Välttäkää sähköistä äänestystä!

Äänestyspaikalla tapahtuvaa sähköistä äänestystä kokeillaan Suomessa ensi kerran Karkkilassa, Kauniaisissa ja Vihdissä. Alankomaat sen sijaan on jo ehtinyt luopua siitä. Sen luotettavuudessa on vakavia ongelmia.

Nykyisessä vaalijärjestelmässä kilpailevien puolueiden edustajat laskevat äänet kahdesti. Manuaalisessa laskennassa ei voi tapahtua suuria laskuvirheitä, ja vaalituloksen merkittävä väärentäminen edellyttäisi laajaa puoluerajat ylittävää salaliittoa. Ääntenlaskutapa on jokaisen kansalaisen ymmärrettävissä.

Sähköisessä äänestyksessä kone laskee äänet automaattisesti. Kukaan ei pysty näkemään ääntenlaskuprosessia, sillä on aivan eri asia mitä kone näyttää tekevän ja mitä se oikeasti tekee. Pienikin koodausvirhe voi aiheuttaa olennaisen vääristymän vaalitulokseen. Koska laskentaohjelmiston lähdekoodi on liikesalaisuus ja sitä pääsevät tutkimaan vain harvat, virhe voi jäädä pitkäksi aikaa havaitsematta. Vaalituloksen väärentämiseen tarvittaisiin vain muutama koodaustaitoinen ihminen. Sähköistä ääntenlaskentaa on monimutkaista hahmottaa, ja se vaatii valtavan määrän yksityiskohtaisia varotoimia.

Sähköisessä äänestyksessä koneeseen on vain luotettava täydellisesti. Tarkistuslaskenta ei ole mahdollinen, koska Suomessa ei ole otettu käyttöön paperivarmannetta, jonka äänestyskone tulostaisi ja jotka voitaisiin tarvittaessa laskea käsin. Mitä tehdään, jos jälkeenpäin huomataan useiden peräkkäisten vaalien tuloksen olleen virheellinen? Mitä jos äänestyskoneet reistailevat yhteiskunnallisesti epävakaassa tilanteessa? Mitä jos tulee aika, jolloin oikeusministeriön virkamiehiin ei voidakaan luottaa?

Yhdysvalloissa on paljon kokemusta sähköisistä äänestyskoneista. Monissa vaaleissa on ollut epäselvyyksiä, jotka ovat olleet omiaan nakertamaan koko poliittisen järjestelmän uskottavuutta. Ei ole mitään syytä olettaa, etteivät Yhdysvaltain kokemukset voisi toistua Suomessa.

Piraattipuolue toteaa, että sähköinen äänestys ei tuo mitään olennaista lisäarvoa vaalijärjestelmään. Jos kokeilua kuitenkin halutaan laajentaa, vähimmäisvaatimuksia ovat:

a) äänestäjä saa uurnaan tiputettavaksi paperivarmenteen, joita voidaan tarkastaa pistokokein tai laskea vaalitulos kokonaan uudelleen (ETYJ ja Euroopan komissio suosittelevat paperivarmistusta);

b) vaaliohjelmistot ovat vapaata lähdekoodia.

Jos kansalaiset innostuvat äänestämään sähköisesti nyt, ongelmiin ei ehkä puututa lainkaan. Välttämällä sähköistä äänestystä kansalaiset voivat nostaa esiin vaatimukset sähköisen äänestyksen luotettavuuden parantamisesta. Piraattipuolue ry suosittelee pidättäytymään sähköisestä äänestyksestä kunnes sen luotettavuus on riittävällä tasolla. Perinteistä paperiäänestystä Piraattipuolue suosittelee lämpimästi!

Tämä kannanotto hyväksyttiin Piraattipuolue ry:n ylimääräisessä kokouksessa Jyväskylässä 18.10.

Effi ry:n sähköäänestys-FAQ
ETYJ:n vaalitarkkailuopas, s. 44 (paperivarmentamaton sähköinen äänestys on listattu ”mahdolliseksi ongelmaksi”)

0 vastausta artikkeliin ”Välttäkää sähköistä äänestystä!

  1. Tähän on pakko kommentoida parista sähköiseen äänestykseen liittyvästä yleisestä harhaluulosta.

    Effin korjatussakin FAQ:ssa on yhä epätäsmällisyyksiä, joiden tarkentaminen mahdollistaa turvallisen lähes läpinäkyvän äänestystapahtuman ilman avoimenkoodin ohjelmistojakin.Olipa koodiavointa tai ei, se voi tehdä aina virheitä!

    Ensinnäkin kohta
    ”-Äänestäjää lukuunottamatta kukaan ei saa tietää, ketä kukin on äänestänyt.”
    Tarkemmin ottaen äänestäjä voi tunnistaa sähköisen äänensä uurnassa, vaalisalaisuuden rikkoontumatta. Itseasiassa kukaan muu ei voi varmistaa uskottavasti äänien perille menoa! Jos joku toinen valvoo aina on riski, että hän on huijannut.

    Ennen kuin takerrutte effin listan kohtaan
    ”- Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti”
    tarkennan etten todellakaan esitä että henkilö ja ääni olisi yhdistettävissä äänen uurnan perille menon varmistamiseksi. Nähdäkseni riittää varmistaa että ääni on mennyt muuttumattomana kaikille laskijoille. Tuloksen varmistamiseksi näiden laskijoiden tulisi saada sama tulos.
    Kun äänen perille menon voi varmistaa anonyymisti, ilman sisällön näkemistä äänestyssalaisuus on turvassa.

    Effin pelko äänien ostamisessa taas on hieman kaukaa haettu. Kännykamera sukupolvena tiedämme että paperi lapun täytön todistaminen kännykällä kuvaamalla on aika triviaalia, joten enemmän se on uhka nykyjärjestelmässä.

    Kolmas kohta johon haluankin kiinnittää huomiota effin FAQ:ssa on viron äänen vaihtamismahdollisuuden parjaaminen. Kiristämiseltä ei voi suojautua kuin mahdollistamalla äänen vaihtamisen.( Huomautan tässä että äänen vaihtamisen toteutttamiseen ei tarvita vanhan äänen avaamista eikä se näin ollen vaaranna äänestyssalaisuutta.) Se että virossa ääniin jää aikaleimat on todella tökeröä, muuten yritys nettiäänestyksen turvaamiseksi on täysin oikean suuntainen.

    Edellinen vaihtamismahdollisuus tekee paperivarmenteen käytöstä mahdotonta. Mutta mitä tarvetta siihen on jos jokainen voi varmistaa että oma ääni on laskennassa muuttumattona.

    Korostan vielä että nyt kokeiltana oleva jäjestelmä täytä edes perusehtoja mitä sähkövaalijärjestelmältä pitäisi vaatia.

    Toivon kuitenkin että PP lähde kuitenkaan sokeasti peesaamaan effiä asiassa. Totuus on että nettiäänestäminen on mahdollisuus ei uhka. Pitää vain ymmärtää miten se tulee toteuttaa oikein.

  2. ”Kännykamera sukupolvena tiedämme että paperi lapun täytön todistaminen kännykällä kuvaamalla on aika triviaalia, joten enemmän se on uhka nykyjärjestelmässä.”

    Päin vastoin. Nykyjärjestelmässä voi esim. ottaa kuvan täytetystä äänestyslapusta ja sen jälkeen käydä sanomassa vaalivirkailijoille, että tuli tehtyä virhe, ja pyytää uutta äänestyslappua jolloin edellinen revitään. Näin mahdollinen äänen ostaja/kiristäjä ei voi koskaan oikeasti tietää, antoiko myyjä/kiristettävä äänensä sille jolle piti.

    Sähköisessä äänestyksessä taas mahdollisuutta äänen perumiseen ei ole enää sitten kun on nappia painettu. Eli tämäkin ongelma itse asiassa pahenee sähköisen äänestyksen myötä.

    Yleisempää äänestyspaikalla kuvaamista taas ei sallita kuin korkeintaan tiedotusvälineille ja silloinkin muistaakseni kuvaaminen pitää keskeyttää, jos joku äänestyspaikalla oleva sitä vaatii.

  3. Niin olen kuullut tuon perustelun useita kertoja. Käytännössä kuitenkin äänestys tilassa lapun vaihtaminen muiden äänestäjien huomaamatta on käytännössä mahdotonta, joten väitteesi lapun vaihtamismahdollisuudesta on vain teoreettinen.

    Toinen kohta sähköäänen perumisen mahdottomuudesta riippuu täysin järjestelmän toteutustavasta. Jos matkitaan paperi uurna mallia olet oikeassa.
    Mutta käytännössä sähköäänestys on mahdollista toteuttaa myös ”ennakkoäänimallilla” jos ääni avataan vasta laskettaessa. Tällöin jokainen ääni on mahdollista poistaa tai muuttaa ennen laskentaa varsin helposti.

    Ennen kuin väität että anonymiteetti vaarantuu, muistutan että salatun äänen anonymiteetin vaarantuminen on huomattavasti pienempi kuin nykyisen ennakkoäänen. Salauksesta johtuen sitä ei oikeastaan voi kukaan avata. Sähkö äänessä toisaalta ei tarvitse olla muita kuin äänestäjän itse tunnistamia tunniste tietoja. Joten se siitä vöitteestä.

  4. Mielestäni suurin ongelma sähköisessä äänestämisessä on sen ymmärrettävyys. Nykyisen järjestelmän toiminta on helposti kansan ymmärrettävissä. 1. Täytetään lappu 2. leimataan se 3. lasketaan äänet. Koko suoritusta valvoo eri puolueiden edustajat. Kyseessä on hyvin toimiva järjestelmä eikä äänien laskemisessa ole ongelmaa.

    Miten selitetään sähköinen äänestysjärjestelmä yhtä helposti ymmärrettävällä tavalla? Ei mitenkään, tekniikasta ymmärtämätön ihminen ei pysty koskaan käsittämään miten ääni rekisteröityy. miten ne lasketaan ja kuinka sitä valvotaan.

    Itse olen hyvin tekninen ihminen ja saattaisin jopa ymmärtää äänestysjärjestelmän ohjelmakoodia, mutta mielestäni sähköistä äänestystä ei pidä toteuttaa jos sitä ei pystytä selittämään kansalle kansan ymmärtämällä tavalla.

  5. Edellinen äänestys kuvaus on vähän liikaakin yksinkertaistettu. Totuus on että uskomme vain ymmärtävämme miten järjestelmä toimii.

    Vastaava oleellisten asioiden yksinkertaistaminen on mahdollista myös oikein toteutetussa sähköisessä äänestyksessä. Jos nettiäänestys toteutetaan yksinkertaisesti niin että
    1. äänestetään koneellaan ja salataan ääni,
    2. tarkastetaan anonyymisti että oma ääni on sähköisessä uurnassa ja
    3. avataan sekä lasketaan äänet
    Päästään kaikkien ymmärtämään yksinkertaisuuteen. Tietysti jos äänestys toteutetaan nykyisen kokeilun lailla päinseiniä niin vaadittua uskoa ei synny. Esittämässäni yksinkertaistuksessa usko toimivuuteen syntyy kohdassa kaksi ”tarkastetaan onko ääni uurnassa”. Perinteisessä mallissa tuloksen luotettavuus taataan leimaamalla ja effin vaatimus uskon palauttamiseen on ollut paperinen varmistustuloste.

    Onko edellinen vertaus sitten oikea, pitääkö väitteeni tyhmyydestämme paikkansa?
    Esimerkiksi suurin osa ihmisistä ei ymmärrä edes suhteelliseen vaalitapaan liittyvää edustuspaikkojen jakamista, joten ei se nykyinen systeemikään mikään yksinkertainen ole edes ilman leimoja ja sinetöintejäkään. Vaalivalvojista puhumattakaan.

    Oikein toteutetussa sähköinen äänestysmenetelmässä hankalasti ymmärrettävät valvontakysymykset suojataan salauksilla. Vähän vastaavasti nykyisessä leimoilla ja sineteillä turvataan uurnan sisältö. Oletko koskaan ajatellut kumpi on vaikeampaa väärentää leimat, sinetit ja äänestysliput vai murtaa nykyiset salausavaimet?
    Taisit itsekin yllättyä vastauksesta. Tokihan tiedät ettei lippujen vaihtaminen ole mahdollista, koska paikalla on vaalivalvojia. Toisaalta jos jokainen äänestäjä tietää äänensä olevan uurnassa tarvitaanko näitä ulkopuolisia valvojia joihin luottaa?

    Koska datan ja paperin luonne vain eroavat täysin toisistaan niitä pitää kohdella sen mukaisesti. Data kopioituu helposti paperi vaikeasti. Dataa on helppo käsitellä käsinkoskematta näkymättömästi kun taas paperin kulkua on helppo valvoa. Dataa voidaan käsitellä nopeasti kaikkialta, paperi on paikallista hitaasti pyöritettävää. On täysin hullua lähteä jäljittelemään datalla paperia äänestystarkoituksessa, niin kuin nykyisin on toimittu lähes kaikissa kokeiluissa, viroa lukuun ottamatta.

    Uskallan väittää, että jos äänestystä tarkastellaan vain tiedonkeruutapahtumana unohtamalla täysin aikaisemmat paperiset vastineensa päästään yllättävään yksinkertaisuuteen, jossa jopa äänestäjän absoluuttisesta tunnistamisesta voi tulla tarpeetonta.

    Jos kaikki vahvistavat äänensä olevan uurnassa ja äänestäjien määrä tiedetään kukaan ei ole voinut äänestää kenenkään toisen puolesta. Samalla toisen puolesta äänestäminen on kovin hyödytöntä varsinkin kun ns. äänensä hukannut voi helposti äänestää uudestaan.

    Haluaisin herätellä teidät näin maanantaina ajattelemaan nettiäänestyksen mahdollisuuksia. Toivoisin PP:n tekniikkaa ymmärtävä väki luopuisi MUTU-mantroista ja alkaisi ajatella omilla aivoilla ja kieltäytyisi hyväksymästä suoraan muiden valmiiksi pureskeltuja ajatuksia.

  6. ”Käytännössä kuitenkin äänestys tilassa lapun vaihtaminen muiden äänestäjien huomaamatta on käytännössä mahdotonta, joten väitteesi lapun vaihtamismahdollisuudesta on vain teoreettinen.”

    Minusta on varsin teoreettista väittää, että joku olisi äänestyspaikalla kyttäämässä ilman että herättää epäilyksiä miten joku jolta hän on esim. ostanut äänen äänestää.

    Sitäkään kyllä en ymmärrä miten äänestyskoneen napin painamisen todistaminen kännykkäkameralla olisi vähemmän tiriviaalia, tai miten tilanne olisi tältä osin parempi sähköisessä äänestyksessä.

    Perustava ongelma sähköisessä äänestyksessä on kuitenkin se, että laskettu tulos voi olla yhtä hyvin väärä kuin oikea. Koodausvirheitä voi sattua. Lisäksi tuhansien vaalilautakuntien jäsenten sijaan pitäisi kaikkien tulevaisuudessa luottaa muutamaan oikeusministeriön virkamieheen, että koodia ei ole peukaloitu tai vastaavaa.

    Nykyisessä käsinlaskennassa voi sattua aivan pieniä laskuvirheitä, mutta käytännössä ei suuria. Sähköisessä äänestyksessä koodausvirheet voivat aiheuttaa yhtä hyvin pienen kuin suurenkin virheen. Virhettä voi olla kuitenkin hyvin vaikea huomata, ellei siitä aiheudu mitään kovin kummallista (esim. negatiivinen äänimäärä tai kaikki äänet samalle ehdokkaalle).

    Ainoa tapa saada riittävän luotettava sähköinen äänestys on paperivarmenteen käyttö siten, että riittävän suuri osa äänistä tarkastetaan satunnaisesti paperivarmenteiden perusteella.

  7. Siis väitän että äänestäjä voi oikein toteutetussa sähköisessä äänestyksessä varmistaa äänensä olemisen uurnassa, sähköäänet voidaan varsin triviaalisti kopioida useammalle laskijalle, jotka voivat toisistaan riippumatta laskea äänet. Näin ei voida paperilappusten kanssa toimia. Kumpaakaan näistä mahdollisuuksista ei käytetty suomen pilotissa.
    (Äänten tarkastusta ei mahdollistettu edes paperi lapuilla eikä edes äänien uudelleen laskua annettu ulkopuolisille)

    Jos kumpaakin mahdollisuutta käytettään paljastuvat niin ohjelmointi kuin muutkin virheet äänten tarkastelussa, jopa sellaiset joita ei perinteisesti äänestettäessä ole voitu todentaan (puhumattakaan niiden oikaisemisesta).
    Edellisten lisäksi olenkin edellä esittänyt viron kaltaista äänen vaihtamista ja nettiäänestystä äänestysturvallisuuden parantamiseksi ja äänestysvirheiden korjaamiseksi.

    Paperi ei ole dataa eikä data paperia. Kyllä PP:n pitäisi se tietää.
    Minua vaivaa kovasti ihmisten sokea usko nykyjärjestelmän virheettömyyteen. Se on monella tapaa samanlaista kuin Jenkkien usko omien äänten laskentakoneidensa toimintaan. Kun se kerran pelannut, kyllä se pelaa nytkin. Minusta on säälittävää alentua arvostelemaan viron järjestelmää. Siellä sentään on yritetty oikean suuntaisia äänestysdatan käsittelyyn paremmin sopivia ratkaisuja kuin täällä jossa luotetaan sokeasti vanhaan hyvään järjestelmään.

    Klassinen tilanne, jossa isäntä käskee emäntää äänestää on nykypäivä teoriassa paljon helpompaa kuin aikana ennen videopuhelimia. Isäntä voi olla uskottavasti norkoilemassa äänestyspaikalla. Samoin pultsarilta mäyrään vaihdettu ääni on helppo varmentaa norkoilemalla siihen sopivalla ennakko äänestyspaikalla. Edellisiin uhkiin ei ole ole oikeastaan kuin yksi ratkaisu äänen vaihtamisen mahdollistaminen ja nettiäänestäminen missä tahansa. Näin pultsari voi myydä, vaikka kaikille ehdokkaille ja emäntä voi sanoa isännälle joo tuu kattoon mä äänestän.

    Edellä esitetyillä kiristyksillä ja ostoilla ei tosiaan kuitenkaan tehdä suuria vaalipetoksia, mutta ne ovat oikeasti mahdollisia ja järjestelmällisinä laajasti toteutettuina muuttavat lopputulosta siinä kuin uurnaan syötetyt haamuäänestäjien äänet tai kokonaan vaihdetut uurnat.

  8. Tältä Janskin mainitsemalta ongelmalta olisi todennäköisesti vältytty paperivarmenteen käytöllä. Äänestäjä olisi ruvennut ihmettelemään, kun paperia ei ala tulla, ja ymmärtänyt että jotain on vialla.

    Se ei riitä, että äänestäjä voi todentaa äänensä olemisen uurnassa. Kone voi silti laskea sen miten tahansa. Se ei riitä, että saman datan syöttää monelle eri taholle, jos käytössä on kuitenkin sama ohjelma. Tällöin tulos on tietenkin aina sama, kyse ei ole siis mistään tarkistuslaskennasta.

    Sähköisestä äänestyksestä en näe mitään hyötyä perinteiseen äänestykseen verrattuna. Sille ei ole mielestäni tarvetta. Sen sijaan nettiäänestyksen näen häämöttävän väistämättömänä tulevaisuudessa. Siinä vain on pirusti miettimistä, miten siitä saa niin luotettavan että luotettavuus kestää yhteiskunnalliset poikkeustilanteetkin.

  9. P.A. voisi esittää kryptologista arviointia kestäviä selostuksia hienoista prosesseistaan. Minä olen lukiolainen, joka ei ole saanut koulutusta kryptologiasta. Epäiltävää syntyy silti kummasti:

    1. Miten voi varmistaa, että ääni on uurnassa, paljastamatta ketä äänesti? Tietenkin julkisen avaimen kryptolla: äänestäjälle luovutetaan äänestettäessä käytetty henkilökohtaisen avainparin julkinen avain, jolla allekirjoitettu, salattu ääni on helppo osoittaa omaksi. Äänet olisi tällöin tietysti julkaistava koko kansalle – tämä ei ole periaatteessa ongelma: äänestäjien määrä kerrotaan nytkin, ja tällaisessa listassa ei tarvitse olla äänestäjien henkilöllisyyttä, vain jokin satunnainen tunniste; vaikka em. julkisen avaimen tiiviste.

    Ongelmia: 1. Miten taataan generoitujen avainparien satunnaisuus? Mitä jos kryptossa löydetään ongelmia myöhemmin; kovasti unohtuu, että vuosia sitten kryptattu data voidaan säilyttää ja Mooren lain myötä 20 vuotta vanhat salaukset ovat erittäin helposti murrettavissa nykyisin.
    2. Miten äänet voidaan laskea mutta säilyttää vaalisalaisuus? Äänen salaus on voitava purkaa, jotta ääni voitaisiin laskea.
    3. Koska näin salaiset avaimet on säilöttävä ääntenlaskentaan asti, miten käyttäjä voi tarkistaa, että uurnassa on oikea ääni? Jos annamme hänelle salaisen avaimen, voi hän todistaa muille äänestäneensä tiettyä ehdokasta. Jos emme anna, hyökkääjä voi luoda henkilön nimissä toisen äänen ja allekirjoittaa sen tallennetulla avaimella, jolloin käyttäjä voi kyllä tarkistaa, että uurnassa on hänen nimissään annettu ääni, muttei sitä että hän itse on sen sinne laittanut.
    4. Miten varmistetaan, että salaisista avaimista ei jää kopioita minne sattuu? Niiden on oltava äänestyspaikalla äänen allekirjoittamista varten; mihin valtava määrä äänestyksessä käytettyjä tietokoneita joutuu? Miten avaimet toimitetaan em. koneisiin? Kuinka varmistutaan, että laskentaa varten säilötyt julkiset avaimet eivät joudu vääriin käsiin?

    On hienoa käyttää termejä, kuten ”salaus”. Olisi silloin suotavaa myös ymmärtää, mistä puhuu. Oma näkemykseni on, ettei luotettava äänestysjärjestelmä voi perustua salaukseen, sillä se on teoriassakin murrettavissa riittävin resurssein, ja kukaan (asiantunteva) kryptologi ei unissaankaan lupaisi, että se on murtamaton tai virheetön. Lisäksi salaus ei luo luottamusta: käytettävän järjestelmän haavoittuvuudet tekevät helposti koko salauksen kelvottomaksi. Jo luotettavien, todistettavasti satunnaisten lukujen generointi on todellinen ongelma. On helppo osoittaa lukujen olevan ennustettavia, mutta satunnaisiksi niitä ei voi kukaan todistaa.

    Paperiäänestyksen prosessit sen sijaan ovat helppoja ymmärtää – kuka tahansa voi seurata niitä, ja nähdä ettei virheitä tapahtunut.

    Jos tulosten saantia halutaan nopeuttaa, on olemassa paljon fiksumpia keinoja, kuten alustavien tulosten laskenta koneellisesti esim. skannerilla, jollaisia jo käytetään esim. postissa. Olisi tämä tainnut tulla aika paljon halvemmaksikin, kuin TietoEnatorille susisysteemistä maksettu pyörryttävä hinta…

    Sähköisen äänestyksen ratkaiseva ongelma on yksinkertainen: jos ääniä käsitellään anonyyminä, ei kukaan voi varmistua, ettei tulosta ole peukaloitu, ja peukalointi käy kuin lasten leikki. Jos ääniä ei käsitellä anonyyminä, vaalisalaisuuden säilytys on käytännössä täysin mahdotonta; jos Herra Viranomainen voi saada selville äänten sisällön, sen voi saada selville myös moni muu. Paperiäänestyksessä tällaista ongelmaa ei ole – erityisen tärkeä pointti on se, että vaikka virkailija/muu taho voi NÄHDÄ äänen äänestyshetkellä, sen pudottua hänellä ei ole mahdollisuutta TODISTAA ääntä annetuksi tai tietyn henkilön tekemäksi. Sähköisen järjestelmän tapauksessa taas tämä mahdollisuus äänen todistamiseen on keskeinen tuloksen tarkistamisen kannalta, ja ilman tarkistusmahdollisuutta taas äänten peukalointi on liian helppoa.

    Jos joku on todella saanut aikaan kryptologisesti uskottavan, vaalisalaisuuden säilyttävän sähköisen äänestysprosessin, olen hyvin kiinnostunut kuulemaan siitä.

  10. No nytpä tuli oikeita kysymyksiä todellisen keskustelun aloittamiseksi. Ei puututa virkailijoiden tekemiin vaali petoksiin eikä niiden mahdollisuuksiin, niitä tehdään ja on tehty vaikka äänestetään paperilla. Tekniikan kehittyessä myös mahdollisuudet kasvavat.

    Mennään kiinnostavampaan asiaan. Ensin vähän kryptologiaa. Olet täysin oikeassa että jokainen salausmenetelmä purkuu ainakin brutalforce-menetelmällä, jolloin siihen menee enemmän tai vähemmän aikaa. Kaikkien matemaattisten salausmenetelmien luotettavuus perustuu siihen että aikaa mene hieman enemmän kuin avaajalla on aikaa odottaa. Oleellista kuitenkin on että julkisen avainten salausmentelmissä vain salaisen avaimen haltia saa kohtuuajassa salauksen auki. Et osoittanut tähän mitään suurta poikkeusta. Onko sellaista? Murtamista suurempi riski on avaimen varastaminen.

    Mietitäänpä seuraavaa jos äänet saa auki 20-vuoden kuluttua onko se todellinen uhka äänestyssalaisuudelle. Ei luulisi jos äänet ovat anonyymeja. Tilanteessa jos pitää valita oikean tuloksen ja edellisen riskin kanssa vaaka kallistunee riskin ottoon.

    Käytännössä salattuja ääniä ei tarvitse sälyttää nimellisinä vaikka niitä voisikin muuttaa, vaikka en näe sitä kovin suurena riskinä. Sillä jos laskentaa hyväksytään sälytetyistä äänistä vain ne jotka äänestäjät ovat hyväksyneet laskettaviksi ei yksittäisen äänen jäljittäminen äänestäjään ole kovin triviaalia kun hyväksyminen toteutetaan oikein. Käytännössä edellinen mahdollistaa sen että äänestäjä vain ilmoittaa uuden äänen hyväksyttäväksi jolloin hänen vanha äänensä hylätään laskennassa.

    Kun äänestäjä voi tämän jälkeen tarkastaa onko ääni mukana, muuttamiseen ei liity suurtakaan manipulointi riskiä. Jippo millä tunnistus tehdään on aika simppeli jokaisessa äänessä on salauksen sisällä koodi jonka äänestä itse on valinnut nämä koodit julkaistaan listassa, jonka äänestäjä voi anonyymisti tarkastaa. Jos ääni puuttuu jotain on pielessä.

    Edellinen edellyttää että kaikki samassa paikassa lasketut äänet ovat salatut samalla julkisella avaimella, muutenhan ne eivät voi olla anonyymeja, missään mielessä. Anonymiteetin takaamiseksi voidaan vielä hieman kikkailla ennen varsinaista äänten avausta.

  11. Päivitysilmoitus: Ensimmäinen kivi :: Entries :: Sähköinen äänestys ja nettipankit

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*