Nye fjernafstemningsrisici og løsninger identificeret

Det kommende præsidentvalg midt i en pandemi har jurisdiktioner, der udforsker nye teknologier. De er ikke sikre.

Valgsikkerhedsforskere ved University of Michigan og MIT har fundet sårbarheder i et internetafstemnings- og afstemningssystem, der bruges i 14 stater.

Deres arbejde er det første offentlige, uafhængig analyse af sikkerheds- og privatlivsrisici ved Democracy Lives OmniBallot-system. I en nyligt udgivet rapport, de opridser sikkerhedshuller og tilbyder anbefalinger til både valgfunktionærer og vælgere.

Delaware, West Virginia, og New Jersey har enten indsat OmniBallot eller planlægger at gøre det til fuld online afstemning, også omtalt som "elektronisk afstemningsretur." Andre stater, herunder Colorado, Florida, Oregon, Ohio og Washington, det New York Times rapporter, bruge den til at levere blanke stemmesedler til registrerede vælgere, som kan markere dem og returnere dem via fax, mail eller mail. Ingen af ​​disse anvendelser er tilstrækkeligt sikre, fandt forskerne.

"OmniBallots design er alt for enkelt, og ignorerer 30 års forskning omkring opbygning af E2E-verificerbar online-afstemning. Vælgerens identitet og valg af stemmeseddel sendes bare til en server i Amazons sky, som genererer en stemmeseddel, som embedsmænd kan downloade. Som resultat, der er ingen vej for vælgerne, embedsmænd, eller Democracy Live for at være sikker på, at stemmer ikke bliver ændret, "J. Alex Halderman, professor i datalogi og teknik ved U-M og forfatter til rapporten, sagde i en Twitter-tråd.

"Der er vigtige risici, selv når OmniBallot kun bruges til at levere blanke stemmesedler, herunder risikoen for, at stemmesedler kan blive forkert dirigeret eller subtilt manipuleret på måder, der medfører, at de tælles forkert."

Michael Spectre, en ph.d.-studerende ved MIT, der arbejdede på rapporten sammen med Halderman, siger, at holdets mål er "at give valgembedsmænd og borgere den information, de har brug for for at sikre, at valg gennemføres sikkert."

For individuelle vælgere, forskerne anbefaler disse trin, som skitseret af MIT CSAIL:

• Undgå at bruge OmniBallot, hvis det er muligt. Enten stemme personligt eller anmode om en post-in fraværende afstemning. Indsendte stemmesedler er en rimelig sikker mulighed, forudsat at du kontrollerer dem for nøjagtighed og overholder alle relevante deadlines.
• Hvis du ikke kan gøre det, din næste sikreste mulighed er at bruge OmniBallot til at downloade en tom stemmeseddel og udskrive den, mærke det i hånden, og send den tilbage eller aflever den. Dobbelttjek altid, at du har markeret din stemmeseddel korrekt, og bekræft postadressen med din lokale jurisdiktion.
• Hvis du ikke kan mærke din stemmeseddel i hånden, OmniBallot kan lade dig markere det på skærmen. Imidlertid, denne mulighed (som brugt i Delaware og West Virginia) vil sende din identitet og dine hemmelige stemmesedler over internettet til Democracy Lives servere, selvom du returnerer din stemmeseddel via posten. Dette øger risikoen for, at dine valg kan blive afsløret eller manipuleret, så forskerne anbefaler, at vælgerne kun bruger online-markering som en sidste udvej. Hvis du markerer din stemmeseddel online, sørg for at udskrive det, tjek omhyggeligt, at udskriften er markeret, som du havde tænkt dig, og returnere den fysisk.
• Hvis det overhovedet er muligt, returner ikke din stemmeseddel via OmniBallots hjemmeside eller via e-mail eller fax. Disse returtilstande får din stemme til at blive transmitteret over internettet, eller via netværk knyttet til internettet, at udsætte valget for en kritisk risiko for, at stemmerne bliver ændret, i stor skala, uden detektion. Seneste anbefalinger fra Department of Homeland Security, de todelte resultater fra Senatets efterretningskomité, og konsensus fra National Academies of Science, Ingeniørarbejde, og Medicin stemmer overens med forskernes vurdering af, at returnering af stemmesedler online udgør en alvorlig sikkerhedsrisiko.

For valgfunktionærer, de anbefaler disse trin, som tweetet af Halderman:

• Afbryd online afstemning. Intet let tilgængeligt forsvar kan i tilstrækkelig grad afbøde risiciene ved OmniBallots elektroniske returmekanisme.
• Reserver online markering til vælgere, der har brug for det. Selvom online-mærkning er afgørende for nogle handicappede vælgere, det indebærer højere risici og bliver et attraktivt mål, når det er udbredt. Mærkede stemmesedler skal altid udskrives og returneres fysisk. For at reducere sikkerheds- og privatlivsrisici for vælgere, der har brug for onlinemærkning, stemmesedler skal genereres lokalt i browseren, ved hjælp af kode på klientsiden. Democracy Live tilbyder allerede denne mulighed i Californien og nogle andre lokaliteter.
• Men stemmesedler returneres, stater bør kræve, at Democracy Live vedtager en håndhævbar privatlivspolitik, der forbyder brug af vælgernes oplysninger til ethvert formål, der ikke er relateret til at betjene deres stemmesedler.
• Stater bør også kræve offentlige, uafhængig sikkerhedsanalyse, før du overvejer online-afstemningssystemer. Uden en sådan analyse, vælgere og embedsmænd vil ikke være i stand til nøjagtigt at afveje afvejningen mellem risiko og adgang.

"Stater vedtager OmniBallot af prisværdige grunde:for at hjælpe oversøiske vælgere, vælgere med handicap, og dem, der ikke sikkert kan gå til stemmeurnerne på grund af COVID-19, " siger Halderman. "Men, som vi lærte i 2016, valg står over for alvorlige sikkerhedstrusler. Det gælder især for online-afstemning."

OmniBallots afstemnings- og markeringsmetoder har potentialet til at være værdifulde værktøjer til at hjælpe vælgere med at deltage, hvis det bruges med specifikke sikkerhedsforanstaltninger og ændringer, der anbefales i undersøgelsen, siger forskerne. Nogle af disse anbefalinger kan følges direkte af individuelle vælgere, men mange vil også kræve handling fra valgembedsmænd.

"På den anden side, " tilføjede forskerne, "da online-afstemningen repræsenterer en alvorlig fare for valgintegriteten og vælgernes privatliv, som ingen tilgængelig teknologi kan afbøde tilstrækkeligt, Vi anbefaler, at Democracy Live og jurisdiktioner stopper denne funktion."