本篇文章更新時間:2026/01/23
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
內容目錄
網路投票的夢想與現實:CITP 專家們為何說它「天生不可能安全」?
編輯前言:這篇文章來源自 Internet voting is insecure and should not be used in public elections,由 21 位選舉安全領域的頂尖科學家共同簽署。他們直接指出:網路投票沒有可行的安全解法,即便是最新提出的 VoteSecure 也無法扭轉現實。 這篇讀後筆記整理出他們的重要觀點與我個人的理解。
核心觀點 (Key Takeaways)
- 網路投票「結構性不安全」:不論是手機、電腦或伺服器端,任何一點遭入侵都能在選民毫無察覺下大規模竄改選票。
- E2E-VIV(端對端可驗證投票)沒有解決方案:它的驗證機制在實務上無法阻擋攻擊,甚至沒有有效的爭議處理(dispute resolution)機制。
- VoteSecure 依舊不安全且未完成:開發者自己也承認它無法解決收據性(receipt‑freeness)、端點安全與爭議處理等根本問題。
深入解析
這篇文章的作者群指出,網路投票之所以無法達到「公共選舉級」的安全性,原因不是單一技術漏洞,而是整體架構的限制。換句話說,問題不是某個系統寫得好不好,而是「網路投票本身就脆弱」。
1. 為何所有網路投票都不安全?
文章列出三個最根本的漏洞:
- 選民端裝置受到惡意軟體感染:手機與電腦隨時可能被植入惡意程式,導致「你看到的不是你送出的」。
- 伺服器端被篡改:中央伺服器遭駭是常態,一旦入侵成功就能一次性修改大量選票。
- 選務系統不比一般政府 IT 更安全:許多地方選務端仍使用易受攻擊的環境,使攻擊者能在票紙重建或匯總階段操作結果。
文章強調:
「網路投票最大的風險是,攻擊者能遠端一次修改大量選票,而無法被偵測。」
這點正是紙本選票系統最難被取代的原因。
2. E2E-VIV 的理論美好,但實務失靈
端對端可驗證的概念看似能讓選民自行驗證選票是否被正確計入,但文章指出它存在多項無解難題:
- 驗證 app 本身也可能被植入惡意程式。
- 為避免買票,需要「不可出具收據」,但這會讓驗證流程變得複雜且難以理解。
- 使用者通常不願意單獨再執行驗證步驟,因此驗證率過低,使攻擊仍可大規模成功。
- 即使驗證 app 偵測到問題,也無任何有效的方式向選務單位「證明」系統作弊。
文章一句話道出核心:
「E2E-VIV 的『驗證』在真實世界中幾乎沒有安全效果。」
3. VoteSecure:看起來創新,但其實沒有解法
Mobile Voting Foundation 將 VoteSecure 形容為突破,但分析指出它仍有重大缺陷,而且連開發者自己都承認:
- 不具收據自由(receipt‑freeness),因此容易成為大規模買票工具。
- 沒有爭議處理機制,而且目前學界根本沒有可行方案。
- 端點安全無解:開發者坦承「這是普遍問題」,換句話說就是無法修補。
- VoteSecure 甚至還不是完整產品,只是加密核心。
外部專家還指出 VoteSecure 存在:
- 大規模自動買票攻擊的可能性。
- 新發現的「Clash 攻擊」可用於竄改選票。
筆者心得與啟發
讀完這篇文章,我最大的感受是:網路投票的問題不是工程問題,而是制度與環境條件所決定的限制。
無論加密技術多麼進步,只要投票是在:
- 不受管控的個人裝置上進行,
- 通過易受攻擊的網路傳輸,
- 依賴中央伺服器處理,
那麼攻擊者永遠可以從任何一個節點讓整個投票結果失真。而這些問題,E2E-VIV 或 VoteSecure 都無法真正解決。
文章提醒我:
真正能保護選舉的不是更複雜的加密,而是可驗證、分散、難以一次性操控的紙本機制。
對公眾、媒體與政策制定者來說,最重要的啟示是:面對任何聲稱「突破」、「終於安全」的網路投票技術,都應該回到一個根本問題——它是否能真正抵抗端點惡意攻擊與大規模篡改?如果不能,那它就不能用在公共選舉。
研究可以持續,但決策必須謹慎。