為什麼一直都還沒有出現令人信任的電子投票系統？

2020年美國總統選舉，川普連任失敗。 在他的言詞鼓勵之下，隔年一月支持者衝進國會山莊，造成流血衝突。 煽動和執行暴力行為固然應該受到譴責； 引發川普支持者不滿的制度面根本弊病更需要拿出來放大檢視。 否則以後不論哪一黨勝選，都很可能會重複發生類似的不滿與抗爭 -- 就像2017修法之前我國的 「數學不及格公投法」 一樣： 制度的缺失導致每一次的公投都被操作成 「要投票vs不要投票」， 而主要的議題永遠被棄置一旁。

美國總統選舉的系統性關鍵弊病之一， 就是電子投票機制。 先不談舞弊或黑帽駭客入侵， 單單是沒有惡意的人為疏失就有可能造成嚴重的後果， 甚至引發陰謀論 -- 特別是在這個充斥著假新聞與認知戰的年代。 任何系統都有可能因人為疏失而造成嚴重錯誤； 電子化的系統更增加了使用者誤解介面、程式設計師、系統管理員等等新的風險面向。 相較之下， 例如學測指考等等大考也包含了部分的電子化作業流程， 但是它牽涉的是眾多獨立考生的個人利益， 而不是兩大對立政黨的政治利益， 所以比較不容易成為假新聞與認知戰的溫床， 大家比較有機會理性討論如何解決技術問題。

從技術的角度來說， 到目前為止電子投票是不可能的任務。 史丹佛大學研究電子投票安全的 David Dill 教授與同僚們 撰文指出： 理想的投票技術應有五大特性： 匿名、 可規模化、 高速、 可驗證、 準確。 筆者不是這方面的專家， 姑且僅聚焦「匿名」與「可驗證」這兩大博取民眾信任的最最重要基石。 為什麼看似更複雜的金融系統與電子商務早已大規模電子化， 而專家們卻說電子投票不可行？ 因為前者記名， 對電腦科學家而言， 這是普通的記帳問題； 後者則需要保持匿名。 目前沒有任何一個具有公信力的研究成果能夠同時滿足 「匿名」與「可驗證」 這兩個互相矛盾的要求。

如果真的要勉強找一個面臨相似矛盾挑戰的問題， 或許可以看看密碼貨幣。 比特幣的程式碼以及有史以來的所有交易記錄都公開在網路上， 「透明化可驗證」 這一點得滿分。 但是當然， 參與交易的所有地址也都同時公開， 所以它只能做到假名化 (pseudonymous)， 但並不符合匿名化的要求。 一旦某個地址與某個個人的連結被公開了， 他的所有歷史交易也都被攤在陽光下。 事實上最近一篇 Alyssa Blackburn 等人所撰寫的 探討去中心化論文 裡， 爬梳了早期比特幣大戶的交易， 研究者順帶一提地宣稱已成功指認出幾位大戶的真實身份。 不信任區塊鏈與密碼貨幣的人， 更沒有理由信任電子投票。 理解且信任區塊鏈技術的人， 可以詳讀約翰霍普金斯大學的資安教授 Matthew Green 的一個推特評論串 「為什麼區塊鏈無法解決投票問題」。 更廣泛地說不論採用區塊鏈或其他任何技術， 筆者從來沒有看過哪一位知名的資訊安全專家支持任何一種全面無紙化的電子投票技術。

理論放一旁， 回來談現實。 2007年加州與俄亥俄州找來專家稽核他們的電子投票機的安全性， 成績慘不忍睹。 2017年美國參議院情報委員會邀請密西根大學專精於資訊安全及隱私的教授 Alex halderman 來 簡報， 他毫無懸念地說： 我知道美國的電子投票機很不安全。 他和同事們在實驗室裡一次又一次地駭進投票機， 甚至成功地植入病毒散， 讓它散佈到許多部投票機裡， 全面偷偷更改選票。 資安專家 Bruce Schneier 提醒大家： 這並不是只有資安教授才辦得到的事。 2017年 DEFCON 駭客大會找來 25 部電子投票機讓大家玩， 一週之內每一部機器都被攻陷， 無一倖免。 沒有任何電腦系統可以保證安全， 但是黑箱的電子投票機的安全性恐怕更低於一般水準， 有些甚至還在 Windows 7 即將退役時 仍採用 這個老舊過期的作業系統。 而投票機比金融系統更脆弱的是： 不只被入侵會有嚴重的後果， 單單只是當機之類的問題都可能會引發民眾對選舉公正性的質疑， 進而造成社會的動盪。

在美國市佔率最高 (將近5成) 的電子投票機由 ES&S 公司所生產。 從喬治亞州的副州長選舉到印第安納州強生郡的選舉， ES&S 機器計票的正確性多次遭到質疑。 然而這些質疑非但沒有得到解答， ES&S 甚至還以訴訟拖延的方式來破壞伊利諾州庫克郡改買其他公司產品的計畫， 又寄出法律信函恐嚇公民組織 SMART Elections， 只因為主張選舉應公平公正公開的 SMART Elections 指出其產品有諸多技術問題。 這引發曾任普林斯頓大學電腦系系主任的資安教授 Andrew Appel 出面駁斥 ES&S、 力挺 SMART Elections。 市佔率第二高的 Dominion 的爭議案例也很多。 面對涉及電子投票的諸多選舉爭議， 法院的判決更從來沒有說服力， 畢竟這些公司的程式碼不可能公開； 而當智慧財產權凌駕於民主程序之上， 民眾又如何被說服相信這些黑箱計票的技術呢？

本文提及的每一位知名資訊安全專家學者共同的主張都是： 紙本選票萬萬不可廢棄； 如果採用電子資訊技術， 它應扮演輔助的角色。 這樣萬一出現爭議的時候， 至少還有紙本的紀錄可作為最終的判斷依據。 開啟現代非對稱式加解密廣泛應用的 RSA 演算法發明人之一 MIT 的 Ron Rivest 教授被問到如何才能讓電子投票變得更安全， 他說： 我的思維不是確認機器如何運作 (筆者註： 因為那是近乎不可能的任務) 而是在每次的選舉之後， 從紙本選票當中隨機抽樣， 再用統計的方法去驗證選舉結果的合理性。

我個人很難理解當初美國許多郡縣， 為何能夠在沒有資訊安全專家背書的情況之下， 竟然敢採用電子投票系統。 美國或許有他們的歷史包袱； 台灣的中選會在選後都會公告詳細至每個村里的投開票所的數字， 以「匿名」與「可驗證」來說， 毫無疑問地完勝美國。 面對具有強烈犯意的鄰國， 我們更沒有理由捨棄公開透明運作良好的既有機制、 間接幫助意圖破壞我國自由民主的中共提供更多的攻擊面。 政府如果想要推動電子投票機， 千萬務必先做足功課。

[2024/1/17] 本文原刊載於 科學月刊； 2024總統大選後， 補上許多參考連結、 換個標題重新貼在部落格上。 到目前為止，還是沒有看到比較有說服力、廣為學術界所接受的安全電子投票機制， 更不用說合格的電子投票機商品。