Tänään julkaistu sähköisen äänestyksen auditointiraportti on hyvää työtä. Valitettavasti Turun yliopiston yhdeksän hengen auditointityöryhmä pystyi parissa kuukaudessa tarkistamaan ainoastaan ohjelmiston kriittisimpiä kohtia. Virhe tai aukko muualla järjestelmässä voi aiheuttaa ongelmia sähköiselle äänestykselle, jota kokeillaan kolmessa kunnassa ensi syksyn kunnallisvaaleissa. Pahana puutteena auditoijat toivat esiin myös sen, ettei heillä ollut tarkastettavana äänestysjärjestelmän käyttöjärjestelmän lopullista versiota. Lisäksi raportissa tuodaan esiin lukuisia tilanteita, joissa vilpillisillä äänestysvirkailijoilla on mahdollisuus muokata vaalien tuloksia; paljon enemmän ja huomaamattomammin kuin perinteisessä lippuäänestyksessä.
- Sähköisessä äänestyksessä käytettävä tietojärjestelmä on tarkastettava perusteellisesti. Valitettavasti tarkastukselle ei ollut mahdollista varata riittävästi aikaa ja resursseja. Auditointiraportissa todetaankin, että jo pelkkä vaaliohjelmiston lähdekoodin tarkastaminen olisi vaatinut useita henkilötyövuosia. Äänestysjärjestelmän ohjelmistojen ja tekniikan tarkastaminen ei kuitenkaan ratkaise sähköisen äänestyksen riskejä. Käytännössä mitkään resurssit eivät mahdollista koko laitteistosta käyttöliittymään ulottuvan ketjun aukotonta läpikäymistä. Vallitulokseen vaikuttava tai vaalin toimittamista hankaloittava virhe voi olla missä tahansa järjestelmän osassa. Esimerkiksi Yhdysvalloissa tunnetaan tapaus, jossa äänestyskoneen kosketusnäytön säädöt vaikuttivat äänestystulokseen, painottaa kansanedustaja ja Vihreiden varapuheenjohtaja Jyrki Kasvi.
Sähköiselle äänestykselle on vaikea nähdä muuta tarkoitusta, kuin yritys nostaa äänestysaktiivisuutta vetoamalla ihmisten kokeilunhaluun. Suomalainen lippuäänestys on kuitenkin koeteltu järjestelmä, jossa vaalitulosten laajamittainen ja huomaamaton peukalointi on mahdotonta. Järjestelmä luotiin jännittyneessä poliittisessa tilanteessa, jossa vaalitulokseen oli voitava luottaa, vaikka ihmiset eivät luottaneet toisiinsa. Vaikka nyky-Suomessa ihmiset ja puolueet luottavat toisiinsa, emme voi tietää, millainen tilanne on tulevaisuudessa.
- Pelkän imagohyödyn takia ei pitäisi mennä muuttelemaan demokratian ytimessä olevaa äänestystapaa, jos vaakakupissa on pienikin mahdollisuus siitä, että kansalaisten luottamus järjestelmän rehellisyyteen voi vaarantua. Tänään julkaistu auditointiraportti tuo esiin useita tällaisia mahdollisuuksia, Jyrki Kasvi toteaa.
Tänä keväänä Nordean asiakkaat eivät saaneet rahojaan palkanpäivänään tai Sampo-pankissa olleen tilin saldo on saattanut muuttua yhtäkkiä plussalta miinukseksi. Yhteishaussa hakeneet nuoret saivat tiedot opiskelupaikoistaan lähes viikon myöhässä. Viime kesänä VR:n lipunmyynti takelteli, ja junat pysähtelivät. Kaikki nämä ovat esimerkkejä tilanteissa, joissa tietojärjestelmän ongelmat ovat vaikeuttaneet kansalaisten elämää, vaikka etukäteen on vakuutettu kaiken menevän hyvin. Voimmeko uskoa, että vastaava ei voi toistua sähköisessä äänestysjärjestelmässä?
___
PS: Ota kantaa - etusivulla gallup-kysymys sähköisestä äänestyksestä!
Teknisten puutteiden lisäksi
Yhdysvalloissa muutama hakkeri kykeni
murtautumaan kyseiseen
käyttöjärjestelmään puolessa tunnissa
kaikista suojauksista huolimatta ja eräs
heistä manipuloi 10 000 äänen heiton
äänestystuloksiin. Taitavia hakkereita
ei meillä Suomessa ole niin paljon, kuin
Yhdysvalloissa, mutta heitä kuitenkin
löytyy...
Esa Matikka (20.6.2008 07.59)
Ohjelmakoodin tulisi tietysti olla
täysin avointa ja toteutettu niin, että
murtautuja tai paha ylläpitäjä eivät
pysty lisäämään hyväksyttäviä ääniä.
Äänestämisestä saataisiin luotettava
pilkkomalla salattu ja eri tahojen
allekirjoitama
ääni moneen palaseen ja lähettämällä
palaset eri osapuolille.
Äänestäjän tulisi saada tarkistussumma,
jolla voi varmistua, että oma ääni on
toimitettu laskettavaksi,
eikä sitä ole muutettu.
Äänestyksen päätyttyä eri osapuolet
yhdistävät äänten palaset ja laskevat
äänet.
Saman voisi toteuttaa yksinkertaisesti
paperipaloillakin tekemällä
äänestysvalinnasta yhteen- ja
vähennyslaskun, jonka yksi numero on
kullakin palasella. Kukaan osapuolista
ei tiedä mikä
on laskun tulos, ennen kuin kaikki palat
on yhdistetty.
Edellisten eduskuntavaalien kryptatut
allekirjoitetut äänet veisivät noin
gigatavun,
joten halukas voisi tarkistaa ne
kotitietokoneellaankin.
Luottaisin näin toteutettuun sähköiseen
järjestelmään paljon enemmän kuin
paperiäänestykseen.
epäluuloinen (20.6.2008 13.26)
Automaagisesti laskettu tarkistussumma
kuulostaa nopeasti ajateltuna hyvältä
keinolta seurata ääntä, mutta
käytännössä se antaa liian helpon keinon
rikkoa äänestyssalaisuuden.
Sen sijaan äänestäjän itsensä keksimä ja
vain omaan päähänsä tallentama
seurantakoodi äänen mukana ei riko
äänestyssalaisuutta muuta kuin
kidutustilanteessa. (mutta
kiduttamallahan voidaan saada selville
myös se mitä ihminen äänesti joten
tuolloin se on aika yhden tekevää;)
Saman kaltaisen äänen tunnistettavuus
ongelman aiheuttaa myös ehdottamasi
äänien pilkkominen salauksen jälkeen.
Käytännössä äänen kokoamiseen tarvitaan
tieto kenen ääni kyseessä on ja silloin
ollaan jo aika huonoissa kantimissa
äänestyssalaisuuden kanssa.
Sen sijaan äänen ja seurantakoodin
salaaminen useampaan kertaan
mahdollistaa (melko) turvallisen äänien
käsittelyn ennen niiden lopullista
avaamista.
Muita nettiäänestämiseen liittyviä
ideoitani löytyy
http://koti.mbnet.fi/p_a_/internet%e4%e4
netys.pdf
PA (23.6.2008 13.51)
Tarkisteen huono puoli on, että se
mahdollistaa
äänten myymisen, jos tarkisteen avulla
näkee ketä on äänestetty.
Tässä pari linkkiä:
http://web.mit.edu/6.857/OldStuff/Fall02
/handouts/L15-voting.pdf
http://www.iacr.org/archive/eurocrypt200
0/1807/18070545-new.pdf
epäluuloinen (23.6.2008 17.31)
Tarkisteella voi todellakin myydä ääniä,
mutta vain jos äänen sisältö julkaistaan
tarkisteen kanssa, mutta tätähän en
ehdota.
Itse asiassa kamerakännyllä voi myydä
äänensä jo nyt paljon uskottavammin.
Edellinen ei tosin tunnu haittaavan
ketään.
Seurantakoodin idea on siinä että ääni
pysyy laskentaan sama, jos tarkistekin
pysyy. Se jippo millä homma saadaan
toimimaan. Kun vielä ääntä voi muuttaa
niin jokainen voi myydä äänensä vaikka
kuinka monta kertaa, jos joku uskaltaa
ostaa. Ilman vaihtamismahdollisuutta
ollaan taas lähtöruudussa.
PA (24.6.2008 11.39)
Toivoisin kansanedustajalta muutakin
aktiviteettia näin tärkeän asian
tiimoilta, kuin bloggaus.
En tiedä vaikutusmahdollisuuksia, mitä
yksittäisellä kansanedustajalla on,
mutta muutoin olisi hyvä aika nostaa
kissa pöydälle.
Jussi Savola (24.6.2008 18.35)
"Itse asiassa kamerakännyllä voi myydä
äänensä jo nyt paljon uskottavammin."
Kamerakännyllä voi toki nytkin myydä
äänensä, mutta ostajalle ei edelleenkän
jää varmuutta. Äänen voi nimittäin
helposti invalidoida kopin jälkeen,
jolloin virkailijalta saa uuden
lipukkeen.
Jeps (25.6.2008 11.50)
"Kamerakännyllä voi toki nytkin myydä
äänensä, mutta ostajalle ei edelleenkän
jää varmuutta. Äänen voi nimittäin
helposti invalidoida kopin jälkeen,
jolloin virkailijalta saa uuden
lipukkeen."
Paitsi jos virkailija on mukana
hommassa. Silloin toki voi tulla
muitakin mahdollisuuksia parantaa
äänestystulosta.
Italia kielsi kännykät
äänestyskopeissa:
http://www.mtv3.fi/uutiset/txt/ulkomaat.
shtml/arkistot/ulkomaat/2008/04/630271
kaupan (25.6.2008 18.59)
Minikamerat ovat ihan oikeasti uhka
kaikista kielloista huolimatta, jos
äänestäjä itse niitä sitoutuu käyttämään
.
Käytännössä ei sen virkailijan edes
tarvitse olla mukana juonessa.
Tyhmempikin sivusta katsoja huomaa, jos
lippua tulee kopista ulos uuteen
vaihtamaan. (varsinkin jos on maksanut
vieressä seisovalle kaverille siitä mitä
lipussa lukee).
Näin siis ihan käytännössä on mahdotonta
estää kuvaamista niin ettei ulkopuolinen
voisi kuvaan tarvittaessa suurella
tn:llä luottaa.
Virkailijaa ei voi laittaa koppiin, eikä
asiointia virkailijan kanssa voi
piilottaa, koska se taas mahdollistaa
toisenlaiset astetta vakavammat
petokset.
Äänen ostaminen on loppupelissä pieni
paha ja siksi sen mahdollisuus
sallitaan.
Meidän järjestelmämme ei ole täydellinen
vaikka niin haluaisimme uskoa, eikä
kameroita ei saa kopista pois pelkillä
kielloilla. Koppiin taas ei ole mitään
menemistä katsomaan mitä siellä
touhutaan.
Keskustelu äänen ostamisesta rahalla
teoria tasollakin on aika
merkityksetöntä, sillä rahaan
liittyvillä lupauksilla äänet aina
lopulta ostetaan.
Ainostaan tilanteessa, jossa oman
äänensä voisi myydä useampaan kertaan
ostajalla voisi olla vähän tukalaa,
mutta nykyisinhän ääntä ei voi muuttaa.
PA (26.6.2008 11.07)
Onhan toisaalta sekin mahdollisuus, että
annettu ääni ei järjestelmävirheen takia
tallennukaan tietokantaan tai tallentuu
jostain syystä kahdesti, tms. Siihen ei
vaadita edes mitään tietoista
sabotaasia. Äänestysjärjestelmä kun
joudutaan väistämättä rakentamaan
varmistuksiltaan monimutkaiseksi ja
monimutkaisissa järjestelmissä tuppaa
olemaan heikkoutena ne sisäänrakentuvat
virheet jotka sitten vasta pidemmän ajan
myötä paljastuvat, jos silloinkaan. Itse
en luottaisi koneisiin näin tärkeässä
asiassa, enkä äänestäisi sähköisesti jos
sellaista tänne Pohjois-Savoon joskus
viriteltäisiinkin.
Lisäksi houkutus erilaisille hakkereille
on liian suuri, vaikkei heillä olisikaan
muuta halua kuin horjuttaa järjestelmää
ylipäätään. Tuossa kokeilussa jos jokin
menee vikaan, niin siitä tulee todella
hankala juttu kaikin puolin sitten
selitellä. Nuo systeemit voivat soveltua
johonkin markkinatutkimuksiin, jne.
mutta ei niiden varaan luottamusta
vaalitulokseen laskea.
Ilkka Partanen (30.7.2008 12.45)
Saanko kysyä miksi pyörsit kantasi
sähköisen äänestyksen tietoturvasta
samalla linjalle kuin Tuija Braxilla?
Yhteisessä tiedotteessanne sanottiin,
että sähköisen äänestämisen kokeileminen
on tarpeen. Voisiko tätä avata hieman?
Miksi täsmälleen ottaen se on tarpeen ja
kenelle?
Nythän minun ymmärtääkseni kyse on vain
siitä, että äänestyspaikalle mennään
niin kuin aina ennenkin, nyt vain
painamaan nappia. Ja vaalivirkailija
pitää tukkimiehen kirjanpitoa
äänestämässä käyneistä niin kuin aina
ennenkin. Ääntenlaskennassa voitetaan
mitä, pari tuntia?
Ainoa tätä systeemiä todella muuttava
asiahan olisi siirtyminen
internet-äänestykseen, josta siis ei ole
tavoitteenaakan kai kyse. Tämähän vasta
muuttaisi äänestämisprosessia siten,
että sähköisestä järjstelmästä voisi
sanoa olevan joitain todellisia hyötyjä
äänestäjille. Tietysti tässäkin on
valtavia käytännön ongelmia, mutta tämä
olisi sentään tavoite jonka
tarpeellisuuden voisi minusta loogisesti
perustella.
Nyt vaikuttaa siltä, että kokeillaan
jotain kaikille paitsi ehkä
TietoEnatorille melkoisen tarpeetonta
kikkailua, jonka turvallisuusriskit ovat
suuremmat kuin paperiäänestyksessä.
