Olin päivällä Otaniemessä vaalitarkkailijana seuraamassa sähköisen äänestyksen pilotin sähköisen uurnan perustamista. Ensin meni viisi tuntia vaalijärjestelmän toimintaan perehtyessä ja seuraavat kolme tuntia seurasin sähköisen vaaliuurnan avausryhmän kokousta eli mm. avausryhmän ja teknisen hallintaryhmän avainten muodostamista, vaalien konfiguraatiotietojen muodostusta ja koeäänestystä.
Tämä on kirjoitettu sitä mukaa kun tapahtumat etenivät eli preesensissä.
Paikalla on meitä tarkkailijoita vain vihreistä, kaksin kappalein. Myös keskustapuolue oli nimennyt tarkkailijan, mutta hän on sairastunut. Sen sijaan _mikään muu puolue_ ei ole halunnut lähettää ketään paikalle, vaikka kutsuttu on. Hämmentävää, kyseessä on kuitenkin suomalaisen vaalijärjestelmän tulevaisuuden kannalta keskeinen kokeilu.
Poks! Suurinpiirtein ainoa vehje jota ei ole kahdennettu eli yksi videotykeistä laukesi juuri, mutta sen kimppuun ruuvimeisselin kanssa rynnännyt asentaja sai sen kuntoon muutamassa minuutissa.
Kolme videotykillistä tavaraa seinällä, yhdessä on tilaisuuden ohjelma, toisessa näkyvät vaalijärjestelmän hakemistot ja kolmannessa generoidaan avausryhmälle avaimia. Konepellin alle on tietysti mahdotonta nähdä eli täytyy vain uskoa, että vaalihakemiston tyhjyyden tarkistamiseen käytetty ls -al elections näyttää tässä järjestelmässä myös piilotiedostot. Tai Windows Explorer, jolla katsotaan konfiguraatiotietojen siirtoon käytettyjen USB-tikkujen olevan tyhjiä.
Pyydän avainten luomiseen käytetyn laskentatyöaseman prosessit näkyviin, mutta tarvittaisiin paljon enemmän Windows-osaamista ennen kuin tuosta listasta tulisi hullua hurskaammaksi. Äänestyspaikoilla käytetään riisuttua Knoppixia, mutta avainten luonti ja äänten laskenta tapahtuu Windows-ympäristössä. Koneet on ostettu ihan tavanomaiseen tapaan.
Järjestelmän tuottaman PDF-tiedoston mukaan ”Sähköinen uurna on tyhjä, koeäänestys voi alkaa.” Oops, eipäs alkanutkaan, sillä koeäänestyksessä käytettävän koneen asentamiseen käytetäänkin eri CD-ROM-levyä kuin äänestyspaikoilla, ja sillä on eri salasana, joka ei ole paikalla. ...
Noin, salasana saapui, samoin selitys eri rompulle: Emme ole varsinaisella äänestyspaikalla vaan TietoEnatorin palomuurin takana. Siksi on tehty yksi erikoisromppu, jossa on konsoli yhteystietojen määrittelyä varten. Sillä voisi periaatteessa perustaa oman äänestyspaikan, jos käytössä olisi mm. oma virkailijapääte, äänestyspääte, äänestyspäätteen avauskortti ja salasana. Siksi se päätyykin täältä vaalien ajaksi oikeusministeriön kassakaappiin.
Oops^2 Kahden koeäänestyksessä käytetyn äänestäjän (he eivät siis olleet itse paikalla, vaan koeäänestyksessä käytettiin heidän identiteettiään) äänten tallentamiseen vaaditut salasanat olivat jääneet päivittämättä vaalijärjestelmään äänioikeusrekisterin lopullisen päivityksen yhteydessä. Viimeiset kaksi nimeä kun lisättiin rekisteriin vasta tänään kello 12. Onneksi koeäänestykseen otettiin tarkoituksella nimenomaan nämä kaksi äänestäjää ja unohdus paljastui.
Poks! Toinen videotykki pimeni. Melkoista tuuria. Uusi pikapikaa tilalle.
Hmmm, vaalitarkkailijat ansaitsivat juuri sämpylänsä – huomasimme avausryhmän korttien salasanojen näkyvän valoa vasten avausryhmän jäsenille säilytettäväksi annettavien kirjekuorien läpi. Kirjekuoret vaihdettiin pikapikaa paksumpiin. Miksei käytetty kunnon tietosuojapusseja?
Huh! Alan kunnioittaa entistä enemmän vanhan äänestysjärjestelmän aikoinaan kehittäneitä ihmisiä – sen perusperiaatteiden luotettava sähköinen toteutus vaatii uskomattoman monimutkaisen järjestelmän ja paljon työtä. Vanha manuaalijärjestelmä sen sijaan on niin yksinkertainen, että kuka tahansa voi sen halutessaan ymmärtää.
Siis ei päästy edes kirjekuorta
pitemmälle kun homma tyssäsi
tietosuojaongelmiin?
Tämä ei ole yllätys eikä tule jäämään
viimeiseksi sähläykseksi.
Ja miksi tässä vaiheessa, muutamia
päiviä ennen varsinaista äänestystä,
vasta tehdään pilottitestejä? Jotenkin
luulisi, että tämän kaltainen
kansallisesti erittäin keskeinen
järjestelmä toimisi kuin junan vessa,
mutta lienee liikaa vaadittu.
Miten palvelun toimittaja selittää
tapahtuneet vaalisalaisuuden rikkomisen
mahdollistaneet kämmit?
Miten on varmistuttu, ettei sama tapahdu
varsinaisessa äänestyksessä? Kuka
varmistaa? Millä vastuulla?
Lakatkaa nyt jo pelleilemästä vakavilla
asioilla.
Niin ja kerro nyt JJ mikä siinä vanhassa
itsesikin yo.kirjoituksessa toimivaksi
toteamassasi järjestelmässä on vikana,
että se pitää korvata toimimattomalla?
Ja miksi tuo erikoislevyke säilötään
eikä tuhota? Missä sitä mahdollisesti
tarvitaan testin jälkeen?
Jouni Ilola (15.10.2008 01.33)
Samaa mieltä Jounin kanssa,
en oikein ymmärrä, miksi e-äänestämistä
pakkotyrkytetään käytettäväksi. Aiempi
järjestelmä ei ole rikki tai turhan
kallis - päinvastoin, lappu-ja-uurna
-toimenpide loi uskottavuuden
äänestämiselle. Kirjoittamasi ei luo
minulle lisäuskoa siihen, että Suomi
jonain päivänä siirtyisi
e-äänestämiseen.
Olisi mielenkiintoista lukea, miten
moinen hanke toteutettiin Suomenlahden
etelapuolella, kai heillakin
jonkinlainen testausprosessi oli...
Juha Maenpaa (15.10.2008 02.06)
Itse olen aiemminkin sanonut, ja sanon
uudelleen: harmi, ettei sähköisen
äänestämisen mahdollisuutta ole
Tampereella. Jos olisi, sillä olisi
jotain merkitystä että valitsisin
perinteisen lippuäänestyksen.
Mistä voin tietää, että ääneni tulee
varmasti laskettua? Mistä voin tietää,
että jollekin ehdokkaalle annettua ääntä
ei lasketa useaan kertaan? Epäselvissä
tapauksissa, miten tarkistuslaskenta
voidaan suorittaa?
Vaikken mikään tietoturvaguru olekaan,
niin sen verran on kryptografiaa tullut
opiskeltua, että ymmärrän, miten vaikeaa
tuollaisen järjestelmän rakentaminen on.
Näin ensimmäisellä kokeilukerralla
pitäisi antaa hakkereille synninpäästö,
jos onnistuvat murtautumaan
järjestelmiin. Tuon roskan rikkominen
olisi vain palvelus koko kansalle.
Jyri Jokinen (15.10.2008 08.52)
Jyri Jokinen kirjoitti:
"Mistä voin tietää, että ääneni tulee
varmasti laskettua? Mistä voin tietää,
että jollekin ehdokkaalle annettua ääntä
ei lasketa useaan kertaan? Epäselvissä
tapauksissa, miten tarkistuslaskenta
voidaan suorittaa?"
Vastaus kaikkiin (retorisiin)
kysymyksiin on tietenkin "ei mitenkään",
ja tästä syystä sähköisen äänestyksen
pilotti on automaattisesti susi. Ainoa
tilanne, jossa tämä olisi
hyväksyttävissä oleva asiantila, olisi
se, että äänestyksen tuloksella ei olisi
mitään käytännön merkitystä mutta niin
pitkällä ei kai vielä olla, eihän?
Ja tähän vielä itse tehty pamfletti
asian tiimoilta, saa kopioida, levittää
ja muokata vapaasti:
Kysytkö ihan tosissasi? Kun
vaalitarkkailijat kutsutaan tutustumaan
järjestelmän toimintaan, niin miten
ihmeessä he muuten näkisivät, mitä
koneen näytöllä vilistää? On melkoinen
painajainen kerääntyä jotenkin muuten
isolla joukolla katsomaan koneen
näyttöä.
Riitta (15.10.2008 16.07)
Oikeasti järkyttävää. Sekä se, että koko
kansallinen tietoturvan
luottamusmiesvalvonta delegoidaan
puolueiden vähäisen kiinnostuksen vuoksi
sinulle ja meille muille vihreille sekä
se, kuinka sählävaiheellista tämä vielä
vaikuttaa olevan. Ei kyllä hirvittävästi
herätä luottamusta että tarvitaan
vaalitarkkailijoita huomaamaan, että
kirjekuorista näkyy salasanat läpi...
Voimia vaalikentille täältä kaupungin
rajan toiselta puolen
Pörrö Sahlberg, 291 HKI (15.10.2008 19.13)
"Jotenkin luulisi, että tämän kaltainen
kansallisesti erittäin keskeinen
järjestelmä toimisi kuin junan vessa,
mutta lienee liikaa vaadittu."
Pendolino on muuten antanut uuden,
kielteisen merkityksen sanonnalle
"toimii kuin junan vessa".
Marzu (15.10.2008 20.02)
Nuo Jyrkin mainitsemat
"monimutkaisuudet" ovat itse asiassa
vasta alkua.
Kun mennään itse softaan ja sen
toteutukseen (unohtamatta
käyttöjärjestelmää, käytettyjä
kirjastoja kerneliä, jne. jne.), siellä
on kaikki mukaanlukien miljoonia rivejä
koodia, joissa yksikin virheellinen rivi
on mahdollisesti tietoturvariski tai
väärä äänestystulos.
Kun taas vanha järjestelmä (kuten jo
Jyrki mainitsikin) on idioottivarma,
yksinkertainen ja lähes mahdoton
kiertää.
Miksi siis vaihtaa vanha ja
yksinkertainen (=helppo ymmärtää ja
varmistaa toimivaksi) järjestelmään,
jota on vaikea edes saattaa
käyttökuntoon, saatika sitten varmistaa,
että se toimii kunnolla ja että
äänestystulos on luotettava ja vilpitön?
Ari Heikkinen (15.10.2008 20.20)
Heikkisen kysymykseen on itseasiassa
helppo vastata: Jotta Kokoomus voisi
tarvittaessa helpommin väärentää
vaalituloksen omaa etuaan palvelevaksi.
Totuushan on, että jos äänestämällä
voisi vaikuttaa, niin porvarit olisivat
jo kieltäneet sen lailla.
Ei kokkeloinnille (16.10.2008 10.33)
Tässä on artikkeli liittyen
vaalijärjestelmän luotettavuuteen
yhdysvalloissa:
http://www.talouselama.fi/docview.do?f_i
d=1420351&s=r
Järjestelmässä tuntuu olevan tärkeänä
toiminnallisuutena vaalituloksen
muuttaminen. Senkö takia tätä Suomeenkin
niin innolla ajetaan? Ettei kansa pysty
äänestämään väärin, maan edun
vastaisesti?
