ネット投票
日本のように日曜日が投票日で、かつ期日前投票という長期間に渡って事実上の投票日が続く制度を持ち、投票環境としては非常に恵まれている国は稀だという事実をまず受け止めた上での議論が必要です。…
投票所まで遠くて行くのが億劫だ、郵便投票できる対象者が限られているといった声を受け、投票する意思はあるのに環境が整えられていないことからオンライン投票を希望する人の声に応えたい。
4人に3人が持っているマイナンバーカードを活用してオンライン投票を実現したい。まずは在外邦人のオンライン投票から始め、問題がなければ国内にも拡大します。脅かされて意中ではない人に投票させられたらどうするのかというご心配もあると思います。オンライン投票先進国のエストニアでは、そうしたことのために、何回でもオンライン投票ができて最後の投票が有効になります。又は投票所で投票すれば、オンライン投票は無効になって、投票所の一票が有効になります。(続く)
他国からの介入のご心配もあると思います。エストニアは隣国ロシアから常にサイバー攻撃を受けていますが、オンライン投票システムに影響を及ぼされたことはありません。
デジタル庁はエストニアに職員を派遣し、エストニアのオンライン投票システムの研究をしてきました。日本でもオンライン投票の導入に向けて検討を開始したいと思います。
脅かされて意中ではない人に投票させられたらどうするのかというご心配もあると思います。オンライン投票先進国のエストニアでは、そうしたことのために、何回でもオンライン投票ができて最後の投票が有効になります。又は投票所で投票すれば、オンライン投票は無効になって、投票所の一票が有効になります。
河野太郎総理で実現したいこと。
投票所まで遠くて行くのが億劫だ、郵便投票できる対象者が限られているといった声を受け、投票する意思はあるのに環境が整えられていないことからオンライン投票を希望する人の声に応えたい。…
おそらくこれでも不正な投票は一部では防げないけど、メリットの方が大きそうな気がする
これを行うと誰が誰に投票したかという情報が保存されるので、秘密選挙の原則が失われるのでは?/villagepump/biwa.icon
個人を記号化して管理すれば大丈夫かな
実装がどうなるか不明ですが、数学的に解決できそう/villagepump/基素.icon
このようなものを仮に使えなかったとしても(使うべきとは思う)、第三者が管理していれば一応懸念は潰せそう(内通の可能性はないものとする)
近い分野について研究してきたけど、これはやめた方がいい。
結局、物理的な攻撃に勝てないので。(例:村の集落のえらいおじいちゃんが、村の全員集めて、目の前で投票させるとか。)
https://gyazo.com/c9453579be514e618e06bc867a2d6fc7
元のポストで批判を見越して上の補足があるけどこれがバズってるのがよくわからなかった
/villagepump/nishio.icon
「保存が必要だから秘密でなくなる!」という人をTwitterでも見て、Twitterでは議論する気がないのでスルーしてたんだけど、ここなら書いてもいいかもな
1: ユーザに一意なID、xがあるとする(例えばマイナンバー)
2: 単方向ハッシュHでハッシュ値H(x)を求める、このハッシュ値から元の値を求めるのは現実的に不可能である
セキュリティ的にbcryptを使ったほうが良いのでは/villagepump/bsahd.icon +1 その方がベター/villagepump/nishio.icon
(一般人にそのリテラシーがあるかどうかはさておき...)
データベースを触れられる人がいるなら、xを知りえないものにしないと何に投票したのかがわかってしまうのでは?/villagepump/wogikaze.icon
データ登録の過程でデータが送られるならわかってしまう
マイナンバーなら大分よさそうではあるが
そもそもネットの方は入力監視なりあるか
"データベースを触れられる人がいると何に投票したのかがわかってしまう"のは問題ですか?/villagepump/nishio.icon
今の紙の投票も箱の中を見れば誰に投票したかはわかる、誰が投票したかはわからない、同程度のセキュリティでは?
ある人Aと紐づく情報xをキーにすると、DBに触れられる人がxを知っていればAさんは何に投票したのかがわかる/villagepump/wogikaze.icon
ここで情報xがマイナンバーであれば、他人の情報xを得ることは普通ないので大丈夫だろう、と思った
マイナンバーが氏名住所と並んだ情報扱いの国もあるので、マイナンバーの秘匿性に依存したセキュリティはダメだと思う/villagepump/bsahd.icon
これが問題であると本気で言うなら投票先も暗号化する手はある
Hは秘密にしないといけない?/villagepump/inajob.icon
yes、ただし選挙ごとに秘密のsaltを使えばいいだけなので容易に実現できる/villagepump/nishio.icon
H(x)と投票結果yをセットにして保存する
再投票した時には改めてH(x)を求め(おなじxなら同じH(x)になる)、yを新しい投票zで上書きする
物理投票をした時には「物理投票をした」という意味の値で上書きする(細かいことをいうと別フィールドにした方がいいが簡単な方を説明)
「物理投票した」と書かれてるなら再投票しても上書きしない
これで要件満たせると思うけど、なんか秘密投票の破れとかあります?
要件は何なんでしたっけ?/villagepump/inajob.icon
投票結果が漏れても誰が投票したかわからないこと?
脅迫されて投票する場合に秘密に投票し直すことができること?
「投票しなおしができるなら誰が何に投票したか保存されてるはずだ!投票の秘密が破壊される!!」という人がいるので生で"誰が何に投票したか"を保存しなくても"投票しなおしができる"要件は実装できるという実装例を挙げている/villagepump/nishio.icon
現在多くの人(誰?)が懸念しているのが「脅迫されて投票」という事例/villagepump/bsahd.icon
ここでその話はしてない.../villagepump/nishio.icon
nishioシステムの場合
選挙終了までは再投票ができる仕組みなので
脅迫されて投票してその後変更などができる
再投票不可な物理投票を使えば、そのあといくら脅迫されても変えられないようにできるのでは/villagepump/takker.icon
物理投票所は選挙監理委員がいらっしゃるから脅迫は困難
ただし、投票終了まで監禁して投票所に行けなくすれば、たしかに脅迫して投票は可能かも
現行だと監禁しても棄権までしかできない
「脅迫されて投票」によってどの程度「投票結果」に差がでうるのか、過去の投票における一位と二位の差を調べてほしいな/villagepump/nishio.icon
多くの場合、それを覆せるほどの「脅迫」をすると大規模すぎて発覚するだろ感
「脅迫されて投票」が発覚したなら下手人を拘束して再投票すればいい
ぶっちゃけ紙と箱の投票より容易にできる
そんな大規模脅迫が現実に起きると思ってるのか、起こるとしたらもうそもそも投票どころではない状態では
「他人が投票者の投票先を知ることができない」という要件とは別に、「投票者本人が望んでも投票先を証明することができない」という要件も秘密投票に含まれる?/villagepump/blu3mo.icon
(「Xさんに投票するからお金ください」を防ぐために)
ここの要件で投票者が自分の過去の投票を見れる必要性は皆無なので、できなくすればいい/villagepump/nishio.icon
まー、今の紙と箱の投票でも投票用紙に書いた名前の写真を取る人がいる(禁止されてるのに)
確かに/villagepump/blu3mo.icon