それに、e投票はハッキングされる可能性があるよね（たぶん、コンピュータやスマホから投票するから、世界の反対側からでもハッキングできちゃう）。フィッシングを気にするべき最後の場所は、投票だと思う。対面での投票や「物理的な」郵送投票を世界の反対側からハッキングするのは難しいからね。

理解することだけじゃなくて、信頼しづらいってことが問題なんだよね。オタクたちが思ってるのとは逆に、選挙の目的は数学的な基準で完璧な結果を出すことじゃない。投票した人たちの間で合意を得ることが目的なんだ。良い選挙システムは、たとえ敵同士でも結果に不本意ながらも同意できるものだよ。紙の投票用紙のシステムは、物の恒常性を理解して嘘をつかないメンバーがいるグループによって監視できるという利点がある。それは全員ではないけど、仮想的なデジタルシステムよりはずっと良いよ。

投票用紙の投票プロセスは、普通の市民、オタクでも誤解されてるよ。経験上、投票管理者でもそうだね。

ここに政府が発行した公開鍵と秘密鍵があるよ: https://en.wikipedia.org/wiki/Estonian_identity_card

数学や暗号をどれだけ使うかは大事だよ [0][1]。これは可能なだけじゃなく、いくつかのアプローチがあるからね。 [0] https://satoss.uni.lu/members/jun/papers/CSR13.pdf [1] https://fc16.ifca.ai/voting/papers/ABBT16.pdf

投票用紙の秘密を守り、検証可能な電子投票システムもあるよ。ホモモルフィック暗号やミックスネットを使って、1) 有効な全ての票がカウントされたこと 2) 無効な票が追加されていないこと 3) 各候補者の合計が正しいこと を証明できるんだ。特定の有権者が誰に投票したかの証明を提供せずにね。いくつかのこういうシステム: https://en.wikipedia.org/wiki/Helios_Voting https://www.belenios.org/ これらのシステムへの認証は別の問題で、郵送で認証情報を送るのには問題がある（もし捨てられたらどうする？）。エストニア（オンライン投票を大規模に導入している国）は、国民IDカードでこれを解決していて、基本的には政府が発行した公開鍵と秘密鍵なんだ。https://en.wikipedia.org/wiki/Estonian_identity_card ただ、オンライン投票にはサイバーリスクが多いから、基準や認証がない地域では特に注意が必要だよ。私は、カナダのオンタリオ州でのオンライン選挙のリスクを探る論文で多くのことを説明しているよ。https://uwo.scholaris.ca/items/705a25de-f5df-4f2d-a2c1-a07e9...

確かにできるよ、ただ十分に単純な匿名投票の仕組みが必要なんだ。検証可能なプロセスを使って、その匿名の仕組みへのアクセスを制限するんだ。カナダでは、連邦と州の両方で、デスクに行って自分を確認してもらい、リストから名前を消されて、紙の投票用紙を渡されるんだ。スクリーンの後ろに行って、投票用紙にXをマークして、折りたたんで、別のデスクに持って行って箱に入れる。すごくシンプルだよ。 > ある時点で、誰かにデータベースへのアクセスを与えなければならないし、彼らはそのデータベースを変更できる。まあ、その種の詐欺は、誰かがデータベースを見て誰に投票したかを特定するのとは別の問題なんだ（単に… データベースに身元を記録しなければいいだけ）。

アメリカは、単に検証可能な投票を持たないことでうまくやってるんだ。実際、かなりうまく機能してる。何度も投票した人を見つけるために無数の時間や訴訟が費やされてきたけど、実際に見つかったのはほんの数件だけ。チェックがないわけじゃないよ。名前を言わなきゃいけないし、その日のその投票所で何度も投票したかどうかはわかる。何度も投票するには、他の誰かになりすます必要があるから、捕まったら刑務所行きだよ。もっと良くできるとは思うけど、今までのところ、この非問題を解決しようとする努力は、投票を難しくすることに焦点を当てているように見えるね。

オーストラリアには、匿名でありながら一度だけ投票したことを証明できるシステムがあるんだ。登録が必要で、自分の選挙区内で投票しなきゃいけないから、その選挙区の認証されたリストに名前が載るし、各投票所にはそのリストがある。投票すると、名前がリストから消される。選挙後、これらの投票所のリストが比較されるんだ。二度投票した人は名前が二度消されて、選挙詐欺の調査を受ける。投票したかどうかが知られているかどうかは重要じゃない、オーストラリアでは投票が義務だからね。ペーパーシステムとしてはかなりうまく機能してるよ。

イタリアのやり方はスイスのやり方に似てるね。詳しく言うと、イタリアで投票する時は、州発行の写真付きID（誰もが持ってる、必ず持たなきゃいけない）と、投票所の住所が書かれた州発行の紙と空白のグリッドを持って行くんだ。投票のために登録する必要はなくて、基本的には生まれた時から登録されてる。投票所の人たちは私の2枚のカードを取り、登録簿で私を探す。私が投票に来たことを記録して、2枚目のカードにスタンプを押して、紙の投票用紙を渡してくれる。こうすることで、匿名性と検証可能性が両立してると思う。スタンプがいっぱいになったら、新しいものを郵送してくれる。州は確実に人々がどこに住んでいるかを知ってる。赤ちゃんは生まれた時に登録されて、住所が変わったら登録しなきゃいけない。1860年代にイタリアが国になって以来、ずっとそうだよ。ところで、私が投票した時に、ちゃんとカウントされたかどうかはどうやって確認するの？それは分からない。箱を開けて投票用紙をすり替えなかったと信じるしかないけど、いくつかの競合する政党の人たちが投票所を訪れて、集計を見守ることができる。私はコンピュータプログラムの中で何かが起こるよりも、そのプロセスをずっと信頼してる。

投票は匿名にできる（誰がどう投票したかは分からない）か、検証可能にできる（一度だけ投票したことを証明できる）か、どちらかしか無理だってことは否定できないよね。ここでの明らかな解決策は、投票機が二つの別々の記録を生成することだと思う。- 投票そのものの記録（投票者は特定しない） - 誰が投票したかの記録（誰に投票したかは特定しない） もちろん、投票記録の数と投票者記録の数が合わなかったら、何か不正があったってことになるから、選挙不正の調査が必要になるね。

みんなが政府発行の公開鍵を持つまで、そんなの無理だよ。 でも、それでも「政府を信頼しなきゃいけない」ってことに戻っちゃうよね。 「なんで彼らが私の投票を気にするの？」っていうのが修辞的な質問だった時の方が好きだったな。

スイスの一回限りのプライベートキーは、資格証明書と郵送投票用の投票用紙と同じ封筒に入ってるよ。

正確じゃなくて、丸いってことだよね。なんかブロックサイズのものみたい。

投票者登録にはすでに市民権の証明が必要なんだから、投票当日にその高い証明を求める意味は何なの？

君の言ってることは、アメリカの選挙に関しては納得できる部分もあると思う。あれは本当に投票する項目が多すぎるからね。でもスイスがどうかは分からないけど、カナダでは5年で3人くらいの候補者にしか投票しないよ。投票所に行くのが3回って意味じゃなくて、実際にカウントされるチェックボックスに3回印をつけるってこと。紙の投票用紙で、その日のうちにカウントされるんだ。もし2年ごとに40個の選挙に投票しなきゃいけなかったら、話は全然違って、君の言ってることにももっと共感できたと思う。ただ、投票者登録のことは別だけどね。こっちでは登録はかなり柔軟で、ちゃんと機能してるよ。ある年、妻が名前と住所が書かれた郵便物を持ってきて、私が彼女を保証したこともあったし。民主主義の特権って、他人に騙されることを心配しない信頼できる協力的な文化の中でこそ、最も楽しめると思う。

とはいえ、私は市民権の証明を必要とする対面投票には賛成です。これが全ての市民にとって無償でアクセスしやすい権利として扱われるなら、問題ないと思います。こういう議論がアメリカでは行き詰まることが多いんですよね。市民権の証明を求める一方で、政府のオフィスに行くのが難しい場所があったり、費用がかかったりすると、実質的に市民の投票アクセスを制限してしまうことになります。投票アクセスに対して厳しい条件を設けるなら、全ての市民にアクセスを提供することも慎重に考慮しなきゃいけません。アメリカは地理的に非常に広い国で、公共交通機関の選択肢も他の国に比べて悪いので、「自分の郡のオフィスに行って資格のあるIDを取得する」っていうのも、経済的・アクセス面での違いが出てきます。

スイスでは年間にたくさんの投票が行われていることを理解してほしい。どこかに行かなきゃいけない大きな投票日なんてないんだ。対面で投票することもできるけど、事前に投票用紙を記入して送ることもできる。それは日常の書類作業の一部みたいなもので、全く普通のことなんだ。電子投票の問題は、検証が難しいことなんだよ。私の紙の投票用紙は、投票日当日にカウントされるコミュニティの建物に保管される。プロセスを最初から最後まで物理的に理解できるんだ。USBメモリを使ったら、何が起こるか分からないよ。ここで何が間違ったのか、永遠に分からないかもしれない。

市民権の証明を必要とする投票 これは問題を探している解決策じゃない？複数の調査で、アメリカの選挙における非市民の投票は本当に微々たるものだと分かっているよ。表面的には合理的に見えるけど、目的がなく、裏には「盗まれた選挙」や「不法移民の投票」といったGOPの作り話がある。

ほとんどの人が市民権の証明を手元に持ってないと思うよ。もし出生地主義を廃止する努力が成功したら、どうやって市民であることを証明するの？アメリカに国民IDがあれば問題は少なかったかもしれないけど、今はないし、投票のためにIDを要求する人たちも、国民IDを作ることには反対だよ。彼らは国民IDのアイデアが大嫌いなんだ。私の州では今、すべての選挙が郵送で行われている。これってどう機能するの？そもそも選挙は州が運営しているのに、国の法律として成立するの？

市民権の証明を求めるのか。これをゼロからどうやってやるか考えてみて。家が燃えちゃって「何もない」状態から始めることを想像してみて。もし両親がまだ生きてたら、その人たちを利用して必要な書類を手に入れるプロセスを進められるけど（結婚してるなら、それも一つの手段かも）。リソースがないと厳しいよね。それに、パートナーが他のパートナーの苗字を名乗る場合、書類を取得するのが複雑になるかもしれない（まずは確認されたIDを手に入れるための書類が必要だから）。実際、非市民による「投票詐欺」の事例はあまりないんだよね（例として、https://www.facebook.com/Louisianasos/posts/secretary-of-sta... を見てみて）。そして、実際にある投票詐欺の数は非常に少ないし（皮肉なことに、それは市民によって行われていることが多い。例として、https://www.brookings.edu/articles/how-widespread-is-electio... を見てみて）。 > 私は対面での投票に賛成です。 アメリカの人口の大きさと分散を考えると、これは厄介な問題だよね。密集した都市部では行列ができるし（もうすでにそうなってる）、シカゴみたいなところでは早期投票に移行してるのも、その方が効果的だからなんだよね。一方で、モンタナみたいな人口密度が低いところでは、投票所に行くのが大変なんだ。あなたの気持ちはわかるけど、データやアメリカの現実を考えると、あなたが望むことは必要ないし、実現可能でもない。感情だけでこの障壁を作るのは、あまり意味がないと思うよ。

対面での「ID」証明を求めて、郵送投票をなくすことが、現実に人々を引き戻すことにはならないと思う… たとえそれが休日だったとしても、人々は移動できなかったり、義務から時間を取れなかったりするかもしれない。投票のために2時間運転する義務はないし、他の国で働いているなら飛行機で戻る必要もないし、リアルIDが市民権を証明しないからといって新しい出生証明書を取りに行く必要もない… ここで「もっと安全にするために何をすべきか」って意見をたくさん聞いたけど、実際には解決すべき問題がないのに対する解決策なんだよね。

とはいえ、私は市民権の証明を求める対面での投票に賛成です。 市民権を確認する適切なタイミングは、すでに行われている登録の時だよ。投票所のスタッフは、あなたが誰で、登録されているかを確認するだけでいいんだ。

市民権の証明についてのあなたの考えには原則的には賛成だけど、残念ながら私が経験した現実は、カリフォルニアの有効な運転免許証を持っていてもテキサスの住所が書いてあったことなんだ。軍隊にいたからカリフォルニアではそれが許可されてたけど、テキサスは投票するためにテキサスのIDを必要とする法律に変わって、さらにIDを取得するために行かなきゃならないオフィスの90%を閉鎖したんだ。運良く、私はこれを事前に知っていたけど、予約を取るのに9ヶ月かかって、行った時には4種類の証明書が必要だった。親と一緒に住んでる人たちが、自分の名前が載った請求書を持っていなくて、親に証明してもらうために連れて行っても、追い返されて「帰れ」って言われてた。州が若者や新しく移住してきた人たちに投票させたくないのは、非常に透明で明らかだったよ。

ここインディアナでは、投票機が選択肢を印刷したシートを出してくれるから、数える機械に入れる前に確認できるんだ。それで再集計用の紙の記録が残るし、投票する前に確認もできる。

カナダでは100%紙の投票をしてるよ。昼間に投票して、夜に投票所が閉まって、数時間後には結果が出る。全国で手作業で数えてるんだ。何が違うの？

これで十分だと思うけど、「ハッキングできない」って主張には循環論法があるんじゃないかとも思う。仮にハッキングがデジタル票と印刷を両方汚染できたら、票の数が合うようにできるかもしれないし。確かに難しくはなるだろうけど、印刷された紙の票がデジタル票を検証するためにあるなら、逆もまた然りで、そんなに完璧とは言えない気がする。追記：投票所に入るときに「投票パス」についても言ってたのに気づいた。これがあれば、確かにもっと難しくなるね！もしそれが汚染されてたら、まだ成功する可能性はあるけど、そのレベルの巧妙さは捕まる可能性が高いよ。

オランダが投票機を廃止した理由の一つは、数十メートル離れたところから読まれる可能性のある電磁波の影響だったんだ。

「データベースは選挙の締切時に瞬時に答えを出す。そして、その後数日かけて紙を数えて、何もおかしなことが起きなかったか確認するんだ。君は『誰を信じるか』を誤解している。紙の投票選挙における信頼の源は、君の政党の代表者と独立した選挙監視者だ。彼らが一日中投票所にいて、投票と集計を見守っていたと信じているんだよ。何も怪しいことは起きなかったと。君は州の職員を信じる必要は全くないし、他の誰かを信じる必要もない。ただ君の政党だけを信じればいい。それがポイントなんだ。君の提案では、結果を信じるためには州の職員を信じなければならないと言っている。機械を作った人たちだ。そういう人たちを、私は公正な選挙を行うとは信じていないんだ。」

アイルランドは、紙だけの投票とPR-STV投票システムの両方を持ってる。集計には文字通り数日かかることもあるよ（最近のEU選挙では、すべての議席を埋めるのに5日かかった）。特定のタイプのオタクにとっては、観戦スポーツみたいなもんだね。

「投票機があなたの投票をプラスチックの窓の後ろに印刷して、データベースにも記録することができない理由がわからない。」絶対にできるよ。ブラジルは電子投票機を使ってて、その方法が提案されたのはシステムの信頼性を高めるためなんだ。速い票の集計と、最終的な真実として機能する監査可能な紙の記録、両方の良いところを得られるのに。最高裁判所は「投票の秘密が損なわれる」とか「実装が難しい」といった全く意味不明な理由でそれを違憲と宣言したから、投票機が改ざんされているという懸念が高まってる。

なんで投票機が自分の投票をプラスチックの窓の後ろに印刷して見えるようにしつつ、データベースにも記録できないのか理解できない。 データベースから電子的にカウントされるなら、その紙は全く意味がないよ。 投票者全員からその紙を集めてカウントしない限り、カウントが正しいかどうかなんて分からない。 もしハッカーが15%の票を一つの政党から別の政党に切り替えたら、誰に投票したかを示す紙からどうやってそれを判断するの？

カナダも手作業で紙の投票用紙を数えてるけど、すごくうまくいってるよ。大規模な投票を電子化する必要なんてないし、古き良き紙の投票用紙での監視ができるような大きな社会的機関がない限り、電子投票は絶対に信用できない。

思いつく唯一の利点は、結果が早く出ることだけど、それを最適化するほど重要じゃないよね。紙の投票用紙と電子投票のデュアルシステムがあれば、お互いにクロスチェックできていいかも。紙の投票用紙を詰め込むことはできないし、デジタルカウンターを操作することもできない。デジタルカウンターは、特定の候補者への投票の波みたいな怪しいパターンを特定できるメタ分析も可能にするし。

数年ごとに紙に十字を二つ書くことが、民主主義とは全く関係ないよね。民主主義ってのは、家のコンピュータを使って、あらゆるトピックに投票できることだと思うんだ（地元の村、町、地区、郡、州…）。今のアルゴリズムやデータ構造を使えば、実現可能だよ。実際、今はほとんどのことをオンラインでやってるのに、投票だけは別なんだよね。例えば、そんなシステムなら、腐敗にも強いし。だからこそ、こういうシステムが登場することはまずないだろうね。

投票への参加を広げる？投票所に行けない人たちが、いろんな理由で投票しやすくなる？関わる全員にとって効率的になる？それに、もっと大きな視点で見れば、簡単で効率的で信頼性のあるシステムを証明すれば、もっと多くのことに投票できるようになるかもね。スイスみたいに。—- （紙の官僚主義を支持するドイツ人…次は何が来るんだ？ ;)

私たちは年に4回投票してるけど、海外にいるスイス市民が投票用紙を受け取って、時間内に返送するのはいつも簡単じゃないんだよね。

このパイロットは、投票所に行けない人のためのものだよ。従来は郵便投票を使ってたけど、郵便投票は投票詐欺を可能にしちゃうんだよね（主に投票を売ること）。だから、少数の票にしか使えなくて、そうしないと結果が疑わしくなっちゃう。大多数の票には投票箱と投票所が必要だから、選挙が高くて複雑になって、一般的に問題が多いんだ。しかも、特にインフルエンザの季節やパンデミックの時期には投票率が低くて人気がない。

有利な詐欺って簡単にできるんじゃない？保安官が投票箱を監視してるし（例：ジミー・カーターの対立候補）。忠誠心のある人だけに結果を数えさせて、好きなように報告すればいいんだよね（例：ロシア）。

物理的な投票用紙の仕分けは自動化がすごく簡単だよ。紙のセキュリティを保ちながら、コンピュータの速さも得られる。

これ、多分先進国でしかちゃんと機能しないよね。インドみたいな発展途上国では、武装したギャングが投票所を占拠して、自分たちの政治候補に投票させる「ブースキャプチャー」を何十年も経験してきたんだ。村人は投票させてもらえないし、投票所自体が燃やされることもあって、その票がカウントされることはなかった。EVMがあれば、投票官が機械を無効にするだけで（その瞬間に集計が止まる）、ブースキャプチャーが無意味になるんだ。先進国でもこれが不可能だとは言わないけど、将来的には武装したギャングが投票所を占拠することもあり得るよ（特にその候補者が汚職やスキャンダルで負けそうな場合、政治権力を維持するために必死になってる時とか）。

物理的な投票のもう一つの利点は、プロセスに参加するために多くの人が必要だってことだね。 投票プロセスが互いに監視し合うボランティアによって共有される市民の責任になると、悪意のある行動をとる人たちが揃う確率がかなり下がる。 完璧ではないけど、公の参加がプロセス自体の正当性を高めるんだ。

ここにいるみんながその数字の重要性に気づいてくれるといいな。

2KBのRAMがあれば、誰でも十分だよ。