گزارش هیات کارشناسی راجع به انتخابات مجدد دوره سی و سوم هیات مدیره کانون وکلای دادگستری مرکز

۱- مقدمه

عطف به نامه شماره ۶۹۵ مورخ ۱۴۰۴/۰۳/۱۳ از سوی کانون کارشناسان رسمی استان تهران با موضوع بررسی فنی سیستم نرم افزاری برگزاری انتخابات کانون وکلای دادگستری مرکز گزارش کارشناسی تهیه شده توسط هیئت سه نفره کارشناسان به شرح زیر تقدیم می‌شود.

موضوع گزارش حاضر عبارت است از بررسی فنی سیستم نرم افزاری برگزاری انتخابات کانون وکلای دادگستری مرکز که این خدمات و سیستم نرم افزاری مربوطه توسط مجری شرکت شبکه پردازان طلوع فردا طی قراردادی روز شنبه ۱۴۰۲/۰۳/۱۰ برگزار شده است.

پیرو دریافت ابلاغیه کارشناسی، هیئت کارشناسان هماهنگی های لازم را با مسئولین مربوطه در کانون وکلا مرکز به عمل آورده و متعاقبا نمایندگان شرکت مجری نیز به هیئت معرفی و فرآیند کارشناسی آغاز گردید. در همین راستا جلساتی به صورت آنلاین و حضوری با حضور کارشناسان و مدیران مجری و کارفرما برگزار شد طی چند مرحله مستندات مربوطه دریافت و پس از بررسی و تحلیل گزارش کارشناسی حاضر تهیه گردید.

۲- اقدامات هیات کارشناسی

اقدامات انجام شده مستندات جمع آوری شده و بررسیهای انجام شده توسط هیئت کارشناسی به شرح ادامه است.

۱- برگزاری جلسه با اعضا هیئت رئیسه کانون وکلا اعضا هیئت نظارت بر انتخابات اعضا و مشاوران فنی نمایندگان حاضر از معترضین

۲- بازدید از شرکت مجری برگزاری انتخابات همچنین بازدید از کدها و نرم افزارهای مرتبط

۳- بازدید از پایگاه داده اصلی انتخابات دریافت نسخه پشتیبان از این پایگاه داده برای انجام بررسی های بیشتر و مستقل

۴- بررسی تحلیلی و مستقل اطلاعات پایگاه داده در اختیار قرار داده شده و استخراج انواع گزارشات از جمله :

• گزارش از آرای و شرکت کنندگا
• گزارش از IP های اتصال و توزیع آنها
• گزارش از رمزهای یکبار مصرف (OTP) تولید شده و مقتضیات مرتبط
• دیگر گزارشهای تحلیلی در خصوص آرا

۵- دریافت اطلاعات پنل SMS مورد استفاده برای صدور رمزهای یکبار مصرف و ارتباط این اطلاعات با اطلاعات پایگاه داده انتخابات

۶- دریافت و بررسی انواع لاگهای سیستمی موجود

۷- مطالعه و بررسی گزارشهای فنی شرکت کارفرما

۸- مطالعه و بررسی گزارش های فنی کانون وکلا

۹- مطالعه و بررسی انواع گزارشهای اعتراضات رسمی و غیر رسمی و توجه به نکات فنی ذکر شده در آنها

۳- مبانی نظریه کارشناسی

در ابتدا لازم است روشهای صحت سنجی برگزاری انتخابات الکترونیک را مختصری تشریح کرده تا سپس به بررسی کیفیت اجرای این روشها در انتخابات موضوع بررسی بپردازیم.

۳ -۱- سازوکارهای صحت سنجی برگزاری انتخابات الکترونیک

احراز صحت فرآیند و نتایج برگزاری انتخابات موضوعی بسیار مهم و حائز اهمیت است. در شیوه های سنتی با استفاده از اوراق کاغذی، وجود فیزیکی آرای مهر و موم شده در صندوق های رأی (و همچنین دیگر مستندات فیزیکی مانند ته برگ های حاوی مشخصات رأی دهندگان) امکان بازشماری و صحت سنجی چند باره فرایند و نتایج انتخابات را فراهم می سازد. اما در انتخابات تمام الکترونیک که بدون هیچ گونه رسید کاغذی برگزار می شود، آیا چنین امکانی وجود دارد؟ آیا می توان آرای ثبت شده را بازشماری و از عدم دخل و تصرف در داده های انتخاباتی اطمینان حاصل کرد؟

در دنیای دیجیتال، که تغییر اطلاعات به سادگی و در کسری از ثانیه ممکن است، برگزاری انتخابات تمام الکترونیک نیازمند پیاده سازی سازو کارهایی مشخص برای صحت سنجی است. اجرای این سازوکارها، اطمینان از صحت نتایج را به شکلی روشن و شفاف ممکن می سازد. در ادامه به چهار مؤلفه اصلی که عموما برای تحقق امکان صحت سنجی در انتخابات الکترونیک مورد استفاده قرار می گیرد اشاره می شود:

۱- رمزنگاری آرا

هر رأی بلافاصله پس از اخذ باید با استفاده از کلید عمومی رمزنگاری شود تا محتوای آن تا زمان شمارش، قابل مشاهده نبوده و محرمانگی رأی حفظ گردد. در رمزنگاری نامتقارن، کلید عمومی تنها برای رمزگذاری و کلید خصوصی تنها برای رمزگشایی به کار می رود. بنابراین، پس از رمزگذاری، هیچ کس جز دارنده کلید خصوصی نمی تواند محتوای رأی را مشاهده کند. کلید خصوصی باید خارج از سیستم رای گیری نگهداری شود و فقط در زمان شمارش آرا مورد استفاده قرار گیرد. لازم به ذکر است که برای جلوگیری از تولید خروجی یکسان برای آرا مشابه، فرآیند رمزگذاری باید شامل یک پارامتر تصادفی باشد.

۲- تولید رسید الکترونیکی:

از رای رمزنگاری شده با استفاده از الگوریتم مشخص یک کد هش (hash) استخراج می‌شود و به عنوان رسید در اختیار رای دهنده قرار میگیرد. رأی دهنده میتواند در مراحل بعدی با استفاده از این کد رأی خود را در سامانه بررسی کرده و از عدم تغییر آن اطمینان حاصل کند.

۳- انتشار تابلوی عمومی آرا:

سامانه باید تمامی آرای رمزنگاری شده را به همراه هش مربوطه به صورت عمومی منتشر کند. هر رأی جدید باید بلافاصله پس از ثبت، در این تابلوی عمومی درج شود. این تابلو نقش کلیدی در ایجاد شفافیت و امکان ممیزی مستقل دارد. رأی دهندگان می توانند با استفاده از رسید هش، رای خود را در این تابلو پیدا کرده و از عدم تغییر آن مطمئن شوند. چرا که کوچک ترین تغییر در محتوای رأی منجر به ناهماهنگی با هش خواهد شد. این تابلو:

• به هر فرد امکان اطمینان از صحت رأی خود را می دهد.
• امکان نظارت عمومی بر روند و سرعت دریافت آزاد را فراهم می سازد.
• امکان نظارت عمومی بر تجمیع آرا و امکان اطمینان از عدم دستکاری در آرا را ایجاد می کند.

۴- شمارش قابل راستی آزمایی

در مرحله شمارش، آرای رمزنگاری شده که قبلاً به صورت عمومی منتشر شده اند، با استفاده از کلید خصوصی در محیطی امن و قابل نظارت رمزگشایی می شوند. این سازوکار امکان بازشماری مجدد آرا را تحت نظارت نهادهای مستقل به تعداد دفعات مورد نیاز فراهم می کند.

سازوکارهای فوق، چارچوبی شفاف و قابل اعتماد برای تأیید صحت فرآیند و نتایج انتخابات فراهم می آورد.

ممکن است در مصادیقی این سازوکارها با مواردی مشابه جایگزین شوند. برای مثال استفاده از دفاتر عمومی (public ledger) مبتنی بر blockchain نمونه ای از این مصادیق است. دفاتر عمومی، به طریقی مشابه نظارت عمومی بر آرا را ممکن میسازد. در نهایت تمام این سازوکارها ماموریتی مشابه در جهت تامین امکان صحت سنجی و نظارت روشن بر فرایند و نتایج انتخابات دارند.

شرایط عملکرد نرم افزار

علاوه موارد فوق نرم افزار مورد استفاده و محیط اجرایی آن در زمان برگزاری انتخابات باید دارای شرایط مشخصی باشد که در ادامه به آنها اشاره می شود.

۱ – تأیید و امضای نرم افزار:

نرم افزاری که برای برگزاری انتخابات مورد استفاده قرار میگیرد باید توسط یک مرجع معتبر بررسی و نسخه نهایی آن امضا (sign) شود تا پس از آن امکان تغییر در آن وجود نداشته باشد.

۲- اجرای نرم افزار در محیط ایزوله:

در زمان برگزاری انتخابات نرم افزار امضا شده باید در محیطی ایزوله و فاقد دسترسی های غیر مجاز (از جمله پرسنل شرکت مجری با کادر اجرایی کارفرما) اجرا گردد تا فرایند انتخابات الکترونیکی در بستری امن و قابل اطمینان پیش برود.

۲-۴- ایرادات فنی در برگزاری انتخابات

در بررسی انتخابات موضوع بررسی، مجموعه ای از نقایص فنی مشاهده شده که موجب تردید در اعتبار بخشی به فرایند و نتایج این انتخابات از منظر فنی می شوند. این موارد در ادامه طبقه بندی شده اند.

۱- عدم اجرای سازوکارهای معتبر صحت سنجی

در انتخابات مورد بررسی، هیچ یک از سازوکارهای متداول و شناخته شده برای صحت سنجی انتخابات الکترونیک رعایت نشده است.

نخست، آرا رمزنگاری نشده اند.

دوم، رسید هش به رأی دهنده ارائه نشده است.

سوم، تابلوی عمومی نمایش آرا یا هیچ مفهموم مشابهی از به اشتراک گذاری و نظارت بر آرا وجود نداشته است.

چهارم، آرا مرز گذاری شده و مورد تایید، در محیطی امن و تحت نظارت ناظرین رمزگشایی و شمارش نشده اند. در غیاب این سازوکارها امکان صحت سنجی انتخابات در ابعاد مختلف از میان رفته است.

اولاً رأی دهندگان نمی توانند به صورت فردی از شمارش صحیح و عدم تغییر رأی خود اطمینان حاصل کنند.

ثانیاً مجموعه آرا نه تنها با هیچ سازوکاری به اشتراک گذاشته نشده اند بلکه هیچ مکانیسم جایگزینی نیز برای بررسی صحت عدم تغییر یا جلوگیری از دست کاری آنها وجود نداشته است.

ثالثاً امکان نظارت شفاف و عمومی بر روند اخذ آرا و سرعت تجمیع آرا نیز وجود نداشته است.

تأکید بر این نکته ضروری است که این انتخابات به صورت تمام الکترونیک برگزار شده است. در برخی از انتخابات الکترونیک، رسیدهای کاغذی نیز برای افزایش اعتماد و امکان صحت سنجی به کار گرفته می شوند. این رسیدها به واسطه ماهیت فیزیکی خود، قابل مشاهده و پیگیری هستند و میتوانند صحت ابعاد مختلفی از فرآیند انتخابات را تضمین کنند. اما در انتخابات تمام الکترونیک به ویژه در عصری که اطلاعات دیجیتال به راحتی و بدون بر جای گذاشتن اثری قابل تغییرند، استفاده از سازوکارهای صحت سنجی دیجیتال کاملاً ضروری است.

نکته مهم دیگر آن است که اجرای سازوکارهای صحت سنجی ذکر شده (یا سازوکارهای مشابه) به ویژه در انتخابات های محدود و غیر ملی، کاملاً عملی و قابل اجراست. در حالی که ممکن است پیاده سازی این سازوکارها در انتخابات های ملی یا فراگیر با پیچیدگی هایی همراه باشد. در انتخابات با دامنه محدود که رأی دهندگان با روشهایی مانند رمز یک بار مصرف (OTP) آشنایی داشته اجرای این سازوکارها ساده، و در دسترس است. در نتیجه، عدم اجرای هیچ از سازوکارهای معتبر صحت سنجی در این انتخابات فاقد توجیه فنی و منطقی است.

در کدها و داده های مورد بررسی، تنها یک مورد استفاده از الگوریتم هش مشاهده شده است؛ آن هم در جایی که در جدول ثبت آراء کد نامزد به همراه هش آن ذخیره شده است. برای مثال اگر ۱۰ رأی به نامزدی با کد X داده شده باشد، ۱۰ رکورد با مقدار یکسان X در فیلد کد نامزد و مقدار هش یکسان در فیلد هش مربوطه ثبت شده است. این نوع استفاده از هش هیچ معنا و کارکردی ندارد. حتی اگر از SALT برای متفاوت سازی هش ها استفاده شده بود، ذخیره هم زمان کد رای و هش آن در کنار یکدیگر در پایگاه داده بی معنا و بلا استفاده است. این موضوع نه تنها نشان دهنده نقص در پیاده سازی فنی است، بلکه حاکی از عدم درک صحیح کاربرد مفاهیم رمزنگاری (نظیر هش، رمزنگاری نامتقارن و…) در طراحی سازوکارهای انتخابات الکترونیک است.

در نبود سازوکارهای معتبر صحت سنجی، امکان بازشماری آرا عملاً از بین رفته و این مفهوم بی معنا می شود. در چنین شرایطی، یا باید به طور کامل به برگزار کننده انتخابات اعتماد کرد و داده ها را بدون بررسی پذیرفت یا هیچ مکانیسمی برای راستی آزمایی وجود نخواهد داشت.

۲- عدم امضای نرم افزار و اجرای آن در محیط ایزوله

نرم افزار مورد استفاده برای برگزاری انتخابات و محیط اجرایی آن، الزامات لازم برای پیشگیری از دست کاری داده ها را نداشته اند. این نرم افزار پیش از برگزاری رسمی انتخابات به صورت آزمایشی در اختیار هیئت نظارت قرار گرفته و اجرا شده است؛ اما این اجرا صرفاً در حد یک نسخه نمایشی (دمو) از عملکرد بوده و هیچ بررسی معتبری بر روی مکانیسم ها و ساختار داده ها صورت نگرفته است. حتی اطمینانی وجود ندارد که نرم افزار استفاده شده در روز انتخابات دقیقاً همان نسخه ای باشد که پیش تر دمو شده است.

بر این اساس نرم افزار می بایست پیش از برگزاری انتخابات از نظر عملکرد و ساختار داده ها مورد بازبینی قرار می گرفت و سیس نسخه نهایی آن امضا (sign) می شد. امضای دیجیتال نرم افزار مانع از تغییر آن شده و تضمین می کند که همان نسخه بررسی شده، در روز انتخابات مورد استفاده قرار گرفته است.

علاوه بر این، محیط اجرای نرم افزار در روز انتخابات ایزوله و مصون از دسترسیهای غیر مجاز نبوده، بلکه کنترل کامل آن در اختیار شرکت مجری قرار داشته است. این موضوع به معنای امکان بالقوه برای هر گونه دخل و تصرف در نرم افزار، تغییر پیکربندی، تعویض پایگاه پایگاه داده، و حتی حذف، اضافه و تغییر مستقیم رکوردهای ذخیره شده در پایگاه داده است.

در نتیجه، نه تنها سازوکارهای صحت سنجی اجرا نشده اند بلکه حتی حداقل تضمینها برای جلوگیری از دسترسی غیر مجاز به داده ها وجود نداشته است. هرچند با این شرایط اطلاعات موجود به خودی خود قابل صحت سنجی نیستند، اما چنانچه در محیطی امن نگهداری میشدند می توانست به صورت ضمنی به تغییر ناپذیری آنها اعتماد کرد. متأسفانه، حتی چنین اطمینان حداقلی نیز وجود ندارد. این ضعف اساسی امکان دخل و تصرف در اطلاعات انتخابات را در زمان برگزاری و حتی پس از آن امکان پذیر می نماید.

۳- نواقص جدی در ساختار داده

ساختار داده ای طراحی شده برای ذخیره سازی اطلاعات انتخابات، دارای نواقص جدی و اثر گذار است. اطلاعات مهم و پایه ای که حتی در ساده ترین طراحی ها باید ذخیره شوند در این سامانه نادیده گرفته شده اند. در ادامه مهم ترین این نواقص و پیامدهای آنها مورد اشاره قرار می گیرد.

الف) جدول ثبت آرا فاقد اطلاعات زمان اخذ رای است.

شاید تصور شود که حذف زمان اخذ رأی با هدف حفظ محرمانگی انجام شده است. هر چند ثبت زمان اخذ رأی می تواند در مواردی به طور غیر مستقیم امکان شناسایی رأی دهنده را افزایش دهد. اما در اغلب سامانه های انتخابات الکترونیک ثبت زمان اخذ رای یک ضرورت محسوب می شود.

وجود این اطلاعات می تواند مانع از وقوع طیف وسیعی از تخلفات شود یا در صورت وقوع امکان کشف آنها را فراهم آورد.

در برخی سیستم ها، تنها در موارد خاص و با طراحی های جایگزین، از ثبت زمان صرف نظر می‌شود. در این موارد تمهیداتی جایگزین برای جلوگیری از تخلف در نظر گرفته می شود.

عدم ثبت زمان اخذ رای می تواند مانع از تشخیص موارد ابتدایی از تخلف گردد. ممکن است تعداد زیادی از آرا جعلی به صورت یکباره در پایگاه داده درج شده باشند. ممکن است تعداد زیادی از آرا در مدت زمانی کوتاهی از طریق مکانیسم نامجاز بیرونی پمپاژ شده باشد. ممکن است آرائی خارج از زمان انتخابات ثبت شده باشد. ممکن است آرائی پاک شده باشد. بدون وجود زمان اخذ رای ردی از این تخلفات نمیتوان پیدا کرد. البته در صورت وجود زمان با توجه به عدم وجود مکانیسم های صحت سنجی و وجود دسترسی های ناموجه همچنان انواع این تخلفات ممکن بود اما با حذف زمان اخذ رای عملا انجام این تخلفات بسیار ساده تر خواهد شد.

ب) هر برگه رأی الکترونیکی به صورت مستقل و یکتا ذخیره نشده و ساختار لیست رای حفظ نگردیده است.

هر رأی دهنده می توانسته به فهرستی حداکثر شامل ۱۲ نفر رأی دهد. با این حال، هیچ سازوکار با ساختار داده ای برای حفظ ترکیب این لیستها در سیستم لحاظ نشده و تنها رأی به هر نامزد به صورت مجزا و جداگانه ثبت شده است. تأکید می شود که حفظ ساختار لیستی رأیها هیچ تضادی با محرمانگی هویت رای دهنده ندارد زیرا پیوندی میان رأی و مشخصات فرد ایجاد نمی شود. اما حفظ این ساختار برای جلوگیری و شناسایی طیف گسترده ای از تخلفات ضروری است. در انتخابات موضوع بررسی مجموع آرا ثبت شده برای نامزدها ۶۸۶۱۰ رأی بوده است. اما مشخص نیست که این تعداد از سوی چند رأی دهنده و چند برگ رأی اخذ شده است. در حالی که تعداد افراد شرکت کننده به صورت مجزا ۸۸۵۷ نفر اعلام شده به دلیل فقدان ساختار لیستی امکان تطبیق این عدد با داده های ثبت شده برای آرا وجود ندارد.

برای مثال، یک فرد متخلف به راحتی میتوانسته هزار یا حتی ده هزار رأی به نفع یک یا چند نامزد به جدول آرا اضافه کند، بدون آنکه تناقضی در شمارش کلی آرا مشاهده شود. همچنین ممکن است به دلیل نقص فنی یا خطای سیستمی، لیستی از آرا به آرا به صورت ناخواسته و تکراری ذخیره شده باشد. بدون ثبت ساختار لیستی هیچ یک از این تخلفات قابل شناسایی نیست و حتی ابتدایی ترین تحلیل بر پایه تعداد آرا غیر ممکن می‌شود. افزون بر این نبود ساختار لیستی، انجام هرگونه تحلیل آماری نظارتی و تطبیقی را تقریباً از بین می برد.

ج) وجود داده های بی ارزش و غیر قابل تحلیل

پیش تر اشاره شد که در جدول آرا مقدار هش هایی ذخیره شده که فاقد کارکرد مشخص است. افزون بر این، چهار فیلد اطلاعاتی دیگر نیز به طور خاص در جدول ثبت رای وجود دارد که مقدار همه آنها در تمام رکوردها عدد “یک” ثبت شده است. چنین طراحی در ساختار داده ها، نه تنها کیفیت داده ها را کاهش میدهد بلکه امکان تخلف را بسیار ساده می کند. به عنوان مثال یک فرد با حداقل آشنایی فنی می توانسته با اجرای یک query ساده، هر تعداد رای دلخواه برای یک نامزد خاص ثبت کند، بدون اینکه ردی قابل شناسایی از این اقدام در اقلام داده ای به جا بماند. یا به سادگی می توانسته بخشی از آرا را حذف یا جایگزین نماید.

۴- نظریه کارشناسی

با توجه به موارد تشریح شده در خصوص وجوه فنی سیستم نرم افزاری مورد استفاده در این انتخابات و نحوه پیاده سازی فرایندها در آن به سه دلیل اصلی ذیل از منظر فنی سیستم نرم افزاری مورد استفاده دارای شرایط و استانداردهای لازم نبوده و اطلاعات ثبت شده در آن استناد پذیر نیست.

۱- مکانیسم های صحت سنجی معتبر و حداقلی برای فرآیند و نتایج انتخابات پیاده سازی نشده اند. بنابراین تایید یا بازشماری نتایج انتخابات بنابر روشی معتبر ممکن نیست.

۲- نرم افزار مورد استفاده فاقد امضای معتبر بوده و امکان برقراری دسترسیهای ناموجه در زمان برگزاری انتخابات حداقل اعتبار لازم برای داده های موجود را از بین برده است.

۳- نواقص جدی در طراحی ساختار داده ها امکان انجام ابتدایی ترین بازبینی ها و ردیابی ها در خصوص داده های انتخاباتی را سلب کرده است.

قابل ذکر است که موضوعات متعدد دیگری (که فهرست آن در گزارش اقدامات آمده) توسط هیئت کارشناسی بررسی شده است. اما با توجه به وجود نقایص اساسی فوق الذکر پرداختن به آن موارد عملاً در این مرحله فاقد موضوعیت است.

ضروریست اشاره شود این گزارش به معنی آن نیست که سازوکارهای مورد اشاره برای برگزاری اتخابات الکترونیک معتبر امری دشوار و دور از دسترس میباشد بلکه تاکید میگردد پیاده سازی و رعایت این سازوکارها برای برگزاری این انتخابات الکترونیک از لحاظ فنی کاملاً قابل پیاده سازی و اجرا می باشد. اما وجود آنها در سیستم بررسی شده توسط هیات کارشناسی احراز نگردید.

    با تقدیم احترام

هیئت کارشناسان رسمی دادگستری

حمید علیپور                                 حمید حجت                         امیرحسین ثمودی