Zakaj ne volimo po internetu
Estonija se rada predstavi kot E-stonija, ker je država z najbolj informatizirano državno upravo v Evropi. Državljani imajo elektronske osebne izkaznice, s katerimi je mogoče po internetu postoriti večino opravkov z državno upravo. Pred desetletjem so uvedli tudi internetne volitve, s katerimi so želeli volivcem olajšati delo. Rezultat je vse prej kot navdušil.
Ponovne razprave o smiselnosti elektronskih volitev po pravilu vzniknejo vsakih nekaj let, zlasti ko vladajoči ugotovijo, da je volilna udeležba prenizka ali pa da jim izid ne bo povšeči. Volitve po internetu se vedno znova ponujajo kot rešitev, ki bi čudežno zvečala volilno udeležbo in poskrbela za bolj reprezentativen rezultat. Kot dobrodošla stranska učinka se vedno omenjata še finančni prihranek in večja prijaznost do državljanov, ki jim ne bi bilo treba iz dnevne sobe. Toda izkušnje Estonije nas učijo, da niti tehnologija niti družba za internetne volitve še nista zreli.
Glasovalna naprava na predčasnih državnozborskih volitvah leta 2014 na Kokrici. Foto: Gorazd Kavčič, Gorenjski glas
E-volitve
Predpone e- ne smemo brezglavo pritakniti kar k vsaki besedi, saj so e-volitve in i-volitve bistveno različne. E-volitve so v srži podobne klasičnim volitvam, le da volivec na volišču glas odda na elektronski volilni napravi. Ta praviloma ni priključena v internet in ne shranjuje podatka o identiteti glasujočega. Namenjena je takojšnjemu preštetju glasov po zaprtju volišč in lahko tudi komunikaciji z državno volilno komisijo, ki tako zelo hitro dobi informacijo o volilnem izidu.
Pri nas se glasovalne naprave uporabljajo na voliščih, ki so prilagojena invalidom, pa naših volitev zaradi tega nihče ne označuje kot e-volitve. Podobno je v večini evropskih držav, kjer je možnost uporabe posebnih glasovalnih naprav. V ZDA so elektronske volitve na voljo že od leta 1964, danes pa posamezne zvezne države volitve urejajo različno. Ponekod uporabljajo papir, drugod elektronske naprave, spet drugod kakšno kombinacijo.
Pri e-volitvah je več izvedbenih možnosti. Elektronska naprava lahko glasovnice sproti tiska, s čimer se zagotovi papirna sled in možnost neodvisne preverbe elektronskega štetja. Nekatere izvedbe sploh nimajo elektronskega zapisa, temveč so le volilni tiskalniki za papirne glasovnice. Lahko pa seveda glasovi ostanejo v elektronski obliki, in tedaj moramo zaupati elektronski sledi.
I-volitve
Odkar so Estonci leta 2005 prvikrat ponudili glasovanje po internetu, je postala razlika med i-volitvami in e-volitvami pomembna. Pri i-volitvah je teže zagotoviti spoštovanje osnovnih načel volitev ter preprečiti manipulacije. Največja težava ni reševanje odkritih nepravilnosti ali vdorov, temveč zagotoviti, da se ni zgodil neopažen vdor oziroma manipulacija volilnih izidov. Ker po definiciji ne moremo vedeti, ali smo imeli neopažen vdor, moramo ustvariti sistem, ki to tveganje zmanjša na sprejemljivo raven. Stoodstotne varnosti pač ni mogoče zagotoviti nikjer, niti pri papirnih volitvah.
Vsake volitve so težak izziv, ker moramo zadostiti štirim pogojem: natančnosti (pravilno štetje), anonimnosti, hitrosti (rezultati v nekaj urah) in skalabilnosti (glasuje malo ljudi ali več milijonov).
Glasovanje na daljavo ni nova iznajdba, saj ga v obliki glasovanja po pošti že imamo. Prav tako ni nova iznajdba glasovanje na daljavo prek elektronskega medija. Ameriški astronavt je že leta 1997 z vesoljske postaje Mir glasoval po e-pošti, malce bolj množičen pa je bil poizkus leta 2000, ko je 250 ameriških vojakov glasovalo po internetu. A to so osamljeni primeri, ki jih je sorazmerno enostavno izvesti in tudi zaščiti. Če smo malo cinični, so to premajhni primeri, da bi sploh vplivali na izid volitev, zato je precej vseeno, kako so izvedeni. Seveda se želimo iz njih naučiti kaj koristnega za izvedbo v večjem obsegu.
Po nekaj sramežljivih poizkusih v različnih državah (Anglija, Kanada, Francija, Švica, Nizozemska) z lokalnimi ali evropskimi volitvami so i-volitve vzeli v svoje roke Estonci. Leta 2005 so ponudili glasovanje po internetu na lokalnih volitvah, dve leti zatem pa kot prvi na svetu tudi na državnozborskih volitvah. Kljub številnim izvedbam lokalnih elektronskih volitev na daljavo in podobnega glasovanja v organizacijah, podjetjih in društvih, ostaja Estonija edina država, kjer ima vsakdo možnost internetnega glasovanja na najpomembnejših volitvah (državnozborskih), zato si zasluži posebno pozornost. Navsezadnje je lani tam tako glasovalo 30 odstotkov volivcev.
Načela volitev
Vsake volitve morajo spoštovati naslednja načela: anonimnost glasu, zagotavljanje istovetnosti volivca (in en glas na volivca), kontrolirano okolje za svobodno glasovanje po vesti ter nadzor nad pravilnim popisovanjem in preštevanjem glasov. Na klasičnih volitvah je to zelo enostavno zagotoviti: komisija pogleda osebno izkaznico, potem pa volivec v kabini izpolni listek in ga vrže v skrinjico. Pri i-volitvah se izkaže, da je glavni problem prav zadnje: izjemno težko je zagotoviti, da sistem ni bil kompromitiran.
Prednosti
Največja prednost i-volitev je večja udobnost, saj lahko glas oddamo od doma ali s kateregakoli računalnika, v katerega naložimo svoje poverilnice in ustrezno programsko opremo. Zagovorniki i-volitev pravijo, da bi s tem zvečali volilno udeležbo, predvsem pa h glasovanju pritegnili mlade. Estonske izkušnje kažejo, da to ne drži. Leta 2003 je bila volilna udeležba na državnozborskih volitvah 58-odstotna, z internetnim glasovanjem leta 2007 pa 62-odstotna. Leta 2011 je glasovalo 63 odstotkov, leta 2015 pa 64 odstotkov. Razlika je kvečjemu nekaj odstotnih točk. Pa so šli mladi bolj množično na volišča? Na zadnjih volitvah je bila volilna udeležba 18- do 25-letnikov zgolj sedemodstotna.
Tudi vnovično glasovanje se ni izkazalo kot posebej privlačno. Na zadnjih volitvah je po oddaji glasu po internetu na dan volitev papirnato glasovnico izpolnilo le 162 ljudi (0,09 odstotka). Večkrat pa je prek interneta glasovalo 2,6 odstotka i-volivcev, kar je malo. Ni nujno, da so si vsi premislili, lahko so le preizkušali, kako sistem deluje. Pravilno zabeleženje svojega glasu je preverilo 4,3 odstotka i-volivcev.
Nevarnosti
V Estoniji i-volitve potekajo predčasno, zakonodaja pa omogoča, da jih razveljavijo, če se pojavi tehnični problem z integriteto volitev. V takem primeru morajo vsi glasovati na volilni dan s klasičnimi glasovnicami, a takega primera še niso imeli.
Največja nevarnost i-volitev zato ni odpoved sistema ali vdor vanj. Tudi za ugotavljanje istovetnosti volivca in anonimno glasovanje je s poverilnicami in dvojno ovojnico zadovoljivo poskrbljeno. Glavna težava so neodkriti vdori. Ko so Estonci leta 2005 uvedli i-volitve, so bili velikanski hekerski vdori predmet znanstvenofantastičnih filmov. Enajst let pozneje vemo za Stuxnet, ki so ga napisali Američani, in za kitajske in ruske vojaške hekerske enote. Doživeli smo prvi uspešen hekerski napad na elektroenergetski sistem (23. decembra 2015 je bilo v Ukrajini brez električne energije 80.000 odjemalcev), vdori v zbirke podatkov pa so že vsakdanjost (Yahoo, AshleyMadison, MySpace, Ebay, JPMorganChase …). Kot so pokazala razkritja o NSA in CIA, so virusi, ki okužijo celo omrežno (usmerjevalnike, omrežna stikala) in drugo strojno opremo (ključe USB, kamere, adapterje), realnost.. Varnostna analiza estonskega sistema je pokazala, da je pri trenutnih izvedbah i-volitev možnosti za manipulacijo zelo veliko.
Delovanje i-volitev
Estonske i-volitve sestavlja več postopkov: priprava sistema, oddaja glasu, preveritev glasu (neobvezno) in štetje glasov. V okviru priprave sistema se pripravijo volilni strežniki, generirajo asimetrični šifrirni ključi, izdela aplikacija za odjemalca in pametni telefon ter postavi in poveže vsa druga potrebna infrastruktura.
Estonija je bila prva država, ki je uvedla splošno elektronsko osebno izkaznico, ki je v resnici pametna kartica s poverilnico (certifikatom). Ker je digitalni podpis zakonsko izenačen s fizičnim, lahko Estonci z njo opravijo vse tisto, kar lahko tudi mi z digitalnim potrdilom SIGEN-CA, in še nekoliko več. Estonija je država z najbolj informatizirano državno upravo, kar so si zastavili kot politični cilj ob osamosvojitvi in postavitvi novega državnega aparata.
Za glasovanje elektronsko osebno izkaznico vstavimo v čitalnik. Na računalniku mora biti nameščen odjemalec, ki je na voljo za Linux, Windows in Mac OS X. Ko vtipkamo PIN, se vzpostavi varna povezava s strežnikom VFS (vote-forwarding server), kjer poteka dejansko glasovanje. Ta odjemalcu glede na identiteto volivca pošlje seznam razpoložljivih kandidatov (npr. na lokalnih volitvah seveda niso isti za vse). Volivčevemu glasu se z RSA-OAEP doda dovolj entropije (r) in potem zašifrira z 2048-bitnim javnim ključem volilne komisije. To imenujemo prva (notranja) ovojnica. Nato jo zašifriramo še z zasebnim ključem volivca (druga, zunanja ovojnica) in vse skupaj pošljemo VFS. Ta neodprte glasovnice shranjuje na VSS (vote-storing server), volivec pa dobi kot potrditev vrednost r in neuganljivo enolično številko glasovnice, x. Posredujeta se v obliki kode QR.
Z digitalnim podpisom in sistemom dveh ovojnic je zagotovljeno preverjanje istovetnosti in anonimnost glasu. Svobodno glasovanje se v Estoniji zagotavlja tako, da lahko vsakdo glasuje tolikokrat, kot želi, šteje pa zadnji glas. Ker internetno glasovanje poteka kot predčasno glasovanje in se konča pred odprtjem volišč, lahko glasuje tudi vsak, ki je že glasoval po internetu, in s tem razveljavi internetni glas.
Nadzor nad zapisom glasu je izveden tako, da lahko do pol ure po glasovanju vsakdo preveri, kako je sistem zapisal njegov glas. To ni v nasprotju z zahtevo po anonimnosti, ker ne gre za odpiranje ovojnic, temveč simuliranje z duplikati, in ker lahko to stori le vsak zase. Aplikacija na strani odjemalca lahko strežniku pošlje vrednost x (iz QR-kode) in od njega pridobi dvojno ovojnico, v kateri pa glasu ne more prebrati, ker nima ustreznega zasebnega ključa volilne komisije. Namesto tega aplikacija simulira glasovanje za vsakega kandidata in preveri, kdaj je nova simulirana »glasovnica« enaka dejanski glasovnici. Tako ugotovi, za katerega kandidata je volivec glasoval. Nihče drug postopka ne more ponoviti, ker nima zasebnega ključa volivca (za zunanjo ovojnico), torej ne more poustvariti ujemajoče glasovnice, četudi bi glasoval enako. VSS in VFS sta venomer v stiku z dnevniškim strežnikom, kamor se zapisuje vsak dostop do sistema – vsako glasovanje, vsaka preverba glasu itd.
Ko se glasovanje konča, sistem po zunanjih glasovnicah še enkrat preveri, ali vsi glasovi pripadajo volilnim upravičencem. Prav tako se na tej točki uničijo glasovi ljudi, ki so na volilnem imeniku označeni, da so glasovali tudi s papirnato glasovnico. Zdaj se odšifrirajo zunanje ovojnice in uničijo, tako da imamo na kupu samo še anonimne glasove, ki pa so šifrirani (notranja ovojnica).
Te prekopirajo na DVD in ga odnesejo na strežnik za štetje glasov VCS (vote-counting server), ki ima strojni varnostni modul (HSM) z zasebnim ključem volilne komisije. Ta dejansko odšifrira vse glasovnice in prešteje glasove.
Pomisleki
Volitve imajo v demokraciji nadvse pomembno vlogo, ker državljanom vlivajo zaupanje v sistem. Če nekdo zmaga na volitvah z vprašljivo verodostojnostjo, nima legitimnosti. Papirne volitve še zdaleč niso stoodstotno varen sistem, to dokazujejo nepravilnosti, ki se dogajajo po vsem svetu, od Ugande do ponovljenih avstrijskih predsedniških volitev. Toda celoten postopek, od oddaje glasu do preštevanja in nadzora, je razumljiv vsakemu volivcu brez slehernega predznanja. Glavni pomislek pri i-volitvah je to, da se bojimo neznanega. Četudi bi volitve izvedli popolnoma varno, je za povprečnega volivca postopek nerazumljiv in skrivnosten.
Estonska aplikacija po internetnem glasovanju izriše kodo QR, s katero lahko preverimo pravilnost oddanega glasu. Foto: Estoniaevoting.org
Raziskave kažejo, da večino nepravilnosti pri volitvah zagrešijo insajderji, in ne zunanji napadalci. To je močan argument v prid uporabe odprte kode za izvedbo i-volitev, saj se izognemo zaklepu na določenega ponudnika (vendor lock-in) in vsaj na načelni ravni prisilimo izvajalca, da kodo napiše kakovostno. Varni sistemi morajo biti po oblikovanju (security by design), četudi napadalec pozna vso kodo, skrivanje za zaprtostjo (security through obscurity) pa je varnostno tvegano. Estonija je večino kode, ki poganja njihove i-volitve, objavila na Githubu na vpogled vsakomur, kar je pohvalno. Koda obsega 17.000 vrstic, od tega 61 % v pythonu in 37 % v C++, preostanek pa so skripti.
Toda niti odprta koda ni jamstvo, da se v njej ne skrivajo namerne ali nenamerne varnostne razpoke. Ranljivost heartbleed je bila v OpenSSL vsaj od marca 2012 do aprila 2014, GnuTLS pa je omogočal predložitev lažnih certifikatov od leta 2005 do 2014. Ranljivosti so bile vsem na očeh, a kode v tistem delu ni nihče dobro prebral. Odprta koda je torej potreben, a ne zadosten pogoj. Nujen je še pregled kode (audit).
Kaj je že šlo narobe
Z i-volitvami države, razen Estonije, nimajo kaj dosti izkušenj, zato tudi (še) ni moglo iti nič narobe. E-volitve pa so marsikje že običajen del volitev, in tudi tu je šlo že marsikaj narobe.
Najbolj znan zgled so ameriške predsedniške volitve leta 2000, ko je dolgotrajno bitko o vnovičnem preštevanja glasov na Floridi presekalo šele vrhovno sodišče. V okrožju Volusia so glasovalne naprave zaznale 2813 glasov za Busha in minus 16.022 za Ala Gora – glasovalo pa je 412 volivcev. Podobnih zgodb je več kot sto iz najrazličnejših držav, v vseh primerih pa so glasovalne naprave zaznale previsoko število glasov za vsaj enega kandidata.
Še najzgovornejša je odločitev nemškega ustavnega sodišča, ki je po pritožbi leta 2009 odločilo, da je bila uporaba konkretnih glasovalnih naprav v zadnjih desetih letih neustavna, ker ni bilo mogoče zagotoviti preverljivosti in transparentnosti. Odtlej v Nemčiji ne poskušajo vnovič z e-volitvami.
V Estoniji je problem obrnjen. Večjih težav še ni bilo, zato so oblasti gluhe za vse argumente strokovnjakov, da morajo svoje i-volitve nujno varnostno izboljšati. Estonske i-volitve so namreč ravno toliko tehnični kot politični projekt.
Ko gre kaj narobe, je glavni problem škoda. Tudi spletno nakupovanje in e-bančništvo sta daleč od varnega, a tam banke brez vprašanj povrnejo finančno škodo. Pri zlorabah i-volitev škode ne moremo finančno ovrednotiti.
S tem se spremeni tudi delo opazovalcev. To delo pri klasičnih volitvah lahko opravlja skorajda kdorkoli. Pri i-volitvah je treba imeti posebno znanje, ki ga večina ljudi in celo računalnikarjev nima. V Estoniji so si nadzor zamislili tako, da so člane volilne komisije posadili v sobo in na platnu prikazovali rezultate. To ni noben nadzor, to je šov!
Estonski zgled
Pravi nadzor so izvedli raziskovalci z Univerze v Michiganu in britanske Open Rights Group, ki so oktobra 2013 od blizu opazovali estonske lokalne volitve, obenem pa so imeli dovolj znanja, da so iz objavljene odprte kode postavili posnemanje i-volitev in kodo napadli. Odkrili so vrsto pomanjkljivosti, ki bi jih bilo teoretično in tudi praktično mogoče zlorabiti. Napad bi lahko izvedli bodisi na strani odjemalca, torej pri volivcih, bodisi na strani strežnikov.
Vsak Estonec dobi elektronsko osebno izkaznico. Foto: Estonsko ministrstvo za notranje zadeve
Odjemalec, ki ga volivec namesti v svoj računalnik, je zaprtokoden in vsebuje ukrepe za preprečevanje vzvratnega inženirstva (obfuscation), a to napada nanj ne oteži bistveno. Izdelali so delujoč prototip črva (malware), ki je pritajeno počakal na glasovanje, potem pa je na skrivaj oddal popravljen glas, če je imel uporabnik e-kartico še vedno v čitalniku. Ker se kartice uporabljajo za najrazličnejša opravila, to ni tako neverjetno. No, če bi tak napad izvedli v večjem obsegu, bi sum vzbudilo veliko število v drugo oddanih glasov. Drugi napad na odjemalca terja hkratno okužbo računalnika in pametnega telefona. V tem primeru odjemalec izpiše spremenjeno kodo QR, ki vsebuje ime kandidata, za katerega je volivec želel glasovati, črv pa v resnici glasuje drugače. Če volivec poizkusi preveriti svoj glas, mu okužena aplikacija na pametnem telefonu prikaže želeni glas, ki je skrit v kodi QR, in ne dejanskega glasu.
Oba napada sta v praksi izvedljiva, izkoriščata pa to, da volivci glasujejo s svojih računalnikov, ki seveda niso sterilni, a jih je treba za izvedbo volitev obravnavati kot zaupanja vredne.
Napasti je mogoče tudi infrastrukturo na strežniški strani, kar pomanjkljivi varnostni protokoli in urjenje zaposlenih še olajšujejo. Pred volitvami so pripravili DVDje z Debianom, ki so jih uporabili za namestitev na strežnike. Slike ISO za izdelavo DVDjev lahko okuži kak nepošten zaposleni ali zunanji napadalec. Pri namestitvi se sicer preverja zgoščena vrednost (hash) s tisto na Debianovih strežnikih FTP, a povezava do tja ni šifrirana, zato je mogoče to oviro obiti z napadom MITM (man in the middle). Druga možnost je okužba računalnika z rootkitom, ki prepreči preverjanje hasha in DVD v vsakem primeru zapeče. Ko imamo enkrat postavljen strežnik, na katerega je nameščena okužena distribucija Debian s programom za manipulacijo, ta preveri, ali je strežnik v funkciji VCS (štetje glasov), in tedaj spremeni želeni delež glasov.
To je le eden izmed načinov za prikrojitev volilnih rezultatov. Raziskovalci so opozorili na cel kup pomanjkljivosti, ki predstavljajo tveganje za dodatne napade. Če jih navedemo le nekaj: nekatera sistemska opozorila o napakah so ignorirali, varnostne kopije je izdeloval le en operater, čeprav bi morala biti po protokolu navzoča dva, programsko opremo so prenašali prek nezaščitenih povezav HTTP, vzdrževanje so izvajali z uporabniškim imenom root, nešifrirane varnostne kopije so delavci prenašali kar v svojih nahrbtnikih. Najbolj neverjetna je bila površnost pri štetju, ko zapis glasov na DVD ni deloval, zato so rezultate prenesli kar na rabljen(!)ključ USB enega izmed zaposlenih.
Estonci niso uporabili sterilne opreme, temveč so odjemalca za i-volitve pripravili in kriptografsko podpisali kar na pisarniškem računalniku, ki ima nameščen celo PokerStars. Foto: Security Analysis of the Estonian Internet Voting System, CCS’14
Koliko bi vse to stalo
E-bančništvo nam olajša življenje, a to ni bilo pomembno pri njegovi vpeljavi. Predvsem olajša življenje oziroma poceni poslovanje bankam, saj zdaj številke v računalniški sistem vnašajo sami komitenti, manjši obisk v poslovalnicah pa dodatno zmanjšuje stroške. Če i-volitve ne bodo cenejše ali vsaj enako drage kot papirne, jih verjetno ne bo, razen če bo kdo potreboval posel. Izvedba klasičnih volitev stane v Sloveniji 3–4 milijone evrov, je na oktobrski okrogli mizi pojasnil direktor Državne volilne komisije (DVK), Dušan Vučko.
I-volitve bi bile dražje, ker je treba še vedno vzporedno izvajati klasične papirne volitve, torej strošek zgolj zvečajo. O natančnih številkah je brez konkretnih načrtov težko govoriti, a Vučko ocenjuje, da bi postavitev celotnega sistema, z elektronskim volilnim imenikom vred, stala okrog osem milijonov evrov, potem pa še vsakokratna izvedba 5–6 milijonov evrov. Ni prav verjetno, da bi bil morebiten dvig volilne udeležbe za nekaj odstotnih točk vreden tolikšne naložbe, sploh če prinaša cel kup izzivov, ki še niso zadovoljivo rešeni. Kot je na isti okrogli mizi ocenil Gorazd Božič, vodja SI-CERT, trenutno tehnologija še ni primerna za i-volitve.
Možno je, a ...
O tem, da so i-volitve tehnično izvedljive, ni dvoma. Toda praktično bi bile mogoče le v idealnem svetu, kjer bi bili nameni vseh ljudi plemeniti. Tu in zdaj, ko je treba misliti na najslabšo možnost, pa imajo i-volitve preveč šibkih členov in premalo otipljivih prednosti, da bi se jih splačalo uvajati. Volitve so namreč ravno toliko tehnični kakor družbeni izziv; brez zaupanja vanje so neuporabne.