KOGENUD IT-ASJATUNDJA: Tehnika, kuidas e-valimiste tulemusi võltsida ja hääli juurde kirjutada, näeb välja imelihtne

Vaevalt on Eesti järjekordsel demokraatia pidupäeval päike õhtusse laskunud, kui e-valimisi tabab uus kriitikalaviin. Mitmete IT-spetside arvates poleks mingi raketiteadus e-valimisi läbipaistvamaks muuta, et sealtkaudu kriitikutelt argumente ära võtta. Samas väidavad e-valimiste vaatlejad, et seda ei taheta teha, sest praegune kontrollimatu e-valimiste süsteem teenib vigade, et mitte öelda e-manipulatsioonide varjamise huve.

Pilt: CC-BY Märt Põder

KOGENUD IT-ASJATUNDJA: Tehnika, kuidas e-valimiste tulemusi võltsida ja hääli juurde kirjutada, näeb välja imelihtne (20)

Virkko Lepassalu

Vaevalt on Eesti järjekordsel demokraatia pidupäeval päike õhtusse laskunud, kui e-valimisi tabab uus kriitikalaviin. Mitmete IT-spetside arvates poleks mingi raketiteadus e-valimisi läbipaistvamaks muuta, et sealtkaudu kriitikutelt argumente ära võtta. Samas väidavad e-valimiste vaatlejad, et seda ei taheta teha, sest praegune kontrollimatu e-valimiste süsteem teenib vigade, et mitte öelda e-manipulatsioonide varjamise huve.

E-häälte kokkulugemisel vaatlejana osalenud Heldur-Valdek Seeder väidab, et e-hääletussüsteem on täiesti vaadeldamatu. "Hääle liikumise jälgitavuse asemel pakuti arvutiekraanile süsteemi poolt kuvatavaid teateid," ütleb ta. "Enamasti ütlevad need, et kõik on õige ja et süsteem ise tõendab süsteemi töötulemuse õigsust."


E-valimiste kriitikutega liitus tänavu ka tuntud arvamusavaldaja Ahto Lobjakas. Nädalavahetuse raadiosaates väitis ta, et "e-hääletuse süsteem on suletud ja selle kontroll võimatu". Tavaliselt kujuneb e-valimiste suurimaks võitjaks – nagu viimastelgi valimistel – Reformierakond. Seekord koguti 40% e-häältest ja Kaja Kallasest kujunes e-hääletusel konkurentsitult populaarseim kandidaat 12 843 häälega. Lobjakas nimetas nähtust "Reformierakonna anomaaliaks, mis kordub valimistelt valimistele".


Seekordsed e-valimised olid haruldased sellegi poolest, et häälte korduslugemist nõudsid – tõsi küll, tagajärjetult – lisaks üksikkaebajatele Elurikkuse Erakond ja Roheliste Erakonna esindaja Märt Põder. Tema esitas nii kaks valimiskaebust kui ka pöördumise õiguskantsleri poole.


Eakad ja nobedad


Ma ise ei ole kunagi e-valinud. Ainult paberil. Kuigi valimised on ammu möödas, otsustan selle süsteemi enda jaoks tagantjärelegi selgeks teha. E-valimiste anatoomiasse süvenemisel on mulle toeks teadmine, et nõnda nagu Eesti nelja juhtiva küberkeskuse teadlased Sven Heiberg, Arnis Parsovs ja Jan Willemson oma analüüsis 2013-15. aasta e-valimiste kohta tuvastasid, on e-valimised eriti kõrges eas isikute hulgas väga populaarsed. Seega ei tohiks e-valimises ja selle mehhanismis minusuguse keskealise jaoks peituda mitte midagi keerulist. Pealegi on e-valijate arv järjest kasvanud. Kui 2015. a riigikogu valimistel osales e-teel üle 176 000, siis nüüdsetel ümmarguselt 247 000 inimest. Seejuures hääletas viimastel valimistel e-teel reipalt umbes 34 000 65-aastast ja vanemat inimest.


 Heibergi-Parsovsi-Willemsoni uuringus tuvastati muuhulgas, et 2015. a riigikogu e-valimistel oli üks kiirematest e-hääletamise toimingu sooritanutest 104-aastane proua. Tsaar Nikolai ajal ilmavalgust läinud nobedal daamil kulus sellele protseduurile kokku vähem kui 35 sekundit. Üldse oli e-hääletamine üle 94-aastaste naiste seas 2015. a valimistel suisa lausaline, ehk siis eakad daamid just e-hääletust eelistasidki. 2015. a valimistel moodustasid koguni neljandiku kõikidest e-hääletajatest valijad, kes vanemad kui 55. Sama perioodi rahvusvaheline uuring SHARE teatas aga – hoopis vastupidi –, et Eesti üle 50-aastasi inimesi iseloomustab oluline mahajäämus arvutikasutuses.


Otsustan 104-aastase esitatud väljakutse noorematele põlvkondadele vastu võtta: kas õnnestuks leida keegi, kes väidab, et suutis kasvõi äsjastel valimistel samuti nii kiiresti, 35 sekundiga e-hääletada? Võib-olla ehk kiireminigi, purustades 104-aastase rekordi? Või jääb minu või ka mõni noorem põlvkond sõjaeelse  vabariigi ja tsaaririigi ajal sündinute ees lootusetult häbisse?


Kuid enne kui üritada leida 104-aastasele vääriline vastane, tuleb üritada e-valimiste süsteem iseendale selgeks teha. Kuidas üldse e-hääletatakse? Kuhu minu hääl arvutist liigub? Kuidas hääli kokku loetakse?


 IT-terminite rägastikus


Kui hääle teele saatmine vastava programmi kaudu arvutist või nutiseadmest paistab olevat lihtne, siis edasi muutub maa jalge all tümaks. Tunnid mööduvad. Pea pakseneb. Läbiloetud artiklite ja analüüside maht kasvab. Samas olen lootusetult eksinud terminite rägastikku nagu "Koguja logid", "Miksija", "privaatsuse "backup"", "identifikaator hääle krüpteeringus", "serveri logid" jne. Jääb üle järeldada, et kümnetel tuhandetel 65-aastastel ja vanematel on e-mehhanismide endale selgeks tegemiseks ülihea taipamisvõime. Tõenäolisem on siiski, et suur osa vanematest inimestest ja ilmselt ka noorematest on kõigest õppinud selgeks paar e-valimiste standardliigutust arvutis. Kuid neil pole õrna aimugi, milles nad tegelikult osalevad ehk teisisõnu: milliseid radu pidi nende e-hääl üldse liigub.


Aeglaselt hakkab kujunema ähmane pilt, kuidas mu hääl kulgeb. Kuidas see lahutatakse minu isikukoodist, et salajasus tagada. Ja kuidas seda on võimalik telefonirakendusega tagantjärele kontrollida, et hääle sai just minu soovitud kandidaat. Siiski kobab käsi aeg-ajalt telefoni järele, et end IT-õppesse kirja panna. Tunde võtnud eneseharimise tulemus on igal juhul selge: e-hääletamisega tuleksin toime, kuid 35 sekundiga mul oma häält anda igal juhul päris kindlasti ei õnnestuks. Lohutan ennast, et ekspeaminister Taavi Rõivase sooritus olevat ühtedel eelmistel valimistel kestnud terve minuti. Ja ühtlasi saab selgeks, mis on muidugi juba tuhat  korda varem selgeks tehtud: minu antud hääl läheb kuhugi musta kasti, millest IT-mustkunstnikud lõpuks mingi üldtulemuse välja sikutavad.


Tõenäoliselt õnnestuks 35 sekundiga e-teel oma hääl anda IT-spetsialistil ja infoühiskonna aktivistil Märt Põderil. Kuid tema eelistas, kui e-valimistel hääle andis, enda sõnul kiirusele kvaliteeti.


"Ma püüan teha kõik, et minu häälega läheks hästi," toonitab Põder, et e-hääletamisel tuleb püüda võimalikult suure turvalisuse suunas. Ta kasutas ise e-hääletuseks turvalisuse tõstmiseks arvutit, mille operatsioonisüsteemi polnud mitte keegi kunagi varem kasutanud. Siis ei saa see sisaldada pahavara.


Eraldi tuleb Põderi sõnul e-hääletamisel pühenduda privaatsuse nõude täitmisele. Kui hääletatakse kodus, siis ei mingeid segavaid pereliikmeid – saatke nad kinno või loomaaeda: "Me ei taha ju kollektiivset hääletamist."


Ta lisab, et kollektiivse hääletuse vaikimisi tunnustamine on tõesti tõsine probleem. Pole toimunud ühtegi valimiskomisjoni kampaaniat, mis selgitaks hääletussituatsiooni erilisust kodus või kutsuks üles nõudma võimalust tagada kodus valimiskabiiniga sarnane privaatsus. "See on väga põhimõtteline küsimus – riik peab tagama inimesele vaba hääletuse, aga Eestis räägitakse, et see on kodaniku enda välja võidelda," ütleb Põder. "See on tegelikult väga tõsine vastutuse ümbermängimine, kui kodanik peab tegema pingutusi, et saavutada hääletussituatsioon, kus teda ei mõjutata. Me teame, et pole sugugi nii lihtne saada toast hääletuse ajaks välja nt vanemat pereliiget, isa, vanaema jne. Mul endal on olnud kogemusi, kus sugulased võtavad loomulikult, et jagatakse PIN-koode jmt infot. See kõik on üks tundmatu maa ja õiguslik soo, millega pole tahetud tegeleda."


Enne kui hääletamise püha protseduuri juurde asuda, tuleb arvutil kinni kleepida veebikaamera silm. Viitas ju ka tähtis küberasjatundja, president Toomas Hendrik Ilves, et sealtkaudu võidakse sind salaja jälgida. Ja mine tea – keegi võib veebikaamerast vaadates pihta panna sinu PIN-koodid. Ilma hoolsa turvanõuete jälgimiseta võtaks protseduur Põderil ehk mõne minuti. Kogu asjatamisega "neitsiliku arvutiga", kus tuleb varem tarvitamata programm käivitada, ehk kümmekond minutit.


Lõplikult turvalisust tagada on seega keeruline, ja riik ei tee selleks ka vähimatki pingutust, et valijal oleks lihtsam, tõdeb Põder. Valijarakenduse lähtekoodi pole, kontrollsummad on kuskile peidetud, õppevideod puuduvad, turvalise hääletuse koolitused samuti, kooliprogrammis hääletama ei õpita jne. Rääkimata, et võiks toestada turvalisimat süsteemi selles osas ehk Linuxit.


Tegelikult pole e-valimiste puhul kaugeltki ainus küsimus, kes tegelikult eakate eest hääletavad. Olulisemgi, et inimene ei saa jälgida, mis tema häälest pärast selle andmist edasi saab. Põhiline, mida Märt Põder (ja mitte ainult tema) on ette heitnud: e-valimiste puhul pole rakendatud otsast lõpuni kontrollitavust.


"Kontrollitavuse küsimusi on Eesti e-hääletuse juures ignoreeritud juba aastast 2001," väidab Põder. "Vastavad täiendused aastatel 2013 ja 2017 on olnud fiktiivsed. Praegu on juba käes aasta 2019, nii et aega asja parandada on olnud päris pikalt."


Lõputute arvridade džungel


Põderi sõnul võib otsast otsani kontrollitavust vaadelda kui e-hääletuse ehituskive või -klotse. Üks klots on individuaalne, teine aga universaalne kontrollitavus. Individuaalne tähendab, et inimene hääletab oma seadme abil ja saab vaadata, kas  kokkulugemisele läheb seesama tema poolt antud hääl. Eestis saab kontrollida 30 minuti jooksul, kas hääl, mis antud, on serveris ikka olemas. Ja see on ka kõik. Edasi tuleb usaldada süsteemi ja selle haldureid. Tegelikult peaks individuaalse kontrolli raames  saama oma häält jälgida hetkeni, kuni hääli hakatakse kokku lugema.


Mis puudutab otsast otsani kontrollitavust, siis poleks selle rakendamine e-valimiste puhul ilmselt raketiteadus. E-valimiste kriitikutelt võiks suurema vaevata argumente ära võtta. Samas võimaldab praegune "metsavenna-tüüpi süsteem", nagu Põder ütleb, võimalikke, diplomaatiliselt öeldes kitsaskohti avalikkuse eest varjata. Läbipaistev ja otsast lõpuni kontrollitav e-valimiste süsteem ju ei võimaldaks administraatorite toimetamist kusagil kulisside varjus.


"Kui süsteem ilma kõrvalise abita äkki enam ei tööta, siis saab alati tulla Tarvi Martens (üks administraatoritest – toim) ja oma läpaka süsteemi külge ühendada ja asjad korda teha," ütleb Põder. "See aga hävitab samuti "otsast lõpuni kontrolliga" tagatava garantii. Soov see hädaolukorras sekkumise võimalus avatuna hoida on Eesti e-hääletuse suur häbiplekk – ei julgeta usaldada krüptograafiat ja korralikku süsteemiarhitektuuri."


E-valimisi vaadelnud Heldur-Valdek Seeder pakub välja veel ühe võimaluse, miks nii kodumaisele kui välismaiste organisatsioonide lauskriitikale vaatamata e-valimisi lihtsamini jälgitavaks ei muudeta.


"Riigiaparaati iseloomustab soov ajada riigi e-süsteemid võimalikult keeruliseks ja läbipaistmatuks, et oleks võimalik ärisektoriga maksimaalne arv lepinguid sõlmida ja oste korraldada," väidab ta. "Paljusid asju saaks aga korraldada tänasest palju lihtsamalt. E-hääletamise süsteem on just üks nendest, mis on põhjendamatult komplitseeritud Eesti rahvaarvu arvestades."


Teine peamine põhjus, miks süsteemi läbipaistvamaks ei muudeta, võib Seederi arvates seisneda e-hääletamise korraldajate soovis mitte näidata avalikkusele tehnilisi tõrkeid ja arhitektuurseid vigu. "Administraatorite elu on tunduvalt mugavam, kui need vead jäävad kontori seinte vahele ega jõua avalikkuseni," ütleb Seeder. "Ja lisaks ei saa välistada süsteemi arhitektide olemuslikku soovi hoida endi käes võimalikult ulatuslik kontroll kogu süsteemi töö, sh isegi potentsiaalsete sekkumisvõimaluste üle."

 

Võimalikke võltsimisvõimalusi


IT-spetsi Märt Põderi sõnul pole näiteks riigikogu ja selle põhiseaduskomisjon otsast lõpuni kontrollitavuse küsimusi isegi mitte arutanud. Seega puudub ka otsus plaanitava lahenduse osas, kuidas süsteemi vaatlejatele jälgitavaks muuta. E-hääletuse süsteemi eest otsustamise on ilma poliitilist vastutust kandmata võtnud enda peale elektroonilise hääletuse komisjon. Selle mantlipärijaks peaks 2017. aastast olema riigi valimisteenistus. Kuid tolle seotus e-hääletuse süsteemiga jääb Põderi sõnul sügavalt segaseks: justnagu on, ja justnagu mitte.
E-valimiste kriitikute positsioone on seni nõrgestanud, et ühtegi konkreetset võltsimist pole välja tuua. Küll on levinud hulk kahtlusi, mida võib nimetada ka anomaaliateks.


Näiteks tõi e-valimisi vaadelnud Heldur-Valdek Seeder esile, et tasub hoolega kontrollida, kas häälte arv klapib hääletuste arvuga. Igale häälele on valijarakenduses kaasa pandud üks number, häälte arv. Loogiliselt võttes peaks üks inimene saama anda ühe hääle ühele kandidaadile ja seega peaks number olema alati üks. Seeder küsib aga, et kas see on alati üks. Kokkulugemisel ei arvutatavat mitte hääletuste arvu, vaid liidetakse neid numbreid. Ka hääletanute arv saadakse sellest summast. Aga kui number peaks alati niikuinii olema üks, milleks sellise mitmeti mõistetavuse tekitamine?


Heldur-Valdek Seeder on sportlane, samuti endine pikaaegne keskkriminaalpolitsei ametnik. Ka tema osales hiljutistel valimistulemuste selgumisel e-valimiste osas vaatlejana.


"Seadsin eesmärgiks tuvastada, kas e-hääle liikumine alates hääletajast kuni kokkulugemiseni on täies ulatuses vaadeldav," nendib Seeder. "Süsteem seda ei võimaldanud ja vaatlejale hääle liikumise jälgitavuse asemel pakuti arvutiekraanile süsteemi poolt kuvatavaid teateid."
Samas selgub, et vaatlejate eest varjas valimiskomisjon andmeid, mille varjamine tundub mõttetuna. Seeder ütleb, et soovis vaatlejana tutvuda Koguja logidega. Jutt pole siiski Koguja raamatust: Kogujaks nimetatakse serverit, kus salvestub iga hääle andmise õnnestumine. Valimiskomisjon ei lubanud Seederile logidega tutvuda.


Mida logidega tutvumine oleks vaatlejale andnud? Oleks saanud võrrelda logides olevat e-hääletamise arve ja ajatempleid nende häälte arvudega, mis e-häälte urni koosseisus Riigi Informatsiooni Ametist (häältekogujast) vabariigi valimiskomisjonile (VVK) üle anti ja VVK avaldatud tulemustes kajastuvad.


"Võrdluse kaudu me oleksime saanud kindluse, et häälte kogujalt (RIA-lt) VVK-le antud e-häälte urn on tõepoolest autentne, ehk siis sinna pole midagi  lisatud või kustutatud," ütleb Seeder.


Kogenud IT-spetsialisti, mitmeid riigiasutusi teenindanud Tarmo Kaldma arvates sisaldab e-valimiste süsteem hulga potentsiaalseid võltsimisvõimalusi.


"Tehnika, kuidas e-valimiste tulemusi võltsida, näeb välja imelihtne," väidab ta.


Usume e-hääletust


Hääletusserver peab nimelt kontrollima, et isik allkirjastaks oma hääle oma õige koodiga (salajase võtmega) ehk oma kehtiva digiallkirjaga. See kood sisaldub ainult tema ID-kaardis, kuid riigil on selle koodi vaste, millega saab kontrollida allkirja õigsust (avalik võti). Koodi ennast riigil ei ole ja allkirjastada kellegi eest ei saa. Kuid kontrollivat programmi saab veidike muuta nii, et see laseks läbi ka mingeid muid allkirjastamise koode – näiteks neid, mida kasutatakse süsteemi testimiseks.


"Ja saabki nende koodide teadja hääletada otse internetist ükskõik kelle eest," ütleb Kaldma. "Selleks on olemas ka abirakendus – valijarakenduse moodi, aga selline, kus saab ette anda korraga palju inimesi, kelle eest hääletada," lisab Kaldma. "See on süsteemi testimiseks niikuinii vajalik. Inimesed, keda ette anda, aga valitakse vanad, ja sellised, kes pole viimasel korral hääletanud. Kui juhtub apsakaid, mõni ohver tuleb siiski valimisjaoskonda kohale ja tahab paberil hääletada, siis tavaliselt on tegemist vanade inimesed. Nad ei taha sekeldusi ja lähevad torisedes minema. Selliseid on olnud e-hääletuse algusaegadest peale."


Kaldma sõnul ei tasuks siiski e-hääletust lõpetada, vaid see tuleks korrektseks muuta.


"Väga palju abi oleks hääletanute nimekirjade avalikustamisest," ütleb Kaldma. "Siis ei oleks enam praegu eksisteerivat võimalust libahääli lisada. Hääletaja ise peab loomulikult nägema kõiki oma hääletamisi ja nende asjaolusid kuni kasutatud arvuti andmeteni."


Kaldma sõnul tuleks häälte andmise logifailid avalikustada. Samuti ei kujuta endast mingit saladust hääletamiste ajad ja kohad, sest seal ei näe, kuidas ja kes hääletas. "Hääletusel kasutatud serverite kõvakettad tuleks panna vähemalt 50 aastaks seisma, nendest teha tõmmised ja anda soovijatele uurimiseks," soovitab Kaldma. "Hääletussaladust see ei riku, sest hääled on krüptitud, kui on isikustatud, ja lahti krüptitud juba ilma isikuandmeteta. Ja loomulikult kogu valimiste ajal peab jooksma igasugune statistika veebi, ja seda ilma inimeste vahelesegamiseta. E-hääletada peab saama ka paberhääletamise ajal, paberhääl tühistab e-hääle. Tehniliselt kulub vaid hetk, et paberhääletajate nimekiri serverist läbi lasta. Ja ka paberhääletajate nimekiri peaks olema avalik."


Kogu e-hääletamise süsteem rajaneb seega komisjoniliikmete usaldamisel. Tuleb jäägitult usaldada igaühte, sest kui üks on korrumpeeritud, on seda terve e-hääletus. Alles hiljuti usaldasime Andrus Veerpalu, pilkavad e-valimiste kriitikud süngelt.


Sedasama, et kontrollida ei saa ja kõik rajaneb vaid usaldusel, ütlevad ka viimati e-valimistega tegelenud sõltumatud uurijad Oxfordist.

 

 

 

Valimiskomisjon: E-hääletamise süsteemi nüüdisajastatakse kogu aeg


Vabariigi valimiskomisjoni kõneisik Kristi Kirsberg lükkas tagasi süüdistused, nagu ei püüeldaks e-valimiste rakendamisel pidevalt süsteemi uuendamise ja läbipaistvamaks muutmise suunas.


"E-hääletamise süsteemi on 14 rakendamisaasta vältel regulaarselt uuendatud ning ajakohastatud, muuhulgas on lisandunud võimalus kontrollida hääle korrektset jõudmist kesksüsteemi," väitis Kirsberg. Tema sõnul on koos süsteemiga edasi arendatud ka e-hääletamise läbiviimisega seotud protseduure, täpsustatud organisatsiooni ning seadusandlust.


"Läbipaistvuse ja turvalisuse huvides avalikustatakse alates 2013. aastast tarkvara lähtekood," tõi Kirsberg esile sammu vaatlemise hõlbustamise suunas. "Alates 2017. aasta valimistest saab e-hääletamise tulemuste korrektsust kontrollida – see tähendab, et andmeaudiitoritel on lisaks protseduuride vaatlemisele võimalik veenduda ka selles, et kõik antud hääled autentsel kujul ka kokku lugemisele lähevad."


Riigikogu valimiste järel esitati vabariigi valimiskomisjonile üldse kokku 14 kaebust. Neist ei rahuldatud ühtegi. E-hääletamisega oli otseselt seotud kuus kaebust.

 

 

 

E-valimisi on saatnud rahvusvaheline kriitikatulv


Otsast lõpuni kontrollitavuse rakendamine on olnud e-valimiste puhul olulisim soovitus, mida rahvusvahelised OSCE/ODIHR valimisvaatlejad on juba 2011. aastast Eestile andnud.


Kontrollitavuse tagamine on tegelikult oodanud oma aega juba e-hääletuse lähteuuringutest ehk 2001. aastast saadik. See kajastus e-hääletuse tehnilises dokumentatsioonis kuni 2003. aastani ning selle puudumist on seejärel aastate jooksul rõhutanud erinevad sõltumatud väliseksperdid.


2015. aasta riigikogu valimiste järel teatasid valimisvaatlejad, et kontrollitavusega on muudatuste raames tegeldud ainult "osaliselt". Riigikogu pole aga teinud otsust otsast lõpuni kontrollitavuse rakendamiseks: näiteks andnud ette suuniseid, missugustest põhimõtetest lähtuvalt seda teha, ega ole võtnud seega ka vastutust protsessi eest.


Vahetult enne 2014. aasta europarlamendi valimisi esinesid väliseksperdid Jason Kitcat, J. Alex Halderman jt kriitikaga Eesti e-valimiste süsteemi asjus. Ekspertide sõnul olid nad šokeeritud, kui lihtne oli e-valimiste tulemusi pahatahtlikult muuta. Muuhulgas avastati, et oluline tarkvara laaditi alla turvamata internetiühenduse kaudu, samuti toksiti arvutite salasõnu ja PIN-koode sisse kaamerate nähes. Ühes videos oli märgata, et valijarakenduse ettevalmistamiseks kasutati arvutit, kus samal ajal oli avatud pokkerimängu aken. "Need tegevused näitavad turvalisuse tagamisel ohtlikult ebaadekvaatset professionaalsuse taset, mis jätab kogu süsteemi avatuks rünnakule ja manipulatsioonile," leidsid uurijad.

20 kommentaari

Laadimine...Laadimine...
Laadimine...Laadimine...