网络投票系统还不值得信任

　　网上投票听起来非常不错，像是一个我们值得为之努力的想法。毕竟我们早就在网上做很多事了，也经常以加密的形式发送敏感信息，比如财务记录或者医疗记录。此外还有各种被称为“端到端验证”（end-to-end verifiability) 的加密手段可以向公民保证，官方如实地记录了他们的投票。

　　还有，网络投票的便利性或许可以激励更多人参与选举。要试验网络投票，还有哪里比瑞士更好呢？那里的人民很小就开始投票，平时也常常投票。虽然瑞士有传统议会，但许多重要决策都是由人民直接投票做出的。这自然就产生了许多选举。仅 2018 年一年，瑞士就举行了 10 次全民公投，议题五花八门。

　　其实瑞士的一些州已经开展了网络投票，不过整个过程还是有很多限制，他们启用了两套独立的验证系统。政府表示，在有资格投票的人中，有三分之二都选择了网络投票，这种需求看起来很旺盛。不久前，瑞士决定大力推广网络投票，事情也以瑞士人惯常的风格有条不紊地开展了起来。第一步是举行模拟公投，并邀请全世界的“白帽”黑客（揭露系统漏洞使其得以修复的网络安全研究者）侵入系统，成功者将获得 15 万美元奖励和一个吹嘘的机会。

　　奖金很快被人领走。有三支团队分别指出，黑客能不知不觉地更改投票结果，这相当于是最坏的情况。系统的漏洞来自计票前对加密选票“洗牌”的过程，原本这个过程是为了保护投票人的隐私。还好这个漏洞可以补上。可是，即便补上以后，投票者怎么才能确定自己可以信任新的系统 ?

　　还有一个问题值得关注，任何类型的网络投票都可能面临以下两种矛盾的场景：如果在投票过程中使用加密手段，那么投票者就得全权信任专家；如果在投票过程中不使用加密手段，又无法保证投票过程可以匿名化，也无法保证投票结果的有效性。爱沙尼亚从 2005 年起就采用加密的网络投票方案。2016 年，牛津大学的一个研究组检查了爱沙尼亚的投票系统，对他们的许多安全措施称赞有加。不过，他们也指出，由于这个国家面积很小，当地官员还是需要通过个人关系与参与选举的人建立信任。爱沙尼亚人似乎觉得这样就够了，但这并不是一个可以轻易广泛应用的模式。

　　在爱沙尼亚使用的这套系统中，另一个与众不同地方在于它的强制数码身份系统：每个爱沙尼亚公民都会领到一张带有加密钥匙的卡片，它在公共和私人领域用途广泛。虽然这套系统可以确认辨别投票者，防止重复投票，但也制造了新的问题：可以用作一个庞大的追踪和监视网络。很多国家并不喜欢这样。数码身份证还会造成第三个问题：2017 年，爱沙尼亚公民卡的硬件里发现了一个漏洞，这使身份可能被盗用。官员们迅速替换卡片、升级系统，才避免了巨大的危机。这仅仅是因为黑客没有利用这个漏洞，如果还有下一次，情况可能完全不同。

　　最后，即便是最安全的网络投票系统也有问题：我们的投票过程不应该基于对专家的信任。电子投票可能使欺诈变得更加隐蔽，规模也更大。纸质选票当然也会被污染，但那需要制定秘密计划、组织大量人员，要想隐瞒非常困难。如果怀疑作假，只要在眼光锐利的观察者面前再计一次票就能检验。

　　信任选举结果是任何民主政府的合法性基础。网络投票系统可能无法完全说服公民这其中没有暗门、后门、漏洞或者执行问题。比起网络投票，一个国家的政府应该关注的是用其他措施为投票创造便利，比如在全国节假日举行选举，增加投票地点，配置充足的投票机从而减少排队，为有需要的人提供前往投票亭的交通工具等等。或许投票太重要了，目前我觉得还不能仰仗那些网络投票系统。

　　摘自：《环球科学》2019 年 7 月号