24.01.2023
ID-kaart
E-valimiste puhul rõhutatakse süsteemi usaldusväärsust. Need pidavat olema suisa turvalisemad kui paberhääletus. Kohati meenutab e-valimiste ümber toimuv mustkunstietendust, kus publiku tähelepanu juhitakse sinna, kus midagi olulist ei toimu. Püüame järgnevas artiklis selgitada, mis tehnoloogilise silmamoonduse taga peitub. Mis on oluline, kus aga suits ja peeglid.
Alustame sellest, et e-valimiste rakendus imiteerib kirja teel hääletamist. Olemasoleva süsteemi kopeerimisega juhtub aga vahel nii, et mõned funktsioonid muutuvad kasutuks, teisi saaks aga uute võimaluste abil märksa efektiivsemalt lahendada. Näiteks esimeste autode puhul kulus tükk aega enne kui aru saadi, et auto ei pea hobuvankri moodi olema.
Järgnevalt mõned e-valimistega seotud väited koos kommentaaridega.
1. E-valimiste tarkvara on internetis nähtav ja igaüks võib seda kontrollida.
E-valimiste tarkvara on tõesti internetis avaldatud [1]. Samas ei garanteeri miski, et täpselt sama tarkvara on töös ka valimiste ajal. Me peame uskuma, et tegemist on sama koodiga.
2. Antud e-häält saab hääletusperioodi jooksul korduvalt muuta, mis garanteerib selle sõltumatuse.
Hääle muutmise võimalus pidavat olema vajalik selleks, et surve all antud hääle saab ära muuta. Millegipärast eeldatakse, et survestajad on ainsad inimesed maamunal, kes hääle muutmise võimalusest kuulnud pole. Oleks loogiline eeldada, et kui nad tõesti tahavad kedagi mõjutada, küllap siis midagi välja mõtlevad. Survestavad näiteks hääletusperioodi lõpus.
Mõjutamise probleemi lahendamise asemel muudab pikk hääletusaeg selle hoopis tõsisemaks. Teada on, et kampaaniatelkides pakutakse nänni saajatele võimalust hääl kohe ära anda. Jah, see on keelatud, kuid paistab, et üldiselt pigistatakse selle koha pealt silm kinni. Mõnikord keegi jääb vahele [2], aga kui palju mõjutatud hääli radari alt läbi libiseb, ei ole teada. Võimaluse selleks annab valimiskampaaniaga paralleelselt toimuv e-hääletus. Seda võiks nimetada kuriteole ahvatlemiseks, samamoodi nagu rahakoti jätmist pargipingile.
3. Hääle jõudmist serverisse saab kontrollida eraldi mobiilirakendusega.
Funktsionaalsuselt sarnaneb see postkastiga, millele on külje peale aken tehtud. Panen ümbriku postkasti ja vaatan, kas see ikka potsatas sisse. Tõsi, teoreetiliselt võib see kasulik olla, kui keegi üritaks valimiäppi häkkida. Valimiste võltsimiseks on siiski märksa tõhusamaid meetodeid, nii et erilist kasutegurit siit oodata pole. Hääle serverisse jõudmine ei garanteeri, et see õigesti kokku loetakse.
4. Häälte miksimine.
Miksimine kentsakas protseduur. Tõenäoliselt on selle lisamise ajendiks postiümbrike segamise imiteerimine elektroonilises keskkonnas. Võimalik, et selle kasutamise taga on ka programmeerijate edevus, suhteliselt eksootilisele El Gamal’i krüptoalgoritmile [3] kasutuse leidmine. Miksimine näeb äge ja kõrgtehnoloogiline välja, kuid rakenduse turvalisust see märkimisväärselt ei suurenda. Miksimise lõpuks väljastatav miksimistõend kinnitab, et see, mis mikserisse sisse pandi, on sama mis teisest otsast välja tuli. Nagu oleks sügav mõte muuta faile, mille sisu on loetamatu sigrimigri ning mille muutmine tuleks häälte lahtikrüpteerimisel vältimatult välja. Muidugi on andmed samad. Miksimine ei garanteeri, et kokku loetakse samad hääled, mis inimeste poolt anti.
5. Vaatlemine
Territooriumi valvamine on üks iidsemaid turvavõtteid. Seepärast tundub inimestele loogiline, et kui juba vaatlejad mängus, siis on asi aus. Vaatlemise teel saab paraku tuvastada vaid füüsiliste objektide liigutamist. Valimisjaoskonnas jälgivad vaatlejad, et valimissedeleid juurde ei sokutataks ega ära näpataks.
E-valimiste põhitegevus toimub serveris. Mida me serverit silmitsedes näeme? Serveri korpust ja paari tulukest. Kui just mõni kahtlaselt käituv tegelane ei torka kõigi nähes mälupulka masina külge, pole vaadeldes võimalik suurt midagi tuvastada. Musta kasti probleemi tõi välja juba E-valimisi uurinud teadlaste grupp [5]. Vaatlemine lisab näilist turvalisust, aga vaatlejad ei näe, mis süsteemis toimub.
6. Logide jälgimine
Logifaili sisuks on lõputu teksti- ja numbrirodu. Inimese meeled on loodud nii, et suure hulga ühetaolise info hulgast on raske midagi üles leida. Kui te olete näinud internetis levivaid pilte, kus on ekraanitäis numbreid “8”, mille hulgast tuleb üles leida “9”, saate aru, millest jutt käib. Öelda, et süsteem on avatud ja turvaline, kuna keegi saab logisid vaadata, kõlab küll asjalikult, kuid kasu on sellest vähe.
7. Tseremoniaalne häälte avamine
E-häälte lahtikrüpteerimise protseduur on teatraalne nagu mõne ususekti rituaal. Vähemalt pooled valimiskomisjoni liikmetest peavad isiklikult kohale tulema ja spetsiaalsed kiipkaardid masinasse torkama [7]. Peale seda avaneb ülisalajane krüpteerimisvõti, mille abil saab peidetud hääled avalikuks teha ning need kokku lugeda. Etteaste on visuaalselt mõjuv, kuid rohkem meelelahutuse kui turvalisuse seisukohalt vajalik. Ükskõik kui tähtsad inimesed avamise juures viibivad, ei garanteeri see, et hääled korrektselt kokku loetakse.
8. Auditeerimine
Üks kaalukamaid argumente e-valimiste kaitseks on see, et süsteemi kontrollitakse sõltumatute audiitorite poolt, kes kinnitavad, et kõik on laitmatu. Taolisi auditeid tõesti tehakse, kuid need kipuvad olema silmatorkavalt valikulised. Punktuaalselt kontrollitakse pisidetaile, jättes suured küsimused tähelepanuta. Piltlikult öeldes kontrollitakse, kas ukselukk on õlitatud, jättes märkamata, et seintes olevatest aukudest võid veoautoga sisse sõita. Usaldusväärsust ei suurenda ka teadmine, et Eesti riigiaparaadi lemmikaudiitor KPMG on kurikuulus oma korruptsiooniskandaalide poolest [4]. Samuti tõrjutakse välismaiste ekspertide arvamust, et e-valimised ei ole turvalised ja neid ei tohiks kasutada [5,6]. Öeldakse, et nad ei saa asjast aru, neil pole ID kaarti ja me juba teame seda kõike.
9. Andmete hävitamine
Andmete hävitamine pidavat olema vajalik selleks, et keegi ei suudaks tuleviku tehnoloogiate abil krüpteeringuid lahti murda ja saada teada, kelle poolt keegi hääle andis. Kas tõesti käivitab keegi ülikalli tehnoloogia selleks, et teada saada, kuidas kolmkümmend aastat tagasi hääli anti? Ei kõla usutavalt.
Andmete kiirustav hävitamine nullib võimaluse tulemusi analüüsida, võimalikke probleeme välja selgitada ning ennetada. Kaob ka võimalus põhjalikuma analüüsi abil võimalikke valimispettusi avastada.
Kokkuvõte
Kõige haavatavam koht e-valimiste puhul on viimane etapp ehk häälte kokku lugemine. Vaatamata eelnevale hookuspookusele on süsteemis lihtsad numbrid, mida vastavalt muudetud tarkvara võib kandidaatide vahel nihutada. Kui lihtne seda teha on, tõestasid professor Haldermani kaastöötajad praktliselt põlve otsas [5]. Nad häkkisid häältelugemisprogrammi ning sundisid operatsioonisüsteemi valetama, et programmi pole kuidagi muudetud. Sedasorti võltsimist on praktiliselt võimatu avastada.
Eesti e-valimiste süsteem on sisemise rünnaku ees kaitsetu. Nii et meil jääb vaid loota, et süsteemi haldavad üdini ausad inimesed. E-valimiste süsteemi, mis toetub rohkem usule kui teadmisele, ei saa ülemäära usaldusväärseks pidada.
Karl Olaf Rääk
Endine väliskaubandus- ja kommunikatsiooniministri nõunik e-valimiste valdkonnas
28 aasta pikkune tarkvara arenduse ja juurutamise kogemus
(Järgneb)
[1] VVK / EHK tarkvara, Github
https://github.com/vvk-ehk
[2] Keskkriminaalpolitsei kahtlustab Narva poliitikut häälte ostmises
https://www.politsei.ee/et/uudised/keskkriminaalpolitsei-kahtlustab-narva-poliitikut-haeaelte-ostmises-2613
[3] Verifiable Mix-Net Voting
https://ocw.mit.edu/courses/6-897-selected-topics-in-cryptography-spring-2004/2a3dcdb2dcadfd80beb31681631285f8_l19.pdf
[4] KPMG korruptsioonilugudele on nende rohkuse tõttu lihtsam viidata otsingu kaudu.
https://duckduckgo.com/?q=kpmg+corruption&atb=v319-1&ia=web
[5] Springall, D. Finkenauer, T., Durumeric, Z. Kitcat, J., Hursti, H., MacAlpine, M., and Halderman, A.J. Security Analysis of the Estonian Internet Voting System
https://estoniaevoting.org/findings/summary/
[6] Electronic voting by country – Estonia
https://en.wikipedia.org/wiki/Electronic_voting_by_country
[7] E-valimiste turvasüsteemid
https://www.youtube.com/watch?v=I0tp1F_AlOs&t=89s