"Framväxande valteknologier som förbättrar integritet, transparens och förtroende" AAAS Panel Sammanfattning

Val som är säkra, säkra och verifierbara av allmänheten är en väsentlig del av varje demokratisk regering. Det har funnits offentliga upprop om förändringar i valprocessen i USA och runt om i världen eftersom medborgarna har varit frustrerade över bristen på transparens. Valförtroende från majoriteten av sidublic är inte lätt att få tag på, men paneldeltagarna i en CCC-organiserad panel vid AAAS årsmöte gav många förslag på steg vi kan ta för att göra just det.

Paneldeltagarna vid sessionen, "Emerging Election Technologies Enhancing Integrity, Transparency and Confidence” var Philip B. Stark (University of California, Berkeley), Josh Benaloh (Microsoft Research), och Poorvi L. Vora (Georgoch Washington University). Elizabeth (Liz) Howard (Brennan Center for Justice) var moderator.

Liz inledde sessionen med att beskriva att demokratier runt om i världen är under attack, och det är avgörande för framtiden för dessa system att vi har valförtroende. Hon förklarade att teknik kan bekämpa dessa hot genom materiella bevis på valintegritet, särskilt med evidensbaserade val, verifierbara röstsystem från slut till ände och riskbegränsande revisioner.

Philip inledde paneldiskussionen med att hävda att "oavsett om du tror att valet 2020 var korrekt eller inte, visar det faktum att många människor inte att vi behöver genomföra val på ett sätt som genererar övertygande bevis för att rapporterade valresultat är korrekta." Motgiften mot bristande tillit enligt Philip? Bevis. Det räcker inte för valförrättare att avgöra vem som vann ett val och förklara det, thAllmänheten förtjänar övertygande bevis. Alla bevis om val är inte bekräftande bevis på att resultatet är rätt. Till exempel kan en rättsmedicinsk undersökning av röstsystemsmjukvara inte hitta någon skadlig programvara – men det är inte bevis för att resultaten är korrekta, bara att en typ av problem inte uppstod. På samma sätt ger en korrekt, fullständig handräkning av pappersspåret inga bevis för att resultatet är korrekt om det inte också finns bevis för att pappersspåret korrekt återspeglar hur folk röstade. Det finns flera sätt att samla in övertygande bevis för att ett val utlystes korrekt samtidigt som röstsedlarnas anonymitet bibehålls. Nyckeln är att val ska vara bevis baserat, inte förfarandebaserad vilket är den nuvarande standarden. Ett sätt att tillhandahålla bekräftande bevis är en riskbegränsande granskning (RLA) av säkert kurerade handmärkta pappersröstsedlar.

RLA kräver en bevisligen pålitlig pappersbana. (Tillförlitligheten beror på hur pappersspåret skapas, redovisas och tas om hand. Ingen revision som förlitar sig på opålitliga papper kan ge bekräftande bevis för att de rapporterade vinnarna verkligen vann.) RLA:er har testats genom flera val sedan 2008, och National Academies rekommenderade dem officiellt 2018. RLA:er är en nyckelingrediens i evidensbaserade val eftersom de kan generera bekräftande bevis för att det politiska resultatet är korrekt, snarare än att bara upptäcka fel (t.ex.oblem med tabuleringen). Val och revisioner behöver hållbara, fullständiga och pålitliga röstregister som förvaras fysiskt säkra genom hela arbetsytan och revisionen. Då kan val vara offentligt verifierbara, vilket är ett mål för nästa paneldeltagare, Josh, också.

Josh upprepar att det råder en förtroendekris för val i USA och runt om i världen, och skyller på att offentliga bevis dör för dessa utbredda frågor. I majoriteten av valen i dag, förklarar han, förser vi inte väljarna med materiella bevis för att rösterna räknas korrekt. Vi ber väljarna att lita på lokala valförrättare, utrustningen, utrustningsförsäljarna och andra – oavsett om dessa enheter är pålitliga eller inte. Han föreslår en lösning på denna brist på offentliga bevis: end-to-end (E2E) verifierbarhet. När ett val är E2E-verifierbart får väljarna direkta bevis på att deras röster räknades korrekt. Det kräver ett verifierbart valregister som gör att väljarna kan bekräfta den korrekta räkningen av sina röstsedlar utan att behöva lita på personerna eller tekniken som styr valet. Det finns två kärnprinciper för E2E-verifierbara val:

1. Väljare kan verifiera att deras egna val har registrerats korrekt
2. Vem som helst kan kontrollera att de registrerade rösterna har räknats korrekt

Dessa val gör en avgörande ändring av ett typiskt val: väljarna får en bekräftelsekod när de röstar som de kan använda för att bekräfta korrekt registrering av sina val. Väljare kan senare bekräfta på en offentlig webbplats att deras bekräftelsekoder finns och att de angivna bekräftelsekoderna stämmer överens med de aviserade sammanställningarna. Väljare har valet att bara rösta och inte kontrollera korrekt registrering och/eller räkning av sina röster, eller att kontrollera så noggrant som de önskar. (Observera här att väljarna inte kan se innehållet i sina röstsedlar när de väl har avgivits – bara att de inte har ändrats från det att de avgavs och eventuellt verifierats. Detta förhindrar tvång och röstförsäljning.)

E2E-verifierbarhet kräver i allmänhet avancerade kryptografiska verktyg som Threshold Homomorphic Encryption, Non-Interactive Zero-Knowledge Proofs och mer. Nuvarande amerikanska riktlinjer för valstöd inkluderar krav på E2E-verifierbarhet. Den här tekniken börjar användas i USA och runt om i världen idag och har testats i flera amerikanska val sedan 2009 (inklusive ledarskapsvalet i USA:s hus Demokratiska Caucus 2020).

Poorvi utökade användningen av E2E-verifierbarhet i andra val i USA, med början med Takoma Parks kommunalval 2009. Det var det första regeringsvalet i USA med sekretessbevarande end-to-end verifierbar teknologi där vem som helst kunde bekräfta representerade rösterna korrekt. Väljaren fyllde i ovaler som motsvarade deras val till borgmästare och fullmäktigeledamot. De använde speciella pennor som avslöjade bekräftelsenummer tryckta med osynligt bläck i ovalerna, och hade möjlighet att skriva ner dem så att de senare kunde kontrollera dem på hemsidan, eller så kunde de bara lägga sina röster och gå. Valet garanterade väljarkontrollerbarhet eftersom väljarna kunde kontrollera sina bekräftelsenummer på valwebbplatsen, och det hade universell verifierbarhet eftersom informationen var allmänt tillgänglig för att kontrollera att siffran beräknades korrekt från bekräftelsenumren. 

Poorvi betonade att det är viktigt att behålla vissa aspekter av de traditionella valmetoderna: ”Vi vet inte hur vi ska göra valen helt säkra utan människor och fysiska processer. Utan dem kan en väljare som upptäcker ett problem inte bevisa det, och observatörer kan inte skilja en sann väljare från en som ljuger.” Hon förklarade också att införandet av matematiska modeller som bättre representerar den verkliga revisionsprocessen på plats kan förbättra RLA.

Poorvi avslutade panelen med att berätta att lagstiftning som kräver eller tillåter RLA och andra valverifierande krav för närvarande finns i många delstater i USA idag, och det har resulterat i granskningar av många bindande val. Mycket återstår dock att göra. Det krävs en enorm mängd dedikerade individer för att identifiera och distribuera dessa tekniker i miljöer som kan bli fientliga mycket snabbt, men det är avgörande att vi investerar i dessa tekniker för att göra varje val offentligt verifierbart.

Under frågestunden efter panelen frågade en publikmedlem om vi har mer information nu om bristande valsäkerhet, eller hör vi bara mer om det? 

• Philip förklarade att även om det inte finns några bevis på fler problem idag än tidigare, har beroendet av teknik förändrats vilket ger valprocessen fler sårbarheter, vilket möjliggör grossistattacker på distans, medan det historiskt sett skulle ha krävts att ändra ett stort antal röster. fysisk tillgång och många medbrottslingar. Även när man förlitar sig på teknik är det möjligt att samla in bekräftande bevis för att utvärdera resultatet, men det svåra är att övertyga regeringstjänstemän att göra arbetet med att skapa ett pålitligt pappersspår, se till att det förblir pålitligt och använda det i lämpliga revisioner.
• Josh noterade att det länge har förekommit valfusk i USA och internationellt, men valtjänstemän har kommit fram till att de senaste nationella valen i USA har varit mycket renare än de flesta. Men bara för att det verkar finnas väldigt lite bevis på bedrägeri betyder det inte att våra val är säkra. På grund av de tusentals samtidiga, individuellt genomförda valen är det faktiskt relativt lätt att attackera några av dem. Det är inte lätt att göra det utan att lämna bevis bakom sig, men det finns ett akut behov av teknik för att lappa hål i hur valen för närvarande genomförs. Det är avgörande att vi utformar val så att allmänheten kan validera dem.
• Liz påpekade att det är viktigt att erkänna den miljö som valtjänstemän befinner sig i. Trots bristen på bevis på valfusk sa 77 % av valförrättarna att de har känt sig otrygga och 1 av 6 var hotad. Den genomsnittliga valtjänstemannen är en 50-64 år gammal vit kvinna som har en årslön på 60k, och de förväntas bekämpa inhemska och internationella fiender. Att samarbeta med valförrättare och få dem att köpa in sig i denna teknik på lokal nivå är viktigt. Decentralisering av valsystemet är en styrka mot ett angrepp. Det finns många utmaningar både när det gäller att implementera denna teknik och att beordra procedurer.
• Josh motsatte sig Lizs poäng om decentralisering och sa att många människor tycker att heterogeniteten i våra system är en styrka, och det skulle vara om en angripare var tvungen att attackera dem alla. Men vi erbjuder bara en meny med olika system för en hackare att attackera. Så de kan bara välja den svagaste länken och attackera den.

CCC Council Member Katie Siek ställde en annan fråga: Vad gör du för tillgänglighet inom valteknik?

• Philip: Valteknik som marknadsförs som "tillgänglig" är det ofta inte. Dessutom äventyrar vissa valsedlar (BMD) integriteten eftersom de skriver ut en röstpost som inte ser ut som en handmärkt pappersröstning. Vissa säger att för att bekämpa denna fråga bör vi använda alla BMD:er, men jag håller inte med: allmän användning av BMD:er undergräver pappersspårets tillförlitlighet, eftersom BMD-utskrift är en registrering av vad maskinen gjorde, inte en registrering av vad väljaren gjorde. Nuvarande BMD:er tillhandahåller inte ett sätt för väljare med synskada att kontrollera om utskriften korrekt återspeglar deras val: de måste lita på att det som maskinen "sade" är detsamma som det den skrev ut. Ett allvarligt fel med säkerhetsmodellen för BMD:er är att endast väljaren har möjlighet att avgöra om BMD har skrivit ut sina röster korrekt, men om en väljare märker att BMD har skrivit ut sina val felaktigt, finns det inget sätt för väljaren att bevisa att någon annan som det gjorde. Väljaren kan begära en ny chans att skriva ut sina val, men det finns inget sätt för valtjänstemannen att se skillnaden mellan väljarfel, maskinfel eller en väljare som gråter "varg". Om en tjänsteman tror att väljaren att maskinen inte fungerar, är tjänstemannens enda alternativ att avbryta valet och köra ett helt nytt, eftersom det inte finns något sätt att avgöra vilka utskrifter som påverkades av maskinens felaktiga beteende. I tekniska termer är val som genomförs med valsedlar inte "starkt mjukvaruoberoende". Systemet kan inte återställas från upptäckta fel.  
• Josh: Det finns olika tillvägagångssätt, men överlag gör vi ett bedrövligt jobb i USA för personer med syn-, motoriska, etc. funktionshinder. De måste vanligtvis använda en separat enhet i hörnet. Till exempel är Noel Runyon en tekniskt skarpsinnig blind väljare som är envis när det gäller att använda tillgängliga enheter för att rösta och skriver artiklar i sin blogg om det. Det tar ofta timmar för honom att rösta när det ska vara enkelt. Ett hinder för att göra röstningen enklare för personer med funktionsnedsättning är att tillgänglighetsgemenskapen säger att pappersröstningar inte fungerar, och säkerhetsgemenskapen säger att papper är det enda sättet.

Därefter frågade Daniel Lopresti, CCC Councils ordförande: "Hur hanterar du människor som är övertygade om att dessa teknologier är farliga eller opålitliga?" 

• Josh: Dessa människor måste tas på allvar. Jag har haft många diskussioner med valförrättare och de är väldigt försiktiga och konservativa. När jag förklarar verifierbarhet från början till slut för dem, gillar de i allmänhet att det till och med inser att det kommer att avslöja vilket litet misstag de gör. Men vissa människor litar mindre på matematik än människor och detta är fortfarande en utmaning.
• Philip: Jag håller med om att det är ett problem, men jag tycker att inramningen borde vara att det är ett problem för pedagoger; det är mitt jobb att förklara saker på ett sätt som alla kan förstå. Jag ägnar mycket tid åt att försöka hitta metaforer, analogier och exempel. Till exempel, för att förklara slumpmässigt urval – hur man kan lära sig något användbart om en stor befolkning från ett litet urval – använder jag analogin med att lära mig hur salt soppa är baserad på att bara smaka en sked (efter att ha rört soppan väl), oavsett hur stor potten.
• Liz: Det är avgörande för oss att kunna förklara hur det fungerar för publiken, om vi inte kan förklara det i klartext så uppnådde vi inte vårt mål.
• Philip: Många av oss säger att du inte ska lita på de leverantörer som för närvarande gör programmeringen, men du ska inte heller lita på oss. Väljarna bör kunna kontrollera processen själva.
• Josh: Skillnaden är i princip att du kan göra allt själv; just nu kan oärliga valtjänstemän sannolikt stjäla ett val. Med denna teknik kan du välja vem du ska lita på och kontrollera dig själv.
• Poorvi: Att demokratisera informationen kring valet, inklusive koden som används, är tanken. Du kanske inte skriver koden själv, eller kan bearbeta den alls, men informationen kommer inte att vara begränsad till ett fåtal. Att få ihop politiska partier och låta dem kontrollera processen skulle vara till hjälp. Att ha nyhetskanaler främja kontroll av dina bekräftelsenummer eller observera riskbegränsande revisioner skulle också vara bra.

Den sista frågan för sessionen var "Hur lång tid tar det att genomföra en riskbegränsande revision? Finns det några studier som har tittat på om de ändrar uppfattning, eller finns det andra förvirrande variabler som ändå begränsar tillit?”

• Philip: Ett problem med RLA är före valet, du vet inte hur mycket arbete det kommer att bli eftersom det finns så många variabler. Du vet inte hur snäva marginalerna kommer att vara eller hur många fel du kommer att hitta i revisionen, så det är svårt att säga hur mycket arbete du kan förvänta dig. Ballpark-nummer med effektiv granskning är att den första omröstningen från en sats tar 3 minuter, sedan 1 minut per omröstning för ytterligare röstsedlar från den satsen. Du måste hitta ett parti röstsedlar, kontrollera/registrera sigillen, räkna till en hög, transkribera data, lämna tillbaka röstsedlarna till sina platser och försegla igen. Ett exempel på en procent av röstsedlarna du skulle behöva ta prov på är i Orange County för 191 individuella lopp är att de kunde ha tittat på 1.3 % av röstsedlarna för att kunna validera varje lopp. Metodiken förbättras och det blir lättare att genomföra dessa revisioner.
• Josh: En RLA görs vanligtvis först efter att alla röster har räknats. E2E-verifiering kan matcha vilken granularitet som än görs av valförrättare. Varje gång rösträkningen släpps kan du verifiera den vid den tidpunkten. Vanligtvis gör de det bara i slutet ändå.

Stort tack till Philip, Josh, Poorvi och Liz för att de delar med sig av sin kunskap med samhället om hur datorteknik kan fungera som ett hjälpmedel för att säkra val. Håll utkik efter en annan CCC-sponsrad sammanfattning av AAAS-årsmötets vetenskapliga session nästa vecka på torsdag.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://feeds.feedblitz.com/~/732489284/0/cccblog~%e2%80%9cEmerging-Election-Technologies-Enhancing-Integrity-Transparency-and-Confidence%e2%80%9d-AAAS-Panel-Recap/