电子投票系统：好的，坏的和愚蠢的 -

观点

2004年11月30日
第2卷，第7期

电子投票系统：好的，坏的和愚蠢的

政治和技术真的格格不入吗？

芭芭拉·西蒙斯

由于2000年佛罗里达州选举的惨败，一些人得出结论，纸质选票根本无法计数。相反，无纸化计算机投票系统（称为直接记录电子系统，或DRE）被吹捧为解决“佛罗里达问题”的方案。支持者声称，用21世纪技术取代悬而未决的选票缺口，将产生准确的选举计数，并且机器几乎不可能被操纵。此外，由于无需人工计数，也无需担心旷日持久的重新计票，计算机投票系统有望在投票结束后不久就能报告结果。

许多选举官员喜欢这个想法，他们认为新机器也将被证明比旧系统更便宜、更可靠。《帮助美国投票法案》(HAVA)于2002年通过，承诺提供近40亿美元的联邦资金用于购买DRE，这进一步增强了他们的热情。

计算机投票系统的想法吸引了许多领域的拥护者。在无纸化DRE的最直言不讳的倡导者中，有美国残疾人协会副主席吉姆·迪克森。妇女选民联盟也曾游说支持无纸化DRE（尽管在最近的LWV大会上，当成员们发生反抗时，国家办公室撤回了其支持）。

然而现在，在HAVA通过仅仅两年后，许多公共利益团体、计算机专业人士和国会议员都在要求选民可验证的纸质记录。事情到底哪里出了问题？

首先，电子投票机的软件是专有的，认证测试过程既秘密又不完整，而且测试结果也是秘密的。（系统设计人员请注意：这不是建立信任的好方法。）更糟糕的是，投票系统中包含的COTS（商用现成）软件在任何测试中都不会被检查，仅仅是因为FEC（联邦选举委员会）指南没有要求这样做。

多年来，著名的计算机安全专家一直在争论，无纸化DRE机器存在重大的安全问题，包括软件漏洞和恶意代码影响选举结果的风险。但是，丽贝卡·墨丘里（http://www.notablesoftware.com/evote.html）和彼得·诺伊曼（http://www.csl.sri.com/users/neumann/neumann.html#5）等专家的警告在很大程度上被选举官员和公众忽视，直到大卫·迪尔创建了一个请愿书（http://www.verifiedvoting.org/index.asp），呼吁建立选民可验证的审计跟踪。迪尔请愿书背后的核心思想是，选民应该能够验证他们的选票是否被正确记录；此外，应该可以进行有意义的重新计票。为了避免机器打印正确结果，同时在计算机内存中存储不正确结果的风险，应该可以手动重新计数一些随机选择的纸质选票，以检查机器生成的结果。

一些骇人听闻的故事

由于几乎电子投票的各个方面都笼罩着秘密——再加上缺乏公开的事件报告——独立的计算机技术专家只能对与电子投票系统硬件、软件、测试、安全和人为因素相关的问题提供有限的分析。尽管如此，问题证据却很普遍。以下是一些例子。

2004年1月，佛罗里达州布劳沃德县举行了一次特别选举。选票上只包含一场竞赛。然而，在ES&S（选举系统与软件）无纸化触摸屏投票机上投出的10,844张选票中，有134张是……投给无人。由于获胜候选人仅以12票的优势获胜，人们自然想知道这134张选票去了哪里；无法判断是否有选票被计算机丢失。县官员现在呼吁使用纸质选票。

2003年11月，在印第安纳州布恩县，投票总数超过144,000张——即使布恩县的注册选民不足19,000人，而且其中只有5,532人实际投票。县书记员表示，问题是由“软件故障”引起的。然后获得了更新后的结果，这些结果与实际投票人数一致，并且向公众保证，新的电子计票是准确的。然而，由于该县使用了无纸化MicroVote DRE，因此无法独立验证更新后的结果是否确实正确。

2003年11月，密西西比州海因兹县的投票站开放时，选民到达后发现WINvote DRE出现故障。更糟糕的是，没有纸质选票可用。到上午中午，一些机器仍然处于故障状态。选民抱怨排长队，以及他们如何被要求填写临时纸质选票——有些只不过是废纸——而没有足够的隐私。晚上8点，选民仍在排队。一份报告称机器过热。随后，密西西比州参议院宣布该选区的选举结果无效，并安排了新的选举。

严重的安全问题

由于其首席执行官瓦尔登·奥德尔在2003年发表的失言，主要的DRE供应商之一迪堡一直处于政治漩涡的中心。但是，当贝夫·哈里斯（http://www.scoop.co.nz/mason/stories/HL0302/S00036.htm）在2003年2月宣布她在一个开放的FTP网站上发现了迪堡投票机软件时，这个小小的公关问题与发现的安全问题相比就显得微不足道了。

计算机科学教授阿维尔·鲁宾（约翰·霍普金斯大学）和丹·瓦拉赫（莱斯大学），以及他们的学生塔达义·科诺和亚当·斯塔布菲尔德随后分析了其中一些软件，并在论文中发表了他们的发现，该论文有时被称为“霍普金斯论文”，在2004年5月的IEEE安全与隐私研讨会上发表（http://avirubin.com/vote/analysis/index.html）。该论文中最令人震惊的启示之一是，迪堡使用单个DES密钥来加密存储设备上的所有数据。因此，可以访问源代码的攻击者将有能力修改投票和审计记录。

也许更令人惊讶的是，1997年，道格拉斯·琼斯（艾奥瓦大学计算机科学教授，艾奥瓦州投票机和电子投票设备审查委员会成员）曾警告迪堡其密钥管理疏忽（http://www.cs.uiowa.edu/~jones/voting/dieboldftp.html）

[N]无论是技术人员还是环球选举系统[2001年被迪堡收购]的销售人员都不理解密码安全。他们很乐意声称他们使用了联邦批准的数据加密标准，但似乎没有人理解密钥管理；事实上，我的问题被转发给首席程序员，通过手机，发现短语密钥管理不熟悉，他需要解释。在持续的质疑下，很明显只有一个密钥被使用，公司范围内的所有投票产品。这意味着这个密钥被硬编码到他们的源代码中！

由于霍普金斯论文中提出的安全问题，马里兰州刚刚承诺购买迪堡DRE，委托科学应用国际公司（SAIC）对迪堡机器进行研究。SAIC报告（http://www.dbm.maryland.gov/dbm_publishing/public_content/dbm_search/technology/toc_voting_system_report/votingsystemreportfinal.pdf）读起来非常快，因为只有大约三分之一的内容被公开。（据SAIC项目经理弗兰克·舒加说，该报告是由马里兰州而不是SAIC编辑的。电子隐私信息中心已提交公共记录请求，以获取未编辑的版本。）然而，即使报告中发布的有限信息也相当具有破坏性。例如，报告指出，迪堡系统非常复杂，即使所有问题都得到修复，由于选举官员培训不足，仍然可能存在安全风险。

2003年11月，马里兰州立法部门委托RABA技术公司（http://www.raba.com/press/TA_Report_AccuVote.pdf）对迪堡机器进行了另一项研究。信任代理报告于2004年1月发布，基于“红队”努力入侵迪堡投票系统，揭示了物理安全问题，例如在覆盖机器上的PCMCIA和其他插座的安全面板上使用相同的钥匙——以及可以在几秒钟内撬开的锁。

不幸的是，当DRE供应商向选举官员兜售DRE的优点时，他们倾向于掩盖与机器的短期和长期存储以及选举前后机器访问控制相关的安全问题。

与此同时，一直在考虑为全州购买迪堡DRE的俄亥俄州聘请了Compuware测试硬件和软件，并聘请InfoSentry进行安全评估。Compuware的研究发现了另一个硬编码密码，这次涉及主管卡，用于在选举日启动每台投票机以及在一天结束时终止投票过程。当卡插入DRE时，选举官员必须输入与硬编码到卡中但未编码到投票软件中的密码或PIN相同的密码或PIN。因此，任何能够获得主管卡或设法创建具有不同密码的假卡的人都将能够通过过早停止投票机来实施拒绝服务攻击，从而剥夺某些选民的投票机会。

阻止审计的软件漏洞

人们也对ES&S提出了担忧，ES&S是DRE市场的另一家主要参与者（总而言之，迪堡和ES&S制造的DRE和光学扫描投票系统预计将计算2004年11月选举中投出的选票的三分之二到80%之间；有关按机器类型划分的详细细分，请参见http://www.electiondataservices.com/EDSInc_DREoverview.pdf中的附件）。这是因为一个软件漏洞破坏了迈阿密-戴德县和该国许多其他地区使用的ES&S机器中的审计日志和选票图像报告。（有关ES&S漏洞的详细讨论，请参见 http://www.cs.uiowa.edu/~jones/voting/miami.pdf。）

县企业技术服务部门部门经理奥兰多·苏亚雷斯于2003年6月撰写的一份内部备忘录描述了ES&S机器内部审计机制中的差异，这些差异使得审计报告“无法用于我们正在考虑的目的（审计选举、重新计票选举，以及在必要时使用这些报告来证明选举的有效性）”。

审计日志包含了一些不存在的机器的结果，并且它也未能报告运行中机器的所有结果。根据道格·琼斯的说法，实际上存在两个漏洞。一个——由低电量条件触发——导致事件日志损坏；第二个导致选举管理系统在这种损坏的情况下误读机器的序列号。尽管真正的选票计数没有受到影响，但发现的问题是当前认证过程下未测试的异常类型的症状。“截至仲夏，”琼斯解释说，“佛罗里达州已批准修复导致此问题的两个漏洞，并且在8月13日进行的选举前测试中，从紧凑型闪存卡中提取的事件记录显示了低电量条件的正确报告，而没有序列号的任何损坏。奇怪的是，是一位迈阿密-戴德[选举改革]联盟的成员发现了这一证据，因为她查看了从紧凑型闪存卡生成的事件日志的打印输出。”

2004年7月27日，迈阿密-戴德选举改革联盟宣布，它要求的审计数据显示，计算机崩溃删除了迈阿密-戴德2002年9月州长竞选以及最近几次市政选举的所有选举结果。似乎没有进行备份，导致人们猜测选票图像的丢失可能违反了佛罗里达州关于保留选票的法律。（令人惊讶的是，迈阿密-戴德官员选择无视县审计和管理服务部门的凯茜·杰克逊在崩溃发生前发送的一份备忘录，该备忘录警告缺乏备份，并建议每次选举后应将所有数据刻录到CD-ROM。）

在花了令人尴尬的几天时间试图解释选举官员可能如何丢失关键投票记录后，迈阿密-戴德县选举主管康斯坦斯·卡普兰宣布，她的秘书在她办公室隔壁的会议室里找到了一张包含丢失数据的计算机磁盘。根据琼斯的说法，“该磁盘是文件文件夹中的CD-R。该县在县审计和管理部门建议他们在那个夏天这样做之后才开始制作数据的存档CD-R副本。显然，尽管这样做，但仍然没有关于这些磁盘被放置在哪里的机构记忆。”

认证缺陷

第一个FEC电子投票机标准于1990年发布，于2002年被取代（http://www.fec.gov/pages/vssfinal/vss.html）。尽管如此，今天使用的许多投票系统都是根据1990年标准认证的。

机器由三家私营公司——Ciber、Wyle和SysTest——进行测试和认证，这三家公司被称为ITA（独立测试机构）。ITA本身由国家州选举主任协会认证，但不接受任何政府监督。供应商支付所有测试费用。

认证过程的一个奇怪方面是，它区分了固件和软件，其中固件被定义为在实际投票机中运行的软件，而软件用于指代选举管理系统使用的代码。Wyle仅认证固件，而Ciber仅认证软件。SysTest认证整个系统。

ITA并非检查软件是否存在安全漏洞并攻击软件以查看是否可以被攻破，而是将其测试严格限制在FEC标准明确要求的项目上。其中特别突出的是控制流要求，明确禁止使用Do-While（False）结构和将有意异常用作GoTo。2002年FEC标准还要求“有效的密码管理”，但该短语未定义。然而，我们当然可以从迪堡的结果中推断出，没有人检查加密密钥是否已硬编码到代码中。测试也未能检查异常，并且没有检查COTS代码的规定。

然后是BDF（选票定义文件）的问题，其中包含每次选举的候选人和议题信息。（有关BDF的详细讨论，请参见http://www.votersunite.org/info/BallotProgramming.pdf。）显然，这些文件对于整个电子投票过程至关重要，但ITA从未对其进行独立检查。此外，在许多司法管辖区，选举前BDF测试并非例行公事。

当BDF错误确实发生时——例如，导致对一位候选人的投票被计入另一位候选人——可以使用光学扫描投票系统检测到它们，仅仅是因为可以通过人工重新计数纸质选票来发现异常的计算机报告结果。然而，对于无纸化DRE，无法执行此类重新计数。

替代投票机设计

迪堡、红杉、ES&S和哈特InterCivic是主要的无纸化DRE制造商。大多数DRE使用触摸屏作为输入，尽管哈特InterCivic使用拨号盘进行候选人选择。DRE还可以配备耳机和各种设备（通常是手持设备），使视力障碍选民能够独立投票。DRE不允许选民选择超过允许的候选人数（超额投票），并且它们会提醒选民任何遗漏的投票（投票不足）。DRE还允许选民在提交选票之前审查他们的选票（第二次机会投票）。

产生选民可验证纸质选票的DRE。AccuPoll和Avante生产DRE投票系统，该系统可以打印出选票，供选民检查以确保存在准确的选票纸质记录。Avante还生产一种型号，可以打印光学扫描选票，供视力正常的选民标记，以及一种“可访问”的光学投票系统，该系统允许视力障碍选民打印出标记为反映其选择的光学扫描选票。

光学扫描投票机。除了避免与无纸化DRE相关的许多安全问题外，光学扫描系统也更便宜。通常，这些系统要求选民以学生参加标准化考试的方式标记选票，即使用2号铅笔填充椭圆来制作计算机可读标记。

基于选区的光学扫描仪要求选民通过将选票提交给扫描仪来“测试”选票，以确定选票是否包含超额投票。如果发现选票为空白，这也将提醒选民。理想情况下，在选举日结束时——在所有选票在选区初步统计之后——所有选票以及结果都可以转发到制表中心。（如果本地结果在本地发布，则非法操纵投票箱或制表表的可能性会降低。）请注意，根据定义，光学扫描投票系统会创建选民验证的纸质选票。

混合模型。选票标记系统是DRE和光学扫描系统的交叉。一种由Vogue Election Systems (VES) 制造，目前由ES&S销售的系统，提供类似于DRE的触摸屏。选民只需将空白光学扫描选票插入机器，然后像与DRE交互一样进行操作。一旦选民输入了所有选择，机器就会相应地标记光学扫描选票，从而避免超额投票，并在过程中发出投票不足警报。这也有助于消除任何可能混淆扫描仪的杂散铅笔标记。同时，连接的耳机提供了一个选项，允许盲人选民无需任何帮助即可投票。

Populex生产的另一种系统包括一个带有附加手写笔的屏幕。一旦选民输入了所有选择，该系统还会打印出已完成的选票。为了方便人眼查看，选票使用数字来表示选民的选择，以及相应的条形码，以便光学扫描仪受益。与Vogue系统一样，可以为盲人选民提供连接的耳机。对于这两种系统，连接到扫描仪的耳机将使视力障碍选民以及视力正常的人能够验证他们的选票，但目前尚无法使用此选项。

密码学投票系统。VoteHere (http://www.votehere.net/ ) 和大卫·乔姆 (http://www.seas.gwu.edu/~poorvi/Chaum/chaum.pdf) 都开发了投票系统，该系统提供加密收据，选民可以使用该收据验证他们的选票是否被准确计数。然而，乔姆的系统目前尚未生产。这两种系统都存在一个共同的问题，即它们没有提供在确定发生选票制表问题时进行重新计票的方法，尽管可以更正个别选票。此外，这两种方案对于选民来说都不是特别容易理解。

开源。OVC（开放投票联盟，http://www.openvotingconsortium.org/）是一个由软件工程师和计算机科学家组成的非营利组织，致力于构建一个开源投票系统，该系统将在PC硬件上运行并生成选民可验证的纸质选票。该组织还希望为可互操作的开源投票软件提供通用标准。

DRE的审慎预防措施

由于无纸化DRE不提供审计跟踪，因此必须在每次选举之前、期间和之后对其进行广泛测试。DRE还必须在选举之间以及选举日之前和期间安全地存储在投票站。

同样，所有选票定义文件都应始终经过严格测试——所有测试结果（不仅仅是BDF测试）不仅要公开，还要存档在中央存储库中。此外，还应该有一个国家DRE问题存储库，就像飞机的情况一样。

最后，应在每个使用DRE的投票地点提供纸质选票，既作为DRE发生故障时的备份，也为选民提供选民可验证纸质选票的选择。

这些步骤都不能确保DRE软件没有恶意代码和潜在的破坏性错误。我们能做的最好的事情是试图降低与这些机器相关的风险。

结论

电子投票问题应该主要是一个技术问题——一个涉及计算机安全、人为因素、可靠性和效率的问题。不幸的是，在政治领域，事情很少如此简单。

选举官员不得不经历一次痛苦的学习经历。在被告知DRE操作成本低廉，并且经过广泛测试和认证以确保可靠和安全的服务之后，他们此后了解到，与测试和安全存储DRE相关的成本很高，测试和认证过程值得怀疑，并且软件远非没有错误。

随着技术专家协同努力，向决策者和公众宣传与无纸化DRE相关的风险，教育过程仍在继续。对于民主的持续健康发展而言，我们取得成功至关重要。

致谢

感谢Dan Wallach、Tracy Volz、Laura Gould、Lynn Landes、Rebecca Mercuri和Doug Jones的非常有用的评论。

喜欢它，讨厌它？请告诉我们

[email protected] 或 www.acmqueue.com/forums

芭芭拉·西蒙斯 获得了加州大学伯克利分校的博士学位，曾在IBM研究院担任计算机科学研究员，在那里她从事编译器优化、算法分析和调度理论研究。西蒙斯曾任主席，现任美国公共政策委员会 (US) 联合主席。她曾在国家科学基金会互联网投票小组、国防部互联网投票项目 (SERVE) 的安全同行评审小组、总统出口委员会加密小组委员会和总统千年虫转换委员会任职。她是和美国科学促进会的院士。

最初发表于 Queue vol. 2, no. 7—
在数字图书馆中评论本文

更多相关文章

Vinnie Donati - 推动组织可访问性
在本文中，我们将探讨微软如何在整个组织内推动可访问性，我们将仔细研究促进包容性文化的基本框架和实践。通过检查诸如意识建设、战略发展、可访问性成熟度建模等方面，我们的目标是为开始其可访问性之旅的组织提供指南。我们的想法是分享我们学到的知识，希望您可以将其应用，进行调整以适应您公司的宗旨，并以一种不仅仅是复选框活动的方式培养可访问性，而是真正融入您的文化中。

Shahtab Wahid - 设计系统是可访问性交付工具
设计系统是为消费者（设计师和开发人员）构建的基础设施，他们正在开发应用程序。一个成功的设计系统可以让组织中的消费者快速扩展跨应用程序的设计和开发，提高生产力并建立一致性。然而，许多消费者并没有准备好为可访问性而构建。组织能否使应用程序的可访问性支持的构建具有可扩展性、生产力和一致性？本文探讨了设计系统如何成为支持可访问性的重要工具。

Juanami Spencer - 移动应用程序的可访问性考虑
在创建移动应用程序时，考虑可访问性至关重要，以确保它们对尽可能广泛的受众来说是可用且令人愉悦的。与桌面体验相比，移动可访问性具有独特的考虑因素，但它为那些在日常活动中依赖移动设备的用户提供了巨大的价值。通过牢记这些考虑因素，移动产品开发团队可以更好地支持和改善所有用户的日常生活。本文探讨了移动应用程序的一些关键可访问性考虑因素，并重点介绍了Bloomberg Connects应用程序如何在产品和流程中支持可访问性。

Chris Fleizach, Jeffrey P. Bigham - 系统级可访问性
本文通过我们使iPhone能够使用VoiceOver屏幕阅读器进行非视觉使用的工作来说明系统级可访问性。我们为非视觉使用重新构想了触摸屏输入，引入了适用于屏幕阅读器控制的新手势，对于输出，我们添加了对合成语音和可刷新盲文显示器（输出触觉盲文字符的硬件设备）的支持。我们添加了应用程序可以采用的新可访问性API，并使我们的用户界面框架默认包含它们。最后，我们添加了一个可访问性服务，以桥接这些新的输入和输出与应用程序之间。