E-valimiste riskide kõrvaldamiseks vaja veel palju tööd teha

Kesknädal avaldab Birminghami ülikooli arvutiteadusekooli arvutiturvalisuse professori Mark Ryani ja sama kooli doktorandi Gurchetan S. Grewal kirjutise, et rõhutada e-valimiste teema päevakajalisust.

Internetti on võimalik muuta e-panganduse jaoks piisavalt turvaliseks, kuid hääletamisega on teised lood: vigu on raske parandada, kui need valimistulemuste väljakuulutamiseks veel paljastatud pole. Kuna valimised on salajased, ei ole valija tegevusest võimalik ka täielikku kontrolljälge säilitada. Selle tõttu on süsteemid keerulised, mis omakorda muudab nende kasutuse küsitavaks - keskmisel valijal on neid praktikas raske kasutada.

Kas tulemus on usaldusväärne?

Üks võimalus e-valimissüsteemide veatuse tagamiseks on kontrollida kasutatavat tarkvara. Kahjuks on aga tarkvara kohta kohutavalt raske midagi tõestada. Teiseks võimaluseks on lasta valijatel ja vaatlejatel valimistulemusi otse kontrollida. Selle idee kohaselt on valijal võimalik kontrollida, et tema antud hääl õigesti kirja sai, ja igal vaatlejal kontrollida, kas lõpptulemus ikka on kõigi üksikute häälte summa. Siinkohal on analoogia pangandusega kasulik: pangaklientidel on võimalik otse oma kontoteatist kontrollida ja neil ei ole vaja selle loonud tarkvara pärast muretseda.

Et tulemus tõendatav oleks, kogutakse kõik hääled kokku ja riputatakse avalikult üles (näiteks veebisaidile). Samas peavad salajase hääletuse tõttu kõik hääled olema krüptitud. Seetõttu on akadeemikud välja pakkunud krüpteerimiskavasid, mille disain võimaldab tabuleerida „läbi" krüpteerimiskihi. Lisaks on leiutatud meetodeid, mis võimaldavad hääletusserveril väljastada krüptograafilisi tõendeid tabulatsiooni õigsuse kohta. See tähendab, et valijatel, vaatlejatel ja mistahes rahvusvahelisel meediaorganisatsioonil on võimalik kindlaks teha, kas väljakuulutatud tulemused on tegelikkuses antud häältele vastavad.

Selline läbipaistev krüpteerimiskava võimaldab valijatel ja vaatlejatel back-end tarkvara toimimise tulemused üle kontrollida. Siiski ei paku see lahendust juhuks, kui ekstra selleks loodud pahavara häält mõjutab ajal, mil see valija koduarvutis antakse. Osadel hinnangutel on 30-40 protsendis kodukasutuses olevatest arvutitest viirus sees ja tuleb eeldada, et veendunud ründajad võivad luua ja levitada pahavara, mis on spetsiaalselt riiklike valimiste luhtaajamiseks mõeldud.

Selle võimaluse vähendamiseks on akadeemikud leiutanud „lõika-ja-vali"-meetodi, mis võimaldab valijatel kontrollida, kas nende arvuti on nende hääle korralikult kodeerinud. Kui arvuti on krüptimise lõpetanud, on valijal võimalik see üle kontrollida, mis tähendab, et arvuti väljastab andmed, mis hääle õigesti krüptimist tõestavad.

Hoolimata sellest, et need meetodid on nutikad ja keerulised, on neid kritiseeritud, kuna valijatel on neid raske mõista ja kasutada. Lahendusena on välja pakutud otsesemaid valimistulemuste kontrollimise viise, milles valijatel on lubatud proovihääletus. Proovihääletus pärishääletuse tulemustega koos arvesse ei lähe, kuid valijatel on võimalik kontrollida, kas nende hääl on avalikul ülesriputamisel õigesti krüptitud. See võimaldab valijatel kogu valimisprotsessi (koduarvutist serverisse) usaldama hakata.

Valimistulemuste kontrollitavus saab jagu tarkvara kontrollitavuse raskusest ja seetõttu nimetatakse seda vahel ka tarkvara-sõltumatuseks. Krüptograaf Ron Rivers ütleb, et „valimissüsteem on tarkvara-sõltumatu, kui märkamatu muutus või viga selle tarkvaras ei saa põhjustada märkamatut muutust või viga valimistulemustes". Teine tarkvara-sõltumatusega seotud termin on end-to-end-kontrollitavus, mis tähendab, et valimisprotsessi peaks olema võimalik kontrollida alates hääletusfaasist kuni tabulatsioonini välja.

Kui valimissüsteem rahuldab need nõudmised ning valijad ja vaatlejad kontrollivad valimistulemusi, pole valijatel vaja tarkvara valimistel kasutamise pärast muretseda.

Kas võin olla kindel, et mu hääl on salajane?

Vabade ja õiglaste valimiste kindlustamisel mängib salajane hääletus olulist rolli. Teaduslikud uuringud on tuvastanud salajasel hääletusel ühe tugeva vormi, mida nimetatakse sundimatuseks, ja tänu millele ei ole valijatel võimalik teisi oma hääletuse valikutes veenda. Sellest tulenevalt ei saa nad oma häält müüa ega ole sunnitud ühegi konkreetse kandidaadi eest hääletama. Sundus ei ole tavahääletuse puhul probleemiks, kuna hääletuskabiinid pakuvad valijale hääletamise ajal piisavalt privaatsust, et mitte lasta end mõnest sundijast mõjutada. E-valimiste käigus võib sundust esineda mitmel moel - valija mõjutajaks võib olla pereliige, tööandja või organiseeritud kurjategija.

Valimistega seotud kirjandus pakub e-valimisteks välja mitmeid võimalusi sunduse vältimiseks, selle vastu võitlemiseks ja sellest teavitamiseks. Üks neist ideedest (näiteks Civitase süsteemis) annab valijatele võimaluse teeselda nagu järgiksid nad sundija juhiseid, kuid seda nii, et mõjutatud hääl lõpptulemusena arvesse ei lähe. Süsteem ei väljasta mingeid andmeid, mis võimaldaksid sundijal näha, kas valija käitus vastavalt tema soovile või mitte. Kuigi matemaatiliselt peen, on sundusevastast ideed väga raske ellu rakendada. See paneb valijaid täitma intuitsioonivastaseid ülesandeid ja seega peavad paljud inimesed sellist süsteemi tegelikkuses kasutamatuks.

Paljud raskused arvutiteadlaste pakutud e-valimissüsteemides tulenevad valimistulemuste kontrollitavuse („läbipaistvuse") ja sundimatuse („läbipaistmatuse") vahelisest pingest. Üks viis selle raskuse leevendamiseks peitub väljapakutud Caveat Coercitor-süsteemis, mis muudab sunduse ilmseks, selle asemel, et sellele vastu seista. See kasutab algoritme, mis tuvastavad sunduse all antud hääli ja arvavad need lõpptulemusest välja.

Kus e-valimisi reaalselt läbi viiakse?

Mõnedes riikides kasutatakse seaduslikel valimistel juba e-hääletamist. Eestis võeti e-hääletamine esmakordselt kasutusele 2005. aasta kohalikel valimistel ja 2007. aasta parlamendivalimistel. Autentimiseks kasutavad valijad Eesti ID-kaarti, mis on kohustuslik riiklik isikuttõendav dokument. Sundimise vastu kasutatakse põhimõtet, mille kohaselt loeb viimane antud hääl, ja kui valija otsustab minna valimisjaoskonda, siis seal antud hääl tühistab kõik interneti vahendusel antud hääled. Ka Norra viis 2011. aasta kohalike valimiste ajal läbi proovi-e-valimised. Neis riikides läbi viidud valimised näitavad, kuidas e-hääletamist on võimalik laiahaardelistel riiklikel valimistel kasutada, kuid nende valimiste käigus kasutatud süsteemid rahuldavad vaid osaliselt nõudmisi, millest eelpool juttu oli. Eesti ja Norra valimissüsteemid ei võimalda end-to-end-tulemuse kontrollimist, kuna valijatel ja vaatlejatel tuleb teatud osa süsteemist lihtsalt usaldada. Sundijal on samuti võimalik neis kasutatavaid sundusevastaseid meetodeid ära petta.

Valimistel, kus sundust ei peeta suureks probleemiks, on võimalik edukalt kasutada üht teist süsteemi nimega Helios. Belgias asuv Louvaini Katoliku Ülikool kasutas seda ülikooli rektori valimistel. Rahvusvaheline Krüptoloogia Uuringute ühendus (IACR) viis 2010. aastal Heliosega läbi libavalimised. Süsteem võimaldab igaühel valimisi kontrollida. See kaitseb mõistlikul määral ka valija privaatsust.

E-valimistel on raske vältida probleeme nagu sundus ja häälte ostmine ja seetõttu on välja töötatud elektroonilisi valimissüsteeme valimisjaoskondades kasutamiseks. End-to-end-kontrollitavusega valimissüsteeme nagu Prêt à Voter ja Scantegrity kasutatakse kontollitud keskkonnas (valimisjaoskonnas). See võimaldab anda võrreldes e-valimissüsteemidega suurema turvalisuse garantii. Austraalias asuv Victoria valimisjaoskond (VEC) võtab kasutusele Prêt à Voter-süsteemil põhineva süsteemi, mida hakatakse kasutama Victoria osariigi 2014. aasta valimistel. Valimisjaoskonna valimissüsteemid vastavad tarkvara-sõltumatuse ja mõnedele sundimatuse nõuetele, kuid valimisjaoskonnad on vaid vaheetapp. Nagu e-pangandus, nii on plaanis ka valimised viia internetti, kuna see on mugav ja taskukohane.

Mida lähitulevikus oodata?

Veel mõnda aega tagasi oli üsna tavakohane arvata, et e-valimised ei saa olla turvalised, kuna valijate arvutid ise ei ole turvalised. Siiski on osad riigid juba kasutusele võtnud valijapoolselt kontrollitavad e-valimised, kus arvutid valijatele tõestavad, et antud hääled on õigesti krüptitud. Osad neist valimissüsteemidest ei rahulda veel tarkvara-sõltumatuse ja sundimatuse nõudeid, kuna kontrollimatu koduarvuti keskkond muudab selle keeruliseks.

Turvalisuse poole pealt on vaja veel uurimusi läbi viia, et sunduse probleem lõplikult lahendada ja e-valimissüsteemide kasutamist parandada. Kuni seda saavutatud pole, on raske e-hääletamist seaduslikeks valimisteks piisavalt turvaliseks pidada. Samas liiguvad teadurid küllaltki kiiresti edasi, ja hiljuti välja töötatud meetoditest lähtuvalt võime loota, et e-valimistest saab peagi reaalsus.

Kesknädalale vahendanud SIRET KOTKA

Jaga |