Proč nechtít elektronické volby?

pondělí 20. srpen 2012 14:07

flickr.com

Nad tématem "voleb přes internet" jsme kdysi s kolegy spekulovali. Když jsem teď viděl v médiích zprávu o tom, že se to chystá, zkusím se o pár postřehů podělit.

Jako první vezměme požadavky, co musí volby splňovat. Pokud je v nich chyba, asi nebudou zcela dobré ani následující vývody. Ale předpokládám, že alespoň klíčové body jsem podchytil. Takže, volby musí:
1/ umožnit volit každému oprávněnému voliči maximálně jednou a nesmí umožnit volit neoprávněným voličům
2/ být anonymní
3/ v případě pochybností musí být možno výsledky ověřit
, překontrolovat
4/ jako nepovinná vlastnost je možnost průběžné i pozdější kontroly občany.
Že nesmí být možno výsledky voleb manipulovat je naprosto samozřejmé, ale neudávám to jako samostatný bod, protože to vyplývá ze splnění bodu 1 a 3.
Jako elektronické volby uvažuji "volby přes internet", tedy z uživatelských počítačů. V principu se to ale asi neliší od voleb, kdy by ve volebních místnostech namísto uren byl volební terminál. Rozdíl je vlastně jen v otázce 1, lze předpokládat, že terminály by byly bezpečnostně zajištěny výrazně lépe, než domácí PC.

Jak umožňují dané podmínky stávající volby?
Ad 1/ Každý volič je zapsaný v seznamu na svém okrsku, před volbou je zkontrolována jeho totožnost a je odškrtnut, tedy nemůže přijít znovu. Pokud nemá volební průkaz, nemůže volit jinde. Nevím, jak přesně to funguje s volebním průkazem, ale předpokládám, že volič je vyškrtnut ze seznamu ve svém okrsku a účast ve volbách se zaeviduje do volebního průkazu, případně je mu při volbě odebrán.
Ad 2/ Volební seznam je ve volební místnosti, ale nemá žádnou spojitost s konkrétním lístkem ve volební urně. Takže anonymita by byla porušena pouze v případě, pokud by v daném okrsku volil pouze jediný volič, což není příliš pravděpodobné. To lze vzít jako akceptovatelné riziko.
Ad 3/ Pokud vzniknou pochybnosti, vyzvedne se z archívu zapečetěný pytel (krabice?) s volebními lístky daného okrsku a znovu se přepočítá pod dohledem kohokoliv.
Ad 4/ Už během zpracovávání výsledků je možno sledovat průběh na volebním webu. Jako velmi jednoduchou a přitom účinnou metodu kontroly považuji možnost proklikat se až na konkrétní volební okrsek a jeho výsledky. Tedy každý člen každé volební komise se může podívat, že to sedí s tím, co odevzdali na volebním protokolu, co podepisovali. A jsem dost přesvědčen, že se tam každý podívá, z prosté zvědavosti. A věřím, že kdyby to nesedělo, udělá se bugr a dojde k přepočtu lístků pod dohledem centrální volební komise nebo někoho podobného.

Teď tedy první aspekt elektronických voleb: je možno technicky zajistit splnění oněch požadavků? Odpověď: jasně, není problém.
Ad 1/ Ve volebním systému budou zanešeny seznamy oprávněných voličů. Každý volič, který se rozhodne využít elektronických voleb, musí mít buď ověřený certifikát nebo elektronický podpis. Po použití se uvede v seznamu příznak, že dotyčný člověk už odvolil, podruhé ho to do systému nepustí. Stejně tak to nepustí člověka bez ověření. Tato technologie je v současné době při dobré implementaci naprosto bezpečná (využívají to banky, firmy a úřady všude po svetě).
Ad 2/ Systém by byl obdobný jako v současnosti: aplikace by měla seznam, kde by autorizovala uživatele a umožnila jeho vstup, vlastní hlasování by se ukládalo jinam. Takže na konci bysme měli 2 seznamy - seznam s lidmi, co do systému vstoupili (tedy došlo i k pozitivní autorizaci) a seznam s volebními výsledky. Tyto seznamy by byly nezávislé, tudíž by nešly spárovat, propojit.
Ad 3/ Zde by se muselo věřit aplikaci, jiné ověření není možné.
Ad 4/ Internetová prezentace by fungovala naprosto stejně jako teď, ale nebyl by možné ověřit korektnost elektronických dat. Díky tomu, žeby lidi volili z domova, odpadla by kontrola členů volebních komisí jednotlivých okrsků.

Ještě poznámku k technické rovině - věřím, že lze udělat volební aplikaci dostatečně bezpečnou, aby odolala hackerskému útoku. Přesněji řečeno, protože vše lze hacknout, udělat aplikaci natolik zabezpečenou, že cena a náročnost hacknutí by převyšovala zisk z tohoto činu. Uvědomme si, že většina útoků hackery na vládní a jiné stránky je dnes formou tzv. odepření služby ( (D)DoS - (Distributed) Denial of Service). To znamená, že útočníci zahltí daný server, takže uživatelé/klienti se k němu nedostanou, nezískají odpovědi na své dotazy a požadavky. Ale zásadní u takového útoku je, že vlastní data na serveru nejsou ani kompromitována ani ukradena.

Dobře, tak kde je tedy háček? Jako poměrně často ne v technice a v technické rovině, ale lidském faktoru. Když se budu držet uvedených bodů:
Ad 1/ Certifikáty nebo el. podpisy musí být na voličské straně chráněny - tedy např. před hacknutím počítače a následně odvolení hackerem. Jasně, to lze zjistit - oprávněný volič se nepřihlásí a dostane hlášku, že již odvolil. Případně se při kontrole po volbách zjistí, že jeden člověk je jak v seznamu elektronických voličů, tak na papíře ve volební místnosti. Problém je, že díky tomu, že není možno spárovat hlas s voličem, neví se, které hlasy byly manipulovány. Takže maximálně zjistíme, že 1,71% hlasů byly špatně, ale nelze udělat nic jiného, než volby anulovat a začít znovu. (A nebo odchylku ignorovat? Ale fuj, to snad nemyslíte vážně...)
Dále není možno zamezit kupčení s hlasy. Nelze zabránit, aby někdo nevykoupil od voličů certifikát/el. podpis za nějakou sumu a pak to odvolil sám. Při zachování anonymity nelze takové jednání ani zjistit.
Ad 2/ Co se anonymity týče, museli bysme věřit volební aplikaci, že skutečně nezaznamenává, kdo jak volil. A pokud přímo nepropojuje voliče s hlasováním, tak že neukládá třeba IP adresu počítače, odkud se volí (s tím, jak mají poskytovatelé povinnost uchovávat údaje o spojení se to  dá propojit nádherně) a vlastní volbu. A hlavně - i kdyby dneska někdo napsal tu aplikaci naprosto férově (čemuž zatím věřím), pořád hrozí, že ji někdo upraví v budoucnu. V ryze férové demokracii by to asi byl pouze morální problém, ale pokud by se demokracie změnila na nějakou diktaturu.... Vzpomeňte si, jak Hitler využil údajů ze sčítání lidu (seznam židů). Představte si, jak by komunisté nebo nacisté jednali s lidmi, kteří by volili jejich opozici....
Ad 3/ Toto není možné. Nemáme jiný zdroj informací, než data v nějaké databázi. Pokud by někdo zmanipuloval data kdykoliv během cesty (od počítačů voličů, přes zpracování dat po prezentaci a uložení), nebylo by možno se ke správným údajům nijak dostat. Pokud by to dotyčný udělal šikovně, nebylo by nejspíš možno ani zjistit, že daty bylo manipulováno.
Ad 4/ Stejně jako v technickém odstavci - prezentace zpracování by fungovala, ale těžko by šla ověřit.

Výsledek je myslím celkem zjevný: po technické stránce elektronickým volbám nic nebrání. Ale právě nemožnost ověřit, jestli bylo daty nějak manipulováno, nemožnost dostat se k původním "surovým" datům (dnes jsou to volební lístky) pro přepočítání a nakonec i riziko z narušení anonymity voleb tuto metodu v mých očích diskvalifikuje.

Petr Zip Hájek

ZipDiky za reakci, pane Hejno09:2123.8.2012 9:21:31
josef hejnaTohle téma mne velmi zaujalo, ale trochu08:4623.8.2012 8:46:41
FanyZIPovi09:4922.8.2012 9:49:18
ZipDíky, Moniko :-)23:1421.8.2012 23:14:19
Monika PetrákováDobrý článek23:0321.8.2012 23:03:46
ZipDíky, Marku :-)22:3921.8.2012 22:39:05
Marek TrizuljakČlánek mi připadá zajímavý a dobře zpracovaný22:1921.8.2012 22:19:48
ZipTakhle to přece nelze brát21:1721.8.2012 21:17:02
NaďaZipe, jak20:5521.8.2012 20:55:50
ZipRe: ....20:2921.8.2012 20:29:52
FanyDodatek20:1321.8.2012 20:13:14
NaďaFany, jistě,19:5421.8.2012 19:54:03
ZipRe: Fany13:2821.8.2012 13:28:23
ZipRe: ...13:2021.8.2012 13:20:16
FanyRE: * * * *13:1321.8.2012 13:13:53
Fany* * * *13:0921.8.2012 13:09:29
dontlikewin7Pro mmaaxxoo:12:5121.8.2012 12:51:34
ZipRe: ....11:3821.8.2012 11:38:58
NaďaZipe,09:4721.8.2012 9:47:27
mmaaxxooZbytečné Hajkovy vlny.09:1421.8.2012 9:14:07

Počet příspěvků: 27, poslední 23.8.2012 9:21:31 Zobrazuji posledních 20 příspěvků.

Petr Zip Hájek

Petr Zip Hájek

Různý mišmaš.
Hlavně fotky.

Sem tam i něco kolem IT, mystifikaci, různé úvahy a vůbec...

Web: http://hajek.photo/

Jsem, tedy myslím, že jsem.

REPUTACE AUTORA:
0,00 (VIP)

Pošlete mi vzkaz

Zbývá vám ještě znaků. Je zakázáno posílat reklamu a vzkazy více bloggerům najednou.