STPvote 与 E2E-V 的互补性分析

(Complementarity Between STPvote and End-to-End Verifiable Voting)

一、两种路径：制度结构与密码学验证

当前国际电子投票研究领域中，以 National Institute of Standards and Technology（NIST）推动的 End-to-End Verifiable Voting（E2E-V）体系为代表，强调通过密码学技术实现“可验证的信任”。

E2E-V 的核心目标包括：

• 选民可验证其选票被正确记录（Cast-as-Intended）

• 选票被正确收集（Recorded-as-Cast）

• 计票结果可被公众独立验证（Tallied-as-Recorded）

• 使用加密技术、零知识证明、混淆网络等数学工具

E2E-V 的哲学基础可以概括为：

通过数学证明来建立信任。

而 STPvote（Separation of Three Powers Electronic Voting System）的设计路径则不同。

STPvote 的核心在于：

• 登记权、传输权、计算权三权结构分离

• 物理与制度层面隔离关键权力

• 所有人可下载完整投票数据并独立计算

• 纸质选票作为最终法律依据

STPvote 的哲学基础可以概括为：

不让任何单一权力成为信任中心。

---

二、风险控制层级的不同

E2E-V 主要解决的是：

• 如何证明系统没有篡改投票

• 如何让公众通过数学验证结果正确

STPvote 主要解决的是：

• 如何避免权力集中导致系统性操控

• 如何在结构层面降低攻击成功概率

换言之：

• E2E-V 是“验证正确性”的机制

• STPvote 是“防止权力滥用”的结构

两者关注点不同，但并不冲突。

---

三、结构防护 + 数学验证 = 双重安全模型

如果将两种体系结合，可以形成双层防护模型：

第一层：结构性分权（STPvote）

• 降低集中攻击面

• 分散内部操控风险

• 使系统失效成本显著提高

第二层：密码学可验证（E2E-V）

• 证明数据未被篡改

• 允许公众独立验证结果

• 提供数学层面的可审计性

这种组合结构意味着：

即便攻击者突破一层机制，仍需突破另一层独立体系。

这类似于国家宪政结构中：

• 权力分立（防止滥权）

• 法律审查（验证合法性）

双轨并行，而非相互替代。

---

四、纸质选票的最终锚定作用

STPvote 强调保留纸质选票作为最终依据。

在此框架下：

• 电子系统提高效率与透明度

• 纸质票提供最终法律锚定

这一设计可以增强保守派选民的心理安全感，同时也为 E2E-V 的电子验证机制提供现实世界的物理校验支点。

---

五、未来研究方向：结构与密码学的融合

未来电子投票的发展方向，不应是“制度对抗数学”，而应是：

制度分权 + 密码学验证 + 物理备份的三位一体模型。

STPvote 并非替代 E2E-V，
而是为其提供更强的制度结构基础。

E2E-V 解决“如何验证结果正确”。
STPvote 解决“如何让权力无法单点控制系统”。

二者结合，有可能构建下一代高可信度电子投票架构。