Способ голосования с высоконадежной биометрической защитой анонимности голосующего

Способ голосования с высоконадежной биометрической защитой анонимности голосующего

Иллюстрации

Показать все

Реферат

Изобретение относится к вычислительной технике и может быть использовано в системах анонимного электронного голосования при проведении выборов, опросов, референдумов, предусматривающих личную явку избирателя на избирательный участок.

Техническим результатом изобретения является появление гарантий того, что сам избиратель, оставаясь анонимным, может проследить судьбу своего личного волеизъявления при его учете на любом из уровней подсчета голосов (местная избирательная комиссия, областная избирательная комиссия, республиканская избирательная комиссия, центральная избирательная комиссия).

Известны способы для тайного голосования [1, 2, 3], построенные на использовании бумажных бюллетеней. Основным недостатком способов является их высокая трудоемкость, а также то, что возможна компрометация результатов голосования, если осуществлен сговор части голосующих, и все они неверно (с ошибками) заполняют свои бюллетени. Тогда, после оглашения результатов голосования, организаторы компрометации могут обвинить избирательную комиссию в подтасовках. Только этого обстоятельства достаточно, чтобы сделать способы [1, 2, 3] непригодными для практического применения.

Автоматизация подсчета голосов и снижение трудозатрат осуществляются при переходе к использованию электронных бюллетеней [4]. Основным недостатком способа [4] является то, что электронный бюллетень слабее защищен от попыток компрометации системы голосования. Так, возможно многократное использование одного и того же электронного бюллетеня, не обеспечивается тайна голосования. Возможна атака на систему голосования с использованием ложных средств идентификации голосующего. Свой идентификационный код избиратель получает в избирательной комиссии [4], и из-за анонимности процедуры голосования избиратель не может проверить, сколько подобных кодов и кому они были выданы.

Применение технологии формирования электронных цифровых подписей позволяет ввести в избирательные системы электронного голосования жесткий учет всех юридически значимых действий. Примером практического использования механизмов электронной цифровой подписи является способ электронного голосования [5]. По этому способу возможно дистанционное электронное голосование. При этом все действия избирателей оказываются подконтрольны, так как под каждым документом, формируемым избирателем (электронным бюллетенем и распиской в получении квитанции), он ставит свою электронную цифровую подпись. Основным недостатком способа электронного голосования [5] является то, что избиратель вынужден доверять избирательной комиссии в части обеспечения его анонимности. Избиратель не может иметь гарантий того, что его анонимность не будет когда-либо скомпрометирована. Базы данных избирательной комиссии, содержащие связку имени избирателя с его идентификационным номером, могут быть похищены (скомпрометированы). В случае их шифрования может быть скомпрометирован ключ шифрования.

Наиболее близким к предлагаемому техническому решению является способ [6], по которому при регистрации избирателя ему выдают электронный носитель с системой его идентификаторов, а каждое значимое действие в системе электронного голосования подписывают электронной цифровой подписью.

Основными недостатками способа [6] являются:

- отсутствие возможности со стороны избирателя контролировать избирательную комиссию в части сохранения своей анонимности;

- отсутствие возможности контроля избирателем судьбы своего волеизъявления на всех этапах учета голосов (и в том числе при пересылке заполненного электронного бюллетеня избирателя в иные вышестоящие избирательные комиссии);

- отсутствие возможности проконтролировать действия самого избирателя со стороны должностных лиц избирательной комиссии из-за анонимности голосования.

Техническими задачами предложенного изобретения являются:

1. гарантированное обеспечение анонимности волеизъявления избирателей (создание таких условий, что члены избирательной комиссии технически не имеют возможности компрометации анонимности голосующих даже в случае злого умысла);

2. обеспечение контроля судьбы своего волеизъявления самим избирателем на всех этапах учета голосов при условии сохранения его анонимности;

3. обеспечение взаимного контроля избирательных комиссий и избирателей за счет снабжения избирателей безопасными механизмами формирования их личной анонимной электронной цифровой подписи;

4. снятие рисков с избирателей, обусловленных необходимостью надежно хранить их пару ключей, используемых ими при формировании их анонимной электронной цифровой подписи.

Поставленные технические задачи решаются путем изготовления электронных бюллетеней и предоставления к ним доступа голосующего после его идентификации и проверки его права на голосование. Голосующему предоставляют право выбора одного из созданных ранее бюллетеней для голосования, заверенных электронной цифровой подписью лица, ответственного за изготовление бюллетеней. Например, предоставление права выбора может быть реализовано путем движения на сенсорном экране номеров еще не заполненных избирателями бюллетеней. В этом случае избиратель делает случайный выбор путем касания одного из движущихся на экране номеров.

После осуществления избирателем выбора своего бюллетеня избиратель лично заполняет его, например, касаясь чувствительного экрана в частях, соответствующих тому или иному волеизъявлению избирателя. Принципиальным отличием предложенного способа от аналогов и прототипа является то, что избиратель под заполненным им бюллетенем формирует свою электронную цифровую подпись. Для этой цели избиратель инициирует процедуру создания для себя пары из своего открытого ключа и личного секретного ключа. Создание пары ключей избирателя осуществляют с использованием генератора псевдослучайных чисел. Далее по предложенному способу осуществляют размещение открытого ключа избирателя в заполненном согласно воле избирателя электронном избирательном бюллетене. После этого заполненный электронный бюллетень избиратель подписывает своим личным (секретным) ключом, касаясь соответствующего сегмента чувствительного экрана. Сам заполненный электронный бюллетень избиратель анонимно передает избирательной комиссии для подсчета голосов и его опубликования. Анонимная передача заполненного избирателем бюллетеня, например, может быть осуществлена путем его размещения в случайную область памяти с уже заполненными бюллетенями. Перед размещением в базу заполненных бюллетеней, так же, как и прототипа, заполненный бюллетень охватывается электронной цифровой подписью автомата, сформировавшего этот бюллетень.

При реализации предложенного способа принципиально важным является то, что члены избирательной комиссии технически не могут получить информацию о том, какой из бюллетеней заполнен тем или иным избирателем, а сам избиратель получает свой открытый и свой личный ключ у автомата голосования на свой личный носитель информации, а также свой заполненный бюллетень со всеми охватывающими его части электронными цифровыми подписями. После получения избирателем своей личной информации эта информация в системе голосования уничтожается.

При перемещении заполненного электронного бюллетеня в базу заполненных анонимных электронных бюллетеней по предложенному способу избирательная комиссия публикует эту базу. То есть, любой из избирателей после опубликования базы анонимных бюллетеней может найти свой бюллетень по его номеру и открытому, но анонимному, ключу избирателя и убедиться в том, что его волеизъявление верно отражено в открытой публично доступной базе бюллетеней. Если воля избирателя искажена или номер его бюллетеня не опубликован, по предложенному способу избиратель дезавуирует свою анонимность и открыто обращается в избирательную комиссию с требованием исправить ошибку. При этом избиратель пересылает в избирательную комиссию свое заявление, подписанное его электронной цифровой подписью.

По предложенному способу заполненный избирательный бюллетень содержит три электронные цифровые подписи. Первая подпись - подпись лица, создавшего электронной бюллетень и присвоившего ему уникальный номер. Проверка первой подписи осуществляется по опубликованному сертификату открытого ключа лица, сформировавшего электронный бюллетень. Второй электронной подписью является анонимная подпись избирателя. Ее подлинность проверяется по отрытому ключу анонимного избирателя, размещенному в электронном бюллетене. Третья электронная цифровая подпись принадлежит автомату, сформировавшему заполненный бюллетень. Она проверяется по сертификату открытого ключа автомата, публикуемому избирательной комиссией и размещаемому в электронном бюллетене. То есть, происходит взаимный контроль избирательной комиссии и ее автомата формирования электронных бюллетеней избирателями. После опубликования базы анонимных электронных бюллетеней любой избиратель может самостоятельно произвести подсчет голосов по своему избирательному участку или по любому иному избирательному участку. Для этой цели подсчитывающий голоса должен запустить поисковую машину, которая по предложенному способу проверяет все три электронных цифровых подписи в каждом бюллетене и, если они верны, учитывает отмеченное в бюллетене волеизъявление анонимных избирателей.

Таким образом, по предложенному изобретению (п.1. формулы) каждый из избирателей может проконтролировать правильность заполнения своего опубликованного анонимного бюллетеня. Кроме того, каждый избиратель может убедиться в объективности подсчета волеизъявлений других анонимных избирателей. Вбросы фиктивных электронных бюллетеней исключаются тем, что автомат формирования бюллетеней пломбируется и число заполненных бюллетеней точно совпадает с числом зарегистрировавшихся избирателей.

Принципиальным отличием предложенного способа от аналогов и прототипа является то, что каждый избиратель имеет возможность подписывать своей электронной цифровой подписью свое волеизъявление и, тем самым, контролировать его на любом этапе учета голосов. Если избиратель будет надежно (безопасно) хранить свой открытый анонимный ключ и свой личный (секретный) ключ, то он, оставаясь анонимным, может контролировать весь избирательный процесс в части учета своего волеизъявления.

К сожалению, предложенный способ по п.1 формулы изобретения имеет один существенный недостаток. Он связан с необходимостью для избирателя безопасно хранить свой анонимный открытый ключ и свой личный секретный ключ. Как правило, у избирателей нет технической возможности хранить свой личный ключ формирования электронной цифровой подписи. Носитель информации, на который по п.1 выгружены персональные данные пользователя, следует хранить в специально арендованной ячейке банковского сейфа, что достаточно дорого и неудобно (избиратель лишается мобильности, он оказывается привязан к личной ячейке банковского сейфа). Эта проблема характерна для всех технологий, построенных на использовании электронных цифровых подписей. Как правило, формирование личного ключа приводит к появлению дополнительных рисков, связанных с его возможной компрометацией. Именно это обстоятельство (появление дополнительных рисков) и является побочным негативным эффектом применения механизмов электронной цифровой подписи.

По п.2 предложенного способа дополнительный риск, связанный с возможной компрометацией своего личного ключа, избиратель перекладывает на гаранта анонимности. Гарантом анонимности может быть родственник избирателя, нотариус, адвокат, правозащитник, прокурор, любое лицо, обладающее высоким уровнем доверия. Гарант анонимности должен дать согласие на выполнение своей дополнительной функции и иметь официально зарегистрированный (в удостоверяющем центре) сертификат открытого ключа. Гарант анонимности должен осознавать дополнительные риски, связанные с тем, что избиратели ему доверяют сохранение своей анонимности, надеясь, что гарант анонимности ответственно относится к хранению своего личного ключа (например, хранит его в арендованной банковской ячейке).

По п.2 формулы изобретения предложенного способа параллельно с идентификацией избирателя во время его регистрации лицо, осуществляющее регистрацию, формирует файл с персональными данными регистрируемого (именем, отчеством, фамилией, адресом проживания). Далее эти данные подписываются электронной цифровой подписью официального лица, сформировавшего файл персональных данных. Подписанный файл персональных данных передается избирателю. Кроме того, по предложенному способу на избирательном участке заранее формируется список потенциальных гарантов анонимности, предоставивших свои сертификаты открытых ключей. Избиратель выбирает для себя не только подготовленный электронный бюллетень для голосования, но и своего гаранта анонимности.

Далее избиратель заполняет свой электронный бюллетень, формирует открытый и личный (секретный) ключ формирования электронной цифровой подписи, подписывает свой заполненный электронный бюллетень, автомат формирования заполненного электронного бюллетеня также подписывает его. После этого избиратель использует свой личный ключ и открытый ключ гаранта анонимности для шифрования файла своих персональных данных и своего заполненного электронного бюллетеня [7]. В заголовке шифротекста избиратель указывает свой открытый анонимный ключ, а также открытый ключ и имя гаранта анонимности. Весь этот документ еще раз охватывается электронной цифровой подписью избирателя и электронной цифровой подписью автомата заполнения электронных бюллетеней. Далее избиратель уничтожает свой личный (секретный) ключ, переносит на свой носитель информации свой заполненный избирательный бюллетень и шифротекст для гаранта анонимности. Кроме того, заполненный электронный бюллетень анонимно передается избирательной комиссии, например, через перемещение его в базу заполненных анонимных бюллетеней. Так же избирательной комиссии передается на хранение шифротекст, предназначенный для гаранта анонимности.

Шифротекст, сформированный для гаранта анонимности, хранится в избирательной комиссии и никому не передается. Никто в избирательной комиссии не может дезавуировать анонимность избирателя, так как для этого нужно расшифровать шифротекст, используя открытый ключ анонимного избирателя (он есть в заголовке) и личный ключ гаранта анонимности (он никому не доступен). Сам гарант анонимности также не может злоупотребить доверием избирателя и скомпрометировать его анонимность, так как у гаранта анонимности нет шифротекста [7]. Шифротекст хранится только у самого избирателя и у избирательной комиссии. Получается, что никто не может скомпрометировать анонимность избирателей, если избирательная комиссия надежно хранит шифротексты для гарантов анонимности. Даже если база шифротекстов утрачена (скомпрометирована), злоумышленник должен обращаться для ее расшифровывания к гарантам анонимности. Гаранты анонимности в случае незаконного обращения к ним вправе отказать злоумышленнику и обратиться в правоохранительные органы.

После реализации предложенного изобретения по п.2 формулы избиратель оказывается способен контролировать правильность учета своего волеизъявления. Для этой цели он ищет свой заполненный анонимный бюллетень по его номеру. Далее избиратель сравнивает оригинал имеющегося у него заполненного бюллетеня с опубликованным. Если избиратель обнаружил расхождение (отсутствие своего бюллетеня), то он обращается в избирательную комиссию с требованием корректировки опубликованных бюллетеней. Избирательная комиссия не может убедиться в правоте анонимного избирателя, так как тот уничтожил свой личный ключ и оказался недееспособен (он не может доказать, что открытый ключ в электронном анонимном бюллетене именно его). Для установления справедливости избирательная комиссия обращается к гаранту анонимности и передает ему шифротекст. Гарант анонимности расшифровывает этот шифротекст, узнает имя анонимного избирателя, а также получает оригинал его заполненного электронного бюллетеня в момент голосования. Гарант анонимности обращается в избирательную комиссию, передает ей оригинал заполненного электронного бюллетеня. Гарант анонимности убеждается в том, что ущемлены права реально существующего человека, и этот человек предъявляет неискаженный первоначальный вариант заполненного и подписанного электронного бюллетеня. При этих действиях гарант анонимности может сохранить анонимность обратившегося к нему за помощью.

В криптографии известны процедуры так называемой «слепой» электронной цифровой подписи, когда подписывается третьим лицом предварительно зашифрованный цифровой документ. Предложенный способ не является разновидностью «слепой» электронной цифровой подписи. Электронная цифровая подпись гаранта анонимности по предложенному способу применяется только после расшифровывания информации.

Восстановление справедливости гарантом анонимности может происходить иначе. Если к гаранту анонимности обращается сам анонимный избиратель и предоставляет ему шифротекст. Кроме того, к гаранту анонимности могут обратиться органы правопорядка, официально занимающиеся расследованиями злоупотреблений. В этом случае органы правопорядка должны изъять у избирательной комиссии соответствующие шифротексты для передачи их гаранту анонимности. Использование изобретения по п.2 формулы ориентировано на ситуации, когда избиратель ограниченно дееспособен (болен или имеет преклонный возраст).

Основным техническим результатом реализации п.2 формулы изобретения является то, что избиратель избавляется от дополнительных рисков, связанных с необходимостью хранения его личного ключа, использованного при подписи электронного бюллетеня с его волеизъявлением. При этом у него остается возможность контроля за избирательной комиссией через привлечение своего гаранта анонимности. Фактически гарант анонимности в нужный момент играет роль независимого свидетеля, способного подтвердить правоту избирателя. Несмотря на то, что избиратель уничтожил свой личный ключ формирования своей электронной цифровой подписи, он, избиратель, сохраняет свою дееспособность при отстаивании своего права на анонимное голосование и справедливый учет его волеизъявления.

Снятие дополнительных рисков по безопасному хранению личного ключа формирования электронной цифровой подписи избирателя может быть осуществлено по п.3 формулы изобретения. Предложено полностью повторять способ, изложенный по п.1 формулы изобретения, то есть формировать электронный бюллетень с уникальным номером, подписывать его электронной цифровой подписью лица, отвечающего за изготовление. Далее производится идентификация избирателя по его паспорту или иному документу. Если избиратель имеет право на голосование, то ему предоставляют доступ к автомату для заполнения электронного бюллетеня. Избиратель выбирает номер заполняемого бюллетеня, например, путем касания этого номера на чувствительном экране автомата. Далее избиратель указывает свою волю через касание соответствующих областей чувствительного экрана. Затем избиратель создает для себя пару из своего открытого ключа и своего личного ключа [7]. После этого избиратель предъявляет автомату заполнения электронного бюллетеня примеры своего биометрического образа, например, прикасается своим пальцем к сканеру рисунка отпечатка пальца.

Далее по предложенному способу запускают процедуру обучения нейросетевого преобразователя биометрия-код, выполненную по ГОСТ Р 52633.5 [8]. Обучение ведут на нескольких примерах биометрического образа и личном ключе избирателя. После того, как обучение выполнено, личный ключ избирателя уничтожают, а избиратель получает его при каждом предъявлении своего биометрического образа (после прикладывания своего пальца к сканеру автомата). Кроме того, после обучения уничтожают примеры биометрического образа избирателя, использованные при обучении.

Далее избиратель вкладывает в электронный бюллетень свой открытый ключ и подписывает своею электронной цифровой подписью свой заполненный анонимный избирательный бюллетень. Для этой цели избиратель прикладывает свой палец к сканеру рисунка отпечатка. Рисунок отпечатка преобразуется в биометрические параметры, они подаются на входы обученной нейронной сети, на выходах обученной нейронной сети появляется выходной личный ключ избирателя [8], который и используется для формирования электронной цифровой подписи избирателя под его заполненным анонимным электронным бюллетенем.

Далее автомат заполнения электронного бюллетеня охватывает весь бюллетень своей электронной цифровой подписью. В итоге электронный бюллетень содержит уникальный идентификационный номер бюллетеня, открытый ключ избирателя, его волеизъявление и три электронных цифровых подписи. Эту комбинацию данных пользователь записывает на свой носитель информации, а также передает избирательной комиссии для опубликования. Передача осуществляется путем анонимного размещения информации в базе анонимных заполненных бюллетеней. Дополнительно на информационном носителе избирателя размещают параметры обученной нейронной сети преобразователя биометрия-код личного ключа. Все следы работы избирателя с автоматом заполнения электронного бюллетеня уничтожают.

Избиратель после описанных выше действий имеет свой заполненный анонимный бюллетень и параметры своей обученной нейронной сети. Предложенный способ позволяет исключить риски, связанные с хранением и возможной компрометацией личного ключа избирателя. Если носитель информации избирателя попадет в чужие руки, то другой человек не может скомпрометировать анонимность избирателя или попытаться скорректировать его волеизъявление. Заменить биометрию избирателя на свою другой человек не может, так как она охвачена электронной цифровой подписью автомата заполнения бюллетеня. Извлечь личный ключ из правильно сформированного нейросетевого преобразователя биометрия-код также практически невозможно. То есть, личный носитель информации избирателя становится безопасным. Избиратель им может пользоваться многократно, особых требований к его хранению не предъявляется. Это выгодно отличает способ, выполненный по п.3 от способа по п.1.

То, что носитель информации избирателя не требуется защищать и надежно хранить, делает предложенный способ по п.3 формулы удобным для избирателей. Реализация способа по п.3 формулы, например, дает возможность корректировать избирателю результаты своего волеизъявления. Для этой цели избиратель должен повторно предъявить автомату заполнения электронных бюллетеней свой личный носитель информации. Пользуясь этой личной информацией, автомат способен найти нужный анонимный бюллетень и скорректировать его заполнение. При этом избиратель должен получить свой личный ключ, предъявив свой биометрический образ (например, рисунок отпечатка пальца). Эта совершенно новая техническая возможность, которую обеспечивает только использование п.1 и п.3 формулы изобретения. Аналоги и прототип подобной возможности не предусматривают.

Для предыдущих способов корректировка своего же волеизъявления в рамках отведенного на это срока невозможна, что является привычным, но не всегда рациональным. Одной из дополнительных возможностей предложенного способа является голосование без паспорта и иных удостоверяющих личность документов. Системе голосования достаточно предъявить свой индивидуальный носитель информации избирателя. По этому носителю (при реализации п.1 и п.3 формулы) система голосования способна однозначно определить, что избиратель уже был зарегистрирован и вполне может голосовать с использованием своего прежнего открытого ключа и прежнего личного ключа. То есть, по предлагаемой технологии паспорт или иное удостоверение личности требуется избирателю только, если он решил сменить свою пару из открытого и личного ключа.

Следует отметить, что биометрическая нейросетевая аутентификация, выполняемая по п.3 формулы изобретения по классификации ГОСТ Р 52633.0-2006 [9] является высоконадежной, так как построена на сохранении избирателем в тайне используемого им биометрического образа. По требованиям ГОСТ Р 52633.0-2006 [9] биометрия может классифицироваться как высоконадежная, только если биометрический образ человека сохраняется в тайне (открытая биометрия, например, используемая международными паспортно-визовыми документами, не является тайной, соответственно, не является высоконадежной). На личном носителе информации избирателя нет имени избирателя, нет его иных персональных данных, нет упоминания о том, какая биометрическая технология использована при обучении нейронной сети. Анализируя параметры обученной нейронной сети, нельзя указать, какой биометрический образ избирателем был использован, то есть предложенный способ является высоконадежным. Данные на личном носителе информации избирателя недоступны членам избирательной комиссии (у прототипа идентификационные данные избиратель получает у избирательной комиссии), и соответственно, избиратель гарантированно защищен от злоупотреблений со стороны членов избирательной комиссии. По предложенному способу избиратель сам может выбрать технологию своей биометрической идентификации (рисунок отпечатка пальца, рукописная подпись, рукописное парольное слово, голосовая парольная фраза, особенности трехмерной геометрии расположения черт лица, складок кожи на руке, рисунок радужной оболочки глаза и т.п.). Избиратель выбирает сам любую из биометрических технологий, которой снабжен автомат заполнения электронного избирательного бюллетеня. Самостоятельный выбор избирателем технологии является одним из элементов обеспечения защиты его анонимности.

Практическая реализация устройств для осуществления предложенных способов иллюстрируется фиг.1-5.

На фиг.1 приведена блок-схема соединения элементов автомата заполнения электронного бюллетеня анонимного избирателя, где:

блок-1 - база с незаполненными электронными бюллетенями, созданными для голосования;

блок-2 - чувствительный к касанию избирателя экран автомата заполнения электронного бюллетеня;

блок-3 - генератор пары из открытого ключа и личного (секретного) ключа анонимного избирателя;

блок-4 - криптографическое средство для проверки и формирования электронной цифровой подписи;

блок-5 - личный и открытый ключи для формирования и проверки электронной цифровой подписи автомата заполнения электронного бюллетеня;

блок-6 - база с заполненными электронными бюллетенями анонимных избирателей;

блок-7 - индивидуальный носитель информации избирателя.

На фиг.2 приведена структурная блок-схема организации данных электронного бюллетеня для голосования, где:

блок-8 - идентификационные параметры созданного заранее электронного бюллетеня для голосования;

блок-9 - поля данных, отражающие волеизъявление анонимного избирателя;

блок-10 - электронная цифровая подпись избирательной комиссии, охватывающая данные блока-8 и блока-9;

блок-11 - данные открытого ключа анонимного избирателя и данные открытого ключа автомата заполнения бюллетеня;

блок-12 - электронная цифровая подпись анонимного избирателя, охватывающая блок-8, блок-9, блок-10, блок-11;

блок-13 - электронная цифровая подпись автомата заполнения электронного бюллетеня, сформированная в момент окончания голосования.

На фиг.3 приведена блок-схема, отражающая структуру данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-7), где:

блок-14 - заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фиг.2);

блок-15 - личный (секретный) ключ анонимного избирателя.

На фиг.4 приведена блок-схема организации данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-13) при реализации предложенного способа по п.2 формулы изобретения, где:

блок-16 - заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фигуре 1);

блок-17 - шифротекст персональных данных избирателя, зашифрованных с применением личного ключа избирателя и открытого ключа гаранта анонимности избирателя;

блок-18 - открытый ключ и имя выбранного избирателем гаранта анонимности;

блок-19 - электронная цифровая подпись избирателя, охватывающая блок-16, блок-17, блок-18;

блок-20 - электронная цифровая подпись автомата заполнения электронного бюллетеня, охватывающая блок-16, блок-17, блок-18, блок-19.

На фиг.5 приведена блок-схема организации данных, размещаемых на индивидуальном носителе информации избирателя (в блоке-13) при реализации предложенного способа по п.3 формулы изобретения, где:

блок-21 - последний заполненный электронный бюллетень анонимного избирателя (более подробно отраженный на фигуре 1);

блок-22 - данные обученного нейросетевого преобразователя биометрия-код личного ключа избирателя;

блок-23 - электронная цифровая подпись автомата заполнения электронного бюллетеня, охватывающая блок-21, блок-22.

Автомат, используемый избирателем для реализации способа, предложенного по п.1 формулы изобретения, состоит из базы (блок-7) незаполненных электронных бюллетеней, которые созданы для будущего голосования. Выход базы блока-7 соединен со входом блока-8, первый выход блока-8, соединен со входом блока-9, второй выход блока-8 соединен с информационным входом блока-10. Второй информационный вход блока-10 соединен с выходом блока-11. Выход блока-10 соединен со входом блока-13 и со входом блока-13.

Автомат заполнения электронных бюллетеней работает следующим образом: еще до голосования в его базу (блок-1) вносят заранее подготовленные электронные бюллетени для голосования, кроме того, в его блок-5 вводят личный ключ автомата для формирования его ЭЦП после завершения каждого акта голосования. После этого автомат заполнения электронных бюллетеней опечатывают и размещают в месте для индивидуального голосования.

При голосовании избиратель предъявляет свой паспорт, а должностное лицо избирательной комиссии предоставляет избирателю доступ к автомату для заполнения электронных бюллетеней. При этом должностное лицо не может запомнить всех избирателей, которые должны воспользоваться автоматом. При голосовании избиратель выбирает один из подготовленных электронных избирательных бюллетеней, касаясь одного из номеров бюллетеней, проходящего как титры на чувствительном экране (блок-2). При этом изменяется экранная форма электронного бюллетеня, и избирателю предоставляется возможность выбрать кандидатуру, за которую избиратель хочет проголосовать. Выбор кандидатуры избиратель осуществляет путем касания соответствующей части экрана (блок-2).

После того, как избиратель сделал свой выбор, от чувствительного экрана (блок-2) поступает сигнал на вход блока-3. По этому сигналу блок-3 вырабатывает пару из открытого ключа избирателя и личного ключа избирателя. Далее блок-4 формирует электронную цифровую подпись избирателя с использованием личного ключа избирателя, эта электронная цифровая подпись охватывает заполненный электронный бюллетень и вставленный в него открытый ключ избирателя. Далее блок-4 повторно охватывает полученные данные второй электронной цифровой подписью, которую формирует на личном ключе автомата заполнения бюллетеней. После этого процесс голосования считается законченным, заполненный электронный бюллетень изымается из базы блока-1 и размещается в базу блока-6, кроме того, заполненный электронный бюллетень размещается в индивидуальный носитель информации избирателя (флеш память, смарт-карту избирателя или иной носитель информации блок-7). Кроме того, в память индивидуального носителя информации избирателя блока-7 вносится личный ключ избирателя, а пара ключей избирателя (открытый и личный) уничтожается внутри автомата заполнения электронных бюллетеней.

В итоге работы автомата заполнения электронных бюллетеней в базе данных блока-6 появляется заполненный избирателем анонимный избирательный бюллетень, а в блоке-7 появляется этот же бюллетень и личный ключ анонимного избирателя. Структура данных заполненного избирательного бюллетеня приведена на фиг.2. Структура данных, записанных на индивидуальном носителе информации (блок-7), приведена на фиг.3.

Следует отметить, что избиратель может принять решение о том, что он полностью доверяет избирательной системе и заранее отказывается от ее контроля. В этом случае избиратель не должен предоставлять автомату заполнения свой индивидуальный носитель информации (блок-7). Автомат сообщает избирателю об отсутствии в соответствующем гнезде (слоте) носителя информации и получить от избирателя согласие на отказ от документирования данных на его носителе. Возможен вариант реализации процедуры голосования, когда избирательная комиссия всем избирателям предоставляет индивидуальные (пустые) носители информации. Это в корне отличает предложенный способ от способа прототипа, когда избиратель получает в избирательной комиссии уже сформированный электронный идентификатор (такой идентификатор может быть уже скомпрометирован).

Еще одним преимуществом предложенного способа является то, что он позволяет контролировать каждому избирателю судьбу своего волеизъявления. По предложенному способу избирательная комиссия публикует анонимные заполненные бюллетени, после окончания голосования и извлечения их из блока-6. То есть, каждый избиратель может найти свой заполненный бюллетень по его номеру и сравнить с оригиналом, который ему вручен на индивидуальном носителе информации избирателя. Если воля избирателя не искажена, то избиратель вправе доверять всей системе электронного голосования. Тогда он может самостоятельно подсчитать, сколько человек поддержало выбранного им кандидата. Для этого каждый избиратель может самостоятельно запустить поисковую машину по публично доступной базе анонимных электронных бюллетеней.

При подсчете поисковая машина должна проверять верность всех трех ЭЦП, содержащихся в электронном бюллетене (фиг.2). При этом верность второй и третьей ЭЦП проверяется по открытому ключу избирателя и по открытому (опубликованному) ключу автомата заполнения электронного бюллетеня. ЭЦП избирательной комиссии (блок-10) будет отличаться от оригинала, так как избиратель изменил поле данных под ЭЦП, соответствующее его волеизъявлению. Для проверки подлинности исходного незаполненного электронного бюллетеня требуется изменить поле данных волеизъявления на изначально нейтральное. Тогда автомат проверки подтвердит отсутствие искажений.

В итоге каждый из избирателей по предложенному способу получает возможность контролировать избирательную систему электронного голосования, чего нет у способов аналогов и прототипа.

Рассмотрим второй пример реализации предложенного способа по п.2 формулы изобретения. В этом случае в блок-1 (фиг.1) должна быть добавлена база потенциальных гарантов анонимности избирателей со ссылкой для каждого гаранта на его сертификат открытого ключа. Соответственно после выбора электронного бюллетеня избиратель должен указать того гаранта анонимности, которому он доверяет. Выбор гаранта осуществляется избирателем путем касания одной из строчек движущихся на экране титров с именами и иными описаниями потенциальных гарантов анонимности. Избиратель должен быть заранее ознакомлен со списком гарантов его анонимности. Кроме того, при регистрации избирателя должностное лицо должно сформировать файл с персональными данными избирателя и подписать его своей электронной цифровой подписью. Этот файл размещается на индивидуальном носителе информации избирателя в блоке-7.

При реализации второго примера работа устройства начинается с проверки электронной цифровой подписи должностного лица, сформировавшего ранее файл с персональными