专家解析：Dominion案的法庭博弈

Dominion投票系统总裁兼首席执行官John Poulos（中）

专栏作家Jeff Carlson近日撰文说，围绕11月3日美国大选在佐治亚州的选举结果所产生的争议，此话题还涉及多年来就（Dominion）过时的投票系统、该州在2019年7月从Dominion购买的触屏设备所引发的争议，以及各方在法庭上的博弈。

以下是记者对Carlson文章中重要部分的翻译。

法庭文件和宣誓人证词显示，Dominion投票系统存在令人担忧的问题，以及为什么佐治亚州之前急于采用该投票系统。

在众多问题中，有一个是无法对Dominion系统做出准确审核、从而验证投票是否按照合理正常的方式进行。审核及网络安全专家曾向法庭展示，Dominion系统自身的设置使其能成功躲过RLA（针对使用风险的）审查。RLA是佐治亚州在重新计票时采用的一种方法。

网络安全专家提供证据显示，Dominion的QR系统不够安全、可以被复制和生成伪造的QR码。一位被全美公认的网络安全专家还发现，在2020年8月佐治亚州选举过程中，分处两个郡的投票系统服务器“可以通过各种方式，从远端被访问”，包括使用闪存驱动器（flash drives）实现访问目标。

这位网络安全专家还发现，其中一个郡的投票系统服务器“无法按时记录数据，或完整更新数据”，“并且Dominion技术人员对这些记录数据享有控制权，有部分数据被删除”。

一些电脑技术专家还发现，Pro V&V公司对Dominion系统进行的测试，存在严重问题。其中一例显示，Pro V&V对Dominion在2020年9月底的最新更新软件，“只做了粗略的测试”。

另外2019年的一次测试显示，Dominion系统在扫描了4500张选票后，就提示“内存被锁定”。Dominion对此的分析和结论是，系统在扫描超过4000张选票后，需要被“重启”。最终，人们不知道该问题是否在2020年大选前得到解决，也不知道选举官员是否提前接受了培训，知道一旦这个问题发生应如何处理。

法庭文件还显示，Dominion系统的作业方式没能达到佐治亚州选举法的要求。美国地区法院法官托滕伯格（Amy Totenberg）说，Dominion系统“无法生成可通过选票验证的纸质选票，也无法生成选民可读的、标有选民投票结果的纸质选票，所有投票过程完全在不可读的QR码环境下完成。”

托滕伯格之后在裁决书上说，“有效证据显示”佐治亚州使用的Dominion系统使选民处于“被剥夺基本投票权的风险中”，使他们的投票无法被准确计算在内。

尽管如此，托滕伯格法官裁决说“虽然这些严重的问题被提出来……法庭不能超越法律的边界、做出可能中断州初选的裁决，因为州初选原本是建立在法律的基础上。”

Dominion系统不符合佐治亚州法律要求

托滕伯格法官指出，佐治亚州选举法要求使用投票标记系统(BMD)作为投票方式（一种可以明确记录投票信息的方式），但佐治亚州购买的Dominion系统和设备没有达到州法律的要求。

对投票系统的风险评估 或不可靠

托滕伯格法官还表示，对投票系统进行风险评估的方法RLA，在Dominion系统上无法正常运行，达不到审查的功效，而RLA是被美国科学、工程和医学研究院认可的评估方式。

佐治亚州使用的新的Dominion设备对RLA的运行，造成了特别的问题，因为Dominion系统“从本质上讲，删除了所有选民投票意向的直接证据。”托滕伯格说，这使“BMD打印出的内容无法显示选民在屏幕上实际看到的内容、选民在机器上的操作，以及选民通过音频接口听到的内容。”

这些问题造成的后果是，无法对Dominion系统做出有效的审计，“只能判断BMD打印的内容是否在格式上正确，却无法证实投票结果是否被准确记录。”这使BMD的打印制表变得“缺乏可信性”，使RLA的风险评估无法得出令人信服的判断。

VotingWorks——为佐治亚州投票提供风险评估的服务商

法庭记录显示，VotingWorks创始人和首席执行长阿迪达（Ben Adida）称，只要“投票人检查一下机器打印出的投票信息，同时只要RLA完成了基本操作，QR码不匹配的问题，就能被及时发现，就像其它的制表错误问题（容易）被发现一样。”

（据VotingWorks在其网站提供的信息，这是一家非党派、非盈利组织，提供安全、可靠和简单易行的投票系统……也对投票结果的准确性，提供风险评估软件。）

然而，著名统计学家、风险评估和审计系统RLA的发明人史塔克（Philip Stark），对阿迪达的说法提出严厉批评。他说，阿迪达的说法是建立在假设的基础上，假定选民对机器打印的投票信息给予了核实。然而，史塔克指出，“研究选民行为的大量证据显示，核实打印单上的投票信息的选民估计不到10%；即便选民做了核实，也经常无法辨别出错误。”

也就是说，11月3日大选投票后，有多少选民在电子投票后核实了打印单上的个人投票信息，无从知晓。

史塔克对阿迪达的另一个说法，也表示绝对不赞同。阿迪达说，选举结束后所做的审查可以证实，选举系统在选举过程中的操作是正常和有效的。史塔克对法庭说，BMD的审计工作无法可靠地探明选举结果是否有效，因为BMD本身在运行中出现了故障，可能出现打错选民信息、遗漏选民或打印多余信息的问题。

法庭对加密问题的争议

托滕伯格法官指出，佐治亚州根据Dominion产品策略和安全总监Eric Coomer和Pro V＆V实验室主任Jack Cobb的证词，将Dominion系统的网络安全性描述为“可靠且坚固”。

值得注意的是，佐治亚州州务卿拉芬斯佩格（Bradford Raffensperger）保留了Pro V＆V来对Dominion系统进行审查。 Cobb提供的信息之一是，Dominion系统的安全性“通过QR码（选民投票后，由投票机产生的扫描码）和随附的数字签名码以及各种其它安全措施的加密，得到加强。”

尽管Cobb称自己“在测试投票机方面拥有14年经验”，但法院发现Cobb缺乏“在网络安全测试或分析，或网络安全风险分析方面的任何专业知识”。 此外，法院发现Cobb“没有亲自做过他在宣誓书中提到的、任何安全测试工作。”

在作证时，Cobb说Dominion印刷选票上的QR码是加密的，但该说法立即遭到原告的技术专家的质疑。 法庭还发现，Cobb使用的是来自Dominion的文件来证明QR码已加密，但实际上这种说法并未被测试过。

法院发现，“证据显然与QR码或数字签名被加密的说法相矛盾”，并指出这是“Cobb先生最终承认的，后来Coomer博士在作证时也明确承认了”。

法庭还听取了网络安全公司Bishop Fox的首席国际网络安全分析师Vincent Lui的证词。 他之前在国家安全局（National Security Agency）工作，担任过全球网络开发分析师，并领导了霍尼韦尔国际（Honeywell International）的全球网络团队。

对于Dominion BMD系统使用的QR码或签名是否被加密的争议，Lui指出，虽然他的公司未获得对佐治亚州使用的Dominion机器的物理访问权，但他仍能够开发出可读取Dominion QR码的解码。也就是说，他可以获得原始数据。Lui可以确定，Dominion的QR码没有经过加密，并可生成伪QR码。

本案的另一位专业证人Halderman在10月26日接受PBS Newshour采访时，肯定了Lui的上述结论。Halderman表示，“通过分析QR码的结构，我已经了解到，没有什么可以阻止攻击者复制（Dominion的）QR码，并且复制品的计数与原始条形码相同。”

Lui对Dominion系统安全性的担忧并没有到此为止。 他告诉法院，Dominion使用的Android操作系统“已经落后了五年”，并且Dominion使用的是“ USB设备和门户”，Lui认为这“充满安全隐患”。

Lui总结说：“ BMD（Dominion）系统的安全设计并不安全，需要进行更深入的审查。”

Pro V&V对Dominion投票系统的审核 存在问题

关于Pro V&V对Dominion系统所做的审核，令专家和法庭担忧的问题，作者Carlson在他之前的文章中有详细描述。可点击这里阅读。

此外Dominion在美国大选前，即9月份为系统所做的安全补丁也存在安全问题，在以上链接提供的文章中，也有详述。

网络安全专家提供证词

法庭对提供证词的赫斯特（Harri Hursti）是这样描述的，他是“全美被公认的网络安全专家，在信息技术安全领域有超过30年的从业经验，特别对网络环境中出现的恶意操作，具有特别的专业知识。”

赫斯特提供证词说：“据我掌握的知识，目前没有哪项法律允许对Dominion系统进行独立研究和学术探讨，Dominion自己也不允许这样做。这极大地限制了能熟悉了解Dominion系统的人数。”

赫斯特说，Dominion投票服务器可以从远程、以不安全的方式被访问，对其安全性造成根本漏洞。更令他担忧的是，“服务器的记录不能按时更新，Dominion的技术人员对这些记录有操控权，他们删除了部分记录。”

赫斯特表示，目前对Dominion新版软件做过的粗略的测试，无法满足最低的安全标准。他希望对这些新软件做更严格的测试后，才能允许继续使用。（之前这些新软件已经应用于11月3日及今年早些的选举投票中）。