选举在芯片级安全

技术的进步已经改变了我们生活的方方面面,从阅读到开车去烹饪,但是一个任务仍然牢牢地扎根于20世纪的技术——投票。

大多数电子投票仍然顽强地不可用,几乎总是那些无法使用。十年多来,似乎每一次选举都伴随着无数的报道称,投票机的问题。最常见的问题涉及机器改变票。它发生在许多州,甚至艾伦·斯文森首席分析师对于选举完整项目,加州无党派团体寻求保护选举的完整性。不容易当两个独立的投票机在河滨县,斯文森驻留的地方,记录错误的选票。

至少这机器工作。“所以很多人说,他们已经投票和机器分解。这是另一件事伤害。有这么多的坏了的机器在洛杉矶县2018年和没有固定的,所以必须使用选票,”她说。

对一些人来说,老纸打孔选票实际上是更可取的,斯文森说。“有一整套的挑战,哲学上和心理上。连接到互联网的想法害怕一些人来说,他们害怕他们的投票的隐私被泄露,或者黑客和变化的结果。有一个真正的心理爬墙,”她说。

解决方案的发展使这整个过程更好更安全地工作,使用开源芯片的硬件和软件。但如何实现有效这仍在的问题,尤其是在以前失败的光。

最糟糕的业务
事情变得如此糟糕在格鲁吉亚,例如,一位联邦法官命令状态停止使用其过时的电子投票机,2020年去选票。格鲁吉亚是使用Diebold Accuvote TSX触摸屏机器硬件和软件,可追溯到2005年左右。在2006年和2007年,安全研究人员发现众多安全漏洞在这些机器,这促使加州停止使用它们。

最大的问题所在。你会很难找到一个没有预算的国家的挑战,他们肯定没有多余的数百万买新的投票机。所以他们继续使用过时的机器,几乎不能读了选民的联系。

“投票机市场是一个非常悲惨的市场中,”亚历克斯·哈德曼说,密歇根大学的计算机科学教授,曾作为原告的主要证人在格鲁吉亚的情况。“如果你是一个成熟的公司你会赚更多的钱在几乎任何但投票机。为什么进入一个市场,你的客户有几乎没有任何的钱花在这十年左右一次,和每个人都需要技术支持在同一天吗?这不是我将决定创业的地方。”

其他人也同意。“投票机公司投资不足的,也许一些熟练的程序员,”道格·琼斯说,爱荷华大学的计算机科学教授。“我们正在处理一个利基市场,是资金短缺资源。他们的客户是政府和政府很穷,尤其是县级。选举是在优先级列表的底部,低于公路和学校。这是一个问题,因为电子投票机的黎明。”

这就是为什么Diebold,主要的电子投票机制造商之一随着选举系统&软件(ES&S),清晰的选票,InterCivic,业务卖给加拿大自治领的投票系统。代表发言,他不具名,琼斯说,哈德曼和引用的原因是为什么它倾倒。

失败的领导
专家们列举了失败的领导在联邦和州两个层面,但出于不同的原因。联邦政府在很大程度上是不干涉,让它在美国,联邦和各州的权利的另一个例子可以追溯到建国的国家。无常的政府工作人员和民选官员并没有帮助。

“政府有做决定的人可能不是五年从现在和运行设备的人可能不是两年后,”韦恩Maddrey说,软件销售和营销主管电子投票前书。”必须在联邦和州一级,因为你要跑的地方选举中,联邦政府不能告诉一个城市如何经营他们的市长竞选。对我来说,联邦政府应该制定最低级别的质量流程和测试流程所以美国可以说他们满足最低标准。”

问题是没有人一致的标准。一切都是不同的在每一个州。一些允许临时选票,而其他则不然。有人说你周日可以投票,其他人没有。在加州,它变得更加分岔。每个县负责自己的制表设备。这意味着57个不同实体试图保持自己的投票设备,和每个县都有不同的设备。

但斯文森辩护,说多样性保护机器。“当你所有相同的系统,更有可能有问题,会影响所有的如果你有一个问题。有某种安全黑客方面的多样性,而不是在一个同质的情况下,”她说。

技术问题
有多个问题使用投票机,可以追溯到2000年代初。触摸屏质量尚未认真跳(由于iPhone)。没有操作系统能够支持联系。Windows 7,发布于2009年,是第一个Windows操作系统来支持它。Linux内核和3.8版本在2009年获得联系。任何在此之前是家酿啤酒,这至少部分解释了为什么这些15岁的机器不能正常投票。

比较明显的投票机将自动取款机,但不一定,认为一些专家采访的半导体工程。ATM交易的本质是非常不同的从一个投票。银行交易遵循你的每一个动作,而你的投票应该只有你知道。

“私人投票选举的一个关键方面,“乔伊多兹说,自由和公平的创始人之一,各种安全系统的开发人员,其中一个电子投票机。“它让人们投票而不用担心他们的投票的结果,让人们通过出售自己的投票。这也使得安全尤为严重。”

如果一千美元消失从你的银行账户,你可以看到,银行可以看到它因为有记录在漫漫长路的每一步。但是在大选,如果投票出现或消失没有办法确定他们从哪里来或去,因为他们的隐私。

“对每一笔银行交易,你有一个记录和银行有记录。这些记录可以和好如果有争议,”琼斯说。“你不能这么做的选票。这样做需要放弃无记名投票的概念。”

我们可以做自动取款机做的一件事,给论文打印个人的投票与在屏幕上是什么。今天我们能做最好的技术和法规的限制是使用机器的物理备份每个投票的形式文件备份。大多数,如果不是全部,这个月的选举新机器部署的给他们投票的选民的打印副本。

连接或不连接
虽然触摸屏技术已经取得了重大进展在过去的15年里,另一个棘手的问题——网络连接。电子投票机应连接并传输结果返回给一个中央计票设施吗?

他们不应该,但今年早些时候报道它发生在多个州。投票机应该是断开连接,防止黑客攻击。把以太网线被称为空气不紧密接触,大多数受访者都是。

“大多数制表设备不应该上网,“Maddrey说。“当然不是光学扫描设备。但是担心黑客的角度上,没有互联网连接将是一个安全预防措施。”

多兹补充说,“我们宁愿没有机器连接到互联网。一台机器连接到互联网打开整个世界,所以限制是一个明智之举。”

斯文森开放通过VPN的端到端加密的概念。“这可能需要一定的硬件VPN安全连接,这是可行的,”她说。但还有ES&S的情况下承认它安装pcAnywhere一些投票系统,再次对投票机厂商的信任和信心。

“VPN意味着双方系统连接到互联网,它不是一个银弹攻击进入终点。(国家安全局告密者爱德华)斯诺登显示政府可以打破VPN软件10年前,”哈德曼说。

投票机可以使用可信平台模块(TPM)来加密数据,但是再次信任的问题。如果你信任的供应商”及是伟大的。如果我跑选举TPM-based机器,我会给供应商的信任。我要问,我相信这个办公室吗?”琼斯说。

微软拯救吗?
自由与公平与微软的一个研究项目,它认为是答案。该项目被称为ElectionGuard一个自由的,开源SDK从微软的捍卫民主程序,一个全面的努力在微软的部分,包括提供工具来构建电子投票系统。

在ElectionGuard,每一张选票都是加密和哈希为用户生成和打印。他们可以验证网上投票是在中央投票站和统计。然而,机器还没有联网。

“最佳实践将不将它们连接到互联网。更高的保证选举系统的一件事是是合理的本地网络,他们互相交谈,但没有连接到互联网。我看不出慢的不便和更高的工作报告值得打开机器到互联网的风险,”多兹说。

RISC-V项目
还有另一个自由与公平的项目在进行中,称为BESSPIN。这是F&F进入DARPA的系统安全集成通过硬件和固件(SSITH)项目,旨在开发硬件安全体系结构和相关的设计工具,以保护系统免受类硬件漏洞。投票系统被选出的是一个项目的一部分,因为如果有的话可以使用安全的硬件,投票系统。

来源:美国国防部高级研究计划局

项目的目标是开发理念和设计工具,将使芯片系统(SoC)设计人员维护硬件对所有已知类硬件通过软件可以利用的漏洞。

首席执行官和首席科学家乔·Kiniry自由和公正的,说BESSPIN项目选择RISC-V是因为它是一个开放的ISA,不受知识产权问题。“世界上任何人都可以创建、学习,扩展RISC-V设计。一个不能与其他账户做这种事,”他说。

他补充说RISC-V ISA的目的是明确通过分析过去的成功和失败开设个人储蓄账户,及其实现,所以它是干净的,参数化,可分解的,易于使用和扩展。“因此,即使在实现工作的早期,社会创造了许多通过模拟在fpga设计实现,以及数十名asic测试。甚至一些设计正式证实,hobbyists-a结果前所未有的x86和Arm的世界,”他说。

该系统是完全开源的,他相信声称质量有很大的影响,产品的正确性和安全性。“毕竟,其创造者没什么可隐瞒的,如果他们开源的,”他说。

Kiniry说没有预计交付时间,因为这是一个研究项目,但如果供应商变得迷恋的一些技术DARPA SSITH BESSPIN项目中创建的项目,他们可以与我们合作将其集成到他们当前的产品和re-certify新版本系统的几个月。”

展望未来
如此类似于ATM交易,电子投票将涉及印刷复制来验证交易。新投票机推出全国最近的选举一般积极的评论德克萨斯州奥斯汀的,虽然消息被混合好和坏。

现在的问题是这些地区是在2032年的选举中使用相同的机器。