问与答:电子投票活动人士对投票系统比较乐观

十多年来,巴尔的摩约翰霍普金斯大学(Johns Hopkins University)计算机科学教授、电子投票活动人士阿维埃尔•鲁宾(Aviel“Avi”Rubin)一直对全国范围内的电子投票系统持强烈批评态度。2006年,鲁宾撰写了《勇敢的新投票:电子投票时代维护民主的斗争》一书,书中严厉批评了电子投票机的安全性和可靠性缺陷。鲁宾与Computerworld谈论了最近的总统初选周期,以及他对电子投票进入11月选举的想法。以下是该访谈的编辑版本。

既然我们已经完成了我们的总统初选,你认为电子投票在这个选举季节进行得如何?电子投票真的很危险,也不受安全人士的欢迎,这不是因为选举可能会按照人们所感知的方式进行,而是因为可能发生的问题没有被人们所感知。

姓名:阿维·鲁宾

职务:电子投票活动家,计算机科学教授

组织机构:约翰霍普金斯大学

爱好:在40岁以上的联赛中踢足球,打网球和高尔夫球。作为一个狂热的摄影师,他在地下室有一个肖像工作室。

最大的爱好:航海;刚买了他的第一艘船,一艘40英尺的单桅帆船

最后一本书是:大屠杀幸存者维克托·弗兰克尔对人类意义的探索

如果我有一天做任何我想做的事,我会:去加勒比海航行。

最喜欢的食物:民族菜肴,包括印度菜、中国菜、日本菜和意大利菜

人们可能不知道他的一些情况:他是巴尔的摩独立安全评估公司(Independent Security Evaluators LLC)的总裁,该公司帮助企业解决内部安全问题。他于2005年开始从事17人的业务,并有一项不与电子投票业务合作的政策。

例如,如果人们担心电子投票机会以一种不明显的方式错误地记录选票,那么你可以进行一次选举,并说选举似乎进行得很顺利,但我们真的不知道。所以,考虑到我担心我们的投票机无法审核,我们也不能相信他们的答案是正确的,那么答案是,“我们认为一切顺利,但我们真的不知道。”

我们所担心的问题并不一定有明显的表现。我确实认为完全电子化投票的风险之一是,一个小错误可能会被放大,因为触摸屏电子投票机都是一样的,都是电子的,都需要电源,而且他们都使用计算机代码和一组特殊的情况,可能会导致不好的事情到处发生。我通常认为这不太可能发生,在这种情况下,它似乎没有发生。但对安全性和可审计性的担忧并不一定会留下任何潜在问题的证据。

电子投票倡导者和供应商说,这种担心是不满的阴谋论者的东西,他们不能接受我们使用的电子投票系统。你如何回应这些指控?我会问这些人是否愿意允许他们的银行账户不可审计。如果他们愿意放弃每月一次的银行账户账单,上面显示资金从哪里来,从哪里来,以及他们是否愿意放弃获得ATM交易的任何确认。

在我看来,在这个国家,选票和金钱一样重要,但我们有匿名要求,所以我们不能得到关于我们的选票和我们投给谁的每月报表。因此,我们需要有一个系统,能够容纳审计,以确保机器得到正确的结果。

你能告诉我你对这个选举季节的技术分析吗?你有没有看到任何关于电子投票技术和机器的问题?我在一些邮件列表上看到一些人在不同的地方谈论各种投票机的总数有一个或两个不匹配,但我没有看到任何技术证据,特别引起我的关注。

如今,科技公司能否通过投票建立安全可靠的系统?一定地。我见过我很满意的投票系统的设计。我不认为任何事情是完全安全的。最终,我认为我们的目标是尽我们所能做到最好,而不是完美。当你谈到一亿张选票时,全国几乎都是在同一天投票,没有彩排。

那么你认为有什么需要改变的呢?首先,有几个领域出现了问题。其中之一就是我们的认证和测试实际上并没有涵盖所有的场景。例如,如果你把一台投票机从四英尺高的地方摔下来,它还能用吗?或者如果你在房间里达到一定的温度,投票系统会有什么问题?它不能真正测试投票系统在特定的软件故障中的表现,因为你无法预测所有的软件故障将会是什么。

美国国家标准与技术研究所(NIST)确定了我认为电子投票机的突破性特性,即使其独立于软件的想法。这意味着设计投票系统时,软件故障不会对选举的准确性和完整性产生任何可能的影响。这不是我的主意。这是NIST。他们发表了一篇论文,指出了这一点,我说那是你想要的杀手财产。

当我读到这篇文章时,我的头上突然有一盏灯熄灭了,我说这是一个很好的方式来描述我一直想说的话。作为一个软件专家,我一直担心的是,我们需要的是冗余的软件,而且在这个过程中不受信任。

那怎么办?你是不是又在说使用老式的计票机和机械系统了?不,你可以用电脑系统来做。如果你一开始的目标是设计一个独立于软件的东西,这与设计一个没有这个要求的东西是不同的心态,那么你的设计就非常非常不同。您有冗余组件。

我给你举一个独立于软件的系统的例子。你有一个系统,选民使用触摸屏进行选择,触摸屏机器,当他们完成后,打印出一张他们看到的纸质选票,并拥有他们所做的所有候选人选择。然后,投票人拿着打印好的选票,把它放进扫描仪。扫描器对选票进行清点,并记录所有选票。现在如果这个系统上的软件失败了,他们就不会得到打印出来的选票,然后他们就可以接受和批准。

选举结束后,你随机挑选一堆扫描器,然后审核它们。你数一数试卷,然后比较扫描器运行的总数,或者你有一个不同的独立扫描器运行选票,看看你是否得到相同的答案。

在这个过程的任何阶段,软件中的一个缺陷要么被发现并改正,要么它将阻止你继续进行,在这种情况下,你可以通过其他方式拉起选票。

现在让我们将其与现有的直接记录电子(DRE)触摸屏机器进行比较,在这种机器中,选民进来并标记自己的选择,这些选择存储在机器内部的磁卡上,一天结束时,投票官员拿到卡片,卡片上就有了所有的计票结果。软件中的任何缺陷都可能改变所有计票结果或错误地记录选票,而且不会有任何制衡,因为没有选民所作实际选择的纸质记录。

你对今天的电子投票安全有何分析?基于你们对电子投票的长期关注,我们能确定今年的初选中有合适的人选获胜吗?我个人并不怀疑选举中的得票人是对的。我用了几个因素。一是我们似乎得到了所有民调显示的结果。记住,我只关心潜在的问题,但我们使用的是无法审计的系统。这和“有人作弊”是两码事,这是我从未经历过的另一个飞跃。

我只是说,让我们通过拥有可以审计的系统来避免将来可能出现的大问题。这基本上就是我的论文。我认为,如果说(丹尼斯)库奇尼奇在民主党初选中获胜,那么我会说是的,出了问题(因为这不是通过选举进行的民意调查得出的结果)。但考虑到民调的进展和初选结果,希拉里·克林顿有可能成为民主党候选人吗?我认为不太可能,但绝对有可能。在一些关键州,这种错误不会那么严重,然后她就会有更多的代表。

但是,在我们开始使用电子机器之前,即使是旧的机械杠杆机器,难道我们不总是容易出现这样的错误吗?当然,我已经写了很多关于杠杆式机器的弱点的文章,我从来没有主张过要回到那些。但DRE实际上更糟,因为如果杠杆机器出现错误,通常是因为有人设置错误。不管是有意还是无意,这只会影响到一个地区的一台机器。如果到处都在使用的DRE软件中有错误,我们可能不知道那里有问题。这可能是恶意的,也可能是偶然的。

但是,今天做得更好还需要电子投票系统吗?我们能否利用它们,进行安全、可靠的选举,以及你们所倡导的必要的制衡?是的,软件独立系统可以做到这一点。这是一种设计理念。当你建立一个投票系统,你试图建立它,使任何特定的软件组件不依赖于选举的准确性。

实现这一目标的最简单方法是采用纸面投票。实现它的另一种方法,我认为还处于研究阶段,是通过密码学,我认为最终我们将能够用密码学取代纸质。密码学是一种奇特的数学,可以用来测试某些属性,比如你可以做加密,你可以做签名和验证。还有一些加密技术可以用来实现软件的独立性,这样即使软件中有bug,你也能检测出是否有问题。但在我看来,这些还没有准备好迎接黄金时间。