IT-EKSPERDID ÜLISTATUD E-HÄÄLETUSEST: Valijate hääli saab võltsida ühe näpuliigutusega, süsteem on kui katkine linnamüür!

"Ühe liigutusega on võimalik välja vahetada kõik hääled – ja seda saab teha süsteemi käitaja," kirjeldab IT-asjatundja Tarmo Kaldma e-valimiste nõrgimat kohta. Tema sõnul tekitab erilist kahtlust ka e-hääletuse kõvaketaste hävitamine. Küsimusele, miks suhtutakse e-valimiste kriitikutesse üleolevalt, vastab Kaldma lakooniliselt: "Ei välista ka võltsimisvõimaluse kaotuse kartust."  IT-spetsialisti Märt Põderi sõnul on e-valimised kui poolik ehk kaitsmata linnamüür. 

Pilt: Scanpix/it-ekspert Märt Põder
Valimised Eesti

IT-EKSPERDID ÜLISTATUD E-HÄÄLETUSEST: Valijate hääli saab võltsida ühe näpuliigutusega, süsteem on kui katkine linnamüür! (35)

Virkko Lepassalu

"Ühe liigutusega on võimalik välja vahetada kõik hääled – ja seda saab teha süsteemi käitaja," kirjeldab IT-asjatundja Tarmo Kaldma e-valimiste nõrgimat kohta. Tema sõnul tekitab erilist kahtlust ka e-hääletuse kõvaketaste hävitamine. Küsimusele, miks suhtutakse e-valimiste kriitikutesse üleolevalt, vastab Kaldma lakooniliselt: "Ei välista ka võltsimisvõimaluse kaotuse kartust."  IT-spetsialisti Märt Põderi sõnul on e-valimised kui poolik ehk kaitsmata linnamüür. 

IT-spetsialist Tarmo Kaldma on öelnud, et e-valimiste peaprobleem on see, et serveri haldaja (valimisjomisjoni IT-spetsialistid – toim) võib teha kõike, mida ise tahab, ja selle üle puudub kontroll. "Mul ei ole usku, et see server oleks erapooletult hallatud," ütleb Kaldma. Turvalisuse tõstmiseks peaks tema sõnul uurima, mis moodi on tarkvara ehitatud, sest hiljem ei ole süsteemis midagi näha ja tavaliselt tekivad probleemid juba tarkvara ehitamise ajal. "Tagauksed ja deemonid ehitatakse ju süsteemi sisse," lisab Kaldma.

Piraadipartei liikme Märt Põderi sõnul on e-valimiste suurimaks probleemiks kontrollitavuse puudumine – inimene, kes andis hääle, peaks saama vaadata, kas see ka reaalselt loetud sai.

Põderi sõnul on praeguse vigase ja pooliku e-valimiste süsteemi puhul e-hääli võimalik muuta nii, et sellest ei saa mitte keegi aru. Mitmetel spetsialistidel on näidisrakendused, kuidas Eesti e-hääletust võltsida, aga nende kasutamine oleks kriminaalne. "Seega need, kes tahaksid reaalselt tõestada, et e-valimiste süsteemi saab rünnata, ei saa seda teha, sest võiksid selle näitamise eest vangi minna," lausub ta. Just seetõttu tuleks e-valimised muuta vaadeldavaks ja kontrollitavaks.

Miks e-valimiste temaatika teie tähelepanu pälvis?

TK: IT-spetsialistina oli see mulle huvitav. Tehniline lahendus oli ilus ja kasutamine ka mugav, olen ise seda algusest peale kasutanud.

MP: Suurem huvi tekkis, kui viimastel riigikogu valimistel 2015. a ei olnud kellegi poolt häält anda ja otsustasin e-hääletussedeli rikkuda. See oli eksprompt otsus, kui hääletamise lõpuni oli jäänud umbes kaks tundi.

Ma polnud rikutud sedeli kohalejõudmises kindel kuni hetkeni, mil häältelugemise teisel päeval logisid uurides selgus, et minu jaoskonnast oli tõesti edastatud üks rikutud e-sedel. (Katse üks väärtusi seisnes näitamises, et sedeli rikkumine, mis on hääletamisel kodaniku õigus, on e-hääletamise puhul aeganõudev ja keeruline – toim.) Pärast seda tekkis meedias diskussioon, et kas ma tõesti häkkisin e-valimisi, mille järel lugesin läbi e-hääletamise teemalised materjalid alates alusuuringutest kuni tarkvara dokumentatsioonini, ka praeguse õiguskantsleri Ülle Madise teadustööd e-hääletuse teemal. Tutvusin ka välisekspertide kriitikaga ning seejärel kirjutasin oma tegevuse selgituseks programmilise artikli meie e-hääletuse vigadest. Kümne aasta tagused lähteuuringud nõudsid praegusest tunduvalt rangemat e-hääletussüsteemi, kui meil praegu on, ning seda pole seni suudetud teoks teha. Sama on heitnud ette OSCE raportid, sama on öelnud teadlaste rühmad, kes on käinud e-hääletust uurimas, Ühesõnaga, kõik ütlevad ühte ja sama, aga Eesti e-hääletuse korraldajad teatavad, et kõik on turvaline ja maailmatasemel. Mis ei ole ilmselt tõsi.

Mis on e-hääletamise kõige nõrgemad kohad, suurim oht?

TK: Kõige ohtlikum ja kergemini teostatav on rünnak süsteemi käitaja enda poolt. Teoreetiliselt on ühe liigutusega võimalik välja vahetada kõik hääled. Selleks ei ole vaja mitte midagi murda, krüptost ja muudest kaitsetest minnakse mööda. Ka edukad rünnakud pankade vastu on reeglina seda sorti. Serverit justkui kaitstakse hoolega. Kuid milline tarkvara neisse satub, see on siiski süsteemi käitaja kontrolli all. Seega ei ole kindlust, et serverites töötas see tarkvara, mis väidetavalt seal töötas. Rääkimata sellest teoreetilisest võimalusest, et väline ründaja sai oma kontrolli alla süsteemi tarkvara arendamiseks kasutatud arvuti.

MP: Kõige nõrgem koht on selle arhitektuur. Süsteem ei vasta nõuetele, mis tänapäeva maailmas e-hääletusele seatakse. Kui muidu on meil põhiseaduslikud põhimõtted, mida on harjutud pabersedeliga hääletades ellu viima, siis e-hääletamise puhul on selle vasteks otsast lõpuni kontrollitavuse kontseptsioon. Selle teostamata jätmine on e-hääletuse suurim arhitektuuriline viga. E-hääletuse tarkvara koostanud AS Cybernetica teadurid on neist probleemidest täiesti teadlikud, aga lahendust seni leitud pole.

Kuidas võiks IT-kaugele inimesele lahti seletada, mida tähendab e-valimiste otsast otsani kontrollitavus, selle puudumine on kuuldavasti meie e-hääletamise üks põhiprobleem?

MP: Otsast lõpuni kontrollitavust võib mõtelda kui e-hääletuse ehituskive või klotse, millest see kokku pannakse. Kaks suurt klotsi on individuaalne ja universaalne kontrollitavus. Individuaalne kontroll on siis see osa, et ma andsin oma seadmest hääle ja saan vaadata, kas kokkulugemisele läks seesama hääl, mille ma andsin. Eestis on 30 minuti piir kontrollimisel, pärast seda ei saa ma kontrollida, kas mu hääl on ikka seal serveris samal viisil olemas. Individuaalse kontrolli mõte seisneb aga selles, et ma saan oma häält jälgida kuni selle hetkeni välja, mil hääli kokku hakatakse lugema. Meil on probleeme nii selle individuaalse kontrollitavusega kui ka algoritmide poolt toimetatava universaalse kontrollitavusega – seda viimast pole meil Eestis kunagi isegi katsetatud, kuigi seda nõuti juba lähteuuringutes. Uue e-hääletuse tarkvara riigihankes on see nüüd tingimuseks seatud, aga pole teada, kas see ka tegelikult ellu viiakse.

Kuidas muuta e-valimiste probleemid üldsusele mõistetevamaks ja tõmmata neile ka rohkem välisekspertide tähelepanu?

MP: Otsast lõpuni kontrollitavuse terviklik lahendus on ka koht, mis vajaks rahvusvahelise ekspertide üldsuse kriitilist pilku. Ei saa olla, et on natuke ühte ja natuke teist kontrollitavust. Kui jätkata ehituskivide võrdlusega, siis demokraatlike valimiste põhimõtete kaitsmist krüptograafiaga võib võrrelda linnamüüriga. Poolik linnamüür ei kaitse linna soovimatute sissetungijate eest. Osaliselt valmis linnamüür ei ole päriselt linnamüür, vaid saab selleks alles siis, kui ümbritseb kogu linna ja on varustatud suletavate väravatega.

Samamoodi olen oma blogis kirjutanud, et kuigi armastame oma e-riigiga välismaal uhkeldamas käia, tasuks meie esindajatel tõsiselt järele mõelda, kas ei kiida e-hääletamise asjatundjad meid pigem viisakusest kui püüdlikke idioote, kelle kohta on teada, et nad polegi rohkemaks suutelised.

Mina tegelikult eeldaksin, et kontrollitavuse küsimused seletaks näiteks valimiskomisjon ja teeks seda muu hulgas inglise keeles. Ja et avalikkusele peaks lahendust selgitama ka tarkvara väljatöötaja, aga võimalik, et oleks vaja ka õiguskantsleri ja riigikohtu seisukohavõtte, kas e-hääletus teostatud kujul vastab põhiseadusele või mitte. Oli Arnold Rüütli kaebus riigikohtule, oli Paavo Pihelga kaebus, aga riigikohus pole e-valimiste tervikuna vastavust põhiseadusele arutanud. Seega ei saa kuidagi öelda, et Eesti e-hääletus oleks maailmatasemel õiguslikus või ka tehnilises mõttes. Isegi kui tarkvara saab KOV valimisteks korda, siis selle meie ja rahvusvahelisele avalikkusele selgitamine, selle testimine, auditeerimine – see kõik jääb tegemata, sest ma ei usu, et see oleks praegu enam ajaliselt võimalik.

Miks me peaksime saavutama otsast otsani kontrollitavuse?

TK: Muidu jääb alati väike võimalus, et toimus edukas rünnak kusagil vahepeal, mida me ei suuda avastada.

Ma saan aru, et kogu e-hääletus rajaneb süsteemi käitlejate usaldamisel, kuivõrd nood saavad süsteemis toimetada nii, nagu ise tahavad?

MP: See on ilmselt tõsi, et e-hääletus rajaneb poole tosina läbipaistmatutel põhjustel määratud komisjoniliikme usaldamisel. Ilmselt tehakse neile taustakontroll, aga see pole avalik, seega ei saa öelda, kui palju me neist igaühte eraldi üldse usaldada võime. Tehnilistel ekspertidel, kes seal arvutite juures toimetavad, on kindlasti võimalik arvuteid manipuleerida. Neid ei ole võimalik kogu aeg jälgida. Sisuliselt pean ma jäägitult usaldama igaüht seal komisjonis, sest kui üks neist on korrumpeeritud, siis on terve e-hääletus potentsiaalselt korrumpeeritud.

Alternatiiv oleks, et usaldame komisjoni asemel e-hääletust ennast, aga see tähendab, et selle arhitektuur peab olema üles ehitatud nõnda, et igaüks saaks kontrollida, et see, mis sinna sisse läheb, ja see, mis välja tuleb, kattub omavahel. Seda peaks tagama otsast lõpuni kontrollitavuse rakendamine, aga see on siis nn matemaatiline usaldatavus, millega on omad probleemid. Selge, et otsast lõpuni kontrollitavust ennast, mis põhineb krüptograafial, igaüks ise endale selgeks ei tee. Aga mida igaüks saab selgeks teha: kuidas saab kontrollida, et minu hääl läks valimistel arvesse ja loeti õigesti kokku. Meil on valida, kas usaldada mingeid meile tundmatuid isikuid, aga seda on minu arvates demokraatlike valimiste puhul sobimatu nõuda – või siis usaldada krüptograafilist lahendust, sisuliselt matemaatikat. Seda võimalust meile aga kahjuks ei pakuta.

TK: Võib spekuleerida ja visandada mitmeid rünnakuviise, mida süsteemi käitaja oleks võinud edukalt kasutada. Kõige lihtsamini teostatav on väike ja märkamatu, hääletusi vastu võtva serveri tarkvara modifikatsioon, mis jätab teatud ID-kaardi numbrite puhul ära kontrolli, et ID-kaart on tõesti reaalselt kellelegi välja antud. Tulemusena on lihtne võimalus genereerida zombi-ID-kaarte ja nendega piiramatult ja suvaliselt hääletada. Seejuures tuli selline võimalus süsteemi testimiseks niikuinii luua, seega on kõik vahendid käepärast. Siis on veel võimalik modifitseerida hääletustulemust kokku lugevat tarkvara nii, et ta teatud partei poolt hääletanud loeks teatud teise partei poolt hääletanuteks – mingi ette antud tõenäosusega.

Ja siis saab mängida veel paberil hääletanute nimekirjaga. Näiteks asendada seal ühe partei liikmed teise partei liikmetega, ja nende korrektsed e-hääled tühistatakse. Ja lõpuks saab kogu hääletuse faili lihtsalt välja vahetada. Igal juhul see, mida e-valimise jälgijatele näidatakse, on see, mida näidata tahetakse. Programme saab näiteks ümber nimetada nii, et kontrollsumma asemel näidatakse konstanti. Mis tegelikult toimus, teab vaid korraldaja.

Ühe ohuna on räägitud vanurite jt abitumate inimeste ID-kaartidest, et ei tea, kelle käes need hääletamisel võivad olla ja kes nendega tegelikult toimetavad.

MP: Riigikohtu meelest oli võimalus üle või uuesti hääletada selle vastu piisav garantii. Aga kuna e-hääletamine toimub kontrollimatus keskkonnas ehk iga inimese arvutis, siis ei ole head lahendust. Võiks mõelda mingitele biomeetrilistele lahenditele, et võtta näiteks sõrmejälg, veendumaks, et isik on ise reaalselt kohal, aga sellist tehnoloogiat meil praegu ei ole ja selle rakendamine oleks keeruline.

TK: Oluliselt inetum, kui need ID kaardid "jalutavad" ära hooldushaiglate abitus seisundis inimeste juurest ja nende eest hääletavad personali liikmed. Seda ma loeksin juba kuriteoks. Kuid selliseid asju saab ka suhteliselt lihtsalt avastada ja tõestada ning süüdlased vastutusele võtta. Viimastel valimistel oli palju juttu sellistest asjadest, kuid paistis, et puudus õiguskaitseorganite huvi. See oli väga halb, ent kui õiguskaitseorganid selliseid asju tõsiselt võtaksid ja süüdlasi karistaksid, siis taolised juhtumid kaoksid.

2015. a olete viidanud, et näiteks "nõrgaks kohaks süsteemis on hetk, mil hääl ümbrikust välja võetakse. Süsteem võib hääle kaotada või mitu korda arvestada, ühesõnaga teha mida iganes".

TK: Siis ei ole enam krüptot häält kaitsmas! Kõik sõltub programmide töö korrektsusest. Mis aga ei ole üldse kindel.

Kriitikud on viidanud, et e-hääletamise süsteem on poolfabrikaat. Helger Lipmaa, üks süsteemi autoritest olevat lõpuks öelnud, et tema ei lähe e-hääletama, sest see süsteem ei vasta nõuetele, mis nemad teadlastena seadsid. Miks see jäeti poolfabrikaadiks?

TK: On muidugi palju mentaliteeti, et käib küll ja mis seal ikka juhtuda saab. Võisid olla ka ajalised ja rahalised piirangud. Kuid võis olla ka teadlik võltsimisvõimaluse sisse jätmine.

MP: Krüptoloogid Helger Lipmaa ja Oleg Mürk soovitasid lähteuuringus läheneda sellele nii, et teha e-hääletus etapiviisiliselt, kuue-seitsme aasta jooksul. Aga kui teha kohe ja üleriigiliselt – see toob muidugi riigile palju tähelepanu. Ja et olla kindlalt esimesed, tehti see ära odava ja tuntud tehnoloogiaga ega hakatud katsetama teadusmahukate krüptolahendustega. Võib-olla oli see ka õige, et kusagilt pihta hakata, aga mis kindlasti pole õige, on see, et pole suudetud siiamaani aastal 2001 võetud eesmärke täita, s.t viia e-hääletus maailma standarditega vastavusse.

Mida võiks öelda e-hääletamise 12 aaastat vana tarkvara kohta, mida võib-olla ei jõuta sügisesteks kohalikeks valimisteks uuendada?

TK: Täielik bardakk, et mitte hullemini öelda. Väga imelik, et justkui nii prioriteetsetele projektile ei suudeta anda piisavaid ressursse.

MP: Ei usu, et KOV valimistel kasutatakse 12 aastat vana tarkvara, sest sellele on väga suur vastuseis ka e-hääletuse tuliste pooldajate hulgas. Eelmiste valimiste eel juba lubati, et uued valimised ei toimu sama tarkvaraga.

Vana tarkvara puhul mureneb niigi vastuoluline usaldus veelgi. On olemas riigihange ja AS Cybernetica teadusliku artikli vormis lähtedokument, mina arvan, et tehakse uus tarkvara vähemalt esialgsel kujul valmis, aga võimalik, et seda kasutatakse osaliselt. Asjade tegeliku seisu kohta puudub samas avalik info. Mina käisin e-hääletuse komisjoniga kohtumas aastal 2015. Minu nõudmine oli, et seda maailma tasemele viia, tuleb e-hääletamise protsess ja süsteemi väljatöötamise jälgimine tagada maailmas arusaadavas ehk inglise keeles. Tarkvara testimine jne peaks käima niimoodi, et rahvusvahelised eksperdid saavad tulla ja vaadata, mis täpselt ja kuidas. Praegu on nii, et isegi kohalikud aktivistid ei tea, mis toimub.

Uue tarkvara riigihankes on kirjas, et kontrollitavuse mehhanismi kasutamine on vabatahtlik. See tekitas minus kummastust, ja täiesti juhuslikult vastas Siim Tuisu Facebooki seinal üks valimiskomisjoni liige: aga me kavatseme seda kindlasti rakendada. Arutelu e-hääletuse oluliste küsimuste üle käib ainult eesti keeles ja seda kellegi suvalise tegelase Facebooki seinal. Kogu e-hääletuse protsess on suletud ja välismaailma eest peidetud. Jälgida saab seda ehk tagantjärele, aga pärast hääletust siis kembeldakse mõnes Briti suures päevalehes, kas hääletus oli turvaline või mitte. Kuna see on tagantjärele, siis selle debati tähendus on teistsugune, kui oleks enne hääletust ja süsteemi väljatöötamist. Räägitakse palju usaldusest, et usaldus on e-hääletuse juures peamine asi, aga usaldust on praegu loodud pigem kampaania korras – sellisel ostetud usaldusel on omad piirid.

Eesti IT-lugu on osa meie riigi brändimisest – ilmselt on see põhiline põhjus, miks ametlikult pole kriitikute häält e-valimiste asjus seni kuulda võetud?

TK: Kõige olulisem ilmselt poliitikute usaldusväärsuse kaotuse kartus. Aga ei välista ka võltsimisvõimaluse kaotuse kartust.

MP: Loomulikult tahab riik ennast müüa. Aga kui rahvusvahelises teaduskirjanduses arutatakse e-hääletuse variante, siis Eesti oma ei kaalu küll ükski riik. Vaadatakse Norrat, vaadatakse Šveitsi, aga e-hääletuse korraldajad meie suletud konnatiigis hooplevad, et Eesti süsteem on kõige parem ja turvalisem.

Mida arvata e-hääletamise kõvaketaste kiirest hävitamisest?

TK: Erilist kahtlust tekitab jah serverite kõvaketaste hävitamine, nii kadus lõplikult võimalus uurida mis seal tegelikult toimus. Kõvakettad tuleks kontrollijate kätte anda. Seda võib teha ka koos häälte failiga, sest hääled on krüptitud ja hääletussaladust seega ei rikuta, küll aga saab rakendada kaudseid kontrolle ka sellele failile.

 

E-valimisi on saatnud rahvusvaheline kriitikatulv

• Vahetult enne 2014. aasta europarlamendi valimisi tuli rahvusvaheline välisekspertide meeskond koosseisus Jason Kitcat, J. Alex Halderman jt välja kriitikaga Eesti e-valimiste süsteemi pihta. Ekspertide sõnul olid nad šokeeritud sellest, kui lihtne oli e-valimiste tulemusi pahatahtlikult muuta. Uurimisrühm avastas, et oluline tarkvara laaditi alla turvamata internetiühenduse kaudu, samuti toksiti arvutite salasõnu ja PIN-koode sisse kaamerate nähes. Ühes videos oli märgata, et valijarakenduse ettevalmistamiseks kasutati arvutit, kus samal ajal oli avatud pokkerimängu aken.

• Need tegevused näitavad turvalisuse tagamisel ohtlikult ebaadekvaatset professionaalsuse taset, mis jätab kogu süsteemi avatuks rünnakule ja manipulatsioonile," leidsid uurijad.

• Ka OECD/ODIHR sõltumatute teadlaste uurimisrühma aruanne 2007. valimiste kohta lausus: "Tundus, et nii poliitilistel parteidel kui ka avalikkusel tervikuna puudus pea igasugune järelevalve elektroonilise hääletamise protsessi üle."

• 2011. a valimiste järel esitas programmeerija Paavo Pihelgas vabariigi valimiskomisjonile kaebuse, milles nõudis e-valimiste tühistamist, kuna tema sõnul on e-valimine ebaturvaline. Pihelgas kirjutas programmi, mis sekkus kasutaja arvutis oleva valimisrakenduse töösse.

 

Paberhääletuse õigsust kontrollib üle 4000 inimese, e-hääletust vaid kuus

Eelmistel kohalikel valimistel 2013. aastal oli üle Eesti kokku 582 valimisjaoskonda ning Tallinnas koosnes iga jaoskonnakomisjon keskeltläbi seitsmest liikmest.

Haldusreformi järel tegeleb paberil antud häälte kokkulugemisega üle Eesti kokku 4000 inimest, kes siis esitavad tulemuse n-ö keskusele.

E-hääletamisel oleme sunnitud usaldama kuut inimest: esimees Taavi Martensit ja viit komisjoni liiget riigi infosüsteemide ametist, AS Cyberneticast ja sertifitseerimiskeskusest.

 

Vigane süsteem rahvusliku uhkuse asjaks

Omal ajal rääkis IT ekspert Paavo Pihelgas hääletaja arvuti viirusega nakatamisest, mis blokeeris hääle jõudmise valimiskomisjonini.

Märt Põdra sõnul ei saa üldiselt eeldada, et kasutaja arvuti väga turvaline oleks. "On viirused ja muu pahavara," lausub Põder. "Ma tean, et mõnedes maades on pakutud lahenduseks, kui riik pakuks hääletamiseks spetsiaalset turvalist ja avatud lähtekoodiga operatsioonisüsteemi. Reaalsuses on maailmas seni rakendatud peamiselt hääletusmasinaid, mis on kontrollitud keskkonnas, näiteks avalikus ruumis, kus on näha, mida ja kuidas nendega tehakse. Selle e-masina tarkvara eest operatsioonisüsteemi tasemel vastutab riik. Ka on sel juhul raskem koguda näiteks ID-kaardid kokku ja hääletada vanainimeste eest seadust rikkudes."

Põdra sõnul on see jutt, et meie e-hääletamine on palju parem kui masinaga hääletamine, mingis mõttes eksitav. "Hääletamiskioskite või -masinate puhul on märksa väiksem võimalus, et midagi viiruste või oskamatu arvutikasutamise tõttu valesti läheb. Suurem osa riikidest on läinud masinate teed. Näiteks Brasiilias või USA mõnedes osariikides. Internetihääletust on tehtud Šveitsis, Norras jm. Ent Eesti on ainukene riik, kus e-hääletust propageeritakse kui tavalist üleriigilist hääletamisviisi. Mujal on see alternatiivne hääletusviis, näiteks Šveitsis, kus on rangelt öeldud, et see nendele kodanikele, kel vaja välismaalt hääletada."

35 kommentaari

Laadimine...Laadimine...
Laadimine...Laadimine...