在上周的一个专题中,我采访了许多选举专家和计算机安全研究人员,他们认为安全的互联网投票在今天是不可行的,很可能在未来许多年内也不会可行。对这一论点的一个最常见的回应是将投票比作银行。毕竟,我们经常使用互联网在世界各地转移资金。这一点在对上周那篇文章的评论中也出现过。为什么我们不能使用同样的技术来确保在线投票呢?
但投票有一些独特的要求,这使得安全的在线投票成为一个特别具有挑战性的问题。
传统银行系统中的每笔电子交易都与特定的发件人和收件人捆绑在一起,这些发件人和收件人可以确认交易是否有效,如果不是有效的,就会发出警报。银行依赖客户定期审查他们的交易(无论是在线交易还是纸质对账单),并在发生欺诈交易时通知银行。
相比之下,专家告诉我,选举应该是秘密的。面对面选举不仅仅允许选民进行无记名投票,他们通常还会要求选民这样做。强制性保密使选民免受老板、虐待配偶、老年护理人员或其他有权势或有影响力的人的胁迫。
一旦选民将一张纸质选票放入投票箱,它就会与其他选票混合在一起。对任何人来说,不仅很难将选票与投票的选民联系起来,而且选民也很难向任何人证明他或她是如何投票的。
构建一个具有相同属性的安全数字投票系统是困难的。如果选票与选民身份没有关联,选民或其他任何人都无法核实他们的选票是否被准确记录。
密码学家已经开发了复杂的密码协议,用于在保持至少部分匿名性的同时精确计数选票。但这些协议本身很复杂,普通选民很难核实。
一些在线投票公司已经通过放弃严格的投票保密性来应对这一挑战。例如,Voatz为每个选民提供了一个匿名标识号,允许他们在Voatz服务器上记录下自己的选票。这可能是确保正确记录投票的关键。但它侵蚀了私人投票的神圣性,因为掌权的人可能会强迫选民透露他们是如何投票的。
然而,更重要的问题是,网上银行系统实际上并不那么安全。事实上,传统的支付网络不断受到威胁。金融业贸易出版物“尼尔森报告”(Nilson Report)估计,2018年信用卡诈骗给全球造成的损失接近280亿美元。
这样做的一个重要原因是,银行认识到在安全性和客户便利性之间存在权衡。强大的安全措施,如双因素身份验证或严格的签名验证,将减少欺诈,但也会激怒许多客户。银行和金融网络意识到,超过一定程度,更严格的控制将使银行损失更多的客户,而不是他们在防止欺诈方面节省的成本。因此,他们接受相当数量的欺诈是做生意的成本。
银行的安全努力也得益于这样一个事实,即侵入金融网络的人通常试图将偷来的资金转移到自己手中。通常情况下,银行可以追踪这笔钱,找出谁对某一次特定的黑客攻击负责,追回被盗的资金,并阻止其他人尝试类似的攻击。外国政府对银行黑客攻击也不感兴趣,他们中的大多数都很有钱。
选举黑客是不同的。我们比喻地谈论人们窃取选票,但黑客攻击选举的人并不是试图从黑客攻击中直接获利。这意味着当局不能跟着钱去辨认嫌疑犯。
当欺诈交易在事后被标记时,银行会自动将损失的资金贷记回客户。他们试图找出罪魁祸首,并让他们付出代价,但如果做不到这一点,银行就会自己承担损失。
这种投票方式是完全行不通的。投票官员不能像银行处理被盗资金那样,向选民发放事后信用额度。选举需要产生一个被迅速和广泛接受为合法的最终结果。即使是少量的舞弊选票也可能颠覆选举结果,摧毁公众对投票过程的信心。包括美国总统在内的主要选举都是由数百万张选票中的几百张决定的。
因此,我们的投票基础设施需要比我们的网上银行基础设施安全得多。专家说,我们根本不知道如何建立具有必要安全级别的在线系统。