Doktoritöö: e-hääletamise kontrollitavusele seab piirid häälteostmise risk
Nii paberil kui ka elektrooniliselt hääletamine nõuab alati kesktee leidmist valimiste läbipaistvuse ja valimisvabaduse vahel, mida mõjutavad ühiskonna eripärad. Tartu Ülikoolis kaitstud doktoritöö osutab, et paberhääletamise turvalisust ja mõjutuskindlust kiputakse ülehindama, samas annaks parandada aga ka Eesti internetihääletussüsteemi.
Sisulises mõttes pole muutunud valimistes viimase 150 aasta jooksul kuigi palju. "Meil peab olema ühelt poolt tagatud hääletamise salajasus, et igaüks saaks hääletada nii, nagu ta parasjagu tahab. Teisalt on vaja meil veenduda, et kokku loeti kõik antud hääled ja keegi valimistulemusega ei manipuleerinud. Kui võtame aluseks need kaks põhieesmärki, seab see üsna ranged piirid, kuidas saab hääletamissüsteem üleüldse välja näha," selgitas Kristjan Krips, IT-ettevõtte Cybernetica nooremteadur ja Tartu Ülikooli nooremlektor.
Oma hiljuti kaitstud doktoritöös tegi Krips ülevaate, mida hääletamise privaatsuse ja mõjutuskindluse tagamiseks tarvis läheb. Lisaks analüüsis ta, kui hästi saab praeguseks väljapakutud lahendusi praktikas rakendada. "Nende kahe nõudmise vahel on alati konflikt. Kui sa saad näiteks ise kontrollida, kas sinu hääl läks arvesse, saab teha seda ka inimene, kes sinult häält osta tahab või sind ähvardab," nentis nooremteadur.
Teadlased on küll välja pakkunud sadu erinevaid internetihääletussüsteeme, kuid neist enamikeus on põhirõhk häälte kontrollitavusel, mitte mõjutuskindlusel. Mitmed sellele tähelepanu pööravad skeemid on Kripsi sõnul aga kummalised ja küllaltki kasutajavaenulikud. Ühtlasi näitlikustas Krips kolleegidega oma doktoritöös, et sageli e-hääletamisel eeskujuks võetava paberhääletamise salajasust saab hea tahtmise korral rikkuda käepäraste vahenditega.
Eesti eripärad ja ajalooline taak
"Paberhääletamise ja e-hääletamise üldised põhimõtted on üldjoontes samad. E-hääletamise tulekuga on saanud aga inimesed tegelikult rohkem võimalusi kontrollida, kas tema hääl jõudis kohale või mitte," märkis Kristjan Krips. Näiteks saab Eestis valija nutitelefonil toimiva kontrollrakenduse abil vaadata, kas hääl kodeeriti ja krüpteeriti valimisrakenduse poolt õigesti ning see jõudis ka serverisse kohale.
Sealt edasi peab usaldama välisaudiitorite asjatundlikkust. Igast süsteemi jõudnud häälest jääb maha krüptograafiline jälg. Nõnda saavad audiitorid matemaatiliselt ja krüptograafiliselt kontrollida, kas serveris loeti hääled õigesti kokku ning hääli ei lisatud ega võetud ära.
Seevastu näiteks pikalt posti teel hääletamist kasutanud Šveitsis saavad valijad interneti teel valides lisaks vaadata, kas nende hääl jõudis lugemisfaasi. Põhjus on proosaline. "Nende riskianalüüsi ja internetihääletamisele seatavaid turvanõudeid lugedes pole kuskil kirjas, et mõjutustegevus on üleüldse risk. Nad ei pea kuigi võimalikuks, et pereliige sunnib valijat kellegi poolt hääletama või üritab nende häält osta," sõnas Krips.
Eesti internetihääletussüsteemile laoti seevastu vundament 2000. aastate alguses, kui meediast sai ikka ja jälle lugeda, kuidas loovutati oma hääl kahe viinapudeli või saja krooni eest. Nõnda peeti muu hulgas oluliseks, et inimene saab oma häält tahtmise korral ülehääletamise teel muuta.
Nooremteadur lisas, et toona polnud olemas lisaks kaasaegseid krüptograafilisi lahendusi ja arvutid oluliselt aeglasemad. "Nõnda poleks olnud toona otsast otsani kontrollitava süsteemi loomine üleüldse võimalik. Lisaks on meil põhiseaduses paragrahv 60, mille alusel on valimised vabad," viitas Krips. Seega peaksid juristid ja poliitikud sellise süsteemi loomisel esmalt selgeks vaidlema ega taolise süsteemiga kaasnev mõjutusrisk seaduse mõttega vastuollu ei lähe.
Mitmed teised Kripsi uuritud mõjutuskindlust tagavad süsteemid oli kasutaja jaoks ebamugavamad kui Eestis käibel olev internetihääletussüsteem. Näiteks võisid nõuda need eelnevalt valijatele libaparoolide saatmist, mille sisestamisel nende hääl tegelikult arvesse ei lähe või toimisid vaid juhul, kui näiteks hääleostja hääletamise ajal tema selja taga ei seisnud.
Valijad pidasid analüüsi kohaselt kõige lihtsamini kasutatavaks mõjutuskindlust tagavaks meetmeks korduvhääletamist, mis on kasutusel ka Eestis.
Ühtlasi rõhutas nooremteadur, et kõigile riikidele sobiva ühtse ja võimalikult töökindla internetihääletussüsteemi loomine on sisuliselt võimatu. "Juba kultuuriruumid on selles osas täiesti erinevad, mis on inimeste jaoks vastuvõetav privaatsustase. Samamoodi mõjutab seda riigis olev taristu," sõnas Krips. Näiteks ilma ID-kaardita peaks mõtlema esmalt välja süsteemi valijate tuvastamiseks. "Siin tekib hästi palju probleeme ses osas, kuidas veenduda, kas valida tahtvad inimesed on hääleõiguslikud," viitas nooremteadur.
Lisaks pole kodanike usaldus riigi ja valimiste korraldajate vastu kõikjal sedavõrd suur kui Eestis. Riigidki näevad riski, et küberrünne võib mõjutada valimistulemusi. Täiendavaid kõhklusi tekitas ühiskondades Edward Snowdeni lekked ja Venemaa mõjutustegevus USA valimiste ajal. "Teisalt on olnud läänemaailma teadlaste hulgas alati selline teatav skeptilisus. Ent näiteks küberründe puhul on oluline, et suudaksime seda rünnet märgata. Kui seda täheldame, on ilmselt ründaja eesmärk juba eos luhta läinud," lisas ta.
Miski pole täiuslik
Siiski annaks muuta e-hääletamist Kristjan Kripsi sõnul Eestis praegusest turvalisemaks. Ühe võimalusena võiks saata inimestele hääletamise järel SMS-i või e-kirja näol teavituse, mis sellest talle märku annab. See vähendaks võimalust, et pereliige hääletab inimese eest talle teadmata või tehakse seda kahjurvara abil. Sarnaseid lahendusi kasutavad praegu mitmed erafirmad näiteks võõrast arvutist nende kasutajakeskkonda logimisel.
ID-kaardiga hääletades võiksid inimesed eelistada aga kaardilugejat, millel on klahvistik juba küljes. Seegi vähendaks võimalust, et keegi hiljem inimese identiteedi röövib.
Valijad saavad ära teha muudki. "Muidugi on väga tore, kui inimesed riiki niimoodi usaldavad, aga praegu kontrollib Eestis ainult 3–4 protsenti internetihääletajatest, et tema hääl tõepoolest serverisse jõudis. Seda sagedamini tehes oleks meil kõigil turvalisem," viitas Krips.
Eesti pole siinkohal ainulaadne. Näiteks on varem teadusuuringu raames USA-s hääletusmasinaga tehtud katsetest välja tulnud, kuidas vähem kui pooled inimesed lugesid hääletusmasina väljastatud sedelit. Valimisjaoskonna töötajale andis võimalikust häälemanipulatsioonist teada vähem kui seitse protsenti.
Teaduse poole pealt annaks Kripsi sõnul edasi uurida, kuidas muuta hääletusprotsessi senisest läbipaistvamaks. "Võib-olla leidub süsteem, millega saab valija kontrollida, kas tema hääl jõudis lugemisfaasi, ja seda viisil, et teda ei saa seejuures kuidagi mõjutada," arutles nooremteadur. Ilmselt nõuaks see aga praeguse hääletussüsteemi põhjalikku ümber tegemist ja keerukaid krüptograafilisi lahendusi.
Valimiskast tagataskus?
Alates nutitelefonide laiemast levikust on praktiliselt kõigi valimiste järel kurdetud, et siiani pole suudetud luua usaldusväärset süsteemi nendega hääletamiseks. Nõnda uuris Kristjan Krips doktoritöö raames sellega seotud turvariske. Sealjuures kaalus ta kolleegidega kahte varianti: veebilehitsejapõhist valimisrakendust ja äpipoest allalaaditavat mobiilirakendust.
Neist esimesega seotud turvariske võib pidada analüüsi põhjal suuremaks. "Inimesel pole võimalik sel juhul veenduda, et tegu on ehtsa valimisrakendusega. Vaadates lisaks, kui palju inimesi viimasel ajal võltsveebilehtedele juhatavate õngitsusrünnete ohvriks langeb, võib olla sellega seotud risk päris suur," viitas nooremteadur.
Nutitelefoniga hääletades tekib teinegi probleem. Vähemalt praegusele kontrollimissüsteemile truuks jäädes pole võimalik valijal sellisel juhul enam nii lihtsalt kontrollida, kas tema hääl jõudis kohale. Seda vähemalt juhul, kui pole ka teist nutitelefoni või tahvelarvutit. Nende hääletajate hulk, kes oma häält kontrollivad, väheneks seeläbi tõenäoliselt veelgi.
"Samal ajal pole ma näinud uuringut, kui palju võiks hääletajate üldarv nutihääletamisega kasvada," lisas Krips.
Paberhääletuse vaevad
Vahepeal peaks silmas pidama, et paberhääletus pole kuldstandard. "Inimesed kujutavad ette, kuidas kõik valimiskabiinis toimuv on privaatne ja sealt info väljaspool kuidagi ei leki. Teadlased on päris pikalt erinevate katsete alusel väitnud, et nii see praeguse tehnoloogiaga ei ole," sõnas Kristjan Krips. Hääle ostja saab jälgida valija tegevust reaalajas kasvõi prillide ja lipsunõela sisse peidetud kaameraga.
Kripsi ja ta kolleegide katsete põhjal saab hoida valija tegevusel silma peal isegi talle teadmatult. Seekord piisas selleks laua alla peidetud mikrofonist. Kasutatud analüüsitehnika võimaldas üpris täpselt öelda, millise kandidaadinumbri inimene hääletussedelile kirjutas. Suurt abi poleks isegi mujal maailmas kasutatavatest sedelitest, kus on kirjas kõik kandidaadid ja valija peab tegema vaid õigesse kohta risti. "Kui hääletussedelil olev nimekiri pole just eriti eriskummaliselt koostatud, saame ikkagi umbkaudu öelda, millise partei poolt inimene hääletas," sõnas nooremteadur.
Sarnase lõpptulemuseni saaks jõuda ka lihtsakoelisema lahendusega. Mõelda võib kasvõi kaubanduskeskuse esimesel korrusel olevate valimiskabiinide peale. "Kui kabiinidel eraldi lage peal pole, võivad näiteks teisel korrusel kõndivad inimesed võimsama nutitelefoni või teleobjektiiviga pildistada, mis numbri valija ikka sedelile kirjutas. Kas see ei ole risk?" küsis Krips retooriliselt.
"Me peame leppima sellega, et absoluutset turvalisust ei ole kuskil olemas ja ideaalset süsteemi pole kuskil. Kedagi peame hääletades ikka usaldama, olgu selleks valimissedelite printimise eest vastutavad trükkalid, valimisjaoskonna töötajad või meie enda arvuti," lisas Kristjan Krips.
Tutvu doktoritööga Tartu Ülikooli digikogus. Tööd juhendas Jan Willemson Cybernetica AS-ist ja Tartu Ülikooli kaasprofessor Sven Laur, oponendid olid Olivier Pereira Louvaini katolikust ülikoolist ja Carsten Schürmann Kopenhaageni IT-ülikoolist.