13.05.2019
“Teie antud hääl läks arvesse.” Aga kuidas?
IT-valdkonnas töötanud Karl Olaf Rääk arutleb põhjalikult selle üle, millised on e-valimiste kitsaskohad ja mis takistab neid usaldusväärseks pidamast.
“Alustuseks ütleks, et ma ei ole e-valimiste kui idee põhimõtteline vastane. Küllalt kaua IT valdkonnas töötanuna oleksin väga rõõmus, kui e-valimised oleks usaldusväärne, turvaline ja innovatiivne valimiste korraldamise tööriist. Paraku vaevavad meie e-hääletuse masinavärki mitmed põhimõttelised probleemid, millest osa on parandatavad, teine osa aga sellised, mida tehnoloogia tänase tasemega on võimatu lahendada.
Traditsioonilised hääletamissüsteemid on pikalt kasutusel olnud. Selle aja jooksul on katsetatud igasuguseid tulemuste võltsimise skeeme ja õpitud pettuse võimalust miinimumini viima.
Paberkandjal hääli on võimalik korduvalt üle lugeda, kuna need on füüsiliselt olemas ja kontrolli all. Valimissedelite teekonda jälgib alati mitu inimest, ka häälte lugemise juures viibivad välised vaatlejad. Seetõttu on võimaliku tulemuste võltsimise jaoks vaja hulga inimeste koordineeritud ja samas salajast tegutsemist. Sellise skeemi osalisi on palju, aga pettuse avalikuks tulemiseks on vaja vaid ühte inimest. Kõrge vahelejäämise riskiga võltsimine saab mõjutada vaid ühe valimisjaoskonna tulemusi.
Elektroonilise hääletuse puhul on aga asi risti vastupidi. E-häälte muutmiseks piisab vaid mõnest asjasse pühendatud inimesest. E-hääli on võimalik muuta märkamatult, suures mahus ja praktiliselt jälgi jätmata. E-valimiste protseduure on küll võimalik formaalselt jälgida, kuid tegelikult vaadeldakse musta kasti, mille ekraani peal midagi liigub, kuid mille sisemuses toimuva kohta ei ole võimalik lihtsa vaatluse teel teavet saada.
Paradoksaalsel kombel raskendab e-valimiste kontrollimist valimiste üks põhinõudeid, ehk valimiste anonüümsus. Kuna kodaniku poolt kandidaadile antud häält ei saa ega tohi jälitada tagasi hääletajani, siis avab see suurepärase võimaluse muuta häälte jaotust nii, et seda on praktiliselt võimatu kindlaks teha.
Vahel öeldakse, et pangas teeme me ju rahaülekandeid, kõik toimib, mille poolest siis e-hääletamine vähem turvaline on?
Pangategevuste kohta säilib täpne tegevuste ajalugu. Seal on võimalik aastaid hiljem vaadata, mis hetkel ja mida tehti. Ja sellest hoolimata tuleb igal aastal tegelda rohkete pangapettustega. E-hääletuse puhul sellist kontrolli võimalust ei ole.
E-valimistest on saanud midagi riikliku religiooni sarnast. Peale pühalike ja müstiliste väljendite, nagu “kahekordne turvaümbrik”, “krüpteerimine”, “miksimine” jm, on e-valimistega seoses kõige sagedamini kohatav sõna “usk”. Me usume, et kõik süsteemiga seotud inimesed on ausad. Me usume, et hääletaja asub hääletamise hetkel ausasti üksinda oma arvuti ees. Me usume, et hääletaja ei lase ennast mitte kuidagi mõjutada. Me usume, et keegi ei hääleta teise inimese ID kaardiga. Me usume, et tarkvara ei muudeta ega mõjutata mingil viisil.
Sellise tähtsusega süsteemi puhul peaks lisaks usule olema ka kindel teadmine, et süsteem on üheselt ja kindlalt kaitstud.
Arvutisüsteemidel on erinevaid turvatasemeid, alates isiklikust arvutist/nutiseadmest, lõpetades riiklike infosüsteemidega. Mida olulisem ja hinnalisem on süsteemis paiknev informatsioon, seda tugevamad peavad olema turvameetmed. Mida hinnalisem on süsteemis asuv informatsioon, seda suuremaid ressursse selle hõivamiseks kulutatakse.
Riiklikud valimised asuvad riski ülemises otsas, nii et arvestada tuleb väga tõsiste ohtudega.
Riiklikul tasemel süsteemide mõjutamise puhul on kasutada:
1. Hääletajate arvutite mõjutamine bot’i [1] abil. See võimaldab piisava kaitseta arvutitesse istutada pahavara, mis läheb hääletamise kliendiprogrammi turvalisusest mööda. Põhimõtteliselt annab inimene enda arvates hääle kandidaadile X, tegelik hääl läheb aga kandidaadile Y.
2. Serveris töötavate programmide häkkimine
3. Töötajate mõjutamine. Manipuleerides inimeste ahnuse ja hirmuga, saab sundida neid tegema mida iganes. Tihtipeale ongi inimeste mõjutamine efektiivsem kui keerulised tehnilised manipulatsioonid. Võimalik on ka hübriidlahendus, kus asjast huvitatud organisatsiooni poolt luuakse vajalikud programmid, värvatud abiline sokutab need aga serverisse.
Ilmselt valitakse igal puhul kõige efektiivsem moodus. Jääb ainult uskuda, et meie valimiste puhul midagi taolist tehtud ei ole. Sest kui oleks, siis seda tuvastada on praktiliselt võimatu.
Sisuliselt imiteerib see kirja teel hääletamist. Hääletaja märgib valijakaardil oma valiku. Valijakaart suletakse ümbrikku. See ümbrik pannakse koos hääletaja isiklike andmetega välisesse ümbrikku ning saadetakse valimisjaoskonda.
Jaoskonnas kontrollitakse, kas antud kodanikul on õigus hääletamisel osaleda. Hääletaja andmetega ümbrik tõstetakse kõrvale, ilma isiku andmeteta sisemised ümbrikud segatakse läbi nagu kaardipakk ning suunatakse häälte lugemisele. Seal avatakse anonüümsed ümbrikud jälgijate silma all ning loetakse hääled üle.
E-valimiste serveris tehakse analoogsed protseduurid läbi elektrooniliselt. Turvalisuse suurendamiseks säilitatakse registreeritud hääled kahes serveris, ehk tehakse hääletussedelitest n-ö. koopiad, mille abil saab kontrollida, et enne häälte lugemist ei ole häälte arvu ega sisu muudetud.
Kõige olulisem toimub tegelikult viimases etapis, ehk häälte lugemise programmis. Seal kooritakse kandidaadi number krüpteeritud kujult välja ja lisatakse selle kandidaadi häälte arvule.
Paneme tähele: mida iganes turvalisuse kindlustamiseks ette ei võetud, serverisse saadetud häälte üldarv on ainuke algusest lõpuni kontrollitav parameeter. Selle numbri piires võime me kandidaatide hääli ringi tõsta nii, et seda on võimatu kindlaks teha.
Ükskõik kui põhjalikult mustkunstnik kaardipaki läbi segab, lõpuks tõmbab ta vajaliku kaardi käisest välja. Täpselt samasugune efekt võib olla ka e-valimistel. Kusjuures, sellist trikki on võimatu tagantjärele kindlaks teha.
Loomulikult me usume, et midagi sellist ei toimu. Ja suure tõenäosusega ei toimugi. Samas, see, et taoline võimalus üldse õhus on, peaks olema piisav põhjus e-valimisi mitte kasutada või siis kasutada eriti rangete kontrolliga ja piiratud ulatuses, näiteks siis, kui inimene asub välismaal ja muud hääletamise võimalused on välistatud.
Probleem, mida hetke tehnoloogiaga sisuliselt võimatu lahendada, on hääletaja isiku tuvastamine. Me ei kujuta ette, et keegi läheb valimisjaoskonda teise inimese ID kaardiga või võtab kogu suguvõsa isikutunnistused ligi ja hääletab korraga kõigi nimel. Arvuti kaudu on see täiesti võimalik. Võib ju öelda,et see paar häält siia või sinna, aga nii mõnigi kord otsustab üks hääl kandidaadi saatuse.
Turvameetmetena on välja pakutud võimalus e-häält valimiste ajaaknas mitu korda muuta, samuti kontrollida nutiseadme äpi abil, kas meie hääl jõudis serverisse. Tehniliselt elegantsetena on neist reaalselt vähe abi.
Kui inimene ei tea, et tema nimel on hääletatud, kas ta siis kontrollib antud häält? Vaevalt küll. Kui kellegi hooldekodus asuva sugulase nimel on hääl antud, kas seda saab kontrollida? Ei saa, seda isegi ei tohi teha.
Aadressil github.com/vvk-ehk/evalimine on avaldatud osa e-valimiste tarkvarast. Näiliselt teeb see valimiste süsteemi kontrollitavaks, sisuliselt mitte eriti. Mõni hobihäkker võib küll koodi uurida ja arvamust avaldada, kuid selle arvamusega pole midagi peale hakata. Lisaks, ei ole mingit garantiid, et serveris käivitub just see tarkvara, mille lähtekood on avalikuks tehtud. Muidugi me usume, et on, kuid usust jääb jällegi väheks.
Vaja oleks ametlikku, professionaalset, dokumenteeritud auditit, pluss süsteemi, mis garanteerib tarkvara autentsuse ka sel hetkel, kui see reaalselt töösse lastakse. Mis omakorda toob kaasa vajaduse kontrollida süsteemi, mis programmi kontrollib. Süsteemi testinud eksperdid suutsid näiteks modifitseerida programmi nii, et see näitas häälte lugemise tarkvara autentsust, hoolimata sellest, et käima läinud programmi oli vajalikus suunas modifitseeritud.
Võib ju öelda, et ei maksa liiga paranoiliseks muutuda. Aga sellise mõjuga süsteemi puhul, nagu üleriiklikud valimised, on paranoia vähim, mida harrastada ja pime usk viimane, millele toetuda.
Meil oli tegelikult hiilgav võimalus tasuta professionaalne audit saada, kui aastal 2014 uuris e-valimiste süsteemi rahvusvaheline ekspertide grupp [2]. Nad avastasid rea tõsiseid probleeme, millest kõige suuremad olid süsteemi aegunud arhitektuur, üheselt määratud, dokumenteeritud protseduuride puudumine ning töötajate ükskõikne suhtumine võimalikesse ohtudesse.
Ekspertide hinnang oli, et meie e-valimiste süsteem tuleks kohe kasutuselt maha võtta.
Kahjuks said nimetatud, ehk kohaliku vastulöögi käigus „niinimetatud“, eksperdid tänusõnade asemel rünnakute objektiks. Võimupoliitikud väitsid, et nad täidavad konkurentide poliitilist tellimust. Tehniline personal väitis, et nad on kõigist ohtudest teadlikud ja kõik probleemid on juba eos elimineeritud. Eriti huvitavalt kõlas mingil hetkel saadud vastus küsimusele, miks kahtlase turvalisusega süsteemi kasutatakse: “kõik on korras, sest valimisi võidavad õiged kandidaadid”.
Eesti kui erakordse e-riigi kuvandi ülal hoidmine paistab osade inimeste jaoks nii oluline olevat, et selle nimel lastakse rohkem kui üks nurk sirgeks ja pigistatakse hulgaliselt silmi kinni.
Alustaks uuesti sellest, mida on praeguse ja ilmselt ka lähiaja tehniliste võimalustega võimatu lahendada, ning see on arvuti taga hääletaja isiku kontrollimine.
See on koht, kus kogu praeguse e-hääletuse idee lõppema pidanuks. Kui hääletaja isiku kindlaks tegemine on seaduse alusel nõutav, kuid hääletamise süsteem seda tehniliselt ei võimalda, siis sellist süsteemi kasutada ei tohiks. Punkt.
E-valimised saaks suhteliselt pettusekindlaks siis, kui nende puhul kaotataks hääletamise anonüümsuse nõue. Kui hiljem on võimalik kontrollida, kelle poolt kodanik A mingil hetkel hääletas, siis ei ole kõigil süsteemi petmise meetoditel enam mingit mõtet, vahele jäämise võimalus muutub liiga suureks. See eeldaks paraku seaduse muutmist.
Mõningane kasu oleks hääletamise logide säilitamisest ja avalikuks tegemisest. Selline logi sisaldaks ainult hääletaja andmeid ja hääletamise kuupäeva, võimaluse korral ka asukohta. Logi ei sisaldaks andmeid selle kohta, kelle poolt hääl anti, sestap ei rikuks selline logi ka seadust.
Logi peaks olema sõltumatu osapoole poolt turvatud – kasvõi tänapäeval populaarset plokiahela [3] tehnoloogiat kasutades. See välistaks võimaluse, et see, kes kontrollib valimisservereid, saab seal varjatud muudatusi teha.
Millal ja kus keegi hääletas, ei kuulu valimise salajasuse nõude alla. Enamuse traditsioonilisel viisil valjate puhul võime nagunii täie kindlusega eeldada, et nad valisid valimiste päeval ja oma valimisjaoskonnas. Miks mitte säilitada sama info elektroonilises keskkonnas?
Avalikult analüüsitav hääletamise logi võtaks võimaluse hääli pakkidena lisada, kasvõi kohtades, kus mitmete inimeste ID kaardid on kellegi teise valduses. Samuti võimaldaks see kiirelt lahendada olukordi, kus keegi läheb valimisjaoskonda ja talle teatatakse, et ta on juba enda teadmata e-valinud.
Elektrooniline valimissüsteem peaks sisaldama anomaaliate kontrolli vahendid. Näiteks andma häire, kui mingis asukohas lisatakse ebanormaalse kiirusega samale kandidaadile/erakonnale hulk hääli. Või kui ootamatu aktiivsusega hääletavad inimesed, kes muidu ID kaarti üldse ei kasuta.
Selge ohumärk on ka see, kui elektroonilise ja tavahääletuse tulemused on mõne kandidaadi koha pealt silmapaistvalt suure erinevusega.
Mitmes riigis on E-valimisi katsetatud. Näiteks Norras prooviti aastal 2014 online- hääletust, kuid see projekt katkestati sest leiti, et süsteemi võimalik manipuleeritavus õõnestab demokraatlike valimiste usaldusväärsust. Sama on olnud ka USA-s, kus osades piirkondades ilmnenud valimismasinate teoreetiliste turvaprobleemide avalikuks tulemist võeti need koheselt kasutuselt maha. Vahemärkusena, USA-s on valimismasinaid päris pikalt kasutatud, sealhulgas ka elektroonilisi. Aga need masinad asuvad ainult valimisjaoskonnas, ehk siis kontrollitud keskkonnas.
Eestis seevastu ei paista valimiste usaldusväärsus asjaomaseid ametimehi härivat. E-valimised on meil pooleldi pilaobjektiks muutunud, kuid sellele ei ole järgnenud muud reaktsiooni kui lakooniline kinnitus, et kõik on hästi.
Nii ongi igaühe isiklik asi, kas ta usub seda või mitte.
Kuigi ekspertide hinnangul ei ole hetkel tehnoloogiat, mis võimaldaks elektroonilist hääletust piisava usaldusväärsusega läbi viia, siis töö selles vallas käib ja pole võimatu, et ühel hetkel saame Interneti teel täiesti rahulikult ja kindlalt oma häält anda. See aga ei tähenda, et peaksime kasutama poolikuid lahendusi ainult selleks, et endale sohi abil tekitatud innovatiivsuse eest õlale patsutada.
———
[1] Bot on pisike peidetud pahavara, mis uinub nakatatud arvutis ning mida juhitakse ühest keskusest. Keskus võib korraga kontrollida tuhandeid arvuteid. Bot suudab andmeid serverisse saata ja päringuid sooritada, samuti tarkvara installeerida ja muuta.
[2] Lähemalt ekspertide tööst https://estoniaevoting.org/ , https://www.youtube.com/watch?v=PT0e9yTD2M8
[3] Plokiahel säilitab andmeid hajutatuna üksteisest sõltumatutes asukohtades. Iga kirje plokiahelas on seotud eelneva ja järgneva kirjega ning seda ei ole mitte kellegi poolt võimalik märkamatult muuta.