail of Bits最近发布了关于Voatz的谴责报告，该公司在2018年进行了西弗吉尼亚州第一次全国移动投票试点。他们发现了一些漏洞，这些漏洞可能会让黑客篡改人们的选票，泄露他们的身份。

麻省理工学院和密歇根大学最近的报告对民主直播的OmniBallot系统得出了类似的结论，该系统在特拉华州、西弗吉尼亚州和上个月新泽西州的市政选举中使用。它列出了一些漏洞，包括缺乏端到端加密，易受恶意软件注入的网络应用程序，以及对产品服务器的“保护不足”。“选民无法在没有修改的情况下确认他们的选票已被传送，”作者警告说，“攻击者可能会以选民、官员或民主直播难以察觉的方式更改选票。”

2019年初，在瑞士政府与西班牙互联网投票巨头Scytl合作后，研究人员报告了迫使瑞士放弃推出的关键缺陷。(Scytl于5月份申请破产。)。

多年来，专家们还在华盛顿特区、多伦多、澳大利亚新南威尔士州，甚至爱沙尼亚的数字宠儿的互联网投票系统中发现了重大漏洞。多个特别工作组已经证实了互联网投票的不可行性。

沃拉赫说：“我们还没有互联网投票系统通过独立审查并大获全胜的例子。”他将失败归因于市场的不成熟，他说，更大、更有经验的公司受到多年的外部审查，不会犯这样的“新手错误”。(沃拉赫正从莱斯大学休假一年，与投票技术初创公司VotingWorks合作，VotingWorks正在开发一些产品，与Democratic Live的产品竞争。但他的言论反映了绝大多数选举安全专家公开和私下表达的批评。)。

美国国家科学院、工程院和医学院在2018年一份关于选举安全的报告中强烈警告不要在互联网上投票，报告写道，“没有任何已知的技术能保证通过互联网传输的有标记的选票的保密性、安全性和可验证性。”

接受互联网投票的选举官员否认风险像专家所说的那样严重。

西弗吉尼亚州国务卿麦克·华纳(Mac Warner)说：“你会一遍又一遍地听到同样的人的来信，他们似乎是通过那些唱反调的人在这个行业声名鹊起的，”西弗吉尼亚州国务卿麦克·华纳(Mac Warner)说。

华纳表示，它将“采取民族国家的努力”，找出如何篡改该州各种投票形式，并侵入选民的设备。他还鼓励专家通过建立更好的互联网投票系统来“成为解决方案的一部分”，而不是批评现有的系统。(许多专家花了数年时间试图做到这一点。他们沿途的发现为他们的批评提供了依据。)。

但华纳也表示，为了确保选票的安全传输，可能有必要消除互联网投票的选票保密性。他强调，他并不是在倡导普遍的互联网投票，因为这会造成太大的安全风险。

华纳是一名退伍军人，他的两个孩子曾在阿富汗服役，他说他支持军人和其他“被当前制度剥夺公民权的专业群体”的互联网投票。

与此同时，供应商通常辩称，黑客永远不可能真正利用他们产品中的漏洞。他们还坚称，在现场选举中从未发生过这样的泄密事件，尽管安全专家称这一说法无法核实。

供应商也经常攻击研究人员自己，指责他们耸人听闻的发现，以引起媒体的关注，破坏对选举的信心。

民主直播辩称，其产品根本不构成在线投票，因为选举官员在选票通过互联网到达后打印出来。该公司还辩称，其系统是安全的，因为它托管在亚马逊备受好评的云平台上，该平台已获联邦机构批准使用。

安全专家对这些说法不屑一顾，他们指出，选票在到达印刷之前可以被操纵，而亚马逊的安全无法阻止这一点。

“他们在撒谎，”沃拉赫说。“这些都不是真的，那些说法是危险的，因为非专家很难看到这些说法，认为它们是谎言。”

尽管一再要求，民主直播公司拒绝让首席执行官布莱恩·芬尼接受采访。

与此同时，新泽西州在上个月的市政选举中只有一名选民使用了民主直播的系统，因此选择在7月份的总统初选中不使用该系统。投票实验花费了该州8.9万美元。

安全的互联网投票依赖于两大进步：允许选民的计算机和手机证明它们没有恶意软件的技术，以及端到端的加密，以保护传输中的选票。

最新版本的Android和iOS是手机和平板电脑的两个主要操作系统，它们包含一些功能，可以让设备向第三方证明自己的数字健康状况，这一过程被称为“认证”。但绝大多数安卓手机运行的是较旧版本的谷歌操作系统。此外，沃拉赫说，谷歌和苹果在设计他们的证明功能时，并不是为了支持像投票这样的关键任务过程。

此外，在计算机上实现证明功能要困难得多，因为计算机与电话的组件交互方式不同。“我需要知道您的网卡没有在其内部固件中运行恶意软件，”Wallach说。“在任何地方，没有人的办公桌上有一台能做到这一点的个人电脑。”

金瑞说，解决这些问题需要几乎每一家大牌硬件和软件制造商之间昂贵的长期合作。

他说：“如果你让世界上排名前20位的人真的放下一切，一起工作，与这些公司合作几年，你实际上可以建立一些我们大多数人都会信任的东西。”“但这不是任何人都感兴趣的投资。”

沃拉赫表示同意。“10年后，我们会处在一个不同的世界吗？几乎可以肯定。但是10年是一段很长的时间。我们今天还远没有为此做好准备。“