Способ голосования с высоконадежной биометрической защитой анонимности голосующего

Изобретение относится к вычислительной технике и может быть использовано в системах анонимного электронного голосования при проведении выборов, опросов, референдумов, предусматривающих личную явку избирателя на избирательный участок.

Техническим результатом изобретения является появление гарантий того, что сам избиратель, оставаясь анонимным, может проследить судьбу своего личного волеизъявления при его учете на любом из уровней подсчета голосов (местная избирательная комиссия, областная избирательная комиссия, республиканская избирательная комиссия, центральная избирательная комиссия).

Известны способы для тайного голосования [1, 2, 3], построенные на использовании бумажных бюллетеней. Основным недостатком способов является их высокая трудоемкость, а также то, что возможна компрометация результатов голосования, если осуществлен сговор части голосующих, и все они неверно (с ошибками) заполняют свои бюллетени. Тогда, после оглашения результатов голосования, организаторы компрометации могут обвинить избирательную комиссию в подтасовках. Только этого обстоятельства достаточно, чтобы сделать способы [1, 2, 3] непригодными для практического применения.

Автоматизация подсчета голосов и снижение трудозатрат осуществляются при переходе к использованию электронных бюллетеней [4]. Основным недостатком способа [4] является то, что электронный бюллетень слабее защищен от попыток компрометации системы голосования. Так, возможно многократное использование одного и того же электронного бюллетеня, не обеспечивается тайна голосования. Возможна атака на систему голосования с использованием ложных средств идентификации голосующего. Свой идентификационный код избиратель получает в избирательной комиссии [4], и из-за анонимности процедуры голосования избиратель не может проверить, сколько подобных кодов и кому они были выданы.

Применение технологии формирования электронных цифровых подписей позволяет ввести в избирательные системы электронного голосования жесткий учет всех юридически значимых действий. Примером практического использования механизмов электронной цифровой подписи является способ электронного голосования [5]. По этому способу возможно дистанционное электронное голосование. При этом все действия избирателей оказываются подконтрольны, так как под каждым документом, формируемым избирателем (электронным бюллетенем и распиской в получении квитанции), он ставит свою электронную цифровую подпись. Основным недостатком способа электронного голосования [5] является то, что избиратель вынужден доверять избирательной комиссии в части обеспечения его анонимности. Избиратель не может иметь гарантий того, что его анонимность не будет когда-либо скомпрометирована. Базы данных избирательной комиссии, содержащие связку имени избирателя с его идентификационным номером, могут быть похищены (скомпрометированы). В случае их шифрования может быть скомпрометирован ключ шифрования.

Наиболее близким к предлагаемому техническому решению является способ [6], по которому при регистрации избирателя ему выдают электронный носитель с системой его идентификаторов, а каждое значимое действие в системе электронного голосования подписывают электронной цифровой подписью.

Основными недостатками способа [6] являются:

- отсутствие возможности со стороны избирателя контролировать избирательную комиссию в части сохранения своей анонимности;

- отсутствие возможности контроля избирателем судьбы своего волеизъявления на всех этапах учета голосов (и в том числе при пересылке заполненного электронного бюллетеня избирателя в иные вышестоящие избирательные комиссии);

- отсутствие возможности проконтролировать действия самого избирателя со стороны должностных лиц избирательной комиссии из-за анонимности голосования.

Техническими задачами предложенного изобретения являются:

1. гарантированное обеспечение анонимности волеизъявления избирателей (создание таких условий, что члены избирательной комиссии технически не имеют возможности компрометации анонимности голосующих даже в случае злого умысла);

2. обеспечение контроля судьбы своего волеизъявления самим избирателем на всех этапах учета голосов при условии сохранения его анонимности;

3. обеспечение взаимного контроля избирательных комиссий и избирателей за счет снабжения избирателей безопасными механизмами формирования их личной анонимной электронной цифровой подписи;

4. снятие рисков с избирателей, обусловленных необходимостью надежно хранить их пару ключей, используемых ими при формировании их анонимной электронной цифровой подписи.

Поставленные технические задачи решаются путем изготовления электронных бюллетеней и предоставления к ним доступа голосующего после его идентификации и проверки его права на голосование. Голосующему предоставляют право выбора одного из созданных ранее бюллетеней для голосования, заверенных электронной цифровой подписью лица, ответственного за изготовление бюллетеней. Например, предоставление права выбора может быть реализовано путем движения на сенсорном экране номеров еще не заполненных избирателями бюллетеней. В этом случае избиратель делает случайный выбор путем касания одного из движущихся на экране номеров.

После осуществления избирателем выбора своего бюллетеня избиратель лично заполняет его, например, касаясь чувствительного экрана в частях, соответствующих тому или иному волеизъявлению избирателя. Принципиальным отличием предложенного способа от аналогов и прототипа является то, что избиратель под заполненным им бюллетенем формирует свою электронную цифровую подпись. Для этой цели избиратель инициирует процедуру создания для себя пары из своего открытого ключа и личного секретного ключа. Создание пары ключей избирателя осуществляют с использованием генератора псевдослучайных чисел. Далее по предложенному способу осуществляют размещение открытого ключа избирателя в заполненном согласно воле избирателя электронном избирательном бюллетене. После этого заполненный электронный бюллетень избиратель подписывает своим личным (секретным) ключом, касаясь соответствующего сегмента чувствительного экрана. Сам заполненный электронный бюллетень избиратель анонимно передает избирательной комиссии для подсчета голосов и его опубликования. Анонимная передача заполненного избирателем бюллетеня, например, может быть осуществлена путем его размещения в случайную область памяти с уже заполненными бюллетенями. Перед размещением в базу заполненных бюллетеней, так же, как и прототипа, заполненный бюллетень охватывается электронной цифровой подписью автомата, сформировавшего этот бюллетень.

При реализации предложенного способа принципиально важным является то, что члены избирательной комиссии технически не могут получить информацию о том, какой из бюллетеней заполнен тем или иным избирателем, а сам избиратель получает свой открытый и свой личный ключ у автомата голосования на свой личный носитель информации, а также свой заполненный бюллетень со всеми охватывающими его части электронными цифровыми подписями. После получения избирателем своей личной информации эта информация в системе голосования уничтожается.

При перемещении заполненного электронного бюллетеня в базу заполненных анонимных электронных бюллетеней по предложенному способу избирательная комиссия публикует эту базу. То есть, любой из избирателей после опубликования базы анонимных бюллетеней может найти свой бюллетень по его номеру и открытому, но анонимному, ключу избирателя и убедиться в том, что его волеизъявление верно отражено в открытой публично доступной базе бюллетеней. Если воля избирателя искажена или номер его бюллетеня не опубликован, по предложенному способу избиратель дезавуирует свою анонимность и открыто обращается в избирательную комиссию с требованием исправить ошибку. При этом избиратель пересылает в избирательную комиссию свое заявление, подписанное его электронной цифровой подписью.

По предложенному способу заполненный избирательный бюллетень содержит три электронные цифровые подписи. Первая подпись - подпись лица, создавшего электронной бюллетень и присвоившего ему уникальный номер. Проверка первой подписи осуществляется по опубликованному сертификату открытого ключа лица, сформировавшего электронный бюллетень. Второй электронной подписью является анонимная подпись избирателя. Ее подлинность проверяется по отрытому ключу анонимного избирателя, размещенному в электронном бюллетене. Третья электронная цифровая подпись принадлежит автомату, сформировавшему заполненный бюллетень. Она проверяется по сертификату открытого ключа автомата, публикуемому избирательной комиссией и размещаемому в электронном бюллетене. То есть, происходит взаимный контроль избирательной комиссии и ее автомата формирования электронных бюллетеней избирателями. После опубликования базы анонимных электронных бюллетеней любой избиратель может самостоятельно произвести подсчет голосов по своему избирательному участку или по любому иному избирательному участку. Для этой цели подсчитывающий голоса должен запустить поисковую машину, которая по предложенному способу проверяет все три электронных цифровых подписи в каждом бюллетене и, если они верны, учитывает отмеченное в бюллетене волеизъявление анонимных избирателей.

Таким образом, по предложенному изобретению (п.1. формулы) каждый из избирателей может проконтролировать правильность заполнения своего опубликованного анонимного бюллетеня. Кроме того, каждый избиратель может убедиться в объективности подсчета волеизъявлений других анонимных избирателей. Вбросы фиктивных электронных бюллетеней исключаются тем, что автомат формирования бюллетеней пломбируется и число заполненных бюллетеней точно совпадает с числом зарегистрировавшихся избирателей.

Принципиальным отличием предложенного способа от аналогов и прототипа является то, что каждый избиратель имеет возможность подписывать своей электронной цифровой подписью свое волеизъявление и, тем самым, контролировать его на любом этапе учета голосов. Если избиратель будет надежно (безопасно) хранить свой открытый анонимный ключ и свой личный (секретный) ключ, то он, оставаясь анонимным, может контролировать весь избирательный процесс в части учета своего волеизъявления.

К сожалению, предложенный способ по п.1 формулы изобретения имеет один существенный недостаток. Он связан с необходимостью для избирателя безопасно хранить свой анонимный открытый ключ и свой личный секретный ключ. Как правило, у избирателей нет технической возможности хранить свой личный ключ формирования электронной цифровой подписи. Носитель информации, на который по п.1 выгружены персональные данные пользователя, следует хранить в специально арендованной ячейке банковского сейфа, что достаточно дорого и неудобно (избиратель лишается мобильности, он оказывается привязан к личной ячейке банковского сейфа). Эта проблема характерна для всех технологий, построенных на использовании электронных цифровых подписей. Как правило, формирование личного ключа приводит к появлению дополнительных рисков, связанных с его возможной компрометацией. Именно это обстоятельство (появление дополнительных рисков) и является побочным негативным эффектом применения механизмов электронной цифровой подписи.

По п.2 предложенного способа дополнительный риск, связанный с возможной компрометацией своего личного ключа, избиратель перекладывает на гаранта анонимности. Гарантом анонимности может быть родственник избирателя, нотариус, адвокат, правозащитник, прокурор, любое лицо, обладающее высоким уровнем доверия. Гарант анонимности должен дать согласие на выполнение своей дополнительной функции и иметь официально зарегистрированный (в удостоверяющем центре) сертификат открытого ключа. Гарант анонимности должен осознавать дополнительные риски, связанные с тем, что избиратели ему доверяют сохранение своей анонимности, надеясь, что гарант анонимности ответственно относится к хранению своего личного ключа (например, хранит его в арендованной банковской ячейке).

По п.2 формулы изобретения предложенного способа параллельно с идентификацией избирателя во время его регистрации лицо, осуществляющее регистрацию, формирует файл с персональными данными регистрируемого (именем, отчеством, фамилией, адресом проживания). Далее эти данные подписываются электронной цифровой подписью официального лица, сформировавшего файл персональных данных. Подписанный файл персональных данных передается избирателю. Кроме того, по предложенному способу на избирательном участке заранее формируется список потенциальных гарантов анонимности, предоставивших свои сертификаты открытых ключей. Избиратель выбирает для себя не только подготовленный электронный бюллетень для голосования, но и своего гаранта анонимности.

Далее избиратель заполняет свой электронный бюллетень, формирует открытый и личный (секретный) ключ формирования электронной цифровой подписи, подписывает свой заполненный электронный бюллетень, автомат формирования заполненного электронного бюллетеня также подписывает его. После этого избиратель использует свой личный ключ и открытый ключ гаранта анонимности для шифрования файла своих персональных данных и своего заполненного электронного бюллетеня [7]. В заголовке шифротекста избиратель указывает свой открытый анонимный ключ, а также открытый ключ и имя гаранта анонимности. Весь этот документ еще раз охватывается электронной цифровой подписью избирателя и электронной цифровой подписью автомата заполнения электронных бюллетеней. Далее избиратель уничтожает свой личный (секретный) ключ, переносит на свой носитель информации свой заполненный избирательный бюллетень и шифротекст для гаранта анонимности. Кроме того, заполненный электронный бюллетень анонимно передается избирательной комиссии, например, через перемещение его в базу заполненных анонимных бюллетеней. Так же избирательной комиссии передается на хранение шифротекст, предназначенный для гаранта анонимности.

Шифротекст, сформированный для гаранта анонимности, хранится в избирательной комиссии и никому не передается. Никто в избирательной комиссии не может дезавуировать анонимность избирателя, так как для этого нужно расшифровать шифротекст, используя открытый ключ анонимного избирателя (он есть в заголовке) и личный ключ гаранта анонимности (он никому не доступен). Сам гарант анонимности также не может злоупотребить доверием избирателя и скомпрометировать его анонимность, так как у гаранта анонимности нет шифротекста [7]. Шифротекст хранится только у самого избирателя и у избирательной комиссии. Получается, что никто не может скомпрометировать анонимность избирателей, если избирательная комиссия надежно хранит шифротексты для гарантов анонимности. Даже если база шифротекстов утрачена (скомпрометирована), злоумышленник должен обращаться для ее расшифровывания к гарантам анонимности. Гаранты анонимности в случае незаконного обращения к ним вправе отказать злоумышленнику и обратиться в правоохранительные органы.

После реализации предложенного изобретения по п.2 формулы избиратель оказывается способен контролировать правильность учета своего волеизъявления. Для этой цели он ищет свой заполненный анонимный бюллетень по его номеру. Далее избиратель сравнивает оригинал имеющегося у него заполненного бюллетеня с опубликованным. Если избиратель обнаружил расхождение (отсутствие своего бюллетеня), то он обращается в избирательную комиссию с требованием корректировки опубликованных бюллетеней. Избирательная комиссия не может убедиться в правоте анонимного избирателя, так как тот уничтожил свой личный ключ и оказался недееспособен (он не может доказать, что открытый ключ в электронном анонимном бюллетене именно его). Для установления справедливости избирательная комиссия обращается к гаранту анонимности и передает ему шифротекст. Гарант анонимности расшифровывает этот шифротекст, узнает имя анонимного избирателя, а также получает оригинал его заполненного электронного бюллетеня в момент голосования. Гарант анонимности обращается в избирательную комиссию, передает ей оригинал заполненного электронного бюллетеня. Гарант анонимности убеждается в том, что ущемлены права реально существующего человека, и этот человек предъявляет неискаженный первоначальный вариант заполненного и подписанного электронного бюллетеня. При этих действиях гарант анонимности может сохранить анонимность обратившегося к нему за помощью.

В криптографии известны процедуры так называемой «слепой» электронной цифровой подписи, когда подписывается третьим лицом предварительно зашифрованный цифровой документ. Предложенный способ не является разновидностью «слепой» электронной цифровой подписи. Электронная цифровая подпись гаранта анонимности по предложенному способу применяется только после расшифровывания информации.

Восстановление справедливости гарантом анонимности может происходить иначе. Если к гаранту анонимности обращается сам анонимный избиратель и предоставляет ему шифротекст. Кроме того, к гаранту анонимности могут обратиться органы правопорядка, официально занимающиеся расследованиями злоупотреблений. В этом случае органы правопорядка должны изъять у избирательной комиссии соответствующие шифротексты для передачи их гаранту анонимности. Использование изобретения по п.2 формулы ориентировано на ситуации, когда избиратель ограниченно дееспособен (болен или имеет преклонный возраст).

Основным техническим результатом реализации п.2 формулы изобретения является то, что избиратель избавляется от дополнительных рисков, связанных с необходимостью хранения его личного ключа, использованного при подписи электронного бюллетеня с его волеизъявлением. При этом у него остается возможность контроля за избирательной комиссией через привлечение своего гаранта анонимности. Фактически гарант анонимности в нужный момент играет роль независимого свидетеля, способного подтвердить правоту избирателя. Несмотря на то, что избиратель уничтожил свой личный ключ формирования своей электронной цифровой подписи, он, избиратель, сохраняет свою дееспособность при отстаивании своего права на анонимное голосование и справедливый учет его волеизъявления.

Снятие дополнительных рисков по безопасному хранению личного ключа формирования электронной цифровой подписи избирателя может быть осуществлено по п.3 формулы изобретения. Предложено полностью повторять способ, изложенный по п.1 формулы изобретения, то есть формировать электронный бюллетень с уникальным номером, подписывать его электронной цифровой подписью лица, отвечающего за изготовление. Далее производится идентификация избирателя по его паспорту или иному документу. Если избиратель имеет право на голосование, то ему предоставляют доступ к автомату для заполнения электронного бюллетеня. Избиратель выбирает номер заполняемого бюллетеня, например, путем касания этого номера на чувствительном экране автомата. Далее избиратель указывает свою волю через касание соответствующих областей чувствительного экрана. Затем избиратель создает для себя пару из своего открытого ключа и своего личного ключа [7]. После этого избиратель предъявляет автомату заполнения электронного бюллетеня примеры своего биометрического образа, например, прикасается своим пальцем к сканеру рисунка отпечатка пальца.

Далее по предложенному способу запускают процедуру обучения нейросетевого преобразователя биометрия-код, выполненную по ГОСТ Р 52633.5 [8]. Обучение ведут на нескольких примерах биометрического образа и личном ключе избирателя. После того, как обучение выполнено, личный ключ избирателя уничтожают, а избиратель получает его при каждом предъявлении своего биометрического образа (после прикладывания своего пальца к сканеру автомата). Кроме того, после обучения уничтожают примеры биометрического образа избирателя, использованные при обучении.

Далее избиратель вкладывает в электронный бюллетень свой открытый ключ и подписывает своею электронной цифровой подписью свой заполненный анонимный избирательный бюллетень. Для этой цели избиратель прикладывает свой палец к сканеру рисунка отпечатка. Рисунок отпечатка преобразуется в биометрические параметры, они подаются на входы обученной нейронной сети, на выходах обученной нейронной сети появляется выходной личный ключ избирателя [8], который и используется для формирования электронной цифровой подписи избирателя под его заполненным анонимным электронным бюллетенем.

Далее автомат заполнения электронного бюллетеня охватывает весь бюллетень своей электронной цифровой подписью. В итоге электронный бюллетень содержит уникальный идентификационный номер бюллетеня, открытый ключ избирателя, его волеизъявление и три электронных цифровых подписи. Эту комбинацию данных пользователь записывает на свой носитель информации, а также передает избирательной комиссии для опубликования. Передача осуществляется путем анонимного размещения информации в базе анонимных заполненных бюллетеней. Дополнительно на информационном носителе избирателя размещают параметры обученной нейронной сети преобразователя биометрия-код личного ключа. Все следы работы избирателя с автоматом заполнения электронного бюллетеня уничтожают.

Избиратель после описанных выше действий имеет свой заполненный анонимный бюллетень и параметры своей обученной нейронной сети. Предложенный способ позволяет исключить риски, связанные с хранением и возможной компрометацией личного ключа избирателя. Если носитель информации избирателя попадет в чужие руки, то другой человек не может скомпрометировать анонимность избирателя или попытаться скорректировать его волеизъявление. Заменить биометрию избирателя на свою другой человек не может, так как она охвачена электронной цифровой подписью автомата заполнения бюллетеня. Извлечь личный ключ из правильно сформированного нейросетевого преобразователя биометрия-код также практически невозможно. То есть, личный носитель информации избирателя становится безопасным. Избиратель им может пользоваться многократно, особых требований к его хранению не предъявляется. Это выгодно отличает способ, выполненный по п.3 от способа по п.1.

То, что носитель информации избирателя не требуется защищать и надежно хранить, делает предложенный способ по п.3 формулы удобным для избирателей. Реализация способа по п.3 формулы, например, дает возможность корректировать избирателю результаты своего волеизъявления. Для этой цели избиратель должен повторно предъявить автомату заполнения электронных бюллетеней свой личный носитель информации. Пользуясь этой личной информацией, автомат способен найти нужный анонимный бюллетень и скорректировать его заполнение. При этом избиратель должен получить свой личный ключ, предъявив свой биометрический образ (например, рисунок отпечатка пальца). Эта совершенно новая техническая возможность, которую обеспечивает только использование п.1 и п.3 формулы изобретения. Аналоги и прототип подобной возможности не предусматривают.

Для предыдущих способов корректировка своего же волеизъявления в рамках отведенного на это срока невозможна, что является привычным, но не всегда рациональным. Одной из дополнительных возможностей предложенного способа является голосование без паспорта и иных удостоверяющих личность документов. Системе голосования достаточно предъявить свой индивидуальный носитель информации избирателя. По этому носителю (при реализации п.1 и п.3 формулы) система голосования способна однозначно определить, что избиратель уже был зарегистрирован и вполне может голосовать с использованием своего прежнего открытого ключа и прежнего личного ключа. То есть, по предлагаемой технологии паспорт или иное удостоверение личности требуется избирателю только, если он решил сменить свою пару из открытого и личного ключа.

Следует отметить, что биометрическая нейросетевая аутентификация, выполняемая по п.3 формулы изобретения по классификации ГОСТ Р 52633.0-2006 [9] является высоконадежной, так как построена на сохранении избирателем в тайне используемого им биометрического образа. По требованиям ГОСТ Р 52633.0-2006 [9] биометрия может классифицироваться как высоконадежная, только если биометрический образ человека сохраняется в тайне (открытая биометрия, например, используемая международными паспортно-визовыми документами, не является тайной, соответственно, не является высоконадежной). На личном носителе информации избирателя нет имени избирателя, нет его иных персональных данных, нет упоминания о том, какая биометрическая технология использована при обучении нейронной сети. Анализируя параметры обученной нейронной сети, нельзя указать, какой биометрический образ избирателем был использован, то есть предложенный способ является высоконадежным. Данные на личном носителе информации избирателя недоступны членам избирательной комиссии (у прототипа идентификационные данные избиратель получает у избирательной комиссии), и соответственно, избиратель гарантированно защищен от злоупотреблений со стороны членов избирательной комиссии. По предложенному способу избиратель сам может выбрать технологию своей биометрической идентификации (рисунок отпечатка пальца, рукописная подпись, рукописное парольное слово, голосовая парольная фраза, особенности трехмерной геометрии расположения черт лица, складок кожи на руке, рисунок радужной оболочки глаза и т.п.). Избиратель выбирает сам любую из биометрических технологий, которой снабжен автомат заполнения электронного избирательного бюллетеня. Самостоятельный выбор избирателем технологии является одним из элементов обеспечения защиты его анонимности.

Практическая реализация устройств для осуществления предложенных способов иллюстрируется фиг.1-5.

На фиг.1 приведена блок-схема соединения элементов автомата заполнения электронного бюллетеня анонимного избирателя, где:

блок-1 - база с незаполненными электронными бюллетенями, созданными для голосования;

блок-2 - чувствительный к касанию избирателя экран автомата заполнения электронного бюллетеня;

блок-3 - генератор пары из открытого ключа и личного (секретного) ключа анонимного избирателя;

блок-4 - криптографическое средство для проверки и формирования электронной цифровой подписи;

блок-5 - личный и открытый ключи для формирования и проверки электронной цифровой подписи автомата заполнения электронного бюллетеня;

блок-6 - база с заполненными электронными бюллетенями анонимных избирателей;

блок-7 - индивидуальный носитель информации избирателя.

На фиг.2 приведена структурная блок-схема организации данных электронного бюллетеня для голосования, где:

блок-8 - идентификационные параметры созданного заранее электронного бюллетеня для голосования;

блок-9 - поля данных, отражающие волеизъявление анонимного избирателя;

блок-10 - электронная цифровая подпись избирательной комиссии, охватывающая данные блока-8 и блока-9;

блок-11 - данные открытого ключа анонимного избирателя и данные открытого ключа автомата заполнения бюллетеня;

блок-12 - электронная цифровая подпись анонимного избирателя, охватывающая блок-8, блок-9, блок-10, блок-11;

блок-13 - электронная цифровая подпись автомата заполнения электронного бюллетеня, сформированная в момент окончания голосования.

На фиг.3 приведена блок-схема, отражающая структуру данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-7), где:

блок-14 - заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фиг.2);

блок-15 - личный (секретный) ключ анонимного избирателя.

На фиг.4 приведена блок-схема организации данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-13) при реализации предложенного способа по п.2 формулы изобретения, где:

блок-16 - заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фигуре 1);

блок-17 - шифротекст персональных данных избирателя, зашифрованных с применением личного ключа избирателя и открытого ключа гаранта анонимности избирателя;

блок-18 - открытый ключ и имя выбранного избирателем гаранта анонимности;

блок-19 - электронная цифровая подпись избирателя, охватывающая блок-16, блок-17, блок-18;

блок-20 - электронная цифровая подпись автомата заполнения электронного бюллетеня, охватывающая блок-16, блок-17, блок-18, блок-19.

На фиг.5 приведена блок-схема организации данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-13) при реализации предложенного способа по п.3 формулы изобретения, где:

блок-21 - последний заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фигуре 1);

блок-22 - данные обученного нейросетевого преобразователя биометрия-код личного ключа избирателя;

блок-23 - электронная цифровая подпись автомата заполнения электронного бюллетеня, охватывающая блок-21, блок-22.

Автомат, используемый избирателем для реализации способа, предложенного по п.1 формулы изобретения, состоит из базы (блок-7) незаполненных электронных бюллетеней, которые созданы для будущего голосования. Выход базы блока-7 соединен со входом блока-8, первый выход блока-8, соединен со входом блока-9, второй выход блока-8 соединен с информационным входом блока-10. Второй информационный вход блока-10 соединен с выходом блока-11. Выход блока-10 соединен со входом блока-13 и со входом блока-13.

Автомат заполнения электронных бюллетеней работает следующим образом: еще до голосования в его базу (блок-1) вносят заранее подготовленные электронные бюллетени для голосования, кроме того, в его блок-5 вводят личный ключ автомата для формирования его ЭЦП после завершения каждого акта голосования. После этого автомат заполнения электронных бюллетеней опечатывают и размещают в месте для индивидуального голосования.

При голосовании избиратель предъявляет свой паспорт, а должностное лицо избирательной комиссии предоставляет избирателю доступ к автомату для заполнения электронных бюллетеней. При этом должностное лицо не может запомнить всех избирателей, которые должны воспользоваться автоматом. При голосовании избиратель выбирает один из подготовленных электронных избирательных бюллетеней, касаясь одного из номеров бюллетеней, проходящего как титры на чувствительном экране (блок-2). При этом изменяется экранная форма электронного бюллетеня, и избирателю предоставляется возможность выбрать кандидатуру, за которую избиратель хочет проголосовать. Выбор кандидатуры избиратель осуществляет путем касания соответствующей части экрана (блок-2).

После того, как избиратель сделал свой выбор, от чувствительного экрана (блок-2) поступает сигнал на вход блока-3. По этому сигналу блок-3 вырабатывает пару из открытого ключа избирателя и личного ключа избирателя. Далее блок-4 формирует электронную цифровую подпись избирателя с использованием личного ключа избирателя, эта электронная цифровая подпись охватывает заполненный электронный бюллетень и вставленный в него открытый ключ избирателя. Далее блок-4 повторно охватывает полученные данные второй электронной цифровой подписью, которую формирует на личном ключе автомата заполнения бюллетеней. После этого процесс голосования считается законченным, заполненный электронный бюллетень изымается из базы блока-1 и размещается в базу блока-6, кроме того, заполненный электронный бюллетень размещается в индивидуальный носитель информации избирателя (флеш память, смарт-карту избирателя или иной носитель информации блок-7). Кроме того, в память индивидуального носителя информации избирателя блока-7 вносится личный ключ избирателя, а пара ключей избирателя (открытый и личный) уничтожается внутри автомата заполнения электронных бюллетеней.

В итоге работы автомата заполнения электронных бюллетеней в базе данных блока-6 появляется заполненный избирателем анонимный избирательный бюллетень, а в блоке-7 появляется этот же бюллетень и личный ключ анонимного избирателя. Структура данных заполненного избирательного бюллетеня приведена на фиг.2. Структура данных, записанных на индивидуальном носителе информации (блок-7), приведена на фиг.3.

Следует отметить, что избиратель может принять решение о том, что он полностью доверяет избирательной системе и заранее отказывается от ее контроля. В этом случае избиратель не должен предоставлять автомату заполнения свой индивидуальный носитель информации (блок-7). Автомат сообщает избирателю об отсутствии в соответствующем гнезде (слоте) носителя информации и получить от избирателя согласие на отказ от документирования данных на его носителе. Возможен вариант реализации процедуры голосования, когда избирательная комиссия всем избирателям предоставляет индивидуальные (пустые) носители информации. Это в корне отличает предложенный способ от способа прототипа, когда избиратель получает в избирательной комиссии уже сформированный электронный идентификатор (такой идентификатор может быть уже скомпрометирован).

Еще одним преимуществом предложенного способа является то, что он позволяет контролировать каждому избирателю судьбу своего волеизъявления. По предложенному способу избирательная комиссия публикует анонимные заполненные бюллетени, после окончания голосования и извлечения их из блока-6. То есть, каждый избиратель может найти свой заполненный бюллетень по его номеру и сравнить с оригиналом, который ему вручен на индивидуальном носителе информации избирателя. Если воля избирателя не искажена, то избиратель вправе доверять всей системе электронного голосования. Тогда он может самостоятельно подсчитать, сколько человек поддержало выбранного им кандидата. Для этого каждый избиратель может самостоятельно запустить поисковую машину по публично доступной базе анонимных электронных бюллетеней.

При подсчете поисковая машина должна проверять верность всех трех ЭЦП, содержащихся в электронном бюллетене (фиг.2). При этом верность второй и третьей ЭЦП проверяется по открытому ключу избирателя и по открытому (опубликованному) ключу автомата заполнения электронного бюллетеня. ЭЦП избирательной комиссии (блок-10) будет отличаться от оригинала, так как избиратель изменил поле данных под ЭЦП, соответствующее его волеизъявлению. Для проверки подлинности исходного незаполненного электронного бюллетеня требуется изменить поле данных волеизъявления на изначально нейтральное. Тогда автомат проверки подтвердит отсутствие искажений.

В итоге каждый из избирателей по предложенному способу получает возможность контролировать избирательную систему электронного голосования, чего нет у способов аналогов и прототипа.

Рассмотрим второй пример реализации предложенного способа по п.2 формулы изобретения. В этом случае в блок-1 (фиг.1) должна быть добавлена база потенциальных гарантов анонимности избирателей со ссылкой для каждого гаранта на его сертификат открытого ключа. Соответственно после выбора электронного бюллетеня избиратель должен указать того гаранта анонимности, которому он доверяет. Выбор гаранта осуществляется избирателем путем касания одной из строчек движущихся на экране титров с именами и иными описаниями потенциальных гарантов анонимности. Избиратель должен быть заранее ознакомлен со списком гарантов его анонимности. Кроме того, при регистрации избирателя должностное лицо должно сформировать файл с персональными данными избирателя и подписать его своей электронной цифровой подписью. Этот файл размещается на индивидуальном носителе информации избирателя в блоке-7.

При реализации второго примера работа устройства начинается с проверки электронной цифровой подписи должностного лица, сформировавшего ранее файл с персональными данными избирателя. В случае верной цифровой подписи, совершения избирателем его волеизъявления, формирования электронной подписи избирателя под заполненным электронным бюллетенем блоком-4 производится шифрование персональных данных избирателя на открытом ключе гаранта анонимности и личном ключе избирателя. Известно, что криптографические операции формирования ЭЦП и проверки ЭЦП могут быть использованы для выработки общего сеансового ключа конфиденциальной связи между избирателем и гарантом анонимности [7]. То есть, блок-4 вырабатывает из открытого ключа гаранта анонимности и личного ключа избирателя общий сеансовый симметричный ключ связи и шифрует на нем персональные данные избирателя.

Далее заполненный электронный бюллетень, шифротекст с персональными данными избирателя, открытый ключ гаранта анонимности и его имя объединяются в один пакет и охватываются ЭЦП анонимного избирателя и ЭЦП автомата заполнения электронного бюллетеня. Этот электронный документ имеет структуру данных, отраженную на фиг.4, он размещается на индивидуальном носителе информации избирателя, а также в блоке-6 с заполненными электронными бюллетенями.

После изъятия из блока-6 дополнительных цифровых документов со структурой данных фигуры 4 они не публикуются и хранятся избирательной комиссией как документы для служебного использования. Преимуществом способа по п.2 по сравнению с п.1 является то, что личный ключ избирателя не размещается на индивидуальном носителе информации избирателя. Личный ключ избирателя уничтожают после формирования его документов со структурой фиг.2 и фиг.4. Также уничтожают открытые персональные данные избирателя, находящиеся на его индивидуальном носителе информации. Преимуществом способа по п.2 формулы изобретения в сравнении со способом по п.1 формулы изобретения является то, что требований к хранению блока-7 вообще не предъявляется. Тем не менее избиратель сохраняет возможность корректировать обнаруженные им ошибки (возможные злоупотребления должностных лиц) избирательной системы электронного голосования.

Рассмотрим третий вариант реализации способа, предложенного в п.3 формулы изобретения. От первого варианта реализации он отличается тем, что автомат заполнения электронных бюллетеней имеет ряд считывателей биометрических образов избирателя. Избиратель после создания пары из своего открытого ключа и личного ключа блоком-3 предъявляет сканерам автомата обучения примеры своих биометрических образов. Затем избиратель осуществляет обучение нейросетевого преобразователя биометрия-код на своих биометрических образах и коде своего личного ключа. После этого автомат заполнения электронного бюллетеня формирует сам электронный бюллетень и объединяет его с данными обученного нейросетевого преобразователя. Далее комбинация этих данных охватывается электронной цифровой подписью автомата заполнения электронного бюллетеня (образуется структура, отображенная на фиг.5). Цифровой документ со структурой фиг.5 размещают на индивидуальный носитель информации избирателя (блок-7). Личный ключ избирателя уничтожают.

Преимуществом способа по п.3 формулы изобретения является то, что он позволяет избирателю исправлять допущенные ошибки или голосовать в следующих выборах без предъявления своего паспорта. Информации на индивидуальном носителе избирателя (блоке-7) оказывается достаточно для высоконадежной биометрической аутентификации пользователя. Эта информация оказывается безопасной, то есть требований к безопасности хранения индивидуального носителя информации избирателя не предъявляется. Компрометация этой информации не приводит к утрате анонимности избирателя, а также к передаче его права электронного голосования другому лицу.

Источники информации

1. Патент РФ № 2153192 «Способ тайного голосования избирательными бюллетенями», приоритет от 12.11.1999.

2. Патент РФ №RU2178586 «Способ тайного голосования», приоритет от 01.12.1999.

3. Патент РФ № 2178203 «Способ тайного голосования избирательными бюллетенями», приоритет от 28.04.2001.

4. Патент РФ № 2212056 «Способ голосования с использованием электронных бюллетеней», приоритет от 27.12.2001.

5. Патент РФ № 2242793 «Способ электронного голосования», приоритет от 06.02.2003.

6. Патент РФ № 2298229 «Способ электронного голосования, обработки результатов», приоритет от 15.12.2004.

7. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 1999 г. (стр.125. параграф 4.1. первый абзац).

8. Первая редакция ГОСТ Р 52633.5 «Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа».

9. ГОСТ Р 52633.0-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации».

1. Способ голосования с высоконадежной биометрической защитой анонимности голосующего, состоящий в изготовлении электронных избирательных бюллетеней с уникальным идентификационным номером, заверенных электронной цифровой подписью, в выдаче по одному избирательному бюллетеню каждому избирателю при его регистрации, предоставлении возможности избирателю лично заполнить свой избирательный бюллетень, пользуясь автоматом заполнения бюллетеней, а также в автоматизированном формировании электронной цифровой подписи под данными при каждом значимом действии избирателя и представителя избирательной комиссии, отличающийся тем, что каждый избиратель на избирательном участке создает для себя пару из открытого и личного ключа, после этого избиратель лично выбирает один из электронных бюллетеней, заполняет свой выбранный бюллетень, вкладывает в свой бюллетень свой открытый ключ, далее подписывает его своей электронной цифровой подписью и публикует свой заполненный бюллетень, например, анонимно разместив его в базе заполненных бюллетеней избирательной комиссии, кроме того, избиратель запоминает свой секретный ключ, а также свой заполненный и всеми подписанный электронный бюллетень на своем носителе информации, при этом в системе голосования информацию о паре ключей избирателя уничтожают, автоматом подсчета голосов контролируют подлинность бюллетеней через проверку всех электронных цифровых подписей, далее по своему номеру бюллетеня избиратель контролирует правильность учета своего волеизъявления, в случае обнаружения избирателем искажения своего волеизъявления избиратель исправляет это искажение через дезавуирование своей анонимности и официальное обращение в избирательную комиссию, подписывая свое обращение своей электронной цифровой подписью.

2. Способ по п.1, отличающийся тем, что при регистрации избирателя на избирательном участке формируют файл с персональными данными избирателя и подписывают этот файл электронной цифровой подписью лица, которое сформировало файл с персональными данными, далее этот файл передают избирателю, кроме того, избирательный участок формирует список лиц, согласных быть гарантами анонимности избирателей и предоставивших для этой цели сертификаты своих открытых ключей, каждый избиратель выбирает для себя гаранта анонимности, далее используя открытый ключ гаранта анонимности и свой личный ключ избиратель шифрует свой файл персональных данных, далее избиратель указывает свой открытый ключ и открытый ключ своего гаранта анонимности, подписывает электронной цифровой подписью свой шифротекст и передает его на хранение избирательной комиссии, после этого избиратель уничтожает свой личный ключ, а на личном носителе информации избиратель получает и хранит только заполненный им бюллетень и шифротекст для гаранта анонимности, в случае обнаружения искажения своего волеизъявления избиратель обращается к гаранту анонимности с просьбой дезавуировать его анонимность, расшифровав его персональную информацию в совокупности с его заполненным бюллетенем, далее гарант анонимности обращается в избирательную комиссию с просьбой исправить обнаруженную ошибку.

3. Способ по п.1, отличающийся тем, что избиратель перед использованием своего личного ключа предъявляет автомату заполнения электронного бюллетеня примеры своего биометрического образа и обучает нейронную сеть преобразовывать эти примеры в личный ключ избирателя, далее избиратель уничтожает свой личный ключ, а также примеры биометрических образов, на которых было осуществлено обучение нейронной сети, автомат заполнения бюллетеня подписывает своей электронной цифровой подписью параметры обученной нейронной сети и сохраняет их на личном носителе информации избирателя, при необходимости получить свой личный ключ повторно избиратель копирует в автомат заполнения электронного бюллетеня параметры своей нейронной сети, автомат проверяет подлинность параметров обученной нейронной сети через проверку своей электронной цифровой подписи под ними, далее избиратель предъявляет автомату заполнения электронного бюллетеня свой биометрический образ и получает на выходах нейронной сети свой личный ключ формирования электронной цифровой подписи.