Lehed

kolmapäev, veebruar 20, 2019

E-hääletuse vaatlejana Riigikogu 2019 valimistel

1) AUSATE VALIMISTE TUNNUSEKS ON VAADELDAVUS


Olin Riigikogu 2019 valimiste e-hääletusel vaatlejana, soovides selgust saada - kas osa rahva seas jätkuval umbusul e-hääletuse aususe suhtes on reaalne alus või pole muretsemiseks põhjust.

Seadsin eesmärgiks tuvastada, kas e-hääle liikumine alates hääletajast kuni kokkulugemiseni on täies ulatuses vaadeldav. Süsteem seda ei olnud ja vaatlejale hääle liikumise jälgitavuse asemel pakuti arvutiekraanile süsteemi poolt kuvatavaid teateid. Enamasti a la, et kõik on õige ja süsteem tõendab süsteemi töötulemuse õigsust. Seega ei saanud vaatleja kindlust, et manipulatsioone ei esinenud. Kuid ei ole teada ka fakte, et hääletamistulemusi oleks võltsitud.

"Usume Veerpalu"? E-hääletamise komisjon 4.03.2019 VVK-s e-häälte kokkulugemist kontrollimas.
Kuid kes komisjoniliikmetest tunnetab missiooni ja kes näeb komisjoni liikme rolli
häälte dekrüpteerimise kaardi kohaletoomise postiljonina? Autori foto. 

2) USALDUSVÄÄRSUSE JA PRIVAATSUSE KOLLISIOON


Küsisin e-hääletuse juhilt, kuidas vaatlejal oleks võimalik tutvuda Koguja logidega (Koguja on server RIA-s, kuhu e-hääled laekuvad). Juht vastas, et vaatlejal ei olegi võimalik Koguja logidega tutvuda. 13.03.2019 esitasin RIA-le teabenõude koguja logidega tutvumiseks. 19.03.2019 edastas RIA valimiste infosüsteemide arenduse osakonna juhataja Alo Einla teabenõude täitmiseks VVK-le, kuna logid on üle antud VVK-le. 22.03.2019 sain riigi valimisteenistuse asejuhilt Arne Koitmäelt keelduva vastuse:

"Teie soovitud teabenõuet ei ole võimalik täita, sest viidatud logid sisaldavad elektrooniliselt hääletanute isikuandmeid, sh võimaldab logide analüüs saada hääletamisinfot individuaalse valija kohta. Nende avaldamine läheb vastuollu hääletamise salajasuse põhimõttega".

Teine kord jälle tegin riigi valimisteenistusele ettepaneku Miksija vahelt ära jätta. Ka seda ettepanekut ei rahuldatud - ettekäändega tagada hääletajatele privaatsuse "backup" juhuks, kui keegi töötlemiselt hääled nii allkirjadega kui ka dekrüpteeritult omale (salaja ja ebaseaduslikult) ära kopeerib. Kuigi hääletamise privaatsust on võimalik tagada ka administratiivsete vahenditega (mitte võimaldades andmelekkeid), loob vähene usaldus VVK administratiivsete abinõude vastu olukorra - kus me peame valima e-hääletuse suurema usaldusväärsuse ja suurema -privaatsuse vahel.

Olukorras, kus ühe põhiõiguse tagamine võib riivata teise põhiõiguse tagamist, jääb üle panna mõlemad õigushüved kaalule:

  • E-hääletuse USALDUSVÄÄRSUSE kompromiteerimine on oht valitsusele ja riigi iseseisvusele (vt tabel e-hääletuse osakaalu kasvu dünaamika). Rahaliselt pole selline kahju hinnatav, kuid kui võtta aluseks ärisektori praktika ettevõtete hindamisel, siis ehk on maksumus 20 aasta SKP ehk ca 700 miljardit eurot.
  • E-hääletuse PRIVAATSUSE kompromiteerimine võimaldab autoriseerimata isikul saada teada, millise kandidaadi poolt e-hääletaja hääletas. Ka hääletamissaladuse avalikustamine ei ole enamasti rahaliselt hinnatav. Kuid saame vaadata karistusseadustikust hääletussaladuse rikkumise eest määratavat karistust (karistus on seadusandja väärtushinnang, milline suurus tagab hüve puutumatuse). Ja KarS § 166 näeb hääletussaladuse rikkumise eest ette rahatrahvi kuni 400 eurot või aresti.
Seega e-hääletamise usaldusväärsuse kompromiteerimise hind 700 miljardit eurot ja privaatsuse kompromiteerimise hind 400 eurot pole võrreldavad suurusjärgud. Kuid praegune e-hääletamise süsteem eelistab suuremat privaatsust suuremale usaldusväärsusele. 

Mis on täiesti vale lähenemisviis! Alati on hääletajal ka võimalus hääletada paberil traditsioonilise sedeliga, kui hääletajale on mingil põhjusel absoluutne privaatsus tähtis (kui näiteks tegeliku valiku teadasaamine võiks põhjustada peretüli või tööandja poolt repressioone).

E-hääletuse mõju kasv. Autori tabel

3) Milline oleks usaldusväärne e-hääletamise süsteem?

  • Kliendirakendusest serverini RIA-s ei vaja süsteemi arhitektuuris suuri muutusi. Norra eeskujul rakendas Eesti esmakordselt KOV2013 valimistel e-hääle kontrollimise võimaluse mobiiltelefoni kaudu (Norra hiljem loobus e-hääletuste korraldamisest).
  • Loobuda tuleb identifikaatori lisamisest hääle krüpteeringusse.
  • Vaatlejatele tuleb kättesaadavaks teha RIA serveri logid.
  • Seatakse sisse e-hääletamise protsessi ülevaatlik protokollimine. Protokolli kantakse koondandmed olulisematest sündmustest ja statistilistest tulemustest. Esinenud probleemid ja lahendamise tulemused. Protokoll allkirjastatakse ja avalikustatakse.
  • Loobutakse Miksija kasutamisest.
  • Kogujasse laekunud häältelt eraldatakse digiallkirjad (s.t seosed isikutega). Häälte seosed valimisringkonnaga säilitatakse.
  • Hääled dekrüpteeritakse.
  • MS Excelis avatakse (ainult) dekrüpteeritud häälte ja valimisringkondade veerud. Need saadetakse MS Exceli Pivot tabelisse (see on võimas ja usaldusväärne tööriist), mis kuvab analüütilised ja summeeritud tulemused ekraanile. Igat summat saab visuaalselt üle kontrollida andmete lehelt. Töötlemisvigade suuremaks usaldusväärsuseks teevad sama protseduuri paralleelselt 3 sõltumatut isikut ja otseülekande võiks teha ka televisioon.
  • Kogujasse laekunud häälte faili ja selle avamise võtmed antakse üle säilitamiseks turvalises seifis. Praegu hävitatakse e-häälte fail (tegelikult selle avamise võtmed) 30 päeva jooksul peale valimisi.

4) Ohukohti e-hääletusel, kus vaatlemine ei olnud võimalik.

  • Miksija

12.02.2019 kirjeldasin riigi valimisteenistusele "miksija" turvanõrkuse ja tegin ettepaneku miksija kasutamisest loobuda. Juhendid näevad ette, et kogu häälte kogumise ja töötlemise protsess toimib täisautomaatselt ja vaatlejatel on visuaalselt võimalik jälgida vaid automaatnäitajate toimimist
Väljavõte ettepanekust riigi valimisteenistusele.
vastavalt juhenditele ning peale automaatprotsessi lõppemist masina poolt esitatavaid koondtulemusi. Juhul kui vaatleja siiski soovib visuaalselt ka hääletamise tulemuste ekraanile kuvamist, siis tohib seda vaatlejale näidata ainult peale häälte eraldamist digiallkirjadest, lahtikrüpteerimist ja "miksijas" segamist. Miksija on selline programmijupp, mis segab kõik sinna sisestatud hääled ja kuvab need hiljem ekraanile segatult teistsuguses järjekorras. Saamaks kindlust, et tulemus on õige ja segamisel ei tehtud sohki, trükib masin vaatleja jaoks välja tulemuse õigsuse tõendi. Misjärel võib vaatleja hakata miksijast tulnud tulemust ekraanil vaatama. Miksija kasutamine ei anna mõtlevale inimesele mitte mingisugust kindlust. Valimistulemus on masina üle kontrolli omava isiku poolt täies ulatuses manipuleeritav.

  • Organiseeritud e-hääletused hooldusasutustes kasutavad ära patsientide sõltuvust administratsioonist.


Riik ei monitoori e-hääletamisel kuritarvituste ohtu haiglates, hooldus- ja kinnipidamisasutustes, milliste juhatajad või juhatajate sõbrad on kandideerimas. Tehniliselt oleks see IP ja MAC kaudu võimalik, aga ei rakendata.

Väljavõte ettepanekust riigi valimisteenistusele
Kui administratsioon pakub patsientidele võimalust hääletada nende asutuste arvutite kaudu, siis ei ole hääletamisvabadus ega -saladus tagatud, patsiendid on nii otse kui kaudselt administratsiooni mõju all. Ainuõige lahendus on vastavalt seadusele kutsuda hooldusasutusse valimiste jaoskonnakomisjonist hääletuskast kohapeale ja sedakaudu võimaldada hääletamine. 

Minu ettepanekule hooldusasutustele teavituskiri saata sain vastuse ja kirja näidise, et teavituskirja juba saadetaksegi. Kuid ettepanekule küsida valimiste jaoskonnakomisjonidelt peale valimisi tagasisidet, kuidas nende piirkonnas toimis hääletamine hooldusasutustes, haiglates ja kinnipidamisastustes, pole reageeritud.

  • Kliendirakendus ja RIA server

11.02.2019, olles RK2019 e-hääletuse vaatlejaks, kirjeldasin FB-s RIA serveris asuva turvanõrkuse (edaspidi TN1) tööpõhimõtet. Nädalaga sai see postitus 579 FB-jagamist.

"Niikaua kui mina loen hääli, mida saad sa muuta?"
Thomas Nast'i karikatuur.
TN1 põhineb hääletaja poolt valitud kandidaadi numbrile lisatava ja e-hääle sisse krüpteeritava identifikaatori ideel (nimetagem identifikaatorit edaspidi loendajaks). Loendaja lisatakse süsteemselt ja seda saab hiljem häälte kokkulugemise protsessis kasutada igale häälele soovitud kaalu andmiseks, kui hääled automaatlugemisel mitte loendada, vaid matemaatiliselt häältele lisatud loendajad liita. Kas automaatprotseduur hääled liidab või loendab, pole vaatlejale kehtivatest protseduurireeglitest tulenevalt jälgitav. Kui oleks digiallkirja ümbrikku krüpteeritud ainult hääl, siis oleks turvaline. Kuid loendaja lisamine krüpteeritavale häälele on ette nähtud VVK otsusega 08.10.2018 nr 57. E-hääletamise tehnilisest dokumentatsioonist ei selgu, et seda krüpteeringusse lisatavat loendajat mingil legaalsel moel hiljem kasutatake (mitte ajada segi juhenditest nähtuva juhuarvu genereerimisega QR-koodi tarvis kontrollrakendusele, kuivõrd viimane on kasutatav ainult paiknemise korral väljaspool krüpteeringut). Kuivõrd viidatud VVK otsus loendaja formaati ja kasutamisotstarvet ei spetsifitseeri, siis jääb kasutamine sekkuja (serveri üle kontrolli omaja) otsustada. Isegi kui juhendid spetsifitseerivad, ei ole juhendid õigusaktid (vt Riigikohtu otsus Raamatupidamise Toimkonna juhendite kohta). Neid võib mitte järgida, neid võib muuta. Sekkuja võib kontrollida ka hääletaja valijarakendust. Seega e-hääletus on rünnatav eelkõige seestpoolt. Tõe tooks päevavalgusele ainult VAADELDAVUS, mis on aga puudulik.

Näide. Hääletaja valis kandidaadi nr 1084 (Seeder), millele süsteem lisas loendajaks näiteks 1-RK2019. "1" ees on hääle väärtuse loendaja, sekkujal on võimalus „1“ üle kirjutada „0“ või „361“-ga. Kui seejärel peale digiallkirjastamist hääletaja kontrollib mobiili abil, kas serveris on tema õige valik salvestatud, siis mobiilirakendus leidis õigesti üles QR-koodi abil ainult temale kättesaadava õige hääletamistulemuse. Seejärel dekrüpteeris allkirjaümbrikus oleva faktilise valiku ja kuvas hääletajale tema tehtud valiku „1084“. Kuid hääletajal jääb igavesti teadmata, kas sekkuja võis tema antud hääle väärtuse „1“ olla asendanud hoopis väärtusega näiteks „0“ või “361“. S.t kas häälte automaatsel kokkulugemisel saab hääletaja antud ühe hääle eest saadikukandidaadile liidetud 1, 0 või 361 häält.

Idee kasutamine juba praktikas. Eelkirjeldatud "loendaja" idee leidis juba 3.03.2019 kasutamist häälte kokkulugemisel Narva jaoskonnas nr 7,  loe Põhjarannik 4.03.2019. Ja seda paberhääletuse kontekstis. Valimiskomisjon märkis EKRE kandidaadile Kersti Krachtile tegelikult saadud 8 hääle asemel häälte arvuks tema kandidaadinumbri 743 ja Eesti200 kandidaadile Ahti Puurile tegelikult saadud 10 hääle asemel tema kandidaadinumbri 868. Pettuse avastas linna valimiskomisjon, kuhu jaoskonnad saadavad oma töötulemused vastavalt valimiste korraldusele ülekontrolliks. Pole teada, kas jaoskonnakomisjon võis saada inspiratsiooni minu varem avaldatud idee kirjeldusest.

  • Koguja logide salastamine.

Koguja (server RIA-s, kuhu hääled laekuvad) logisid VVK väitel vaatlejal ülekontrollimiseks pole võimalik küsida. Järgnevad paar kolmandate isikute postitust FB-st piltidena. Esimene pilt on utoopia valimisi reaalajas kajastanud (vist Delfi) veebilehest 03.03.2019 kell 21:19, mille järgi reformierakondlane ja eripensionär Laanet on esimestelt 20333 hääletajalt saanud juba 2299 e-häält. Loodame, et ekraanipilt on ehtne ja mitte võltsing, aga nii seda jagatakse FB-s. 

Esinenud tehniliste probleemide ja nende parandamise kohta peaks VVK avaldama reaalajas selgitused. Ja logid avalikustama või vähemalt vaatlejatele tegema kättesaadavaks. 

FB-s ringlev pilt e-hääletuse veebikajastusest 3.03.2019 21:19.
Jagatud kahtlustes FB-s saaks vastuse Koguja logidest.
Veel üks FB-arvamus, millele vastus peitub Koguja logides.
----------------
"Teate, seltsimehed," ütleb Stalin. "Ma pean täiesti ebaoluliseks, kes ja kuidas meil parteis hääletab. Kuid on erakordselt oluline, kes loeb hääled kokku ja kuidas" (Boris Bazhanov "Stalini endise sekretäri mälestused" peatükk 5, Pariis 1980).

9 kommentaari:

  1. "VVK veebileht 3.03.2019 21:19." See foto on üldse pärit delfist, mis pani pidevalt mingeid plähmakaid sinna sisse. Miks see VVK pähe on määritud?

    VastaKustuta
    Vastused
    1. Tänan tähelepaneku eest ja võtsin VVK pildi kirjeldusest välja. Kuigi pole kahtlust, et andmed ikka VVK-st pärinevad. VVK leht jättis üldse isikute (s.t detailsed) andmed kajastamata ja Delfi kajastas !!!

      Kustuta
  2. Miks ei võiks juba praegu avaldada neid nimesid, kes käisid e-valimas. Peale ümbrikule lahutamist saadakse kaks andmebaasi 1) valijad 2) kelle poolt valiti. Salajasse nõue kehtib kuni selle hetkeni, kui ümbrikud on koos. Niipea kui lahus, siis enam ei kehti. Esmase kontrolli ja suure panuse läbipaistvusele annaks see, kui avalikustaks lihtsalt e-valijate nimed. Kuidas seda teha on lihtsalt kosmeetiline küsimus. Iga igaüks saaks kontrollida oma nime nt kasvõi personaalselt...nt riik.ee lehel eelnevalt ennast autoriseerides vms. See tagaks oluliselt e-hääletuse usaldusväärsust. Kui keegi peaks avastama, et on e-hääletanud, aga tegelikult pole vms, siis see oleks alarmeeriv.

    VastaKustuta
  3. Autor on selle kommentaari eemaldanud.

    VastaKustuta
  4. Samuti on teada, et süsteemis on vähemalt olemas kaks salajast võtit. See on infoturbe spetsifikatsioonis kirjas ning see on juhuks, kui üks salajane võti hävineb füüsiliselt. Aga miks peaks kõrvalseisja, kes ainult ekraani võib vaadelda, peaks uskuma, et neid võtmeid ei ole kolm või neli ja, et neid keegi ei kuritarvita.. Muidugi kõik häältega seotud protseduurid oleks siis samuti dubleeritud, kolmekordistatud jne. Vaatleja ei saa olla kindel, et süsteemisiseseslt ei rakendata erinevaid stsenaariume. OSCE vaatlejad on oma 2015. a raportis ette heitnud, et e-hääletusel puudub end-to-end sertifikaat, mis tagaks süsteemi usaldusväärsuse ja läbipaistvuse. Praegu taandub kogu e-valimiste usaldusväärsust ainult serveri root kasutaja usaldusväärsusele, sest ainult tema teab, mis serveris toimub ja võib seal teha mida tahes. Usaldusväärsust ei tõsta ka see, et kõik digitaalsed andmed kustutatakse umbes 1 kuu jooksul. Kõvaketastest tuleks teha digitaalsed tõmmised enne ja pärast valimisi. Originaalkettad tuleks säilitada seifis. Ketastele ja logidele tuleks tellida sõltumatu logide ja koodi ekspertiis/auditeerimine. Samuti peaks uurima logisid, mis kontrollivad seda, et allkirjad oleksidikka kehtivad. Need logid asuvad sertifitseerimiskeskuses ja peavad kokku langema e-hääletuse serveris olevate logidega. Et vältida e-hääletuse mõjutamist nö surnud inimeste häältega või kelle sertifikaat on lihtsalt peatatud.

    VastaKustuta
  5. Palun andke oma hääl - E-hääletuse süsteem tuleb viia vastavusse tunnustatud standarditega
    https://rahvaalgatus.ee/initiatives/e763db42-19b7-4e18-be5c-91364c69f21c

    VastaKustuta
  6. palun andke oma hääl ka siia- Nõua riigikogult vastutust e-hääletuse eest!
    https://rahvaalgatus.ee/initiatives/c04252b3-b0a2-4e83-9eb9-3b935320cd3a

    VastaKustuta
  7. e-valimised on hell teema. Inimestel on rohkem küsimusi, kui vastuseid. Süsteemi läbipaistvus ja seadustega kooskõla ei kannata absoluutselt mingit kriitikat. Kogu e-valimistega seotud protseduurid ja auditeerimised on varjatud ja läbipaistmatud. Mind näiteks huvitas e-valimiste ajal valimisaktiivsuse jälgimine reaalajas. Oleks tahtnud näha graafikut hääled versus aeg. Pöördusin selle küsimusega hr Tarvi Martensi poole, kes keeldus sellise info andmisest suvalisele isikule. Samuti kirjutasin valimised.ee olevale kontaktile, kuid sealt vastust ei tulnudki. IT-tehniliselt ei oleks olnud keeruline vastav info online-sse üles panna. Nad monitoorivad oma servereid Zabbix-nimelise monitoorimissüsteemiga. Tarvi vastas, et see on neil sisevõrgus. See pole mingi argument, oleks saanud üles seada ka zabbix proxy või mõni muu lahendus. Ok, aga saatnud siis screenshot graafikust. Loomulikult ei saadetud. Oleks võinud ju mõelda sellele varem, et äkki keegi tahab graafikut näha...miks seda varjatakse? Inimesed pole tänapäeval enam nii lollid, et võite seal nurga taga teha mida tahate ja arvate, et võite lollile rahvale lihtsalt koti pähe tõmmata. Lugesin ka ühte e-valimiste auditit. No nii sisutühja auditit annab ikka otsida, kokku oli seda ainult mõned lehed... osce aruandest 2015. a e-valimiste kohta tuleb välja tegelikult oluline etteheide valimiste kohta. Sisuliselt puudub läbipaistvus ja süsteemi pole verifitseeritud st süsteem pole absoluutselt usaldusväärne st seda, et serveri root kasutaja ehk adminn st patsiga poiss teeb sisuliselt mida tahab seal valmisserveris! Lühidalt kokku võttes- kogu e-valimise süsteemi usaldusväärus= serveri root kasutaja usaldusväärsus. Mina küll selle serveri adminni nahas olla ei tahaks:) Ja OSCE ettepanekut, mis siuliselt tähendab end-to-end kontrollitavust aastast 2011, a pole pole 9. a jooksul suudetud täita. Täiesti mannetu ja suutmatu (loe: töövõimetu) kooslus on see valimisjaoskond.

    VastaKustuta
  8. valimised 2019 zabbix: https://imgur.com/a/0sEO40l

    VastaKustuta