Bỏ phiếu qua Internet không an toàn và không nên được sử dụng trong các cuộc bầu cử công

 (blog.citp.princeton.edu)
6 điểm bởi GN⁺ 2026-01-23 | 4 bình luận | Chia sẻ qua WhatsApp
  • Bỏ phiếu qua Internet là một hệ thống không thể được triển khai an toàn về mặt kỹ thuật, và sau hàng chục năm nghiên cứu vẫn chưa tìm ra lời giải
  • Việc thao túng phiếu bầu có thể xảy ra do mã độc trên điện thoại thông minh·máy tính, tấn công máy chủ, xâm nhập máy chủ quản lý bầu cử; chỉ một kẻ tấn công cũng có thể thực hiện gian lận trên quy mô lớn
  • E2E-VIV (bỏ phiếu qua Internet có thể xác minh đầu-cuối) cũng có các lỗ hổng mang tính nền tảng do độ tin cậy của ứng dụng xác minh, khả năng chống biên lai, và việc thiếu cơ chế giải quyết tranh chấp
  • VoteSecure của Mobile Voting Foundation mang đầy đủ các vấn đề này, và ngay cả các nhà phát triển cũng thừa nhận không có bảo mật hoàn chỉnh hay giao thức giải quyết tranh chấp đầy đủ
  • Các nhà khoa học nhấn mạnh rằng độ tin cậy của bỏ phiếu qua Internet phải được kiểm chứng chỉ thông qua nghiên cứu được phản biện đồng cấp, chứ không phải qua tin bài báo chí hay tài liệu quảng bá

Tính bất ổn mang tính nền tảng của bỏ phiếu qua Internet

  • Bỏ phiếu qua Internet có rủi ro bị thao túng cao hơn nhiều so với bỏ phiếu giấy
    • Mã độc có thể thay đổi nội dung lá phiếu mà cử tri đã chọn trên thiết bị của họ
    • Cũng có thể xảy ra thao túng từ máy chủ hoặc người nội bộ trong hệ thống quản lý bầu cử
    • Các cuộc tấn công qua Internet có thể được thực hiện trên quy mô lớn từ bất kỳ đâu trên thế giới
  • Bỏ phiếu giấy không hoàn hảo, nhưng khả năng gian lận quy mô lớn bị phát hiện và xử phạt là cao hơn
    • Ngược lại, bỏ phiếu qua Internet cho phép thay đổi rất nhiều phiếu chỉ bằng một cuộc tấn công duy nhất

Giới hạn của E2E-VIV (bỏ phiếu qua Internet có thể xác minh đầu-cuối)

  • E2E-VIV được thiết kế để cử tri có thể kiểm tra xem phiếu của mình có được kiểm đếm chính xác hay không, nhưng nó có những vấn đề cấu trúc như sau
    • Nếu ứng dụng xác minh bị nhiễm mã độc, nó có thể hiển thị thông tin giả
    • Nếu không có tính năng chống biên lai (receipt-free), việc mua phiếu trên quy mô lớn có thể xảy ra
    • Việc thiết kế ứng dụng vừa đáp ứng độ tin cậy vừa chống biên lai là cực kỳ khó
    • Dù cần chạy ứng dụng xác minh riêng, trên thực tế chỉ có rất ít cử tri làm vậy
    • Ngay cả khi một số cử tri phát hiện thao túng, họ không có cách nào để chứng minh, nên không thể vô hiệu hóa cuộc bầu cử
  • Vì vậy, chức năng ‘xác minh’ của E2E-VIV không mang lại hiệu quả tăng cường bảo mật thực chất
    • Trong giới khoa học, các giới hạn này đã được thừa nhận là quan điểm chung từ nhiều năm trước

Phân tích trường hợp VoteSecure

  • Mobile Voting Foundation của Bradley Tusk đã công bố rằng họ phát triển SDK bỏ phiếu qua Internet tên là VoteSecure cùng với Free and Fair
    • Trong thông cáo báo chí, họ tuyên bố rằng “bỏ phiếu di động an toàn và có thể xác minh nay đã khả thi”
  • Tuy nhiên, nhiều chuyên gia bảo mật đã chỉ ra các lỗ hổng nghiêm trọng của VoteSecure
    • Nhóm nghiên cứu của công ty phát triển Free and Fair cũng thừa nhận rằng “những vấn đề được nêu ra là có thật, và chúng tôi không biết cách nào tốt hơn”
    • VoteSecure không có tính năng chống biên lai, thiếu giao thức giải quyết tranh chấp đầy đủ, và khi bị nhiễm mã độc thì việc xác minh trở nên vô nghĩa
    • Ngoài ra còn tồn tại khả năng tấn công mua phiếu tự động trên quy mô lớnchiếm đoạt phiếu bầu (clash attack)
  • Free and Fair giải thích rằng “VoteSecure không phải là một hệ thống bỏ phiếu hoàn chỉnh mà chỉ ở cấp độ lõi mật mã”

Đồng thuận khoa học và khuyến nghị

  • Kết quả của hàng chục năm nghiên cứu cho thấy không tồn tại công nghệ có thể khiến bỏ phiếu qua Internet trở nên an toàn
    • Nghiên cứu về E2E-VIV cũng không giải quyết được các vấn đề cốt lõi
  • Các quan chức bầu cử và truyền thông cần thận trọng với ‘khoa học dựa trên thông cáo báo chí’
    • Việc kiểm chứng độ tin cậy chỉ có thể thực hiện thông qua nghiên cứu học thuật được phản biện đồng cấp
    • Thông cáo báo chí hay tài liệu quảng bá của doanh nghiệp không thể là căn cứ để đánh giá độ tin cậy của hệ thống bầu cử

Nhóm chuyên gia ký tên

  • Tuyên bố này được 21 nhà khoa học máy tính trong lĩnh vực an ninh bầu cử cùng ký tên
    • Trong số người ký có các nhà nghiên cứu tiêu biểu như Andrew Appel (Đại học Princeton), Ronald Rivest (MIT), Bruce Schneier (Đại học Harvard)
    • Việc ký tên được thực hiện với tư cách cá nhân, không phải lập trường chính thức của các tổ chức mà họ trực thuộc

Bài viết liên quan

4 bình luận

 
bbulbum 2026-01-23

Nếu dùng blockchain thì sao??
 
bbulbum 2026-01-23

À, vì đây là vấn đề về độ tin cậy từ đầu đến cuối nên có lẽ không liên quan lắm.
 
GN⁺ 2026-01-23
Ý kiến trên Hacker News

  • Tôi sống ở Úc. Ở đây người ta bỏ phiếu bằng giấy và bút chì, trong các buồng bỏ phiếu bằng bìa cứng. Chi phí tăng theo tuyến tính, nhưng về mặt niềm tin của cộng đồng, tôi vẫn nghĩ bỏ phiếu giấy tốt hơn máy móc rất nhiều
    Ở Anh tôi từng được đề xuất bỏ phiếu từ xa, và tôi nghĩ mình sẽ hoan nghênh bỏ phiếu trực tuyến an toàn dựa trên mã hóa đồng hình. Tôi đã nộp KYC cho chính phủ rồi nên tôi không thấy có vấn đề gì về xác minh danh tính
    Úc cho con người kiểm tra mọi lá phiếu, và các đảng có quyền giám sát. Hầu như không có nghi ngờ nào về tính toàn vẹn của bầu cử, và việc kiểm chứng được thực hiện thường xuyên. Với Mỹ, tôi nghĩ câu hỏi cốt lõi là: “Nó còn có thể tốt hơn cách hiện tại đến mức nào?”

    • Tôi cũng bỏ phiếu qua thư bằng bút. Phiếu được đếm bằng máy quét quang học, và vẫn có bản ghi mà con người đọc được. Rất tiết kiệm chi phí và khó thao túng trên diện rộng. Tôi tuyệt đối không tin bỏ phiếu qua Internet. Bút và giấy là đủ
    • Vấn đề là, nếu cử tri có thể chứng minh lá phiếu của mình đã được tính đúng, thì họ cũng có thể chứng minh điều đó với kẻ cưỡng ép họ. Tức là có nguy cơ phá vỡ nguyên tắc bỏ phiếu kín
    • Một trong những lý do lớn nhất khiến “nó đơn giản là hoạt động tốt” là vì Ủy ban Bầu cử Úc (AEC) độc lập với chính phủ. Cộng thêm bỏ phiếu bắt buộcchế độ bỏ phiếu ưu tiên, điều đó giúp nền dân chủ vận hành lành mạnh
    • Tôi nghe nói Ủy ban Bầu cử Ấn Độ cũng làm việc rất nghiêm túc. Hệ thống quản lý bầu cử của Ấn Độ khá ấn tượng
    • Hệ thống giấy thất bại cục bộ, ồn ào, còn hệ thống Internet thì thất bại âm thầm, trên quy mô lớn

  • Các cách gian lận trong bỏ phiếu giấy đã được biết đến suốt nhiều thế kỷ. Vì vậy quy trình đối phó với chúng cũng đã được thiết lập rất vững chắc. Hòm phiếu niêm phong, quan sát viên trung lập, kiểm phiếu công khai... đều giúp tạo dựng niềm tin
    Ngược lại, các phương thức gian lận trong bỏ phiếu qua Internet không phải ai cũng hiểu rõ. Dù có an toàn hoàn hảo thì mức độ tin cậy vẫn khó cao. Chừng nào bỏ phiếu kín còn là điều bắt buộc, thì bỏ phiếu giấy vẫn là lựa chọn tốt nhất

    • Tham khảo thêm vụ Battle of Athens năm 1946 ở Tennessee, Mỹ, để thấy việc kiểm phiếu gian lận trong không gian đóng kín có thể dẫn đến điều gì. Liên kết Wikipedia
    • Nếu một cuộc bầu cử bị phân cực đến mức không có quan sát viên trung lập, thì có thể bố trí quan sát viên của mỗi đảng và ghi hình quá trình kiểm phiếu bằng camera
    • Một ví dụ khác là vụ bê bối Box 13. Liên kết Wikipedia. Có nghi vấn LBJ đã thao túng phiếu giấy để giành ghế thượng nghị sĩ
    • Bỏ phiếu giấy đơn giản nên ai cũng có thể kiểm chứng. Bỏ phiếu điện tử thì thiếu minh bạch, bỏ phiếu từ xa thì khó bảo đảm ý chí tự do, và chỉ bỏ phiếu kín mới có thể ngăn mua phiếu. Cuối cùng, niềm tin đến từ việc “ai cũng có thể tự mình kiểm tra”
    • Tôi lại nghĩ ngược lại. Nếu hệ thống đủ minh bạch và có thể kiểm chứng thì vẫn có thể tin cậy được. Tuy vậy, bảo toàn quyền riêng tư mới là thách thức cốt lõi

  • Yếu tố quan trọng nhất của bầu cử là niềm tin, còn hiệu quả chỉ là thứ yếu. Việc chuyển sang bỏ phiếu điện tử đã làm xói mòn niềm tin và khiến các thế lực thù địch dễ thao túng hơn. Bỏ phiếu qua Internet sẽ làm điều đó tệ hơn nữa. Cần quay lại bỏ phiếu giấy

    • Mỹ hiện đã chủ yếu dùng mô hình bỏ phiếu giấy + kiểm đếm điện tử. Không cần phải quay lại đâu cả
    • Thực ra chúng ta đã bỏ phiếu giấy rồi. Nếu quay lại hoàn toàn thủ công thì ngược lại còn làm tăng lỗi và phiếu không hợp lệ. Điều trớ trêu là chính những lực lượng khiến người ta mất niềm tin vào máy bỏ phiếu trước đây lại từng ngăn cản kiểm phiếu lại
    • Hơn 95% cử tri Mỹ bỏ phiếu bằng hệ thống dựa trên giấy. Thống kê Verified Voting
    • Ở Georgia, bạn bỏ phiếu trên máy tính rồi máy in ra biên lai giấy, sau đó bỏ vào máy quét để đếm. Các máy Diebold trước đây từng có lỗ hổng dễ bị hack
    • Ở California, xác minh danh tính cho bỏ phiếu qua thư chỉ dựa vào độ giống chữ ký. Về cơ bản là một hệ thống danh dự. Điều luật liên quan

  • Nhận định rằng malware có thể thay đổi phiếu trên thiết bị của cử tri là hợp lý. Nhưng smartphone hiện đã được dùng cho hầu hết các giao dịch bảo mật trong đời sống thường ngày.
    Cũng có rủi ro máy chủ bị hack, nhưng việc chính phủ lưu trữ thông tin cá nhân cũng rốt cuộc là do phân tích lợi ích so với rủi ro.
    Hiện tại lợi ích của bỏ phiếu trực tuyến vẫn nhỏ hơn rủi ro, nhưng nếu hình dung ra một mô hình dân chủ tham gia theo thời gian thực, thì câu chuyện có thể khác. Tuy nhiên vấn đề lớn nhất vẫn là sự thờ ơ và tỷ lệ tham gia thấp

  • Bỏ phiếu qua Internet rất dễ bị thao túng trên quy mô lớn. Nhưng Internet banking cũng rủi ro tương tự. Cuối cùng, mấu chốt vẫn là cân bằng giữa ưu và nhược điểm. Liệu lợi ích của bỏ phiếu qua Internet có thể bù đắp được các nhược điểm hay không?

    • Hack ngân hàng gần như là bất khả thi. Giao dịch được theo dõi và có thể đảo ngược nhờ các hệ thống như SWIFT. Bầu cử thì không có khoảng dung sai cho thất bại như vậy. Hack bầu cử đồng nghĩa với sự sụp đổ của dân chủ
    • Gian lận ngân hàng có thể khắc phục bằng bảo hiểm, nhưng niềm tin vào bầu cử thì không thể phục hồi
    • Internet banking không có tính ẩn danh, nhưng bỏ phiếu thì phải ẩn danh

  • Chi phí và sự kém hiệu quả của bỏ phiếu giấy thực ra lại là một ưu điểm. Nó khiến việc thao túng trở nên khó hơn, và khiến công dân trực tiếp tham gia vào quy trình bầu cử, từ đó làm tăng sức nặng của quyết định

  • Bỏ phiếu gồm ba giai đoạn: bỏ phiếu, kiểm phiếu, lưu trữ. Cả ba giai đoạn đều phải minh bạch và có thể kiểm toán thì mới tạo ra niềm tin.
    Trường hợp của Mexico là một ví dụ hay.

    1. Mọi người bỏ phiếu giấy tại điểm bỏ phiếu địa phương
    2. Tình nguyện viên và quan sát viên của các đảng kiểm phiếu ngay tại chỗ
    3. Kết quả được gửi đi bằng điện tử, và kết quả giấy được niêm yết trong một tuần
      Hệ thống trung tâm chỉ làm nhiệm vụ tổng hợp, và ai cũng có thể đối chiếu kết quả tại chỗ với kết quả trực tuyến.
      Nhờ cấu trúc phân tán này, kết quả vừa nhanh vừa đáng tin. Tuy nhiên những hình thức cưỡng ép như “bỏ phiếu cửa xoay” vẫn còn tồn tại
    • Tôi không hiểu vì sao chỉ riêng Mỹ lại khiến quy trình bỏ phiếu trở nên gây tranh cãi đến vậy. Yêu cầu bỏ phiếu giấy thì bị gọi là phân biệt chủng tộc, giới hạn thời hạn kiểm phiếu thì bị gọi là bài ngoại. Châu Âu vận hành hợp lý hơn nhiều
    • Idaho, người ta bỏ phiếu giấy rồi kiểm đếm điện tử, và có thể kiểm phiếu lại thủ công nếu cần. Đây là sự kết hợp lý tưởng: nhanh, có thể kiểm toán, và không cần kết nối Internet
    • Nếu từ bỏ bỏ phiếu kín, thì phần lớn vấn đề về minh bạch sẽ biến mất. Tuy nhiên đây là một lựa chọn làm lung lay nền tảng dân chủ
    • Bỏ phiếu điện tử cũng có thể đạt mức độ tin cậy tương tự nếu có nhiều tầng xác minh (layer)
    • Pháp cũng vận hành gần như y hệt như vậy

  • Video “vì sao bỏ phiếu điện tử là ý tưởng tồi” của Tom Scott là tài liệu gần như bắt buộc phải xem
    Phần 1 / Phần 2

  • Vấn đề không phải là công nghệ mà là những chủ thể không đáng tin cậy. Bầu cử không tạo ra tiền, nên rất khó đầu tư bảo mật ở mức như ngân hàng.
    Hơn nữa, thao túng thông tin và hoạt động bot đã và đang làm méo mó dư luận. Bỏ phiếu giấy tốt hơn, nhưng thực tế hiện nay đã là một trạng thái hỗn loạn số rồi

    • Tôi dự đoán đến năm 2026, chính quyền Trump sẽ tìm cách chỉ cho phép bỏ phiếu điện tử với danh nghĩa “an ninh bầu cử”. Một nhà cung cấp có lợi về chính trị sẽ cung cấp hệ thống, rồi các vụ kiện sẽ kéo dài và gây hỗn loạn. Kết cục là cả hai đảng đều có nguy cơ không tin vào kết quả

  • Tôi là đồng tác giả của bài này và là giáo sư tại Georgia Tech. Tôi nghiên cứu về bảo mật, quyền riêng tư và chính sách công. Có thể xem CV của tôi. Nếu có câu hỏi, tôi sẵn sàng trả lời

    • Tôi muốn hỏi liệu ông đã từng xem xét phương thức kiểm chứng của hệ thống e-voting của Swiss Post hay chưa
    • Bỏ phiếu phải là thứ mọi cử tri đều có thể tự mình kiểm chứng. Bất kỳ hệ thống nào phức tạp hơn việc đếm tay đều sẽ làm mất niềm tin
 
brilliant08 2026-01-23

Tôi cho rằng hệ thống bỏ phiếu điện tử không thể giải quyết được vấn đề kiểm chứng độ tin cậy ngẫu nhiên từ phía công chúng nói chung.
Việc kiểm chứng mã nguồn của hệ thống chỉ có thể được thực hiện bởi một tầng lớp đặc biệt được chọn lọc, và cũng khó có thể tin được rằng mã đã được kiểm chứng có đúng là mã đang được sử dụng tại hiện trường hay không.
Nhìn vào những tranh cãi đã nổ ra và sự hỗn loạn xã hội đã phát sinh ở Hàn Quốc, nơi chỉ điện tử hóa riêng quá trình thu thập kết quả bỏ phiếu giấy vào hệ thống điện tử, có thể phần nào suy ra loại hỗn loạn xã hội nào sẽ xảy ra nếu một hệ thống bỏ phiếu điện tử hoàn chỉnh được đưa vào áp dụng.