Вопросы к ЦИК

1. По адресу размещен «график раскрытия технической документации» ДЭГ.

1.1. Был ли этот график соблюден?

1.2. В графике указано, что «раскрытие полного объема исходных текстов ПО ПТК ДЭГ в 2021 г. не планируется». Могли бы вы пояснить причину этого?

1.3. Могли бы вы ознакомить нас с полным перечнем оборудования и программных продуктов, используемых в системах ДЭГ а) в Москве, б) в Российской Федерации за исключением Москвы?

1.4. Могли бы вы направить нам ссылку на репозитории программного кода, по которой можно ознакомиться с кодом, применяемым для дистанционного электронного голосования а) в Москве, б) в Российской Федерации за исключением Москвы?

Просим разъяснить, где в указанных репозиториях для каждой из систем (московской и немосковской) находится:

1.5. Серверная часть программного обеспечения.

1.6. Клиентская часть программного обеспечения.

1.7. Мобильное приложение.

1.8. Программное обеспечение для наблюдения за электронным голосованием.

1.9. Иные программные продукты, со списком которых вы ознакомили нас согласно п. 1.3 настоящего запроса.

1.10. Если ссылки на репозитории по конкретным компонентам отсутствуют в публичном доступе или по ним опубликован не весь код — просим сообщить о причинах непубликации или неполной публикации кода и указать, какие именно компоненты не опубликованы.

1.11. Просим вас сообщить, какие предложения из пункта 2 требований «Голоса»* от 29.07.2020, опубликованных по ссылке, учтены к настоящему моменту?

1.12. Имеются ли у а) московской, б) федеральной системы ДЭГ эксплуатационные документы? Кем и когда они выданы и/или утверждены?

1.13. Могли бы вы нам их предоставить?

1.14. Имеется ли у а) московской, б) федеральной системы ДЭГ технический паспорт? Кем и когда он выдан и/или утвержден?

1.15. Могли бы вы нам его предоставить?

2.1. Публично доступна ссылка. Просим вас сообщить, в каких подразделах этого репозитория находится исходный код конкретных видов программного обеспечения, перечисленных в пп. 1.5–1.9 ?

2.2. Публично доступна ссылка. Просим вас сообщить, в каких подразделах этого репозитория находится исходный код конкретных видов программного обеспечения, перечисленных в пп. 1.5–1.9 ?

4. В соответствии с российским законодательством система ДЭГ должна быть сертифицирована.

4.1. Сертифицировано ли оборудование и программное обеспечение федеральной системы ДЭГ, и если да, то можно ли ознакомиться с сертификатами и разработанной для этого документацией?

4.2. Сертифицировано ли оборудование и программное обеспечение московской системы ДЭГ, и если да, то можно ли ознакомиться с сертификатами и разработанной для этого документацией?

5.1. По какому адресу расположено оборудование, входящее в а) московскую и б) федеральную систему ДЭГ?

5.2. Предоставлен ли соответствующим избирательным комиссиям а) московского ДЭГ, б) федерального ДЭГ доступ в помещения, где расположено оборудование для проведения ДЭГ?

5.3. Кто контролирует доступ в эти помещения?

5.4. Каким образом избирательная комиссия ДЭГ может убедиться в неизменности программного обеспечения и оборудования во время проведения голосования?

5.5. Имеют ли возможность разработчики или иные третьи лица вносить изменения в состав оборудования и программного обеспечения системы ДЭГ во время голосования?

6.1. Кем утвержден документ?

6.2. Применим ли он к московскому или проходящему вне Москвы ДЭГ?

6.3. Кто автор этого документа, в рамках какой процедуры (по чьему поручению/распоряжению/указанию/решению) он был заказан (выполнен, подготовлен)?

7. В отношении следующих модулей и компонентов ПТК ДЭГ просим вас представить информацию согласно таблице:

8. Просим вас прислать ссылки на репозитории с исходным кодом следующих сервисов:

1. admin-front
2. admin-service
3. bc-node
4. deg-authservice
5. deg-cryptoservice
6. deg-observerservice
7. deg-registryservice
8. deg-sms-sender
9. deg-statisticsservice
10. deg-supportservice
11. deg-voting-box
12. deg-voting-ssr
13. deg-votingtest-service
14. elecdb
15. kafka2
16. keyz
17. observer-front
18. portal-anonnginx
19. portal-checkup
20. portal-front
21. rmq

дословно

Ответ ЦИК на наш запрос

«В соответствии с поручением Президента Российской Федерации, актом Правительства Российской Федерации ПАО «Ростелеком» определено единственным исполнителем заказываемых ЦИК России работ по цифровизации избирательного процесса, предоставлению цифровых сервисов для участников избирательного процесса и созданию цифровой платформы реализации основных гарантий избирательных прав и права на участие в референдуме граждан Российской Федерации.

Программно-технический комплекс дистанционного электронного голосования (далее — ПТК ДЭГ) разрабатывается ПАО «Ростелеком» по заказу ЦИК России, в том числе в соответствии с установленными законодательством требованиями о защите информации, содержащейся в государственных информационных системах.

В отношении ПТК ДЭГ и его информационно-телекоммуникационной инфраструктуры проведены аттестационные испытания на соответствие требованиям защиты информации. По результатам испытаний выданы аттестаты соответствия, материалы аттестационных испытаний направлены во ФСТЭК России.

Запрашиваемая вами информация о ПТК ДЭГ и организации его технической эксплуатации получена как результат исполнения ПАО «Ростелеком» государственных контрактов и содержит сведения о составе и организации работы системы, виде, количестве и наименованиях модулей, местах расположения хранилищ данных и каналов связи, исходных текстах и дистрибутивах программного обеспечения, а также другие сведения, относящиеся к организации защиты информации и отнесенные к служебной информации ограниченного распространения.

В соответствии с особенностями осуществления закупок, установленных Правительством Российской Федерации, и порядком обращения со служебной информацией ограниченного распространения ЦИК России обеспечивает раскрытие и доступ к информации о ПТК ДЭГ, работах по его созданию и использованию, в том числе на заседаниях ЦИК России, открытых заседаниях рабочих групп и иных коллегиальных совещательных органов при ЦИК России, на пресс-конференциях, посредством предоставления информации по обращениям граждан и организаций и запросам редакций средств массовой информации, а также путем организации размещения информации в сети Интернет, в том числе на указанных в вашем запросе ресурсах. При этом

Дополнительно сообщаем, что раскрытие полного объема исходных текстов программного обеспечения ПТК ДЭГ, а также запрашиваемых вами деталей организации технической эксплуатации не является необходимым, так как доверие к ПТК ДЭГ и реализуемым им алгоритмам обработки информации о результатах волеизъявления участников голосования обеспечивается следующими основными мерами:

• раскрытием информации о реализуемом ПТК ДЭГ протоколе дистанционного электронного голосования, используемых в нем криптографических алгоритмах и их параметрах;
• контролем участника голосования над программным обеспечением, выполняющемся на его устройстве, а также раскрытием его исходных текстов (образцов исходного текста) и интерфейсов его взаимодействия с ПТК ДЭГ;
• контролем избирательной комиссии дистанционного электронного голосования над техническими средствами и выполняющимся на них программным обеспечением формирования, деления и сборки ключей шифрования, контролем над носителями частей ключей шифрования;
• предоставлением неограниченному кругу лиц в ходе голосования и подведения итогов голосования информации о поступивших в ПТК ДЭГ зашифрованных результатах волеизъявления участников голосования, а также программного обеспечения с исходными текстами для проверки полноты, целостности и неизменности результатов волеизъявления и корректности подсчета голосов.

Также обращаем внимание, что вопросы в отношении государственной информационной системы города Москвы «Система дистанционного электронного голосования» и ее использования находятся в компетенции Правительства Москвы и Московской городской избирательной комиссии».

Комментарий к ответу ЦИК

Мы получили ответ от анонимуса из ЦИК. Ответ — без подписи. Вместо подписи — машинописью: «пресс-служба ЦИК».

Из 29 наших вопросов ответы формально были получены на четыре, и ответы эти сводятся к тому, что запрошенная информация носит характер ДСП. Это, кажется, рекорд.

Помимо отсутствия нужной информации в ответе, в нем присутствуют утверждения, не соответствующие действительности. Именно то, что выдается за меры, которые, по мысли циковского анонимуса, обеспечивают «доверие к ПТК ДЭГ», оказывается либо неправдой, либо — переводом стрелок на другие темы.

Так, ЦИК утверждает, что «доверие» к ПТК ДЭГ обеспечивается:

О качестве этого так называемого раскрытия мы писали неоднократно. Вместо того чтобы прислать нам недостающие документы, нам говорят: «Все уже вывесили». Это, как мы многажды писали, не так.

ЦИК умалчивает здесь, что проблема — не на стороне избирателя, а на стороне сервера: мы не знаем, что пишется в «блокчейн» — сообщение, пришедшее от избирателя, или что-то другое?

Это неправда. Григорий Мельконьянц, участвовавший в делении ключа, писал, что он не имел контроля над оборудованием, на котором проводилось деление ключа, и не мог удостовериться, что на этом оборудовании нет вредоносного программного обеспечения.

Если под «информацией о поступивших зашифрованных результатах голосования» имеются в виду сами сообщения, пришедшие по каналам связи и записанные в «блокчейн», — это неправда.

К данным, которые посчитаны по публичному блокчейну, для подведения итогов голосования следует добавить… просто числа, которые необходимо принять на веру.

Если же под «информацией» имеется в виду лишь сводная информация про явку на выборах, то ответ смехотворен: это все равно как если бы комиссия выгнала всех наблюдателей с участка и раз в час председатель выходил бы в предбанник и оглашал явку.

***

Если ЦИК считает, что ответить на 0 из 29 вопросов и воспользоваться приемом «подмена тезиса» в «дополнительно сообщаем» — это нормально, ну и окей. Но если, допустим, Элла Памфилова почему-то так не считает — я буду рад встретиться с ней лично и задать все остающиеся у меня вопросы.

* Движение «Голос» включено Минюстом РФ в Реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента.