자유롭고 공정한 선거에는 강력한 개인 정보 보호가 필요하다. SIV는 다자간 암호화 및 강력한 암호화 기능을 제공한다. 누구도 투표 방법을 볼 수 없도록 섞는다. 동시에 완전한 감사 가능성과 검증 가능성을 유지한다.
SIV의 장점
●사용하기 쉬고
유권자는 아무것도 설치할 필요 없이 몇 초 안에 선호하는 장치에서 투표할 수 있다.
●빠른 결과를 얻을 수 있고
투표용지는 즉시 제출, 확인 및 집계될 수 있다.
●증명할 수 있다.
유권자는 자신의 투표가 올바르게 집계되었는지 직접 확인하고 모든 투표를 직접 재검토할 수 있다.
1인 1표 행사
유권자는 이메일, SMS, 우편, 서명, 신분증 사진 또는 선호하는 조합을 통해 인증될 수 있다.
유권자 인증 토큰은 필요에 따라 재발급되거나 취소될 수 있다.
전체 프로세스는 독립적인 검증을 위한 전체 감사 추적을 생성한다.
강력한 선거 검증 가능성
종이 선거와 달리 SIV는 유권자에게 자신의 제출물이 정확하게 집계되었는지 직접 확인하고 모든 결과를 직접 재검토할 수 있는 기능을 제공한다.
추가 투표 옵션
SIV는 종이 방식과 함께 작동하므로 유권자는 자신이 선호하는 방식을 사용할 수 있다.
√직접
√우편으로
√온라인
소개
왜?
선거 시스템은 우리 민주 공화국의 기초이며, 투표 시 우리가 내리는 결정은 우리의 가장 영향력 있는 집단 행동 중 하나이다. 그러므로 우리의 선거 인프라를 최대한 강력하고 신뢰할 수 있게 만드는 것이 중요하다.
현재 자격을 갖춘 많은 유권자들은 긴 줄, 시대착오적인 절차, 접근성 문제로 인해 참여 장벽에 직면해 있다. 동시에 많은 선거로 인해 수백만 명의 유권자가 선거 결과를 불신하게 되었다. 우리는 투표가 개인 관리를 벗어나고, 다른 투표가 서로 다른 위치에서 도착하고, 투표 자체가 비공개로 진행되는 것을 본다. 그리고 그동안 선거를 관리하는 데 드는 현재 비용은 상당하며 연간 지출액은 수십억 달러에 달한다.
우리가 더 잘할 수 있을까?
어떻게?
이제 모든 시민이 개인 장치를 통해 광범위하게 액세스할 수 있는 엔드투엔드 유권자 검증 가능 선거 시스템을 구축하는 것이 가능해졌다.
무엇을?
보안 인터넷 투표(SIV -"문명"으로 발음)는 시민들에게 현재 선거 시스템의 일부 비용으로 거의 즉각적이고 개인적으로 검증 가능한 비공개 투표 기능을 제공한다.
원래 국가 비밀, 핵무기 및 대규모 금융 자산을 보호하기 위해 개발된 강력한 암호화는 심층 방어와 함께 사용되어 안전한 선거 시스템을 만든다. 프로세스의 모든 단계에서는 공격 시도를 탐지하고 해결하기 위한 명시적인 방법을 갖춘 서면 감사 추적이 생성된다.
우리의 선거가 정확하고 발표된 결과가 올바른 지 여부에 대한 구체적인 수학적 증거를 동시에 얻을 수 있으므로 민주적 과정에 참여하는 것이 훨씬 빠르고 쉬워진다.
종이 시스템과 함께 구현
SIV는 모든 관련 기준에서 종이 문서를 능가하도록 설계되었지만 유권자에게 강요할 필요는 없다. 직접투표와 우편투표 중 선택에 대한 추가 옵션으로 제공될 수 있다. 전통적인 종이 방식을 선호하는 유권자라면 누구나 이를 사용할 수 있다.
사용 준비 완료
SIV는 현재 운영 중이며 미국 전역의 선거에서 수천 명의 유권자에 의해 성공적으로 시범 운영되었다. 정부 선거 여부에 관계없이 다가오는 선거가 있는 경우 SIV는 귀하와 유권자의 삶을 더 쉽게 만들기 위해 존재한다. 시작하라(Get Started.)
이 문서 정보
익숙하지 않으면 의심과 불신이 생기기 때문에 이 문서는 보안 인터넷 투표 기술 설계를 설명하고 자세히 설명하는 데 도움이 된다.
아직 명확하지 않은 부분에 대해서는 피드백을 제공해 이 문서가 모두의 이익을 위해 개선될 수 있도록 해준다.
종이의 약점
현재 종이 투표 옵션의 약점
대표 정부는 투표에서 권력을 얻는다. 따라서 우리의 선거 인프라는 최대한 강력하고 신뢰할 수 있어야 한다.
현재 많은 유권자들이 선거 기간 중과 이후에 경험하는 여러 가지 어려움이 있다.
접근성이 좋지 않음
코로나19와 같은 전염병으로 인해 직접 투표가 매우 어려워졌다.
전염병이 없더라도 긴 줄과 기타 개인적인 책임으로 인해 사람들이 투표소에 갈 시간을 찾기가 어렵다.
접근 가능한 투표 장소 및 투표 장비 부족과 같은 장벽에 직면한 다양한 장애가 있는 개인에게는 투표가 특히 어려울 수 있다.
우편 투표는 유망한 대안이 될 수 있지만, 특히 일반 우편을 거의 사용하지 않는 젊은 유권자들에게는 생소하다. 우편 시스템은 지연 가능성, 투표용지 분실 또는 변조 위험 등 자체적인 문제도 안고 있다.
낮은 투표율
때때로 관련성이 없고 접근하기 어려운 종이 투표 시스템은 낮은 유권자 참여 수준을 초래하는 요인 중 하나이다. 일부 지자체에서는 6%에 불과한 참여율을 보이고 있으며 심지어 가장 주목받는 대통령 선거에서도 적격 유권자의 평균 60% 참여율을 보이고 있다.
출처:
https://ballotpedia.org/Election_results,_2022:_Analytic_of_voter_turnout
https://www.electproject.org/national-1789-present
http://whovotesformayor.org/compare
제한된 포렌식 및 교정 옵션
선거의 강력한 개인 정보 보호 요구 사항으로 인해 일단 종이 투표지가 승인되고 다른 투표용지와 혼합되면 개인 또는 특정 투표지에 영향을 미치는 문제를 검토하거나 수정하는 능력이 제한된다. 선거의 정확성에 대한 법적 문제에 직면했을 때 판사의 유일한 선택은 문제를 무시하거나 전체 관할권의 투표 용지를 폐기하고 완전히 새로운 선거를 요구하는 것이다.
엄청난 연간 선거 예산
정부는 개인의 투표 여부에 관계없이 각 선거에 대해 유권자 1인당 평균 25달러를 할당한다.
"향후 10년 동안 주 및 지방 선거를 실시하는 데 드는 비용을 추정하는 것을 목표로 하는 선거 인프라 이니셔티브(EII)의 최근 보고서에 따르면 전국 규모는 533억 달러에 달하며 이는 과거 선거 비용과 대체로 일치한다. 연간 기준으로 환산하면(즉, 53억 달러)." — MIT 선거 데이터 + 과학 연구소: 선거 수행 비용
현 상태에서는 매년 수십억 달러에 달하는 납세자의 세금이 노동 집약적이고 인적 오류가 발생하기 쉬우며 감지할 수 없는 사기에 취약하고 유권자가 접근하기 어려운 프로세스에 투입되고 있다.
검증할 수 없는 결과
선거 결과의 정확성에 대한 의심이 널리 퍼지면 정부에 대한 국민의 신뢰가 훼손되고 자유 사회의 안정이 위협받게 된다.
이러한 신뢰 부족은 투표 집계 및 인증 프로세스의 투명성 부족으로 인해 발생하는 경우가 많으며, 이로 인해 수백만 명의 유권자가 더 나은 검증을 요구하게 된다. 누가 승리하는지에 관계없이 선거 결과의 정확성과 공정성에 대한 이러한 우려를 해결하는 것이 중요하다.
과거 2000년과 2004년에는 민주당이, 2020년에는 공화당이 우려를 표하는 등 양대 양당 모두 자신이 선호하는 후보가 패하자 반칙을 터뜨렸기 때문이다.
현재 선거는 최선을 다하지만 근본적으로 공격과 오류를 완화하려고 시도할 수 있는 불완전한 시스템을 기반으로 하지만 결국에는 적법성에 대한 적극적인 "증거"를 제공할 수 없으며 단지 밝혀진 공격이 없을 뿐이다. 칼 세이건(Carl Sagan)이 말했듯이, “증거의 부재가 부재의 증거를 의미하는 것은 아니다.”
반면, 보안 인터넷 투표는 정확한 선거 결과에 대해 독립적으로 검증 가능한 수학적 증거를 적극적으로 제공하도록 첫날부터 설계되었다.
이러한 근본적인 문제를 해결하지 않으면 선거의 공정성에 대한 회의론이 지속되어 우리 민주주의 체제의 정당성을 침식하게 될 것이다.
보안 요구 사항
선거의 고유한 보안 요구 사항
정부 선거는 강력한 보안 조치에 의존하기 때문에 인터넷 투표의 사용은 많은 논쟁의 주제였다.
미국과 같은 강대국은 의회 투표, 국가 안보에 중요한 개인 간의 의사소통, 국가 비밀 보호, 전쟁 지역에서의 조정, 핵무기와 같은 강력한 무기의 안전한 처리 등이 포함된 다양한 중요 기능에 대해 강력한 보안 조치를 갖춘 디지털 시스템을 오랫동안 사용해 왔다는 점을 인식하는 것이 중요하다.
이제 강력한 암호화를 사용하여 인터넷 투표를 보호할 수도 있다. 안전한 선거를 위해서는 다음 세 가지 핵심 요구 사항이 모두 동시에 충족되어야 한다.
1. 인증된 유권자
합법적으로 등록된 유권자만 투표할 수 있으며, 1인당 1회만 투표할 수 있다.
2. 비공개 투표
공정한 선거를 위해서는 유권자가 자신의 투표 방법을 배우지 않고도 자유롭게 선택할 수 있어야 한다.
3. 검증 가능한 집계
널리 받아들여지는 결과를 얻으려면 총 투표 수의 정확성을 독립적으로 감사할 수 있어야 한다.
이러한 각 속성을 개별적으로 제공하는 디지털 시스템이 이미 널리 사용되고 있다. 그러나 이 세 가지를 동시에 달성하는 것은 유난히 어려운 일이었다. SIV는 세 가지 요구 사항을 모두 동시에 충족하도록 특별히 설계되었다.
30초 개요
SIV 선거의 단순화된 개요
인증
인증된 유권자
"인증"이란 무엇일까?
인증을 통해 합법적으로 등록된 유권자만 투표할 수 있으며 각 유권자는 한 번만 투표할 수 있다. 또한 이 프로세스는 정확성과 무결성을 보장하기 위해 독립적으로 감사 가능해야 한다.
SIV 인증 작동 방식
SIV는 종이 기반 투표 시스템의 표준을 준수하며 이를 능가할 수 있다.
SIV 선거에서 모든 유권자는 선거가 시작되기 전에 고유한 유권자 인증 토큰(Auth Token)을 받는다. 인증 토큰은 짧은 16진수이다.
"인증 토큰 Authentication tokens(opens in a new tab)"은 컴퓨터 보안의 표준이므로 블록체인이나 암호화폐와 혼동해서는 안 된다.
초대 이메일의 유권자 인증 토큰 예
유권자 인증 토큰은 각 유권자가 단 한 표만 제출할 수 있도록 하여 선거 과정의 무결성을 보장하는 역할을 한다. 필요에 따라 토큰을 취소, 재발행 및 감사할 수 있다. 또한 투표자가 두 번 투표하는 것을 방지하기 위해 다른 채널에서 투표가 기록되면 토큰이 무효화될 수 있다.
인증 방법
SIV 시스템은 유권자 인증 방법 측면에서 적응성이 뛰어나도록 설계되었다. 우편을 통한 인증 토큰 배포 또는 직접 제공과 같은 기존 투표 프로토콜을 복제할 수 있는 동시에 추가 인증 수단을 통합할 수도 있다. 이러한 유연성을 통해 SIV는 광범위한 보안 요구 사항과 요구 사항을 수용할 수 있다.
선거 관리자는 필요에 따라 이러한 방법을 서로 겹쳐서 현재 사용하는 종이 방법보다 엄격하게 더 높은 기준을 달성할 수 있다.
지원되는 인증 방법:
1.이메일 주소로 전송된 고유 코드
2.SMS 번호로 전송된 고유 코드
3.Signal Messenger와 같은 보안 디지털 채널을 통해 전송되는 고유 코드
4.실제 메일 주소로 전송되는 고유 코드
5.직접 제공되는 고유 코드
6.추첨 된 서명 확인
7.신분증 + 셀카 사진
8.IP 주소 위치정보
9.시간 기반 일회용 비밀번호
10.사전 분산된 암호화 공개 키 쌍
사용되는 유권자 인증 프로세스의 세부 사항은 각 선거의 관할권 및 요구 사항에 따라 결정된다.
감사
전체 SIV 프로세스가 감사 대상이므로 투명성과 책임성이 보장된다는 점은 주목할 가치가 있다.
1. 적격 유권자 목록 감사: "유권자 명부"
투표에 사용되는 시스템(직접 투표, 우편 투표, 전자 투표)에 관계없이 유권자 명부를 잘 관리하는 것이 필요하다. 유권자 명부는 계속해서 정부와 독립 시민사회단체의 감사를 받아야 한다.
2. 유권자 인증 토큰 사용 감사
선거가 시작되기 전에 자격을 갖춘 각 유권자마다 하나씩 고유한 인증 토큰이 생성된다. SIV는 선거 관리자를 위해 이를 자동으로 처리하여 강력한 암호화 무작위성을 보장한다.
유권자의 장치에서 암호화된 투표가 제출될 때마다 유권자의 인증 토큰이 선거의 유권자 명부와 비교하여 유효한지, 아직 사용되지 않았는지 확인한다. 이러한 방식으로 제출된 모든 투표의 내용은 강력한 암호화로 보호되지만 암호화된 투표의 작성자는 여전히 식별 가능하다. 이는 우편 투표가 봉인된 봉투 안에 제출되지만 유권자의 이름, 주소 및 서명이 외부에 표시되는 방식과 유사하다.
이 감사를 수행하기 위해 사용된 각 인증 토큰에 해당하는 유권자를 게시할 수 있다. SIV는 이 목록을 자동으로 게시하지 않지만, 이 목록을 게시할지, 특정 그룹(예: 후보 및 해당 정당)과 공유할지, 전혀 공유할지 여부는 각 선거 관리자 및 관할권의 요구 사항에 달려 있다.
유권자의 장치가 SIV 선거에 참여할 때 새로운 개인 암호화 키 자료를 생성 및 저장한다. 이 자료는 나중에 투표 개인 정보를 침해하지 않고 독립 감사관에 의해 검증될 수 있다.
"위험 제한 감사"의 일환으로 무작위 통계 샘플링을 사용하여 제출된 소수의 투표만 개별적으로 감사하면 선거 결과에 대해 압도적으로 높은 신뢰도를 얻을 수 있다.
교정 기능
SIV를 사용하면 더욱 강력하고 정확하며 유연한 새로운 수준의 교정이 가능하다.
선거 관리자는 투표 및 집계 이후를 포함하여 선거의 모든 단계에서 유권자 자격 증명을 취소할 수 있다. 이 프로세스는 광범위한 서면 흔적을 남기며 비밀리에 남용될 수 없다.
이는 여전히 유권자의 신원과 연결된 암호화된 투표가 언제든지 수정될 수 있기 때문에 가능하다. 업데이트된 세트는 필요에 따라 계속해서 다시 익명화 되고 다시 집계될 수 있다.
한 가지 비유는 전통적인 타자기로 쓰는 것과 간단한 백스페이스 키를 제공하는 최신 디지털 쓰기 도구 사이의 차이점이다.
장치가 SIV 투표를 했다는 영지식 증명
특정 장치가 SIV 선거에서 투표를 하고 해당 투표가 관리자에 의해 승인된 경우 이제 암호화된 투표 자체가 장치에 대한 공개 키 역할을 할 수 있으며 장치에서 생성된 랜더마이저는 개인 키로 사용할 수 있다.
이를 통해 장치는 특정 선거에서 성공적으로 투표한 핵심 자료(예: 이미 선거 관리자가 심사한 것)를 가지고 있음을 다른 사람에게 증명할 수 있으며 기본 무작위 도구를 공개하지 않고 즉, 영지식에서 증명할 서명을 생성할 수 있다.
예를 들어, 위험 제한 감사에 참여하는 유권자는 자신이 해당 선거에서 투표했다는 명확한 증거를 제공할 수 있으므로 감사자는 감사의 무결성을 입증할 수 있다.
기술 사양
암호화된 투표는 각 투표 항목(예: 주지사, 시장, Prop_12)에 대해 하나씩 일련의 암호 텍스트로, 각각은 두 개의 하위 부분으로 구성된다. 두 하위 부분 중 하나의 이름은 "잠금"이다.
이는 EdDSA 또는 ECDSA 서명에 사용하기에 충분한 공개 키이다.
추가 자료
이 페이지는 SIV 인증의 개요이다. 인증 토큰 및 프로세스에 대한 자세한 내용은 다음을 참조하라.
●15분 개요: 유권자 등록 및 투표 초대Voter Registration(opens in a new tab) & Invitation To Vote
●기술 사양: 선거 전Before Election
프라이버시
비공개 투표
진정한 "자유롭고 공정한 선거"를 위해서는 유권자는 선거 공무원과 기술 제공자를 포함하여 누구도 자신의 투표 방식을 배우지 않고도 자유롭게 선택을 할 수 있어야 한다.
강력한 보안은 확인하지 않고 데이터를 삭제한다는 검증 불가능한 약속이 아니라 독립적으로 검증 가능한 개인 정보 보호 설계에서 비롯된다. 이는 단순히 윤리나 악의의 문제가 아니라 공급업체 시스템이 손상되는 것에 대한 저항의 문제이기도 하다.
SIV의 목표는 유권자의 개인 정보 보호를 보장하고 유권자만이 자신의 투표 방식을 알 수 있도록 하는 동시에 1인 1표 및 검증 가능한 결과를 유지하는 것이다.
개인정보 보호가 달성되는 방법
암호화 개인정보 보호
SIV 시스템은 임계 값 키 암호화를 사용하여 선거 관리자 및 SIV 인프라를 포함한 누구도 다른 사람의 투표 방식을 볼 수 없도록 한다.
유권자가 선택하면 모든 선택 사항은 계산적으로 무차별 대입이 불가능한 타원 곡선 암호화를 사용하여 투표 장치에서 암호화된다. 투표 방법에 대한 일반 텍스트는 장치를 떠나지 않는다.
이 뒤섞인 투표는 추측이 불가능한 단일 개인 키로만 잠금을 해제할 수 있다(10^77개의 가능성 중 하나만 — 태양이 일생 동안 생산하는 것보다 더 많은 에너지를 소비한다). 개인 키 자체는 여러 당사자로 분할되어 각 당사자는 손상에 대비한 추가 개인 정보 보호 계층을 추가한다.
모든 투표가 접수되면 암호화 셔플을 기반으로 철저한 익명화 프로세스를 거친다(자세한 내용은 추가 자료 참조). 마지막으로 모든 익명 투표는 암호화를 통해 안전하게 잠금 해제되므로 해당 내용을 집계할 수 있다.
이 프로세스는 유권자의 신원이 제출된 투표 용지와 분리되는 종이 투표 용지 익명화의 기대치와 일치한다. SIV 시스템은 훨씬 더 엄격한 개인 정보 보호를 제공하므로 투표한 사람에 대한 완전한 감사 가능성과 최종 결과 검증 가능성을 유지하면서 누구도 투표 내용을 유권자의 신원과 연결할 수 없다.
에어갭
또한 SIV 설계를 통해 유권자는 자신의 장치에서도 자신의 선택 사항을 엿볼 수 없다는 극도의 확신을 위해 "공백" 장치에서 암호화된 투표 제출을 준비할 수 있다. 이는 유권자 자신의 장치가 스파이웨어에 의해 손상되는 것뿐만 아니라 SIV 유권자 소프트웨어가 감시를 위해 손상되는 것으로부터 보호한다. 이는 유권자가 반드시 선택적으로 사용해야 하는 고급 기능이다.
추가 자료
이 페이지는 SIV 개인 정보 보호가 달성되는 방법에 대한 높은 수준의 요약이다. 자세한 설명은 다음을 참조하라.
●15분 개요 → 검증 가능한 셔플, 투표 잠금 해제 및 집계Verifiable Shuffle(opens in a new tab), Votes Unlocked and Tallied
●기술사양 → 선거 전: 개인정보 보호책임자 등록, 선거 시작, 투표 기간 종료 Registering Privacy Protectors, Election
●공격 완화 → 개인정보 침해Privacy Violations
●공격 완화 → 투표 매도Vote Selling
개인 정보 보호 장치
SIV 개인 정보 보호 장치는 현재 선거 참관인과 유사하지만 온라인 투표 시스템의 전반적인 보안과 신뢰성을 크게 향상시킬 수 있다.
개인정보 보호책임자의 역할
개인 정보 보호 장치는 SIV 프로토콜의 특정 단계, 특히 익명화 및 이후에 검증 가능한 암호화된 투표 섞기와 관련된 4단계와 5단계에서 중요한 역할을 한다.
요약하자면, 4단계에서는 먼저 암호화된 투표 목록에서 유권자 인증 토큰을 제거하여 유권자의 신원을 암호화된 투표에서 연결 해제한다. 그런 다음 개인 정보 보호 장치#1은 투표를 섞고 순서를 무작위로 지정하여 익명화한다. 그러나 암호화 데이터는 여전히 구별 가능하므로 개인 정보 보호 장치#1은 암호화된 각 필드에 대해 새로운 랜더마이저 정수를 생성하고 섞인 투표를 다시 암호화한다.
비기술적인 설명으로, 이 재암호화 과정은 잠긴 금고의 외부를 알아볼 수 없도록 칠하는 것과 비교할 수 있다. 이렇게 하면 암호화된 투표가 완전히 익명화되어 구별되거나 유권자의 신원과 다시 연결될 수 없다.
개인 정보 보호 장치를 선택하는 방법
가장 안전하고 안전한 접근 방식은 각 참여 정당이 지명하는 등 독립적인 이해관계를 가진 개인정보 보호자를 지정하는 것이다.
투표의 개인정보가 보호된다는 확신을 가지려면 유권자는 단 하나의 개인정보 보호 담당자만 신뢰하면 된다. 개인 정보 보호 담당자는 서로를 신뢰할 필요가 없으며 투표를 변조할 수도 없다.
이익
개인 정보 보호 장치는 온라인 선거에서 추가 보안 계층과 투명성을 제공한다.
SIV 개인 정보 보호 장치는 전통적인 종이 기반 선거의 선거 관찰자와 유사하게 기능하지만 강력한 암호화를 사용하여 몇 가지 중요한 기능이 향상되었다.
이 프로세스의 기술적 특성을 고려할 때 전통적인 종이 선거에 필요한 많은 수의 관찰자와 비교하여 소수의 개인정보 보호 담당자만 필요하며 이는 궁극적으로 제한된 보안만 제공할 수 있다.
검증 가능성
정당한 선거 결과 보장
SIV 투표 확인 가이드
유권자로서 우리 도시나 국가의 선거 결과의 정당성을 검증할 수 있는 것은 부패, 대중의 신뢰 상실 및 시민 불안을 방지하는 데 매우 중요하다.
역사를 통틀어 경쟁이 치열한 선거는 폭력과 시스템 붕괴로 이어졌다. 1,300명 이상이 사망하고 500,000명 이상이 난민이 발생한 2007년 케냐, 2009년 이란, 2010년 코트디부아르, 2019년 볼리비아에서 알 수 있듯이 이는 어느 한 국가나 정치 집단에만 국한된 것이 아니다.
마찬가지로, 미국에서도 경쟁이 치열한 선거가 정치적 스펙트럼의 양쪽에 미치는 영향을 목격했다. 2000년 조지 부시(George Bush)와 앨 고어(Al Gore) 사이의 대통령 선거에서는 논쟁의 여지가 있는 결과로 인해 폭력이 발생했다. 2020년 조 바이든과 도널드 트럼프의 당선 역시 긴장과 시민 불안을 고조시켰고, 이는 2021년 1월 6일 미국 국회의사당 침입 사건으로 정점을 찍었다.
투표는 우리가 취할 수 있는 가장 의미 있는 공동 행동 중 하나가 되어야 한다. 우리는 세상이 어떻게 통치되는지, 누가 우리를 대표할지 결정할 수 있다. 그러나 누군가에게는 두려움의 시간이 되었다. 다른 사람들에게는 자신이 살고 있는 세상이 부패한 수단을 통해 권력의 지위를 획득한 사람들이 주도하고 있다는 사실을 상기하면서 두려움의 시간이다.
긴장감 넘치는 선거를 앞두고 국민들이 겪는 이런 고통은 선거 결과의 정당성을 확인하기 어려울 때 도움이 되지 않는다.
우리의 목소리를 낼 수 있는 기본권을 지키기 위해서는 선거 결과의 정확성을 직접 검증할 수 있는 능력이 필요하다. 이것이 바로 SIV(Secure Internet Voting)가 독립적으로 검증 가능한 디지털 선거 시스템으로 만들어진 이유이다.
이 안내서는 각 유권자가 SIV(Secure Internet Voting) 선거의 적법성을 확인하고 자신의 투표가 최종 선거 집계에 정확하게 기록되고 집계되었는지 확인하는 방법을 설명한다.
귀하의 투표가 정확하게 제출되었으며 최종 집계에 반영되었는지 직접 확인한다.
확인 번호
투표를 제출하면 장치에서 무작위로 생성된 고유한 비밀 확인 번호가 생성된다. 이 번호는 귀하의 투표가 제대로 기록되고 집계되었는지 완전히 확실하게 확인할 수 있는 개인 도구 역할을 한다.
이 방법은 투표 후 직접 검증할 수 있는 기회가 제한된 종이 선거보다 더 높은 수준의 보증을 제공한다. 이는 때때로 "종단간 유권자 검증 가능성"이라고도 한다.
투표를 한 후에도 귀하의 기기는 귀하의 개인 확인 번호를 브라우저 메모리에 계속해서 저장한다.
선거가 끝난 후 투표 목록이 게시되면 확인 번호를 사용하여 귀하의 투표가 목록에 있는지, 그리고 해당 투표가 귀하의 선택을 정확하게 반영하는지 확인할 수 있다.
투표를 확인할 수 없는 경우 손상된 투표 수정을 위한 표준 SIV 프로토콜을 사용하여 유권자가 대체 선택 사항을 제출할 수 있다.
수동 확인
이는 본인의 기기에서 정확한 계산을 요구하지 않고 선거 결과를 확인하는 방법이다.
"올바른 계산"은 장치가 데이터를 정확하게 처리하는 것을 의미한다. 선거 결과의 맥락에서 이는 귀하의 장치가 귀하의 투표를 정확하게 기록하고 올바르게 처리한다는 것을 의미한다. 그러나 선거 결과를 확인하기 위해 자신의 장치를 사용하는 것은 맬웨어나 기타 보안 위협에 취약할 수 있으며, 이로 인해 계산의 정확성이 손상될 수 있다.
대신, 다른 사람의 장치나 종이 인쇄물을 다시 확인하는 방식으로 수동 확인이 이루어진다. 다른 사람의 장치에서 투표 선택의 정확성을 확인하면 두 장치 모두 악성 코드를 조정하여 손상되어야 하기 때문에 추가적인 저항이 제공된다. 또한 두 번째 장치는 어떤 투표가 귀하의 것인지 구체적으로 알아야 하며 이는 추가적인 과제이다.
선거 투표에 대한 종이 인쇄물은 선거관리부, 지역 도서관과 같은 공공 장소에서 접근할 수 있거나 위험 제한 감사를 수행하는 사람들이 유권자에게 가져올 수 있다. 이렇게 하면 유권자는 자신의 투표 선택이 정확하게 반영되었는지 확인 번호를 통해 직접 확인할 수 있다.
다른 사람의 장치를 사용하거나 종이 인쇄물을 사용하는 것이 시간이 더 많이 걸리는 것처럼 보일 수 있지만 이러한 아날로그 방식으로 확인하는 소수의 사람만이 보다 접근하기 쉬운 디지털 확인 방법을 보정하는 데 사용될 수 있다.
보다 빠른 다중 장치 악성 코드 검사
맬웨어 위협에 대한 또 다른 보안 계층을 제공하기 위해 SIV는 두 번째 장치에서 신속하게 선택 사항을 확인하는 데 사용할 수 있는 프로세스를 제공한다. 이 프로세스는 선거 결과가 잠금 해제될 때까지 기다리지 않고 투표 시 바로 시작할 수 있다. 참조: 여러 장치를 사용하여 맬웨어 탐지. Using Multiple Devices to Detect Malware.
관련 읽기
총 투표수 확인
계산 과정의 새로운 차원의 투명성
SIV 선거에서, 익명화 된 투표의 전체 목록은 선거 말에 발표되며, 전통적인 종이 선거에서는 발견되지 않은 수준의 투명성을 제공하며, 이는 투표 총액만 제공한다.
이 정보에 쉽게 액세스 할 수 있고 자유롭게 사용할 수 있는 스프레드 시트 도구를 사용하면 독립적 인 다시 세기가 빠르고 간단하다.
자동 리카운트
또한 공공 선거 상태 페이지에 액세스하는 모든 장치는 자동으로 자체 리카운트를 자동으로 수행하여 추가 비용 없이 수천 개의 독립적인 검증을 만든다. 조사를 위해 모든 불일치를 신속하게 발견할 수 있다.
여러 장치를 사용하여 맬웨어를 감지한다.
추가 보안 계층 인 SIV를 통해 유권자는 여러 장치를 쉽게 사용하여 투표가 의도한대로 제출되었는지 확인할 수 있다. 다른 운영 체제와 같은 독립적 인 맬웨어 프로파일이있는 별도의 장치는 추가 방어 계층을 제공한다.
이 점검은 QR 코드를 스캔하는 것만 큼 빨리 그리고 원하는만큼 추가 장치로 몇 초 안에 수행할 수 있다. 특별한 지식이 필요하지 않다.
현저하게, 이 점검은 투표 당시에 선거가 끝날 때까지 기다리는 대신 투표 당시에 시작될 수 있다. 이상적으로, 이 과정은 유권자가 암호화된 투표 용지를 제출한 직후에 발생해야 한다. 제출 직전에 확인하는 것도 작동할 수 있지만 정교한 맬웨어는 두 번째 장치 검사가 시작되고 결과적으로 속임수가 아닌지 감지할 수 있다. 이것은 악의적 인 활동을 빨간 손으로 잡기가 더 어려워진다.
기술 구현 세부 사항
유권자가 선택을 제출한 후 QR 코드를 스캔 할 수 있다.
이것은 Uri Hash에서만 개인 데이터를 전달하며 외부 서버로is not sent to any external servers(opens in a new tab). 전송되지 않는다.
해당 페이지가 새 장치에 로드되면 다음과 같다:
●개인 투표 데이터를 문서 메모리로 이동하고 Window.history.replace ()를 사용하여 나중에 브라우저 사용자가 실수로 볼 수 없도록 덮어쓴다.
●URL_ENCODED_VOTE_DATA에서 일반 텍스트, 무작위 제작자 및 확인 번호가 주어지면 암호화된 투표를 다시 계산한다.
●재 계산된 암호화 투표를 ELECTION_ID 및 AUTH_TOKE와 함께 서버로 보낸다.
●서버는 타임 스탬프 및 사용자 에이전트와 함께이 두 번째 장치의 제출 레코드를 저장한다.
●서버는 재 계산된 암호화 투표 일치 여부에 대한 정보를 다시 보낸다. 일치하지 않으면 사용자는 사용자 인터페이스를 통해 경고를 받고, 선거 관리자에게 연락하는 것이고, SIV 관리자에게 알림을 전송한다.
●서버가 일치를 보고하면 고객에게 투표 선택이 다시 표시되고 정확성을 확인하도록 요청한다. 예:
선택을 확정:
|
|
대통령
|
아브라함 링컨
|
도지사
|
그로버 클리블랜드
|
주 대표
|
제인 삼손
|
지역 대표
|
알렉스 스미스
|
제안 A
|
반대
|
제안 B
|
반대
|
제안 c
|
찬성
|
유권자가 "예"를 확정한 경우:
●타임 스탬프와 함께 데이터베이스에 정보를 저장한다.
●원래 투표 확인 페이지를 업데이트하여 "1 개의 별도 장치로 확인됨 -Phen -iOS 15.3, Safari 11.3으로"표시된다.
●유권자가 SMS를 통해 확인하여 살아있는 사람이 원래 장치의 맬웨어 대신 두 번째 장치 점검을 수행할 수 있도록 권장한다. 유권자들에게 말장 안티 코드가 제공되면 유권자를 촉발한다.
●유권자에게 이제 제 2 장치의 창을 닫을 수 있다고 알려준다.
"아니오"를 선택한 경우:
●유권자는 이 문제에 대한 자세한 설명을 제공해야 하며, 이 문제는 선거 관리자에게 저장되어 보내진다.
●타협 된 투표를 수정하기위한 표준 SIV 프로토콜을 사용하여 유권자가 대체 선택을 제출할 수 있다.
선거 전체의 추세 감지
두 번째 장치 점검을 성공적으로 통과하는 장치 유형의 기록을 유지함으로써 선거 전체의 추세를 식별할 수 있다. 예를 들어, 특정 운영 체제 및 버전을 실행하는 장치는 비정상적으로 높은 실패율을 나타낸다.
이 정보는 선거 안보에 대한보다 포괄적 인 이해에 기여하고 네트워크 전체의 반응 형 반 바이러스 시스템으로 기능하는 활발한 공격에 대한 신속한 차단을 가능하게 할 수 있다.
영지식 증명
영지식 증명이란 무엇인가?
영지식 증명은 수학 연산과 관련된 개인 정보를 공개하지 않고 수학적 작업이 올바르게 수행되었음을 증명할 수 있는 암호화 도구 유형이다.
이 속성은 전기가 공유하고 싶지 않은 민감한 정보를 가지고 있지만 여전히 검증 업체에 대한 정보의 유효성을 입증하려는 상황에서 특히 유용하다.
SIV의 제로 지식 증거
SIV는 여러 개의 제로 지식 증거 (ZKP)를 사용하여 선거가 올바르게 수행되고 모든 투표가 계산되었음을 증명하며, 모든 사람이 특정 총계로 승리하는 한 사람에 추가되었다.
SIV의 두 가지 주요 제로 지식 증거는 다음과 같다.
1. 4단계: 유효한 셔플의 지식 증거가 없다.
2. 5단계: 유효한 부분 해독에 대한 지식 증거가 없다.
이 영지식 증명, 특히 셔플 증거는 앤드류 네프(Andrew Neff )박사의 2001 년 논문 "검증 가능한 비밀 셔플과 전자 투표 적용"에서 나온 것이다. 이들은 암호화 믹스 넷을 안전하게 구현하는 데 사용되므로, 여러 파기 당사자가 투표를 익명화 할 수 있으며, 당사자가 기본 투표 콘텐츠를 전환하거나 수정할 수 있을 위험없이 투표가 익명화 될 수 있다.
4 단계와 5 단계에서 암호화 셔플에 참여하는 모든 선거 개인 정보 보호자는 자체 영지식 증명을 생성한다. 이러한 모든 증거는 SIV 자체와 다른 모든 개인 정보 보호자에 의해 자동으로 확인된다.
SIV는 또한 기본 투표를 밝히지 않고 SIV 선거에서 투표 증명서 세 번째 영지식 증명을 가능하게 한다. 이 증거는 SIV 선거를 수행할 필요는 없지만, 선거 후 감사를 강화하는 데 사용될 수 있으며 강력한 인증에 대한 추가 시민 참여를 가능하게 할 수 있다.
깊이 있는 방어
이러한 영지식 증명은 엄청나게 강력하고 독립적인 검증자가 한 번에 모든 투표의 전체 세트를 확인할 수 있게 하지만, 우리는 그것들이 매우 기술적이라는 것을 인정하고 이해를 위한 높은 장벽을 필요로 한다는 것을 인정해야 한다. 이러한 이유로, 이들은 의도적으로 SIV 결과가 정확하다는 것을 확인하는 유일한 방법은 아니다. SIV는 또한 검증 #을 기반으로 훨씬 간단한 개인 유권자 검증 방법을 제공하여 빠르게 확인하고 이해하기 쉬우며 모든 유권자가 자신감을 얻을 수 있도록 널리 접근할 수 있다.
추가 읽기
SIV 선거 4 및 5 단계에 대한 추가 연구를 위해 :
15 분 개요 → 검증 가능한 셔플 및 투표 잠금 해제 Verifiable Shuffle(opens in a new tab) & Votes Unlocked
기술 사양 → 투표 기간 종료 Voting Period Ends
위험 제한 감사
왜 RLAS인가?
RLAS (위험 제한 감사 Risk Limiting Audits)는 선거 결과에 대한 추가 보호를 제공하여 선거 결과가 정확하다는 확신을 제공할 수 있다.
RLA가 없어도 유권자들이 다른 유권자들이 검증 #을 사용하여 투표를 확인할 것이라고 믿을 수 있는 강력한 근거가 이미 있다는 점은 주목할 가치가 있다. 선거 결과가 선호하는 길로 진행되지 않으면, 잃는 후보자의 지지자들은 그들의 투표가 그들의 검증 #을 사용하여 올바르게 계산되었는지 확인하기위한 강력한 인센티브를 가지고 있다. SIV는 필요한 모든 검증 자료를 유권자의 장치에 자동으로 저장하여 사전 준비없이 언제든지 투표를 쉽게 확인할 수 있다. 어떤 일이 잘못되었다면, 그들은 그들의 투표가 올바르게 캐스팅되지 않았다는 것을 완전히 증명하는 데 필요한 모든 증거를 가지고 있다.
그러나 위험 제한 감사를 사용하여 올바른 결과에 대한 더 높은 수준의 보증을 얻을 수 있다.
SIV RLA 수행
SIV 위험 제한 감사를 수행하려면 무작위 투표 샘플을 선택하고 정확도를 확인하는 것이 포함된다.
선거 관리 및/또는 민사 조직은 전화 통화 및/또는 이메일과 같은 적절한 채널을 통해 선정된 유권자에게 연락해야 한다. 유권자는 검증 번호 및 원하는 경우 두 번째 장치 점검과 같은 필요한 도구를 사용하여 투표의 정확성을 스스로 검토하도록 요청받는다. 유권자는 프로세스를 통해 안내되고 완료되면 특정 투표를 공개하지 않고 결과를 공무원에게 알리야 한다. 불일치가 충분하거나 없음을 확인하는 진술로는 충분할 것이다.
SIV RLA에 채택된 프로토콜이 개별 유권자 선택의 프라이버시를 손상시키지 않도록 하는 것이 중요하다. 따라서 선거 관리는 유권자의 선택의 세부 사항에 대해 묻지 말아야하며 유권자는 증거를 보여 주거나 투표 한 사람을 공개하도록 요청해서는 안된다.
맬웨어 방지 코드와 결합하면 위험 제한 감사를 수행하는 것이 훨씬 더 효율적일 수 있다. 이는 맬웨어 방지 코드를 사용하는 것이 비동기식 과정이기 때문이다. 무작위로 샘플링 된 모든 유권자들은 각 유권자가 한 번에 하나씩 확인을 통해 각 유권자를 걸어야 하는 감사인보다는 병렬로 수행할 수 있다.
RLA를 수행하는 사람들은 또한 RLA 자체가 사기에 취약하지 않도록 자신의 장치가 선거에 참여했음을 증명하는 유권자들로부터 암호화 서명을 수집하기를 원할 수도 있다.
RLA 계산기
이 숫자를 조정하여 승리의 다른 마진, 샘플 크기 및 손상된 투표가 어떻게 묵시적 통계적 신뢰에 영향을 미치는지 확인할 수 있다.
기본 수학은 아래에 설명되어 있다.
RLA 뒤에 있는 수학
구체적인 예를 살펴보겠다. 조지 워싱턴 또는 아브라함 링컨의 두 후보 중 하나에 투표할 기회가 있는 선거에 참여한다고 상상해보라. 당신은 아브라함 링컨에 투표한다. 그러나 최종 결과는 조지 워싱턴이 10 표를 받았으며 아브라함 링컨 만 5 표를 받았다.
당신이 선호하는 후보자를 잃어버리기 때문에, 당신은 선거 결과가 정확하다는 것을 확인하기 위해 강력하게 동기를 부여한다. 강한 자신감을 얻기 위해 무엇을 해야 할까?
익명화 된 투표 목록이 실제로 워싱턴의 경우 최대 10 명, 링컨의 경우 5 명을 추가하는지 확인하여 시작한다. 그런 다음 자신의 검증 #이 익명화 된 투표 목록에 있는지 확인하고 올바른 선택과 함께 자신의 장치가 맬웨어로 조작되지 않았음을 확인한다. 이것은 15 개의 총 15 표 중 1 개 이상이 정확하지만 다른 14는 어떨까?
최적화되지 않은 프로세스
그들 모두를 점검해야 할까? 아니면 결과에 대한 완전한 신뢰를 얻기 위해 얼마나 많은 확인이 필요한가?
1.결과가 10 대 5인 경우, "승리 마진"은 5 표 (10 마이너스 5)임을 의미한다.
2.따라서 10 개의 워싱턴 투표 중 3 개가 원래 링컨에서 뒤집어 졌다면, "진정한 수"는 8명의 워싱턴에서 8 링컨이었을 것이다.
3.따라서 오류의 마진은 최종 승자를 변경하지 않고 2 표가 뒤집혔을 수 있다는 것이다.
4. 따라서 최소 13명의 유권자 (15 마이너스 2)의 확인 후 "진정한 승자"가 승리했다고 확신할 수 있다. 누가 투표를 확인했는지 확인하는 사람은 자신의 투표가 어떻게 투표했는지 알기 위해 프라이버시를 타협할 필요없이 올바르게 계산되었음을 확인했다.
이것은 일종의 "순진한", 최적화되지 않은 솔루션이다.
통계 샘플링 수학 최적화
15 표 중 13개를 확인할 필요가 있는 대신 무작위 통계 샘플링을 사용한다면 훨씬 더 효율적으로 결과에 대한 신뢰도를 높일 수 있다.
10 명의 워싱턴과 5개의 링컨 사례로 계속 ...
1.우리의 오류 마진은 2로 남아 있으므로 최종 승자를 변경하기 위해 최소 3 표가 뒤집어 졌을 것이다. (Winners_votes -Runner_ups_votes) / 2
2. 15명의 유권자 중 1명만 무작위로 샘플링하고 유권자와 투표 방식을 배우지 않고 최종 탈리에 투표가 올바르게 포함되었음을 확인한다.
3.선거가 사기라면, 최소 3 표가 뒤집어졌으며 12명은 원래 캐스팅대로 남아있을 수 있다. 따라서 선거가 15명 중 3개 또는 20%의 확률로 사기가 발생한 경우 선거가 "감지"해야 하는 이 첫 번째 유권자를 테스트하는 것이 "감지"해야 한다. 다시 말해, 이 단일 테스트만으로도 "올바른"우승자에 대한 자신감을 0%에서 20%로 끌어 올릴 수 있다.
4. 그런 다음 다른 유권자를 무작위로 샘플링하고 투표가 올바르게 계산되었음을 확인하면 14개 중 3 개 중 3개로 부정 행위 선거가 감지되었을 수 있다. 각 시험은 분모를 하나씩 감소시킨다.
5.우리의 첫 번째 샘플이 현재의 부정 행위를 잡지 못할 가능성이 가장 높은 것은 80%였으며, 두 번째 샘플만으로는 11/14 또는 ~ 78.6%일 가능성이 높다. 그러나 그들 중 어느 것도 함께하지 않았을 가능성은 (12/15) * (11/14) 또는 ~ 62.9%이다. 따라서 올바른 결과에 대한 우리의 전반적인 신뢰는 샘플 전 0%에서 단 1 샘플 후 20%, 2 개의 샘플 후 37.1%로 이동한다.
6.세 번째 샘플은 남은 13개의 투표 중 3 개를 감지할 수 있으며 10/13 배를 잡지 못할 수 있다. 따라서 3개의 샘플 후, 총 "거짓 양성"속도는 (12/15) * (11/14) * (10/13) 또는 ~ 48.4%가 된다. 따라서 3 개의 샘플만으로도 이미 "올바른"우승자가 이겼다는 51% 이상의 신뢰를 얻었다.
다음은 15 표 모두에 대한 기본 공식이다.
|
|
이번 라운드
|
|
총합
|
|
확인된
투표
|
가능한 사기
|
# 투표
|
사기를 잡을 가능성
|
이 검사에서 촉발되지 않음
|
총 촉발도지 않은 기회
|
총 신뢰
|
1
|
3
|
15
|
20%
|
80%
|
80%
|
20.0%
|
2
|
3
|
14
|
21.4%
|
78.6%
|
62.9%
|
37.1%
|
3
|
3
|
13
|
23%
|
76.9%
|
48.4%
|
51.6%
|
4
|
3
|
12
|
25%
|
75.0%
|
36.3%
|
63.7%
|
5
|
3
|
11
|
27%
|
72.7%
|
26.4%
|
73.6%
|
6
|
3
|
10
|
30%
|
70.0%
|
18.5%
|
81.5%
|
7
|
3
|
9
|
33%
|
66.7%
|
12.3%
|
87.7%
|
8
|
3
|
8
|
38%
|
62.5%
|
7.7%
|
92.3%
|
9
|
3
|
7
|
43%
|
57.1%
|
4.4%
|
95.6%
|
10
|
3
|
6
|
50%
|
50%
|
2.2%
|
97.8%
|
11
|
3
|
5
|
60%
|
40%
|
0.9%
|
99.1%
|
12
|
3
|
4
|
75%
|
25%
|
0.2%
|
99.8%
|
13
|
3
|
3
|
100%
|
0%
|
0.0%
|
100.0%
|
14
|
3
|
2
|
100%
|
0%
|
0.0%
|
100.0%
|
15
|
3
|
1
|
100%
|
0%
|
0.0%
|
100.0%
|
RLA (Risk Limiting Audit)의 힘은 15 표를 모두 확인할 필요가 없다는 것이다. 이 RLA 수학은이 샘플에서 15 표의 선거에서 3개의 무작위 수표 만 51% 이상의 신뢰를 제공하고 6 개의 수표는 81% 이상의 신뢰를 제공하며 8 개의 수표는 91% 이상의 신뢰를 제공한다는 것을 보여준다.
"신뢰"는 "선거의 승자를 뒤집기 위해 충분히 타협 된 투표가 있었다면, 우리는 이제이 시간의 이 %를 감지할 수 있는 충분한 투표를 수동으로 재구성했다".
일반적인 공식을 도출한다.
먼저, 계산을 훨씬 쉽게 할 수 있도록 특정 폐쇄형 양식 방정식에 유의한다. 선거의 Total_votes_cast & margin_of_error (우승자의 투표 및 러너 투표의 차이, 2로 나뉘어짐)를 감안할 때, x 무작위로 샘플링 된 투표를 확인함으로써 어떤 비율이 얻어 지는가?
오류 마진이 3 인 15 표 선거에서 2개의 투표를 확인한 경우 "거짓 긍정적"공식은
(12/15) * (11/14)
. This can be rewritten as (12*11) / (15*14)
, or using nCr format(opens in a new tab) as (122)(152)(215)(212).
이것은 모든 선거에 대해 다음과 같이 일반화될 수 있다:
false_positive_rate = nChooseR(total_votes - margin_of_error, num_checked) / nChooseR(total_votes, num_checked)
신뢰 %는 1 - false_positive
rate.이다.
더 큰 예: 조지아에서 2020 년 미국 대통령 선거
이제 우리는 이 소규모 15 표 선거에서 수학이 어떻게 작동할 수 있는지 살펴보았으므로 훨씬 더 큰 선거에서 어떻게 확장될까?
조지아에서 2020년 미국 대통령 선거는 면도기 얇은 마진으로 놀랍다. 인증된 최종 카운트는 다음과 같다:
#
|
%
|
|
총 투표 수
|
4,999,958
|
100%
|
조 바이든에 대한 투표
|
2,473,633
|
49.47%
|
도널드 트럼프에 대한 투표
|
2,461,854
|
49.24%
|
|
|
|
차이
|
11,779
|
|
오류의 여백
|
5,889
|
0.12%
|
오류의 마진은 0.12%에 불과했으며, 이는 다른 승자에게는 1000 표 중 약 1 개만 타협해야 한다는 것을 의미한다.
전통적인 서류 선거는 유권자들에게 개인 투표가 정확하게 계산되었음을 확인하는 방법을 제공하지 않는다. "배치 비교"RLA로 알려진 다른 유형의 위험 제한 감사가 권장되고 자주 사용되지만, 처음에는 올바른 투표가 계산되었는지 확인하지 못한다 ("투표 수준 비교"). 대신, 물리적 투표권 장비가 제대로 작동했음을 확인한다. 그러나 2020년 조지아 선거에서 마진이 너무 좁아서 이러한 유형의 RLA를 효과적으로 사용하기에는 마진이 너무 좁았다. 그 결과, 5백만 투표 용지는 모두 10일 동안 159개 카운티에서 수동으로 기록되었다. 이것은 미국 역사상 가장 큰 투표 용지를 구성했다.
SIV가 허용하는 것처럼 개별 투표 용지가 검증 가능한 경우 위의 폐쇄 형 양식 위험 제한 감사 수학을 적용하여 다음과 같은 신뢰를 계산할 수 있다.
# 점검 된
|
% of 총 점검 된
|
신뢰 % 증가
|
1
|
0.00%
|
0.12%
|
10
|
0.00%
|
1.17%
|
100
|
0.00%
|
11.12%
|
1000
|
0.02%
|
69.23%
|
5000
|
0.10%
|
99.72%
|
7500
|
0.15%
|
99.986%
|
10000
|
0.20%
|
99.9992%
|
Code to re-calculate this table yourself
위에서 볼 수 있듯이, 면도기 얇은 마진에도 불구하고, 4,999,958 개의 총 캐스트 (1000 명 중 약 1) 중 5,000 개의 무작위 표본 표를 확인하면 최종 우승자가 정확하다는 99.72%의 신뢰를 제공할 수 있다. 약 5,000,000 개의 총 투표 중 10,000 명으로 점검된 금액을 올바른 결과에 대한 99.9992%의 신뢰도로 두 배로 늘린다.
이는 면도기 얇은 마진에도 불구하고 이러한 형태의 개별 투표 샘플링은 높은 효율에 대해 매우 높은 신뢰를 얻을 수 있음을 의미한다.
비 확인 사례 처리
지금까지, 우리는 감사가 100% 확인되면 묵시적 통계적 확률만 조사했다. 그러나 개별 투표를 확인할 때 세 가지 가능한 시나리오가 있다.
1. 투표자는 투표가 올바르게 차단되었음을 성공적으로 확인한다.
2. 확인은 결정적이지 않다 (예: 유권자에게 도달할 수 없거나 협력을 거부하거나 필요한 주요 자료가 손실되었다)
3. 투표자는 투표가 잘못 구성되어 있음을 발견했다 (예: 맬웨어, 손상된 선거 서버, 유권자 자격 증명은 집 동료 등과 같은 유권자 자격 증명 등).
우리는 위의 확인 사례 (#1)를 다루었다.
결정적인 확인 (#2)은 전반적인 신뢰에 대해 긍정적이거나 부정적인 정보를 알려주지 않는다. 통계적 의미는 마치 투표가 점검되지 않은 것처럼 보인다.
잘못된 계산된 투표 (#3)의 발견은 전반적인 신뢰에 부정적인 영향을 미친다.
투표가 손상된 것으로 밝혀지면 타협 된 투표를 수정하기위한 표준 SIV 프로토콜은 항상 사용될 수 있으므로 유권자는 올바른 교체 선택을 제출할 수 있다.
그러나 이러한 발견은 선거의 전반적인 정확도에 대한 묵시적 신뢰에 어떤 영향을 미칠까?
이항 분포 사용
이항 분포는 고정된 수의 독립적인 시험에서 성공의 수를 모델링하는 표준 통계 도구이며, 각 시험에는 두 가지 가능한 결과 (성공 또는 실패)가 있으며 성공 가능성은 시험 간에 독립적이다. 예를 들어, 공정한 동전을 10 번 뒤집으면, 얻는 헤드 수는 n = 10 및 p = 0.5 인 이항 분포로 모델링 될 수 있다.
이항 분포 공식
1. 이항 분포의 확률 질량 기능 (PMF)은 N 독립적인 시험에서 정확히 K 성공을 얻을 확률을 부여하며, 각 시험은 성공 확률 P를 갖는다.
이것은 다음과 같이 계산할 수 있다.
여기서 n은 시행 횟수, k는 성공 횟수, p는 각 시행의 성공 확률, (k) 은 이항 계수로, k!(n−k)!n! 와 같다.
이 공식은 다음과 같이 말할 수 있다. "동전을 20번 던졌을 때 앞면이 10번 나왔다면, 다시 20번 던졌을 때 앞면이 정확히 k번 나올 확률은 %이다."
2. 이항 분포의 누적 분포 함수(CDF)는 n개의 독립적인 시행에서 k개 이하의 성공을 얻을 확률을 제공한다. 즉, 연속된 각각의 PMF를 모두 더한 합계이다.
이는 다음과 같이 계산할 수 있다:
여기서 PMF는 위에 주어진 확률 질량 함수이다.
RLA에 이항 분포 사용
선거 후 위험 제한 감사에서는 다음을 수행한다.
●승리의 여유= winners_votes−runner_up_votes
●및 오차 한계=margin_of_victory/2, rounded up
이 오차 한계는 승자를 변경하기 위한 최소 투표 수이다.
선거 결과가 정확하려면 위태로운 표의 전체 %가 다음보다 높아서는 안 된다.
무작위 투표 샘플을 검사하고 성공적인 확인 비율과 발견된 손상 비율을 기록함으로써, 올바른 승자에 대해 최소한 C%의 통계적 신뢰도를 얻을 때까지 전체 세트에 대한 통계적 추세를 설정한다.
누적 분포 함수를 사용하여 올바른 결과에 대한 묵시적 신뢰도를 계산할 수 있다. 사용 사례에서는 다음을 사용한다. k 및 p는 성공(즉, 보완적인 확률)이 아닌 실패를 추적한다. 이는 다음을 연결하여 수행할 수 있다.
●k = 표본 크기당 오류율의 한계
●n = 채취된 샘플
●p = 채취된 샘플에서 발견된 침해 비율
이항 분포의 예
1000개의 투표를 샘플링하여 2개의 손상된 투표와 998개의 확인된 투표를 발견하면 묵시적인 PMF는 다음과 같다:
4로 표시된 파란색 누적 막대(각 연속 1000개 샘플 세트에 4개 이하의 손상된 표가 존재할 확률을 나타냄)는 90% 임계 값을 넘었다.
즉, 이 가상 선거의 오차 한계가 1000표당 최소 4표(0.4%)이고 승리 한계가 0.8%에 불과한 경우 샘플링된 초기 1000표 중 2표만 손상된 표를 발견하면 90%가 넘음을 의미한다. 전체 선거에서 0.4% 미만의 타협이 이루어졌기 때문에 "올바른 승자가 승리했다"는 확신이다.
구체적으로 이 CDF(4,1000,2/1000)는 ~94.8%를 의미한다.
우리는 이 접근 방식을 한 단계 더 확장하여 발견된 다양한 타협 투표 수를 고려하여 특정 C% 신뢰 수준을 달성하는 데 필요한 다양한 최소 샘플 크기를 계산할 수 있다.
설명을 위해 우리는 이 접근 방식을 2020년 조지아주 미국 대통령 선거에 적용할 것이다. 오차 한계는 0.12%에 불과하다.
위의 초기 접근 방식을 사용하여 계산한 것과 유사한 결과를 볼 수 있다. 여기서는 5,000번의 확인으로 ~99.7%의 신뢰도가 나온 것으로 나타났다. 이는 99.9% 임계 값을 초과하는 데 필요한 5,862번에 약간 못 미치는 수치이다. 그러나 이제 이항 분포를 사용하면 손상된 표를 발견하는 것도 고려할 수 있다.
이러한 방식으로 우리는 매우 얇은 마진(0.2%)에도 불구하고 선거 정확도(> 99.9%)에 대한 매우 높은 통계적 신뢰도를 달성할 수 있으며, 아주 작은 투표율만 샘플링하면 된다.
이 모든 통계 도구는 이 페이지 상단에 있는 대화형 RLA 계산기를 사용하여 모든 선거에 쉽게 적용할 수 있다.
맬웨어 방지 코드: 유권자가 투표를 확인했음을 증명할 수 있는 방법
최고 수준의 보안이 필요한 정부 선거의 경우 SIV는 우편을 통한 맞춤형 초대장 전송을 기반으로 하는 유권자 인증 및 초대 시스템을 사용할 것을 권장한다.
유권자에게 발송되는 초대장에는 "맬웨어 방지 확인 코드"라는 라벨이 붙은 임의의 숫자 몇 개가 포함될 수 있다. 이 코드는 투표 후 제출 QR 또는 확인 # 확인 방법에 사용되는 두 번째(또는 세 번째 또는 네 번째) 장치에만 사용된다. 이러한 코드를 사용함으로써 유권자는 첫 번째 장치의 악성 코드에 의해 검사가 허위로 청구되지 않고 두 번째 장치 검사를 수행했음을 효과적으로 증명할 수 있다.
이 번호는 첫 번째 장치에 입력되지 않으므로 첫 번째 장치가 감염되더라도 강력한 보호가 가능하다.
이를 통해 유권자는 첫 번째 장치의 맬웨어에 의해 검사가 허위로 청구되지 않고 두 번째 장치 검사를 수행했음을 효과적으로 증명할 수 있다.
코드는 두 번째 장치 확인 중에만 사용되므로 이 숫자에 높은 수준의 엔트로피가 필요하지 않다. "83" 또는 "15"와 같은 간단한 두 자리 숫자이면 충분하다. 이를 통해 유권자는 두 번째 장치에 코드를 빠르고 쉽게 입력할 수 있다. 또한 세 번째 및 네 번째 장치에 대해 몇 가지 추가 코드를 제공하는 것이 좋다.
각 번호는 모든 유권자에 대해 독립적으로 무작위이고 고유해야 하며 장치 간에 중복되지 않아야 한다. 서기나 선거 책임자와 같은 선거 공무원은 사실상 추가 장치 인증 토큰과 유사한 이러한 코드에 액세스할 수 있다.
유권자가 이를 입력하면 선거 관리 서버는 해당 유권자에 대해 올바른지 여부를 쿼리할 수 있다. 코드가 올바르지 않으면 시스템은 오류를 기록하고 경고를 표시하며 유권자가 다시 시도할 수 있도록 한다.
'맬웨어 방지 확인 코드' 시스템을 구현하면 2차 기기 점검을 수행하는 유권자 수를 정확하게 추적할 수 있게 된다. 원하는 경우 이러한 검사를 의무화하는 것이 기술적으로 가능할 수도 있다. 그러나 시크릿 창, 두 번째 브라우저를 사용하거나 사용자 에이전트를 스푸핑하는 등 유권자가 시스템을 우회할 수 있는 방법을 찾을 수 있으므로 이를 필수로 만드는 것이 반드시 권장되는 것은 아니다.
해결 방법의 가능성에도 불구하고 SIV 유권자의 75% 이상이 악성 코드로부터 보호하기 위해 두 번째 장치 검사를 수행하기로 선택하는 시나리오를 상상하는 것은 매우 강력할 것이다.
강력한 조합: 맬웨어 방지 코드 + 유권자 자율 검사 + RLA
추가적인 보안 계층을 제공하려면 유권자에 대해 무작위로 샘플링된 보다 광범위한 감사를 직접 또는 전화로 수행하여 시스템의 무결성을 보장하는 것이 좋다. 유권자 자율 점검(인증 번호 점검 및 2차 장치 QR 코드 점검)과 감사자 감독 점검의 조합을 효과적으로 확장하여 감사 프로세스의 보안을 강화할 수 있다.
유권자 자율 점검은 대규모 구현이 용이하다는 점에서 장점이 있는 반면, 감독형 점검은 유권자 자율 점검의 신뢰성을 보장한다. 두 가지 접근 방식을 모두 활용하면 감사 프로세스가 강화되어 시스템 무결성에 대한 포괄적인 평가가 보장된다.
위험 및 완화 옵션 이해
맬웨어 방지 코드 시스템의 효율성을 보장하려면 잠재적인 취약점과 해당 완화 옵션을 고려하는 것이 중요하다. 이러한 취약점 중 하나는 공격자가 코드 전송 중에 코드를 가로채거나 선거 관리 서버에서 코드에 액세스하여 코드에 액세스할 가능성이 있다는 것이다.
그러나 이러한 위험에도 불구하고 맬웨어 방지 코드 시스템을 구현하면 공격자가 정식 소스와 유권자의 장치를 모두 손상시켜야 하므로 보안이 향상된다.
특정 상황에서는 아직 확인하지 않은 유권자의 개별 이름을 표시하는 것이 바람직할 수 있다. 이는 유권자들이 서로 알고 있는 소규모 그룹 환경(예: 1000명 미만)에서 특히 유용할 수 있으며, 모든 사람이 확인했음을 확인하면 안심하고 책임감 있는 행동을 장려할 수 있다.
그러나 그러한 목록을 게시할 때는 주의하는 것이 중요하다. 100% 미만의 유권자가 확인할 것으로 예상되는 상황에서 확인하지 않은 유권자의 목록을 게시하면 공격자에게 더 매력적인 대상이 될 수 있다. 또한 유권자가 하나의 스마트폰만 사용할 수 있는 대면 행사와 같이 유권자가 두 번째 장치에 액세스할 수 없는 환경에서는 비생산적일 수도 있다.
손상된 투표를 해결하기 위한 프로토콜
유권자가 검증 번호, 2차 장치 확인 또는 위험 제한 감사를 사용하여 변조된 투표를 감지하는 경우 선거 관리자는 투표를 무효화하고 유권자가 새 투표를 제출하도록 허용할 수 있다.
이 프로세스에는 포괄적인 감사 추적을 보장하기 위해 유권자가 투표 취소를 명시적으로 요청하는 서면 문서가 필요하다. 교정 절차는 직접 방문, 우편 또는 기타 통신 채널을 통해 수행될 수 있다. 구체적인 세부 사항은 선거 요건에 따라 달라질 수 있다. SIV는 필요한 프로토콜을 수용하고 적응할 수 있다.
투명한 교정 기록
이미 제출되어 승인된 투표가 무효화되어야 하는 드문 상황에서 SIV는 보안과 투명성을 우선시한다.
모든 사람은 원래의 암호화된 투표가 무효화되었음을 확인할 수 있으므로 유권자는 합법적으로 제출된 투표가 비밀리에 제거될 수 없다는 확신을 가질 수 있다.
투표 목록은 블록체인과 유사하지만 더 빠르고 환경 친화적이며 암호화폐가 필요하지 않은 강력한 암호화 데이터 구조인 머클 트리(Merkle Tree)에 의해 뒷받침된다.
맬웨어 방지 코드 검토
모든 사람이 다른 사람이 자신의 투표를 확인했다고 가정하는 대신, 안티맬웨어 코드는 투표자가 자신의 투표를 확인했고 올바르게 집계되었음을 명시적으로 확인하도록 하는 강력하고 신뢰할 수 있는 메커니즘을 제공한다.
디지털 투표에서 종이 투표용지 생성
SIV Admin 소프트웨어에는 디지털 투표를 PDF 문서 형태의 종이 투표지로 자동 변환하는 기능이 포함되어 있다. 생성된 각 투표에는 고유한 유권자 확인 번호가 찍혀 있어 투표의 개인정보가 보호된다.
디지털 투표에서 종이 투표지를 생성하는 기능을 통해 선거 관리자는 SIV 투표를 전체 투표 모음에 원활하게 통합할 수 있다. 따라서 관리자는 선거가 끝난 후에도 개별 투표를 감사하고 추적할 수 있다.
유권자 명부 감사
유권자 명부를 조사하는 것은 일반적으로 종이 투표의 맥락에서 선거 관리 공무원이 수행하는 표준 절차이다.
SIV 선거에서는 종이 투표와 동일한 인증 절차를 따른다. 따라서 SIV가 투표 방법으로 추가되더라도 유권자 명부를 감사하는 프로세스는 변경되지 않는다.
기술 사양
선거 전
선거가 시작되기 전에 세 가지 필수 사전 선거 단계 (A, B, & C라고 표시된 세 가지)는 (모든 순서로) 완료해야 한다.
a. 유권자 롤을 컴파일 한다.
선거 관리자는 적격 유권자 목록을 정의할 책임이 있다. 각 유권자에게는 고유 한 유권자 인증 토큰 ("Auth Token")이 배정된다.
한 번만 사용할 수 있는 Auth Tokens는 투표를 하는 데 필요하다. 그들은 추측할 수 없도록 설계되었으며 단일 선거에만 유효하다. SIV 관리자 소프트웨어는 관리자가 새로운 유권자를 추가할 때 암호적으로 안전한 임의성으로 이러한 인증 토큰을 자동으로 생성한다.
이 인증 토큰은 현재 10 자 육각형 문자열 (예: 2378BF376D)이며, 이는 10조의 가능성 (1610 = 240240) 이상을 생성한다. 무차별 인력 인증 토큰을 시도하는 것은 현재 위험이 아니다. 유효성 검사는 IP 주소에 따라 기록되며 속도 제한될 수 있기 때문이다.
할당된 모든 유권자 인증 토큰은 선거 관리자에게 알려져 있다. 선거가 시작되면 각 유권자 인증 토큰은 지정된 유권자와 공유된다. 이 Auth 토큰은 기존 API 인증 토큰과 같이 기능하며 기밀로 유지해야 한다.
선거 관리자는 유권자가 우연히 누출되거나 인증 토큰을 잃는 경우와 같이 개인 인증 토큰을 무효화하고 필요에 따라 새로운 것을 생성할 수 있다.
사용된 모든 인증 토큰은 선거 후 감사할 수 있다. SIV는 인증 토큰 및 해당 유권자 목록을 자동으로 게시하지는 않지만 각 선거 관리자 및 관할 구역의 요구 사항에 따라 선정된 그룹 (후보자 및 정당)과 공유되는지 여부에 관계없이 전혀 없다.
"위험 제한 감사"의 일환으로 임의의 통계 샘플링을 사용하면, 제출된 투표만이 인증 토큰에 대한 공격으로 인해 선거 결과가 바뀌지 않았다는 압도적으로 높은 신뢰를 얻기 위해 소수의 제출된 투표 만 개별적으로 감사를 받아야 한다.
b. 투표 컨텐츠를 마무리 한다.
전통적인 종이 선거와 마찬가지로, 선거 관리자는 투표에 나타나는 질문과 옵션을 마무리해야 한다.
SIV 관리 소프트웨어는 사용자 친화적 인 포인트 앤 클릭 투표 설계자 인터페이스와 고급 편집을 위한 머신 읽기 가능한 JSON 스키마 인터페이스를 제공한다.
각 투표 항목에는 "대통령", "총재", "시장"또는 "제안 _3"과 같은 고유 한 키가 있어야 한다.
SIV는 순위 선택 투표 및 승인 투표와 같은 대체 투표 방법과 완전히 호환된다. 실시간 사용자 인터페이스 피드백 및 유효하지 않은 투표 방지 기능을 사용하면 이러한 친숙한 투표 방법을 보다 쉽게 채택할 수 있다.
c. 개인 정보 보호자 등록
선거 관리자는 "개인 정보 보호자"를 등록할 수 있으며, 각각은 유권자 개인 정보 보호에 대한 추가 보증을 추가한다.
선거 관리자는 초대할 사람을 선택하고 개인 정보 보호자도 초대를 수락하여 선택해야 한다.
프라이버시 프로텍터는 모든 투표가 제출된 후 중요한 역할을 수행하지만 선거가 시작되기 전에 등록되어야 한다. 그들은 개별적으로 투표를 익명화하고 SIV 제로 지식 증거를 확인하여 투표 무결성을 보장한다. 이러한 중요한 단계를 완료한 후에 만 최종 탈리에 대한 암호화된 투표를 잠금 해제하기 위해 협력해야 한다.
선거 공정성의 중립성과 신뢰성을 유지하기 위해 경쟁 관심사를 가진 개인 정보 보호자를 선택할 수 있다. 한 가지 합리적인 선택은 각 후보의 정당이 지명한 개인 정보 보호자와 선거 관리자 자체를 갖는 것이다.
프라이버시 프로텍터는 서로를 신뢰할 필요가 없으며 투표를 비밀리에 조작할 수 없다.
모든 프라이버시 프로텍터가 선정되고 초대장을 수락한 후, 그들은 해당 개인 키의 분수를 보유한 N 임계 값 공개 키를 만들기 위해 분산된 키 세대 행사를 수행한다. 여기서 N은 총 관리위원회 수이며 T는 선거 관리자가 선택한대로 개인 키를 성공적으로 사용하는 데 필요한 구성된 임계 값이다.
개인 정보 보호자가 손상되지 않는 한 개인 개인 정보 보호자가 악의적이거나 타협하더라도 투표 개인 정보 보호가 보호된다 예를 들어, 키가 4-of-5 인 경우 최대 3 개의 개인 정보 보호 보호기를 손상시킬 수 있으며 개인 정보는 여전히 보호된다.
SIV는 현재 토르벤 페더슨(Torben Pedersen) 박사의 1992년 논문 "비 중과 및 정보 이론적 보안 검증 가능한 비밀 공유"에 처음으로 설명된 Pedersen DKG 프로토콜을 사용하고 있다. 이 프로토콜은 한 위치에서 전체 키를 중앙집중화 하지 않으며 모든 의식 회원이 프로토콜을 올바르게 따르고 있는지 확인한다.
SIV는 프라이버시 프로텍터 소프트웨어를 제공하여 암호적으로 안전한 무작위성 소스를 사용하여 모든 참가자를 위한 행사를 자동으로 실행할 수 있다. 모든 개인 정보 보호자는 정확히 각 단계의 전체 로그를 가져온다. 모든 개인 키 자료는 참가자 브라우저의 로컬 스토리지에 저장되며 추가 위치로 백업 할 수 있도록 시각적으로 표시된다.
행사가 끝나면 의식의 성공을 테스트하기 위해 시험 암호화가 만들어지고 암호 해독된다.
SIV의 개인 정보 보호 보호기 소프트웨어는 설치 없이 비교적 최신 데스크탑, 랩톱 또는 스마트 폰에서 브라우저에서 전적으로 실행할 수 있다.
선거가 시작
1 단계 1. 유권자들에게 보낸 초대
선거는 관리자가 각 유권자에게 유권자 인증 토큰을 제공하는 것으로 시작한다.
인증 토큰을 발행하는 특정 프로세스는 선거 관리자에 달려 있으며 다음 방법의 조합을 포함할 수 있다.
1.확인된 이메일
2.확인된 SMS 메시지
3.확인된 물리적 메일 편지
4.기본 서명 검증
5.정부 ID 및/또는 셀카의 사진 검증
6.IP 주소 지리적 위치
7.직접 제공되는 독특한 코드
8.암호화 공개 키
9.시간 기반 일회성 비밀번호
각 방법은 (a) 속도, (b) 비용, (c) 사용 편의성, (d) 공격의 어려움 및 (e) 접근성 측면에서 자체 트레이드 오프가 있다.
SIV는 이 시점에서 의도적으로 유연하고 비방적이며, 다른 선거 및 관할 구역의 요구 사항을 수용한다.
이미 이메일을 통해 투표 초대를 받은 해외 유권자와 같은 일부 유권자의 경우 이메일만으로도 충분할 수 있다. 이는 기존 프로세스를 개선하기 위해 그려진 서명과 같은 추가 요인을 요구함으로써 증강할 수 있다.
물리적 우편을 통해 접근하기 쉬운 다른 유권자의 경우, 선거 관리자는 유권자 당 고유 한 코드로 신원을 확인하여 신원을 확인할 수 있다.
이러한 방식으로 SIV는 기존 프로세스의 유권자 인증 요구 사항과 일치할 수 있으며 반품 투표 프로세스를 더 빠르고 액세스 가능하며 완전히 검증 가능한 것으로 업그레이드할 수 있다.
사용된 검증 방법에 관계없이 전체 프로세스는 독립적 인 검증을 위해 가능한 한 많은 서면 감사 트레일을 남겨 두어야 한다.
Pre-A Pre-A "Compile 유권자 롤"에서 이미 언급했듯이, 선거 관리자는 개별 유권자 인증 토큰을 무효화하고 유권자가 우연히 누출되거나 상실되는 경우와 같이 치료 목적으로 새로운 것을 생성할 수 있다.
치료 프로세스는 초기 유권자 인증 프로세스와 동일한 수준의 보안 및 검증 가능성을 유지하면서 다양한 상황 및 요구 사항에 유연하고 적응할 수 있도록 설계되었다.
2 단계 2. 유권자들은 선발되고 투표를 암호화한다.
유권자들이 성공적으로 인증되면 빈 투표 용지를 볼 수 있다.
Google 양식을 쉽게 작성하는 것과 유사하게 간단한 포인트 앤 클릭 인터페이스로 선택할 수 있다.
SIV는 1 인 1- 활력 인증, 암호화 개인 정보 및 엔드 투 엔드 유권자 검증에 대한 강력한 보안 기능을 원활하게 추가한다.
암호화 개요
SIV 유권자 소프트웨어는 Ristretto255 Prime-Roder 하위 그룹의 Curve25519 (IETF RFC 8031)를 통해 타원 곡선 Elgamal 암호화를 사용하여 각 투표 선택을 자동으로 암호화하며 128 비트의 NIST 권장 보안 수준을 제공하고 "안전 커브"로 분류한다.
SIV가 "암호화 주소"라고 부르는 암호화의 공개 키는 C 이전 행사에서 프라이버시 프로텍터가 생성 한 임계 값 공개 키이다.
다음 섹션에서는 각 투표에 대해 암호화된 암호 텍스트 생성과 관련된 단계를 설명한다.
유권자의 장치는 비밀 검증을 생성한다.
암호화 전에 SIV 유권자 소프트웨어는 ####-####-#### 양식의 암호적으로 임의의 무작위 및 비밀 12 자리 수를 자동으로 생성한다.
이 숫자는 유권자 인증 토큰과는 다르다. 의도적으로 개인 확인 #이 유권자 자신이 아닌 유권자가 어떤 유권자인지 알 수 없다. 여기에는 선거 관리자와 SIV 서버가 포함된다.
선거 후 유권자 검증에 나중에 사용되지만 암호화된 암호 텍스트 내부에 포함될 수 있도록 지금 생성해야 한다.
SIV 유권자 소프트웨어는 브라우저 로컬 스토리지에 유권자의 장치에 확인 #을 자동으로 저장하므로 나중에 검색할 수 있다.
공격 완화
유권자 인증 공격
SIV 프로토콜은 유권자 인증 방법과 관련하여 의도적으로 적응할 수 있도록 설계되었으며, 각 관할권 및 선거는 특정 요구 사항에 따라 프로세스를 조정할 수 있도록 한다. SIV는 우편 메일을 통해 배포되거나 직접 제공되는 고유 한 코드 사용과 같은 기존 투표 프로토콜을 복제할 수 있다.
기본적으로 SIV의 인증은 전통적인 종이 기반 방법보다 더 이상 강력 할 수 있다. 또한 검증된 이메일 배송, SMS, 전자 서명, 시간 기반 일회성 암호, IP 주소 지리 위치, 정부 ID 사진 및 암호화 키 쌍을 포함한 보충 인증 기술을 통합할 수 있다.
전체 SIV 유권자 인증 프로세스는 독립적 인 감사를 용이하게 하도록 설계되었다.
또한 이 시스템은 투표 후 및 탈리 단계를 포함하여 선거의 어느 단계에서나 유권자 자격 증명의 취소를 허용한다. 이로 인해 자격 증명이 손상된 경우에도 치료 조치는 여전히 가능하다.
그러한 능력은 종이 선거에서 사용할 수 없다는 점에 유의해야 한다. SIV의 혁신적인 접근 방식은 선거 관리자와 법원 명령을 강력하고 정확한 치료 툴킷을 제공하여 불공정 한 교구 전체 투표 폐기 또는 비용이 많이 드는 재선의 필요성을 제거한다.
유권자 인증 및 감사 프로세스에 대한 포괄적인 설명은 인증 섹션Authentication.을 참조하라.
유권자 장치의 맬웨어
접근하다
SIV는 맬웨어가 항상 우려 될 것이라는 것을 인정하며, 그러한 부패를 식별하고 교정하는 메커니즘을 제공하는 데 중점을 둔다.
SIV는 전통적인 종이 선거와 대조적으로 유권자들이 컴퓨터가 필요하지 않아도 정확한 표를 보장할 때도 자신의 투표를 개인적으로 확인할 수 있도록 권한을 부여한다.
결과는 더 이상 은폐된 탈리 과정의 불투명 한 무결성에 의존하지 않기 때문에 유권자들 사이에서 신뢰성이 높아진다. 유권자는 이제 자신의 목소리가 정확하게 표현되었음을 개인적으로 확인할 수 있다.
안전한 인터넷 투표를 종이 선거와 비교할 때 종이 기반 시스템이 악성 코드 공격에 전적으로 불 침투하지 않으며 자체 검증 조치가 필요하다는 것을 인정해야 한다. 예를 들어, 선거 결과를 유포하기 위해 지정된 컴퓨터는 맬웨어 침투에 취약 할 수 있다. 이 문제는 종이나 디지털 선거에서 문제를 완전히 제거하는 것이 아니라 대신 "우리는 그러한 부패를 효과적으로 감지할 수 있으며 탐지 과정이 얼마나 어려운가?" SIV의 강점은 모든 유권자들에게 검증 과정에 접근할 수 있고 쉽게 접근할 수 있는 선거 관리자가 아니라 특권 접근이 부여된 선거 관리자에게만 적용된다.
SIV는 잠재적 공격을 효과적으로 식별하고 완화하기 위해 여러 체크 포인트를 전략적으로 설정한다. 시간 순서대로 여기에는 다음이 포함된다:
1. 옵트 인 이점
보안 인터넷 투표 (SIV)는 보충 투표 대안으로 설계되었다.
유권자들은 SIV의 발전을 수용하거나 전통적인 논문 투표 접근법을 유지하든 선호하는 투표 방법을 선택할 자율성이 필요하다. 이 옵트 인 기능을 제공함으로써, 자신의 투표를 확인하는 것을 주저하는 개인은 종이 투표를 통해 민주주의 과정에 계속 참여할 수 있으므로 지방 정부는 유권자의 다양한 선호도와 기술 전문 지식을 더 잘 충족시킬 수 있다.
2. 객관식 검증
유권자들은 보조 장치를 원활하게 사용하여 투표가 정확하게 제출되었음을 확인할 수 있다. 다양한 운영 체제와 같은 별개의 맬웨어 프로파일이 있는 장치를 사용하여 잠재적 인 위협에 대한 시스템의 방어를 강화한다.
검증 프로세스는 신속하고 사용자 친화적이며 QR 코드를 스캔하는 것과 유사하게 완료하는 데 몇 초가 걸린다. 유권자들은 전문 지식이나 전문 지식을 필요로하지 않고 원하는 만큼의 추가 장치를 활용할 수 있다.
이 접근법을 심도 있게 탐색하려면 여러 장치를 사용하여 계속해서 악성 코드를 감지하라.
3. 개인 투표 검증
SIV는 유권자들에게 자신의 투표가 정확하게 기록되고 최종 탈리에 포함되어 있음을 개인적으로 확인할 수 있는 능력을 제공한다. 이것은 독특하고 무작위로 생성된 검증 번호를 사용하여 달성된다.
SIV 시스템 내에서 대부분의 수표는 계산 자원을 필요로하지만, 이 특정 검증 프로세스는 장치없이 실행되는 유연성을 제공하여 편의와 접근성의 추가 계층을 제공한다.
검증 번호의 주제와 투표 정확도를 보장하는 역할을 자세히 살펴보려면 개인 투표 섹션을 올바르게 계산해야 한다.
4. 위험 제한 감사
유권자들이 최종 탈리에서 개인적으로 투표를 확인할 수 있게 하면 효율적인 위험 제한 감사 (RLA)의 구현을 용이하게 한다.
비교적 작은 표본 크기를 고용하여 공식 대표는 임의의 유권자 선택에 참여하여 개인의 프라이버시를 타협하지 않고 투표의 무결성을 확인하는 과정을 안내할 수 있다.
RLAS 뒤에 있는 수학은 밀접하게 논쟁의 여지가 있는 선거에서도 놀랍도록 잘 규모이다. 예를 들어, 2020 년 조지아 대통령 경주에서 조 바이든은 49.47%의 표를 확보했으며 도날드 트럼프는 49.24%를 기록했다. 이러한 시나리오에서는 투표의 0.12%를 타협하면 결과를 뒤집을 수 있다. 그러나 총 4,999,958 개의 캐스트 중 5,000 표의 무작위 표본을 검토함으로써 최종 결과의 정확도에 대한 99.7% 통계적 신뢰도를 달성할 수 있다. 또한 표본 크기를 10,000 표로 늘리면 신뢰 수준이 인상적인 99.9992%로 높아진다.
실제 사례를 포함한 SIV 위험 제한 감사 Risk Limiting Audits.에 대한 심층 분석은 위험 제한 감사 섹션을 참조하라.
5. 치료 능력
결과의 초기 출판은 예비로 간주되어야 한다는 점을 강조하는 것이 중요하며, 유권자들이 필요한 모든 수표를 수행하고 투표가 손상되었다고 의심되는 경우 불일치를 보고할 수 있는 적절한 도전 기간을 허용한다.
이 고급 단계에서도 SIV의 능력은 종합 감사 트레일을 보존하고 유권자 개인 정보를 유지하면서 타협 된 투표와 키가 다시 계산할 수 있다. 수표가 유권자들에 의해 수행되는 이 접근법은 선거 과정에서 신뢰와 투명성을 크게 향상시킬 수 있는 잠재력을 가지고 있다.
SIV의 치료 기능에 대한 자세한 조사는 타협 된 투표를 치료하는 것을 참조하라. Remediating Compromised Votes.
추가 정보:
유권자들이 자신의 투표를 확인했는지 증명할 수 있는 방법
서비스 거부 공격
현재 시스템의 탄력성
서비스의 신뢰성과 확장 성을 보장하는 것이 매우 중요하다. 다행히도 현재 온라인으로 수십억 달러의 경제적 가치를 제공하는 수십억 달러의 경제적 가치를 제공하는 수십 년간의 입증된 경험이 있었다. 여기에는 민간 부문 커뮤니케이션 및 금융 거래에서 납세와 같은 정부 관련 거래, 오늘날의 디지털 환경의 탄력성과 적응성을 보여주는 광범위한 서비스가 포함된다.
완화 전략
SIV는 서비스 거부 (DOS) 공격을 해결하기 위해 몇 가지 전략을 사용한다.
SIV 아키텍처는 가벼운 클라이언트와 최소 백엔드 서버 리소스를 사용하여 대규모 응용 프로그램을 위해 설계되었다. 이를 통해 수직 및 수평 스케일링을 모두 가능하게 한다.
SIV를 통해 공개 자원이 컨텐츠 전달 네트워크로 아웃소싱 할 수 있으며, 이는 적대적인 공격 중에도 매일 수십억 명의 사용자에게 서비스를 제공하는 경험이 있다. 이 접근법은 강력한 성실성과 개인 정보 보호를받는 선거에 대한 SIV의 안보를 유지한다.
SIV는 인프라에 여러 가지 중복성을 통합하여 Netflix가 대중화한 "Chaos Engineering"접근 방식을 활용하여 잠재적 취약성을 적극적으로 식별하고 해결한다.
SIV의 인증을 통해 요금 제한 학대 사용자 및 IP 주소가 가능하다.
투표 옵션 비교
선거 시스템이 중요하기 때문에 많은 유권자들이 시스템에 동시에 액세스 할 때 잠재적 인 문제를 고려하는 것이 필수적이며, 적대적인 행위자는 DOS 공격을 시작한다. 이를 해결하기 위해 SIV는 시스템 부하 및 우발 사태에 대한 명확한 기대와 함께 신중하고 의도적으로 스케일링 된다.
SIV를 전통적인 종이 옵션과 비교하면 직접 투표는 일반적으로 특정 주간 시간으로 제한된다는 것을 인식하는 것이 중요하다. 대조적으로, SIV와 같은 온라인 옵션은 보안을 손상시키지 않고 24/7을 제공할 수 있다. 또한 기존의 직접 및 투표 별 옵션은 방해 행위 혐의 또는 전염병과 같은 자연적 혼란과 같은 자체 가용성 문제에 직면해 있다.
비용 측면에서 보안 인터넷 투표는 직접 또는 투표 별 대안보다 훨씬 저렴하다. 모든 옵션이 위협에 직면할 수 있지만 신뢰할 수 있고 접근 가능한 인터넷 투표 옵션을 개발하는 것이 가치가 있다. SIV는 기존 방법을 대체하기위한 것이 아니라 온라인 투표를 선호하는 사람들을 위해 이를 보충하기 위한 것이다.
서비스 거부 공격을 방어하는 데 적극적으로 행동하는 것이 중요하다. 그러나 우리는 일시적인 혼란의 가능성 때문에 유권자들에게 안전한 인터넷 투표 서비스를 거부해서는 안된다.
서버 침투 공격
SIV 프로토콜은 정확한 결과 나 기밀성을 위해 선거 서버를 신뢰할 필요가 없도록 설계되었다.
완전한 검증 가능성
모든 결과는 완전히 검증 가능하며 모든 실수는 독립적으로 감지될 수 있다. 이것은 탈리가 닫힌 문 뒤에서 이루어지는 전통적인 선거 인프라보다 훨씬 더 큰 보증을 제공한다.
감사 가능한 증거
서면 감사 증거는 SIV 프로토콜의 5 단계 각각을 성공적으로 완료하여 만들어진다. 모든 단계는 최대한 선거 결과에 대한 많은 신뢰를 정당화하기 위해 독립적으로 점검하고 확인해야 한다.
종이와 비교
종이 전용 선거와 안전한 인터넷 투표 모두에서 선거 관리자 또는 그 컴퓨터를 타협하면 부정확한 결과가 게시될 수 있다. 둘 다 이 취약점을 공유하지만 SIV는 이러한 유형의 부정확성이 감지되지 않은 통과를 훨씬 어렵게 만든다.
스푸핑 공격
스푸핑 공격이 시민을 위한 SIV의 구현을 방해해서는 안되는 몇 가지 이유는 다음과 같다.
SIV는 교체품이 아닌 추가 옵션이다. 전통적인 종이 방법을 선호하는 유권자들은 계속 사용할 수 있다.
사기로 잃어버린 투표 수를 최소화하는 것이 중요하지만, 우리는 또한 종이 전용 선거에서 투표가 진행되지 않는 것을 고려해야 한다. 모바일 장치에서 투표의 접근성이 증가하면 유권자 참여가 상당히 증가할 수 있다.
스푸핑은 이미 물리적 세계에서 가짜 투표 용 드롭 박스와 투표 고리가 있는 문제이다. 필요한 경우 교육, 선거 관리자의 명확한 의사 소통 및 범죄 기소는 물리적 투표 및 디지털 투표 모두에 대한 효과적인 대응이다.
SIV는 선거 관리자의 도메인에 설치하여 쉽게 식별할 수 있는 .gov 도메인 주소를 통해서만 사용할 수 있도록 할 수 있다.
전자 상거래 및 은행 웹 사이트와 같은 수많은 디지털 서비스에는 스푸핑 및 피싱 위험이 존재한다. 불행히도 이러한 위험은 온라인 서비스를 완전히 금지하는 것을 보증하지 않는다.
유권자가 사기 서비스에 투표를 하는 경우에도 여전히 합법적인 서비스에 투표할 수 있다. 유권자들이 연락처 정보를 등록한 경우, 선거 관리자는 알림을 보내 공식 투표를 확인할 수 있다.
SIV를 제공하지 않더라도 사기 행위자는 가짜 투표 웹 사이트를 설정하여 취약한 유권자를 속일 수 있다.
위험 제한 감사는 또한 스푸핑 피해자 인 유권자를 측정하고 감지할 수 있으며, 이를 해결할 수 있다.
결론적으로, 스푸핑 공격은 디지털 투표 시스템에 어려움을 겪지 만, 안전한 인터넷 투표의 이점은 위험보다 훨씬 크다. 강력한 보안 조치를 구현하고 명확한 커뮤니케이션을 제공함으로써 모든 시민들에게 보다 접근 가능하고 편리한 투표 경험을 보장할 수 있다. SIV를 전통적인 방법과 함께 추가 옵션으로 사용하면 민주주의 과정을 강화하고 선거에 더 많은 유권자 참여를 장려할 것이다.
개인 정보 보호 위반
역사적으로, 인증된 투표와 민간 투표를 모두 보장하는 것은 매우 어려웠다. SIV는이 문제를 해결하기 위해 특별히 설계되어 유권자들이 자유롭고 공정한 선거에 대한 권리를 보장했다.
SIV는 선거 관리자 및 SIV 인프라를 포함한 어느 누구도 다른 사람이 어떻게 투표하는지 볼 수 없도록 강력한 다자 암호화 및 검증 가능한 암호화 셔플을 제공한다. 이는 암시적 신뢰에 의존할 수 있고 개인 정보 보호 조치가 제한된 전통적인 투표 시스템에 비해 크게 개선된 것이다.
높은 수준에서 SIV는 다음과 같이 투표 개인 정보를 보장한다.
a. 강력한 암호화를 사용하여 제출하기 전에 밀 된 디지털 암호화 내부의 투표를 잠근다.
b. 여러 독립 당사자 ("개인 정보 보호자")에 의해 강력한 익명화를 위해 암호화 된 투표를 여러 번 섞는다. 이 디자인은 여러 실패 안전을 만든다. 일부 개인 정보 보호자의 장치가 손상되더라도 투표 개인 정보는 여전히 보호될 수 있다. 개인 정보 보호자는 서로를 신뢰할 필요가 없으며 강한 암호화 증명 덕분에 투표를 조작할 수 없다.
c. 투표가 완전히 익명화 된 후 에야 개인 정보 보호자는 함께 협력하여 암호화를 잠금 해제하고 최종 결과를 확인할 수 있다.
기술적인 세부 사항은 기술 사양에서 사용할 수 있다. SIV는 수학적으로 투표 프라이버시를 검증할 수 있도록 허용한다. 모든 암호화는 유권자 자신의 장치에서 이루어진다. 일반 텍스트 정보가 누출되지 않을 것이라는 확신을 갖기 위해, 모든 암호화 작업 (SIV 프로토콜의 2 단계)을 에어 갭 장치에서 수행할 수 있다.
이것의 간단한 버전은 시크릿 창을 사용하여 장치의 인터넷을 끄면 달성할 수 있다. 그런 다음 암호화된 암호 텍스트를 준비하고 시크릿 창 밖으로 복사하여 시크릿 창을 닫아 개인 자료를 파괴한 다음 제출하기 전에 인터넷을 켠다. 이는 SIV 유권자 소프트웨어를 개인 데이터로 추출하는 것으로 보호하지만 장치 자체 (예 : 맬웨어)로부터 보호하지는 않는다.
현재 시스템보다 개선
SIV가 제공하는 이 암호화 프라이버시는 종이 선거에 필요한 암시 적 신탁에 비해 개선되는데, 예를 들어, 단일 우편 근로자는 그들이 싫어하는 투표를 감시하고 잠재적으로 폐기할 수 있다. 직접 대표하는 투표조차도 종종 독특한 유권자 연결 추적 번호를 가지고 있으며, 유권자들은 개인 정보가 얼마나 강력하게 보호되는지 스스로 확인할 능력이 거의 없다.
서류 선거에는 독립 선거 관찰자를 포함한 잠재적 완화 전략이 있다. 그러나 규모에 따라 많은 사람들의 시간이 필요하다. SIV는 훨씬 저렴한 비용으로 개인 정보 보호 및 정확성에 대한 더 높은 보증을 제공한다.
추가 읽기
기술 사양
SIV 개인 정보
프라이버시 프로텍터
투표권 판매
이 섹션에서는 정부 선거에서 현재 투표 판매 상태에 대한 여러 주장을 탐색한 다음 강력한 잠재적 해결책을 제안할 것이다.
현 상태는 이미 강압적이다.
1. 메일 인 투표 용지는 이미 배우자, 상사 또는 다른 사람들이 직접 강요할 수 있으며, 유권자에게 빈 투표에 서명하고 넘겨달라고 요청할 수 있다.
2. 스마트폰 비디오 녹화 증명: 메일인 및 직접 투표는 모두 스마트폰 비디오 녹화 증명에 취약하며, 이는 투표가 특정 방식으로 캐스팅되었음을 확인하는 데 사용할 수 있다. 투표 시설 이이 관행을 감지하고 시행하기는 어렵다. 우리는 이러한 비디오를 규모로 검토하는 것이 각각 $ 1 미만으로 안정적으로 아웃소싱 될 수 있다고 추정한다.
3. 해외 유권자: 연방 투표 지원 프로그램에 따르면 약. 군인을 포함한 3 백만 명의 미국 유권자. 그러한 많은 유권자들은 이미 일반 텍스트 이메일 첨부 파일 또는 기타 디지털 수단을 통해 투표를 제출했지만 광범위한 투표 판매의 증거는 없다.
4. 선출된 대표는 이미 뇌물 또는 간접 "회전 문"약속을 통해 강요하기 쉽고, 이는 구성 요소에 훨씬 더 큰 영향을 줄 수 있다. 예를 들어, 단일 미국 의회 대표가 재정적 인센티브로 인해 투표를 변경하면 모든 구성 요소를 매진했다. 약 백만 명. 다른 사람을 대표하지는 않지만 여전히 큰 위험에 직면한 투표를 판매하는 단일 유권자와 비교해야 한다.
5. 정치적 약속을 통한 단계 투표 구매: 정치인들은 종종 무료 또는 보조금 의료, 교육 또는 특정 산업 혜택과 같은 유권자의 특정 하위 집합에 특정 금전적 가치를 가진 약속을 한다. 그러한 약속은 종종 "X를 얻기 위해 투표"로 표현될 수 있다. 이 관행은 간접적 인 형태의 투표 구매로 볼 수 있지만 정치 과정 내에서 널리 받아들여지고 실천된다.
6. 암호화폐 토큰 및 조건부 금융 상품: 인터넷 투표가 없어도 2022 FTX 파산에서 공개된 악명 높은 $ 7.4m 트럼 플 로스 토큰과 같은 특정 후보자가 이기는 경우에만 가치가 있는 암호화폐 토큰이 이미 만들어졌다. 시민들이 안전한 인터넷 투표 옵션을 받는지 여부에 관계없이, 이와 같은 조건부 금융 상품은 이미 설득 가능한 유권자들에게 주어질 수 있다.
기존 형사 처벌
7.현행법은 투옥, 가파른 벌금 및 잠재적 투표권 상실을 포함하여 뇌물 받는자와 뇌물 주는자 대한 강력한 형사 처벌을 부과한다. 이것은 이미 70 년 이상 (18 U.S.C. §597) 동안 이미 미국 형법에 있었으며, 구매자와 판매자 모두에게 최대 2 년의 징역형과 단일 고의적 인 사례의 경우 $ 10k 벌금을 기록했다.
유권자 판매는 가상적이며 관찰되지는 않는다.
8. 에스토니아의 성공적인 인터넷 투표 시스템: 에스토니아 국가는 2005년부터 모든 선거에서 130 만 명의 시민 인터넷 투표를 성공적으로 제공했다. 광범위한 투표 판매의 알려진 사례는 없으며, 이 시스템은 계속해서 그것을 사용하는 모든 유권자의 절반에서 매우 인기가 있다.
9. 개별 투표에 대한 시장 가치에 대한 명확성: 기존의 투표 판매 증거가 거의 없기 때문에 개인 투표의 시장 가치에 대한 명확성이 부족하다. 아직 특정 후보에 투표하지 않은 유권자들에게만 독점적으로 뇌물을 제공하는 것은 특히 어려울 것이다. 이로 인해 펜스 유권자들이 이용할 수 있는 금액이 추가로 희석되면, 투표 판매는 특히 매력적이지 않다.
10. 서로의 영향력을 중화시키는 경쟁 뇌물: 가설의 투표 판매가 확산되더라도 경쟁하는 뇌물이 유권자에 대한 서로의 영향을 중화시킬 것이다. 예를 들어, 유권자가 후보 A에 투표하기 위해 $ 50가 제공되지만 후보자 B (원래 가장 좋아하는)에 대해 $ 35에 불과한 경우 B 초과 B를 선호하는 순 재정 인센티브는 $ 50가 아닌 $ 15이다. 따라서 가까운 종족은 처음에 보이는 것보다 훨씬 적은 부패 효과를 가질 수 있다.
11. 뇌물 수수 캠페인에 대한 전위적 반발: 이 모든 것이 가설이므로, 우리는 이것이 어떻게 진행될지에 대해서만 추측할 수 있다. 또 다른 가능한 시나리오는 펜스 유권자들이 광범위한 뇌물 수수 캠페인을 알게 되면 부정 행위의 형태로 간주하고 원칙적으로 후보에 대한 투표를 결정할 수 있다는 것이다. 위의 두 가지 총알 포인트와 마찬가지로, 이 요소는 또한 투표 구매의 효능, 아마도 백 피어링 시점까지도 감소할 것이다.
12. 반사성: 우리는 안전한 인터넷 투표의 많은 혜택이 전반적으로 가치가 있다고 생각한다. 그러나 광범위한 강요가 발생한다면 인터넷 투표는 여전히 폐지될 수 있으며 현 상태로 돌아간다. 전자 투표가 투표에 의해 전적으로 손상되는 최악의 시나리오에서도 입법자나 종이 전용 국민 투표에서 시민들에 의해 폐지를 계속할 수 있다.
SIV- 특정 완화 요인
13. 투표자 교육 및 경고: 투표 인터페이스 내에서 SIV는 유권자에게 투표 판매의 위험에 대해 명시적으로 교육하고 경고할 수 있다. SIV는 또한 적절한 당국에 대한 시도를 쉽게 보고할 수 있다.
14. 회상: SIV의 디자인은 발견된 타협 된 투표를 무효화하고 적절한 경우 치료할 수 있도록 한다.
15. 변칙적 행동에 대한 알레르트: 이메일 또는 팩스와 달리 SIV는 IP 주소 지리적 위치 또는 장치 사용자 에이전트가 광범위한 투표 판매를 나타낼 수 있는 변칙적인 동작을 보여 주면 경고를 자동으로 트리거 할 수 있다.
16. 투표의 선택적 교수: 모든 투표는 기본적으로 암호화되지만, 선거의 개인 정보 보호 자의 정원은 다른 모든 유권자의 프라이버시를 보호하면서 개인 투표를 선택적으로 교수하기 위해 협력할 수 있다. 이것은 발견된 투표 판매자가 SIV의 강한 암호화 뒤에 숨길 수 없다는 것을 의미한다. 이 권한을 사용하기 위해 충분한 정당화가 제공되어야 하며 광범위한 개인 정보 보호자를 포함하여 학대로부터 보호된다.
검증과 함께 트레이드 오프
영수증과 검증 가능성 사이에는 기본적인 트레이드 오프가 있다.
17.MACI 및 그 제한 사항: 디지털 투표 환경의 경우 MACI ("최소 청산 인프라") 및 유사한 디자인은 투표 판매에 대한 일반적인 제안된 솔루션이다. 이들은 유권자들이 여러 번 제출할 수 있도록 하는 원칙에 근거하여 강제를 속일 것이다. 불행히도, 이러한 설계는 여전히 투표 판매 (예: HSM 장치를 넘겨주거나 선거 시작부터 라이브 스트리밍)에 면역이 되지 않으며 다른 보안 속성을 손상시킨다. 특히, MACI는 선거 관리자에게 각 투표를 하는 사람을 확인할 수 있는 무제한 권리를 부여하고, 기기 맬웨어에 대한 보호를 완전히 희생하며, 검증을 훨씬 더 복잡하게 만든다.
18.비밀 논문 재정의: SIV는 종이 방법과 함께 작동하기 때문에 강요 압력을 받는 유권자들은 종이 메드를 사용하여 2 차 투표를 할 수 있으며, 이는 강제를 경고하지 않으면 서 우체수로 취급될 수 있다. 이 "비밀 논문을 무시한"구성은 일부 검증 가능성을 희생한다 (악성 코드나 프라이버시가 아닌 부분 집계 총계).
19.이해 관계자 선호도: 화려한 컴퓨터 과학자들은 수십 년 동안 문제와 투표에 대한 솔루션에 대해 글을 쓰고 있지만 다른 선거 이해 관계자와 근본적인 단절이 있다. 우리는 수많은 유권자, 선거 관리 및 후보자들과 상담했다 (승리하지 않음). 강제 저항과 검증 가능성 사이의 이러한 근본적인 트레이드 오프를 제시했을 때 대부분의 대다수는 검증 가능성에 대한 강력한 선호도뿐만 아니라 다른 인터넷 투표 혜택을 확보하는 다른 이점을 나타낸다. 통찰 있는 컴퓨터 과학자들이 디지털 선거에서 투표 판매의 증가를 올바르게 확인한 것에 대해 감사하지만, 우리는 위험 증가가 허용되는지 여부에 대한 구체적인 판단은 모든 선거 이해 당사자들에게 의문이며, 기본적으로 컴퓨터 과학의 문제는 아니다.
더 강한 솔루션
SIV는 투표 판매에 대한 현재의 형사 처벌을 바탕으로 "투표 판매자의 딜레마"라고 불리는 유권자 검증 가능성을 보존하면서 투표 판매를 다루는 더 강력한 잠재적 인 법적 솔루션을 개발했다.
이 방법은 상대방을 성공적으로 보고하는 탈북자 (판매자 또는 구매자)에게 보상한다. 결과적으로, 한 당사자가 제안된 보상을 위해 다른 당사자가 다른 사람을 배신할 때 항상 탁월한 결과를 감안할 때 두 당사자 간의 신뢰가 파괴된다.
이 제안이 채택되면, 모든 투표 방법은 혜택을 받지만, 특히 인터넷 투표는 서명된 메일 투표를 넘겨주는 것이 디지털 강요보다 내부 고발자에 대한 증거가 적기 때문에 투표보다 투표에 대한 투표에 더욱 저항할 수 있다.
자세한 설명은 "투표 판매자의 딜레마"를 참조하라.
"The Vote Seller's Dilemma".
투표 방법 비교
추가 혜택
1.득표를 실제보다 불리는 것 방지
각 암호화된 투표는 별개의 등록 유권자에 기인하여 전체 유권자 롤에 대한 포괄적인 감사를 가능하게 할 수 있다. 이 접근법은 잠재적인 투표 부정 사건에 대한 보호를 크게 강화한다.
2. 장애인 유권자의 접근성 향상
SIV는 개인 장치의 편의에서 안전한 투표를 허용함으로써 장애인 유권자를 수용하는 데 탁월하다. 이를 통해 투표소 또는 드롭 박스를 방문할 필요가 없다. W3C 표준을 준수하면서 SIV는 수십 년 동안 디지털 접근성을 발전시킨다.
장애인 유권자는 집에서 편안하게 자신의 장치를 활용함으로써 텍스트 음성, 더 큰 글꼴 크기, 높은 대비 모드 및 요구에 맞는 다양한 옵션과 같은 맞춤형 접근성 기능의 혜택을 누릴 수 있다.
3. 더 빠른 선거 결과
SIV는 투표 결과의 신속하고 효율적인 표지 및 출판을 용이하게 한다. 투표 기간의 결론 후 몇 초 이내에 결과는 액세스 할 수 있다. 이것은 비교할 수 없는 속도와 투명성을 제공하지만 대규모 선거에서 최종 승리자를 선포하기 전에 필요한 치료 절차에 충분한 시간을 허용하는 것이 중요하다.
선거 규모에 관계없이 SIV는 전반적인 투표 과정을 신속하게 하는 데 상당한 이점을 제공한다.
4. 예산 절약
매사추세츠 공과 대학 (Massachusetts Institute of Technology)이 제작한 보고서에 따르면, 선거를 수행하는 데 드는 비용은 연간 20억 달러에서 60억 달러 사이의 것으로 나타났다.
예비 평가에 따르면 SIV의 구현은 80%에서 90% 사이의 감소로 비용이 상당히 감소할 수 있다.
따라서 안전한 인터넷 투표 (SIV)의 구현은 이러한 비용을 크게 줄여 수십억 달러의 납세자 자금을 절약할 수 있는 잠재력을 가지고 있다.
5. 유권자를 위한 시간 절약
SIV는 투표 과정을 상당히 간소화하여 유권자에게 속도와 효율성을 모두 제공한다. 유권자들은 SIV를 통해 투표 용지를 던져서 물리적 투표 용지의 우편과 반환이 필요한 전통적인 종이 기반 방법의 시간이 많이 걸리는 특성과는 대조적으로 거의 즉각적인 영수증 확인을 받을 수 있다.
투표 과정의 이러한 가속화는 전반적인 경험을 신속하게 할 뿐만 아니라 유권자들에 대한 즉각적인 신뢰를 심어 주어 투표가 접수되고 인정되었음을 안심시킨다.
6. 스포일러 방지 투표 방법
SIV는 현재 복수 투표, 블록 투표 및 승인 투표를 지원하며 요청 시 추가 방법이 포함된다.
디지털 투표는 이러한 고급 투표 기술의 채택을 크게 단순화하여 즉각적인 피드백을 제공하고 유권자들을 부주의하게 무효화로부터 자동으로 보호한다.
7. 공공 기록 관리 간소화
수많은 선거 사무원들이 공공 기록 요청에 압도당하고 있다고 보고했다. SIV는 본질적으로 엔드 투 엔드 검증 가능한 선거를 생성하여 미래에 그러한 요청에 대한 필요성을 효과적으로 제거하고 행정 부담을 크게 줄인다.
8. 언어 번역 확장
SIV는 유권자를 위한 전례 없는 언어 접근성 도구를 사용하여 투표 과정을 향상시킨다. 웹 브라우저 내에서 운영되는 SIV는 수백 개의 언어를 수용할 수 있는 번역 도구와 완벽하게 통합하여 포용적이고 접근 가능한 투표 환경을 조성할 수 있다.
SIV는 더 광범위한 언어 지원을 장려함으로써 민주적 과정에 더 광범위하게 참여하도록 장려하면서 필요한 투표 관리자에게 필요한 투표 관리자에게 부담을 완화시켜야 한다.
9. 유권자 투표율 향상
SIV (Secure Internet Voting)은 선거 참여에 대한 다양한 장벽을 극복함으로써 유권자 투표율을 높일 수있는 잠재력이 있다.
●편의성: SIV를 통해 선호하는 장치를 사용하여 어디서나 투표할 수 있으므로 여론 조사 스테이션으로 여행할 필요가 없고 줄을 서서 대기할 필요가 없다.
●유연성: SIV는 순위 선택 또는 승인 투표와 같은 다양한 투표 방법을 지원하여 의미 있는 선택을 제공하고 유권자에게 권한을 부여함으로써 유권자 무관심을 줄인다.
●접근성: SIV는 개인화 된 환경을 통해 장애가 있는 개인의 접근성을 향상시켜 포괄적 인 투표 경험을 보장한다.
●보안 및 신뢰: SIV의 엔드 투 엔드 검증 가능한 선거를 통해 유권자들은 개인적으로 투표를 확인하고 신뢰를 촉진하며 참여 동기를 부여할 수 있다.
●행정 부담 감소: 투표 과정을 간소화하면서 SIV는 선거 관리를 완화시켜 더 높은 투표율을 장려하는 더 부드러운 경험으로 이어진다.
10.외국인 및 군인에게 권한을 부여한다.
많은 해외 및 군사 유권자들에게 현재 관행은 투표권을 포기해야 한다. 가장 빠른 옵션은 종종 이메일 또는 팩스를 통해 투표 선택을 보내는 것이기 때문에 선거 관리에 의해 "복제"된다.
SIV는 해외에 거주하거나 일하는 시민들이 선거 과정을 보다 접근할 수 있게 한다. SIV는 어느 위치에서나 안전하고 개인적으로, 쉽게 투표할 수 있게 함으로써 SIV는 자국과의 관계를 강화하고 사회에 대한 지속적인 기여를 인정한다.
11. 전염병 방지 투표
코로나19 전염방은 직접 투표와 관련된 건강 위험으로 인한 대체 투표 방법의 필요성을 강조했다. 우편인 투표 용지는 도움이 되지만 우편 지연 및 투표 손실 또는 손상과 같은 문제에 직면할 수 있다. SIV는 보안 기능과 원격 접근성을 갖춘 SIV가 비상 사태 또는 건강 위기 중에 안전하게 진행될 수 있도록 강화 및 공중 보건 위험을 최소화할 수 있다.
12. 극한 날씨 동안 탄력성이 높아졌다
보안 인터넷 투표는 시민들이 집이나 대피소에서 안전하게 투표할 수 있도록 강력한 폭풍과 같은 자연 재해와 같은 중요한 자원이 될 수 있다. 극심한 날씨로 인해 마감해야 하는 여론 조사 장소의 수많은 예가 있다. 2012년 가을 루이지애나에서 열린 2012년 대통령 선거 및 역사 홍수에서 허리케인 샌디가 포함된다. 소규모 사례는 미국 내 어딘 가에 거의 매년 발생한다.
추가 옵션으로 온라인 투표를 제공하면 물리적 투표소의 필요성을 최소화하고 위기 동안 응급 서비스의 부담을 줄인다. 또한 선거 과정의 탄력성을 향상시키고, 선거의 연기 또는 취소를 방지하며, 안전 문제로 인해 집을 떠나지 않으려는 사람들 사이에 더 높은 참여를 장려할 수 있다.
13. 긍정적인 환경 영향
추가 옵션으로 인터넷 투표를 보장하면 종이 사용 및 운송 관련 배출량을 줄일 수 있다. 우리는 선거의 생태 발자국을 최소화하고 보다 지속 가능한 미래에 기여할 수 있다.
결론
컴퓨터는 본질적으로 종이보다 안전하지 않을까?
컴퓨터는 아날로그 옵션보다 훨씬 강력한 보안에 사용될 수 있으며 이미 정치적, 군사 및 경제 인프라의 많은 부분을 차지할 수 있다.
미국 하원은 1973 년부터 전자 투표 장비를 사용하여 모든 공공 투표를 했다. 이제 몇 초가 걸린다.
미국 원자력 무기고는 강력한 다자 암호화로 확보되며, 지휘 센터에서 최전선으로의 커뮤니케이션은 강력한 암호화로 확보된 디지털 채널을 넘어간다.
수백만 명의 미국인들이 온라인 은행을 채택했으며, 하루 만에 나스닥 증권 거래소는 수억 달러의 거래량을 보고 있다.
2023 년 5 월 현재, 집단 암호화폐 알고리즘은 현재 1조 달러가 넘는 시장 가치를 나타내며, 개별 장치의 비밀 정수에 의해 확보되고 SIV와 달리 가역성이 없다.
많은 사람들이 분명히 온라인 옵션을 선호한다. 많은 사람들이 인터넷 투표를 선호한다고 상상하기 쉽다. 특히 기존 종이 옵션보다 훨씬 안전한 디자인이 표시된 디자인을 보여준다.
SIV는 온라인 유권자 검증 가능한 선거 시스템을 제공하여 정확성 또는 부패의 증거를 제공하며 모든 시민이 쉽게 접근할 수 있다.
질문이나 피드백을 보려면 team@siv.org를 통해 문의하라.