Кратко — сочетание технических мер, процедур и правовых гарантий. Ниже — необходимые элементы с пояснениями.
Технические гарантии
- Бумажный первичный носитель, проверяемый избирателем (Voter‑Verifiable Paper Audit Trail, VVPAT): электронный результат должен иметь физическую «истину» для ручных проверок и пересчётов.
- Независимая выборочная проверка результатов (risk‑limiting audits, RLA): статистически обоснованные перекрёстные проверки бумажных протоколов с машинными результатами; RLA даёт математическую гарантию корректности результата.
- Энд‑ту‑энд верифицируемость: криптографические схемы (смещения, mixnets, гомоморфное суммирование с доказательствами) позволяют избирателям и наблюдателям проверить, что голоса были учтены, не раскрывая тайну голоса.
- Доступность исходного кода и открытые спецификации: публичный аудит кода и протоколов независимыми экспертами и гражданским сообществом.
- Формальная верификация ключевых компонентов: применение формальных методов для критических модулей (табулирование, шифрование, подсчёт).
- Надёжная аутентификация и защита от подмены устройства: криптографические ключи, TPM/secure enclave, строгая идентификация обновлений ПО, защита загрузчика.
- Управление цепочкой поставок и аппаратная целостность: сертификация компонентов, контроль происхождения, проверка прошивок и tamper‑evident корпус.
- Жёсткая сегментация и минимизация сети: избирательные терминалы не должны иметь постоянный доступ в интернет; защищённые каналы передачи данных и журналирование.
- Полный неизменяемый журнал событий и криптографическая подпись логов: для последующего расследования и детерминированной аудиторской проверки.
- Механизмы восстановления и отказоустойчивости: безопасные процедуры переключения на ручной/альтернативный способ голосования при инциденте.
- Публичные тестовые кампании и bug‑bounty: регулярные «полевые» тесты и стимулирование обнаружения уязвимостей.
Правовые и процедурные гарантии
- Законодательная обязательность бумажного носителя и ручной проверки: бумажный протокол как юридически приоритетный источник результатов.
- Обязательная независимая сертификация и периодические переаттестации: сторонние лаборатории и общественные комиссии имеют право и обязанность проверять систему.
- Прозрачность закупок и требований к поставщикам: открытые тендеры, запрет на закрытые соглашения, требования к раскрытию исходников/спецификаций или возможности независимого аудита.
- Процедуры фиксирования и обязательного уведомления об инцидентах: сроки и формы сообщения общественности и регуляторам, обязательные расследования.
- Право наблюдателей и представителей партий на доступ и контроль: присутствие при установке, хранении и подсчёте, право на повторные проверки.
- Чёткие правила для обновления ПО: запрет на внесение изменений в ПО в период перед выборами (cut‑off), контроль версий и цифровые подписи обновлений.
- Юридическая ответственность за вмешательство и саботаж: уголовная и административная ответственность для нарушителей и недобросовестных поставщиков.
- Процедуры пересчёта и оспаривания результатов: понятные сроки, алгоритмы и права сторон на инициирование пересчёта.
- Стандарты кибербезопасности и соответствие международным нормам: обязательное применение признанных стандартов (ISO, NIST и т.п.) и регулярные внешние проверки.
- Обязательные планы коммуникации и обучения: информирование избирателей о механизмах проверки, обучение администраторов и наблюдателей.
Комбинация принципов для доверия
- Ни одна одна мера не достаточна; ориентир — «многоуровневая защита» (defense‑in‑depth): бумага + криптография + аудит + закон.
- Прозрачность и вовлечение независимых экспертов и общества — ключ к доверию.
- Наличие понятной «кнопки возврата» на случай компрометации: заранее утверждённый процедурный переход к полностью ручному подсчёту при серьёзных инцидентах.
Если нужно, могу кратко перечислить приоритетный минимальный набор гарантий для внедрения в краткосрочной перспективе.