bob писал(а):
При "бумажном" голосовании заключительный этап процесса - подсчитанные на участке бюллетени пакуются, опечатываются и отправляются в ЦИК, к ним прилагается протокол подсчёта, подписанный всеми членами комиссии (в некоторых государствах - и наблюдателями).
В случае электронного голосования сервера с "электронными бюллетенями" стоят в ЦИК, во время подсчёта доступ даётся всем членам комиссии и наблюдателям, после окончания подсчёта доступ закрывается для всех, все записи ставятся в read only или же иным способом блокируются от любых возможных модификаций и/или чтений.
Собственно, в read only их можно поставить сразу после окончания голосования, а доступ к ним не закрывать вовсе - чтобы любой член комиссии/наблюдатель в любой момент мог перепроверить свои подсчёты (вот они, прелести онлайна).
bob писал(а):
Если есть жалобы или претензии, ЦИК может принять решение о пересчёте (опять же, в разных государствах есть разные правила относительно обоснования требования пересчёта). При этом в случае пересчёта в принципе невозможно персонифицировать бюллетени. Важно, что пересчёт а) не требует никаких знаний, б) проводится непосредственно жалобщиком (или при его участии), без посредников.
В случае решения о пересчёте ЦИК даёт жалобщику доступ к read only бюллетеням - и пусть перепроверяет. Не требует никаких знаний - систему при должном дизайне можно сделать интуитивно понятной и визуализированной. Персонифицировать бюллетени нельзя - голосования проводились по одноразовым кодам, никак не говорящим о том, кто именно какой код использовал. Эта информация есть только у департамента, выдававшего одноразовые коды по запросам граждан (скажем, PMLP). Ни для членов комиссии, ни для наблюдателей эта информация не доступна - у них есть доступ только к бюллетеням.
bob писал(а):
В случае электронного голосования проверять всё равно будет тот, кто администрирует данные. Или надо с самого начала дать доступ к данным разным людям. Оба варианта доверия явно не повышают :-(.
Разумеется, второе. База данных
человек-код должна быть в одном департаменте, база данных проголосовавших бюллетеней - в другом. В идеале - PMLP и ЦИК соответственно. ЦИК перед выборами генерит список кодов (по числу граждан, имеющих право голоса) и передаёт в PMLP. PMLP выдаёт коды по запросам граждан и ведёт базу
человек-код. ЦИК проводит голосование, собирая базу
код-голос. Всё вполне разделено, и при хорошей информационной безопасности у одного и того же человека не должно быть доступа к обеим базам одновременно. ЦИК, члены комиссии, наблюдатели имеют доступ только к базе
код-голос. PMLP - только к базе
человек-код. Запретить при этом любому сотруднику PMLP быть членом комиссии или наблюдателем в онлайн-части голосования (в обычной - сколько угодно).
Идеально прозрачным вариантом было бы дать после выборов r/o доступ к базе
код-голос всем вообще, чтобы любой из проголосовавших мог проверить, правильно ли посчитан его голос (он-то знает свой код). Но тогда, увы, я не вижу, как убрать из этого доступа PMLP, которое владеет связкой
человек-код... :-(
Darsh