インターネット投票システムは簡単に攻撃されてしまう? 51
ストーリー by hylom
たまたま既存のものがダメだったという可能性は? 部門より
たまたま既存のものがダメだったという可能性は? 部門より
taraiok 曰く、
2012年3月2日、ミシガン大学のアレックス・ハルダーマン教授はビデオ動画の中で、現在の技術ではインターネットを活用した電子投票システムは安全に行う方法がないと主張している(本家/.過去記事)。
動画の中では、過去にコロンビア州が行った海外にいる有権者や軍隊にいて投票所に行けない有権者向けのオンライン不在者投票システムの実験(boingboing.net記事)においても、簡単にシステムの脆弱性を見つけてハッキングできたことや2010年9月にワシントンD.Cで行われた公開実験でも、あっという間にシステムに侵入し、(投票数の改ざんやパスワードの変更、ミシガン大の応援歌を流すといった)冗談とも思えるほどのの改変を行っている(AFP BB News記事)。
もちろん、こうした行為はあくまで相手の許諾がある上での実験であり、実際にあなたが許可無くこうしたハッキングを行えば、FBIが午前4時にあなたの家のドアを開けて迎えに来るだろうともしている。
システムの熟成や信頼性とか (スコア:3, 興味深い)
たとえばapacheなど、頻繁に使用される物に関しては
これまた頻繁に修正が加えられ、気の遠くなるような数のセキュリティフィクスが長期間行われているわけですけど
たとえ、外部にさらされている(=攻撃される)時間が短時間とはいえ、
歴戦のプログラムと即席の投票システムが同程度の安全性、信頼性を持たせるのは
とても現実的とは思えないんですが有識者の方はどうお考えでしょうか?
加えて、「末端が新しいシステムに対応しきれなくて、正しく運営できなかった」という話は
決して珍しい話では無いですし、ヒューマンエラーを含めるととても電子投票だなんて実現出来る気がしないのです。
果たしてそんな強固なシステムを構築し、安全に運営することなんて出来るの?
Re: (スコア:0)
果たしてそんな強固なシステムを構築し、安全に運営することなんて出来るの?
「完全無欠、未来永劫絶対安全」なシステムを最初から構築するのは無理でしょうね。
逆の発想で、「このシステムには何らかの欠陥が必ず存在する」と想定し、思いつく限り
欠陥をフォローできる対策を用意しておく。それでもすり抜けた欠陥については
システムの限界として妥協する(社会的に不正であっても今回は正当とする。勿論すぐに対策を施す)
というのが現実的だと思います。
これを繰り返せば、「完全無欠」にある程度近づける事が可能だと思います。
# 法律にも「法の不遡及」があるのは、法律が完全無欠でない事を自認しているからですよね
端から「完全無欠以外は認めない」とするのであれば、システムなんて何も作れないと思います。
コロンビア州? (スコア:2)
いったいどこじゃ?と元ソース読んだらDCの事のようですね。
コロンビア州って呼び方します?特別区とかならまだしも。
Re:コロンビア州? (スコア:3)
そもそもboingboing.netの記事とAFPの記事は同じ事例です。コロンビア特別区で2010年9月に行った実験に、ミシガン大学のアレックス・ハルダーマン教授率いるチームがハッキングしたという。
Washington D.C.のD.C.がDistrict of Columbiaを意味することに気付いていなかったようですね。
Re:コロンビア州? (スコア:1)
アメリカやイギリスの地名をなんでもかんでも州にするのは/.Jの編集者の仕様なのであきらめてください。
Re: (スコア:0)
アメリカ英語をアメリカ語と略したり、ロスでは日常茶飯事だったりするのと同じ種のジョークでしょうか
Re: (スコア:0)
アメリカ英語をアメリカ語と略すのはそう間違っちゃいない。
電子投票で匿名性はどうやって確保すればいいの? (スコア:2)
投票数の改ざんなど、単なるシステムの実装の脆弱性に対する攻撃なので防ぐことが不可能なわけではありません。それに対して電子投票の匿名性の問題ははるかに根本的な問題だと思うのですが、これを解決しうる方法ってあるんでしょうか?ゼロ知識証明が真であること以外を知らせずに証明できるように、各自がどの投票者に投票したのかわからないが得票するをカウントできるような意外な方法があるのでしょうか。本家の議論を読んでもよくわかりませんでした。
Re: (スコア:0)
1. 個人情報を用いた認証後に投票用トークンを配布.
2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする
3. トークンを用いて投票する
あとはアクセス方法の匿名性が確保できさえすれば良くて,
むしろこっちが問題なんじゃないのかしら?
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
投票用紙を郵送しておいて
希望者には公共料金の集金人みたいな人がネット端末持ってやってきて
その人に手元が見えないようにして端末操作して投票用紙を渡して終了
ってのを考えてみたところで
そもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)
ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)
もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
とか考えてたら、普通の選挙でも政府が個人を特定する方法を思いついてしまった。投票用紙を発行するときに、紫外線に反応する不可視インクのようなものでこっそり投票用紙に投票者の名前を書いておきます。有権者は肉眼ではその名前は確認できないので安全だと判断するしかありません。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
集票人が悪徳政府とグルだったら、投票人はどうにもできません。
インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
今だと投票所で本人確認する、というのが防止策になってます。
(本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)
インターネット投票だと、本人にトークンの類いを渡したとして、
そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。
(あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
そのとおりですね。
ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えになります。
このあたりの点を最初のコメントで書き忘れたんですが、日本で運用されているような紙に書く代わりにボタンを押すという違いだけの電子投票ではなく、インターネット越しに投票を受け付けるようなシステムについて疑問を述べています。このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
「調べられないトークン」について理解しました。私の理解が追いついてませんでした。
ご教示ありがとうございます。
>このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。
兎にも角にも、本人確認が難しいんですよね。
普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。
本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。
アレだ。
正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。
投票者名と投票結果はもうダダ漏れにしちゃおう。でも。
田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。
そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。
個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。
全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。
悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。
……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。
Re: (スコア:0)
シンガポールでは投票用紙に通し番号が打
ってあります。偽造防止のためと説明されていますが。
Re: (スコア:0)
シンガポールは最近は改善されている [keizaireport.com]ようですが事実上の一党独裁状態なんで何とも言えませんね。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
>アクセス方法の匿名性が確保
というのは、アクセスしたのが誰なのかわからないようにするということでしょうか?それができてしまうと、多重投票を防ぐことができません。
Re: (スコア:0)
投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。
つまり、トークンのリストはあるが、誰のものかは分からない。
盗品トークンで投票されたら多重票も可能になるけれど、それを考慮したらどうしようも無い
事後対応するにはトークン→個人のリンク情報が必須になる
>アクセス方法の匿名性が確保
は多分、トークンの送付をもって認証とし、アクセス時に個人のIDを使わないということでしょう。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
民主的で透明性の高い政府なら破棄してくれるでしょうね。そしてもし自分が独裁者なら、誰にどのトークンを配布したかの情報は破棄したと偽って実際には破棄しません。独裁政権の声明を鵜呑みにして反政府勢力に投票した、疑うことを知らない暗愚な反乱分子を後でこっそり始末するのに利用します。
ちなみに従来のアナログ投票ならそんな心配は不要で、独裁者がどんなに頑張っても反体制派に投票した人物を特定することはできないでしょう。
# 手品を除くw
Re: (スコア:0)
投票システム自体を不正と疑うなら、それこそどんな仕組みを作っても無意味でしょう。
従来のアナログ投票でも、隠しカメラや投票箱の細工、選挙管理組織ぐるみの不正などを疑ってしまえば何とでもなります。
Re: (スコア:0)
Garbled Circuit 使えばなんとかなったりしないのかなーと
Re: (スコア:0)
投票所の端末で電子投票した場合にも言えませんかそれ。
最初に投票する人に投票システムのソースコードを見せて不正が無いことを確認してもらったりするんでしょうか。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
Re: (スコア:0)
電子投票は代筆と同じ
開票結果が出てくるまではブラックボックス
透明性と秘密をバランス良く守るシンプルな仕組みが不可欠なはずですが
Re: (スコア:0)
よく言われる折衷案としては投票したら結果を印刷した紙が出てきてこれを投票箱に入れるというもの。
集計結果に疑問がある場合(投票した人の数より票数が多いとか)はこの紙の方を再集計すればよいと
言われるのですが、電子投票の利点であるコスト削減に逆行するので実用化はされていないみたいです。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
今回の疑問とは別の問題ですが、得票数の水増しがなされる場合も電子的な集計だけいじるような間抜けなことはないでしょう。水増しした票と同じ数だけ印刷もするでしょうから、水増しされても電子的な集計と紙の集計結果は一致すると思われます。
Re: (スコア:0)
> その投票用紙を印刷する機械は誰がどこに投票しているか知っているはず
投票所に来させる限り、他の不正はともかくとして匿名性の問題は起きないように出来ますしそうなってます。
そもそも現在の日本で使われている方式の電子投票機は、誰が投票しているかを機械が知ることはないんじゃないんですか?
投票するためのICカードを渡されて、それを使って電子投票して、終わったらカードを返却という手順。
カードは単に「機械につっこんだら一回投票操作が出来る」というトークンだったはずですが。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
IC カードは1回だけ投票操作ができるトークンだということは機械はそれぞれのICカードを区別できているはずで、投票者の身元を確認してからICカードを渡すのでどの投票者がどのICカードを受け取ったのか把握することが可能です。投票用紙は区別がつきませんが、IC カードはトークンが含まれるのでそれぞれ区別が可能です。したがって、投票者は自分の投票先が(選挙の管理者も含め)他人に知られる恐れがあるのではないか、という疑問です。
もちろん日本ではそのようなことはしていないとは思いますが、民主的でない政治体制の国では平気で行われる可能性がある、ということです。
Re: (スコア:0)
> 通常の選挙なら投票用紙に仕掛けがないことを確認すれば、投票箱の中で他の票と混ざるので安全だといえます。
つ手品
Re: (スコア:0)
ああなるほど、そういう心配はありますね。
ならば個別識別が出来るICカードなんてものじゃなくてコイン型トークンを使えばどうだろうとも思いましたが、投票機で投票時刻のログを取って、受付では誰が何時頃に投票手続をしたかを記録しておいてつきあわせる、なんて事をされたらどうにもならないですね……
Re: (スコア:0)
ありとあらゆる可能性をあげつらって言えばどんな投票方式でも隠しカメラをつけてとか投票用紙に細工してとか難癖をつけられるので、勘ぐり過ぎとしか言えません。
なぜこれ位自分で調べず他人に投げるのか分かりませんが、電子的投票とともに印刷する方式の紹介は検索すれば手に入ります。
例えば
E-Voting Technology Glossary [techtarget.com]
の"voter-verifiable paper audit trail (VVPAT) or (VVPT)"にごく基本的な説明が、
Election [virginia.edu]
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
なんでやや喧嘩腰なのかわかりませんが、教えていただいたリンクはこの一連のトピックで自分が求めていた一番有益そうなものです。浅学にて電子投票には疎く検索もままならないことからとても助かります。他のコメントは問題点をちゃんと理解して頂けていないものが多く、「問題はそこじゃないんだよ」と方向修正に手一杯で、ようやく具体的な情報を教えて頂けた初めてのコメントですから嬉しいものです。ありがたく読ませていただきたいと思います。
# さっき従来の投票の小細工絶対無理って書いたけどちょっと吹きすぎました。反省します
皆さん色々書いてますが (スコア:0)
インターネット実名制で決まりです。
匿名の発言は臆病者のすることです。
Re: (スコア:0)
>匿名の発言は臆病者のすることです。
>by Anonymous Coward
もうこのネタは秋田
クライアント証明書じゃダメなのかなぁ? (スコア:1)
と、思ったら個人識別以前の問題なんですね・・・
Re: (スコア:0)
宗教団体がクライアント証明書を提出させて組織票を投じたりお年寄りの家で代わりに操作してあげるついでに投票したりするのを防ぐ手立てがないことにはなんとも。
Re:クライアント証明書じゃダメなのかなぁ? (スコア:2)
まあ組織票が強さを発揮するには全体的な投票率は低い方がいいから、
そういう団体は、電子投票には反対するでしょうね。
それでもソーシャル的な選挙違反がしやすくなるのは問題ですね。
投票用紙を回収してずらして投票するといったことより簡単で罪の
意識も低くなりそうです。
Re: (スコア:0)
宗教団体なら今の方式でも組織票を投じるんだから一緒でしょ
Re: (スコア:0)
全然違いますよ。
一家族の中でも熱心な信者とそうでない信者(あるいは信者ですらない人)がいるときを考えて下さい。
あるいは付き合い上A候補に入れたことにしなければならないけれど、本当はB候補に入れたい人とか。
宗教団体や特定団体の熱心な信者が一同に集まって投票するんじゃないですよ。熱心な人が個々に散らばって他人の投票を強要したり監視したり買収したりするんです。
たとえ不正行為を行ったとしても実際の投票では有権者が裏切るかもしれない、というリスクを背負った現状とは差異が大きすぎます。
はっきりいって匿名性が担保されないインターネット投票は不正の温床ですし、民主主義の根本を否定しています。
そんなものをやるくらいなら投票率が低いほうがはるかにマシです。
Re:クライアント証明書じゃダメなのかなぁ? (スコア:1)
買収や強要をされた有権者というのは案外裏切らないらしいです、まあそれでも
投票行動を監視しやすくなるのも問題でしょうね。
本人認証と投票内容の匿名性までは、今の暗号技術でも答えがありそうですが、
投票作業中のキー操作等を読まれても投票内容を他人に知られないようにする
のは、新しい理論とか新しい電子デバイスが必要かもしれません。
例えば、アリスが foo と入力すれば、候補者名簿の一番の人への投票になるけれど
ボブが foo と入力してもそうならないし、監視者が事前や事後にキーを聞き出して
いてかつ foo という入力を知っても実はキーは複数あって、異なるキーだと異なる
候補者への投票となるので、本当のアリスの投票内容は判らない。しかもアリスは
独力でかつ暗算でキーと候補者番号から foo を導く必要がある。
なんかみんな話題を間違ってないか? (スコア:1)
これは「この投票機はクソだ!実際に使われているがな!」って言ってるだけだぜ?
投票機がクソだったりコード書いてる業者にカネ渡して水増しさせたりってのはだーいぶ前から問題になってるじゃん。
アメリカの朝は早い (スコア:0)
>FBIが午前4時にあなたの家のドアを開けて迎えに来るだろう
アメリカって朝の早い人が多いんだよね
初めて見た早朝のラッシュがとても不思議だった(単に渋滞が酷すぎるから早く家を出るのか?)
で、日本の税務調査は日中におこなう決まりになってるらしいんだが、FBIにとっては午前4時はもう日中なのか......
Re:アメリカの朝は早い (スコア:1)
カッコウはコンピュータに卵を生むか何か忘れたけれど、その手の本で読んだ覚えがあります。
具体的に午前4時って云ってるのは、文章を面白くするための言葉のアヤで。
// 野暮だったかな
Re: (スコア:0)
びふぉー あれすと ってやつですね<やさしくぜんぶかながきにしちゃったぜ
Re: (スコア:0)
Re:アメリカの朝は早い (スコア:2, 参考になる)
日本の家宅捜査も日の出から日の入りまでが令状発出の基本だよ~
賭博場などの例外はあるけど
説明するのは野暮だけど (スコア:3, すばらしい洞察)
布団の中で一番ぬくぬくとしていたい時間に叩き起されてパジャマのまま逮捕されるよ。
まあそのくらい重大犯罪だよと言っているだけですね、これは。
Re: (スコア:0)
ストーリーと関係ないのでオフトピ気味ですが…
彼らの朝が早いのは通勤時間の関係もありますよ。
平気で朝から2時間ぐらい運転して通勤してますもん。
Re: (スコア:0)
通常の税務調査は納税者の同意の下で行われる任意調査なので、勤務時間外に行う必然性を認められていない。
これをFBIの強制調査と比較すること自体モノが分かっていない。
裁判所の令状を伴っているマルサの強制調査などの場合は時間など関係なく行われる。
電子投票の話になると (スコア:0)
投票所に行くコストを下げるためのシステム(家からとか携帯から投票できる)の話と
開票コストを下げるためだけのシステム(開票時間になると表示されるだけ)の話が
ごっちゃになって繰り広げられやすくてわかりにくい