Mennään kiinnostavampaan asiaan. Ensin vähän kryptologiaa. Olet täysin oikeassa että jokainen salausmenetelmä purkuu ainakin brutalforce-menetelmällä, jolloin siihen menee enemmän tai vähemmän aikaa. Kaikkien matemaattisten salausmenetelmien luotettavuus perustuu siihen että aikaa mene hieman enemmän kuin avaajalla on aikaa odottaa. Oleellista kuitenkin on että julkisen avainten salausmentelmissä vain salaisen avaimen haltia saa kohtuuajassa salauksen auki. Et osoittanut tähän mitään suurta poikkeusta. Onko sellaista? Murtamista suurempi riski on avaimen varastaminen.

Mietitäänpä seuraavaa jos äänet saa auki 20-vuoden kuluttua onko se todellinen uhka äänestyssalaisuudelle. Ei luulisi jos äänet ovat anonyymeja. Tilanteessa jos pitää valita oikean tuloksen ja edellisen riskin kanssa vaaka kallistunee riskin ottoon.

Käytännössä salattuja ääniä ei tarvitse sälyttää nimellisinä vaikka niitä voisikin muuttaa, vaikka en näe sitä kovin suurena riskinä. Sillä jos laskentaa hyväksytään sälytetyistä äänistä vain ne jotka äänestäjät ovat hyväksyneet laskettaviksi ei yksittäisen äänen jäljittäminen äänestäjään ole kovin triviaalia kun hyväksyminen toteutetaan oikein. Käytännössä edellinen mahdollistaa sen että äänestäjä vain ilmoittaa uuden äänen hyväksyttäväksi jolloin hänen vanha äänensä hylätään laskennassa.

Kun äänestäjä voi tämän jälkeen tarkastaa onko ääni mukana, muuttamiseen ei liity suurtakaan manipulointi riskiä. Jippo millä tunnistus tehdään on aika simppeli jokaisessa äänessä on salauksen sisällä koodi jonka äänestä itse on valinnut nämä koodit julkaistaan listassa, jonka äänestäjä voi anonyymisti tarkastaa. Jos ääni puuttuu jotain on pielessä.

Edellinen edellyttää että kaikki samassa paikassa lasketut äänet ovat salatut samalla julkisella avaimella, muutenhan ne eivät voi olla anonyymeja, missään mielessä. Anonymiteetin takaamiseksi voidaan vielä hieman kikkailla ennen varsinaista äänten avausta.

1. Miten voi varmistaa, että ääni on uurnassa, paljastamatta ketä äänesti? Tietenkin julkisen avaimen kryptolla: äänestäjälle luovutetaan äänestettäessä käytetty henkilökohtaisen avainparin julkinen avain, jolla allekirjoitettu, salattu ääni on helppo osoittaa omaksi. Äänet olisi tällöin tietysti julkaistava koko kansalle – tämä ei ole periaatteessa ongelma: äänestäjien määrä kerrotaan nytkin, ja tällaisessa listassa ei tarvitse olla äänestäjien henkilöllisyyttä, vain jokin satunnainen tunniste; vaikka em. julkisen avaimen tiiviste.

Ongelmia: 1. Miten taataan generoitujen avainparien satunnaisuus? Mitä jos kryptossa löydetään ongelmia myöhemmin; kovasti unohtuu, että vuosia sitten kryptattu data voidaan säilyttää ja Mooren lain myötä 20 vuotta vanhat salaukset ovat erittäin helposti murrettavissa nykyisin.
2. Miten äänet voidaan laskea mutta säilyttää vaalisalaisuus? Äänen salaus on voitava purkaa, jotta ääni voitaisiin laskea.
3. Koska näin salaiset avaimet on säilöttävä ääntenlaskentaan asti, miten käyttäjä voi tarkistaa, että uurnassa on oikea ääni? Jos annamme hänelle salaisen avaimen, voi hän todistaa muille äänestäneensä tiettyä ehdokasta. Jos emme anna, hyökkääjä voi luoda henkilön nimissä toisen äänen ja allekirjoittaa sen tallennetulla avaimella, jolloin käyttäjä voi kyllä tarkistaa, että uurnassa on hänen nimissään annettu ääni, muttei sitä että hän itse on sen sinne laittanut.
4. Miten varmistetaan, että salaisista avaimista ei jää kopioita minne sattuu? Niiden on oltava äänestyspaikalla äänen allekirjoittamista varten; mihin valtava määrä äänestyksessä käytettyjä tietokoneita joutuu? Miten avaimet toimitetaan em. koneisiin? Kuinka varmistutaan, että laskentaa varten säilötyt julkiset avaimet eivät joudu vääriin käsiin?

On hienoa käyttää termejä, kuten “salaus”. Olisi silloin suotavaa myös ymmärtää, mistä puhuu. Oma näkemykseni on, ettei luotettava äänestysjärjestelmä voi perustua salaukseen, sillä se on teoriassakin murrettavissa riittävin resurssein, ja kukaan (asiantunteva) kryptologi ei unissaankaan lupaisi, että se on murtamaton tai virheetön. Lisäksi salaus ei luo luottamusta: käytettävän järjestelmän haavoittuvuudet tekevät helposti koko salauksen kelvottomaksi. Jo luotettavien, todistettavasti satunnaisten lukujen generointi on todellinen ongelma. On helppo osoittaa lukujen olevan ennustettavia, mutta satunnaisiksi niitä ei voi kukaan todistaa.

Paperiäänestyksen prosessit sen sijaan ovat helppoja ymmärtää – kuka tahansa voi seurata niitä, ja nähdä ettei virheitä tapahtunut.

Jos tulosten saantia halutaan nopeuttaa, on olemassa paljon fiksumpia keinoja, kuten alustavien tulosten laskenta koneellisesti esim. skannerilla, jollaisia jo käytetään esim. postissa. Olisi tämä tainnut tulla aika paljon halvemmaksikin, kuin TietoEnatorille susisysteemistä maksettu pyörryttävä hinta…

Sähköisen äänestyksen ratkaiseva ongelma on yksinkertainen: jos ääniä käsitellään anonyyminä, ei kukaan voi varmistua, ettei tulosta ole peukaloitu, ja peukalointi käy kuin lasten leikki. Jos ääniä ei käsitellä anonyyminä, vaalisalaisuuden säilytys on käytännössä täysin mahdotonta; jos Herra Viranomainen voi saada selville äänten sisällön, sen voi saada selville myös moni muu. Paperiäänestyksessä tällaista ongelmaa ei ole – erityisen tärkeä pointti on se, että vaikka virkailija/muu taho voi NÄHDÄ äänen äänestyshetkellä, sen pudottua hänellä ei ole mahdollisuutta TODISTAA ääntä annetuksi tai tietyn henkilön tekemäksi. Sähköisen järjestelmän tapauksessa taas tämä mahdollisuus äänen todistamiseen on keskeinen tuloksen tarkistamisen kannalta, ja ilman tarkistusmahdollisuutta taas äänten peukalointi on liian helppoa.

Jos joku on todella saanut aikaan kryptologisesti uskottavan, vaalisalaisuuden säilyttävän sähköisen äänestysprosessin, olen hyvin kiinnostunut kuulemaan siitä.

Se ei riitä, että äänestäjä voi todentaa äänensä olemisen uurnassa. Kone voi silti laskea sen miten tahansa. Se ei riitä, että saman datan syöttää monelle eri taholle, jos käytössä on kuitenkin sama ohjelma. Tällöin tulos on tietenkin aina sama, kyse ei ole siis mistään tarkistuslaskennasta.

Sähköisestä äänestyksestä en näe mitään hyötyä perinteiseen äänestykseen verrattuna. Sille ei ole mielestäni tarvetta. Sen sijaan nettiäänestyksen näen häämöttävän väistämättömänä tulevaisuudessa. Siinä vain on pirusti miettimistä, miten siitä saa niin luotettavan että luotettavuus kestää yhteiskunnalliset poikkeustilanteetkin.

-YLE 28.10.

http://www.yle.fi/uutiset/24h/id105870.html

Jos kumpaakin mahdollisuutta käytettään paljastuvat niin ohjelmointi kuin muutkin virheet äänten tarkastelussa, jopa sellaiset joita ei perinteisesti äänestettäessä ole voitu todentaan (puhumattakaan niiden oikaisemisesta).
Edellisten lisäksi olenkin edellä esittänyt viron kaltaista äänen vaihtamista ja nettiäänestystä äänestysturvallisuuden parantamiseksi ja äänestysvirheiden korjaamiseksi.

Paperi ei ole dataa eikä data paperia. Kyllä PP:n pitäisi se tietää.
Minua vaivaa kovasti ihmisten sokea usko nykyjärjestelmän virheettömyyteen. Se on monella tapaa samanlaista kuin Jenkkien usko omien äänten laskentakoneidensa toimintaan. Kun se kerran pelannut, kyllä se pelaa nytkin. Minusta on säälittävää alentua arvostelemaan viron järjestelmää. Siellä sentään on yritetty oikean suuntaisia äänestysdatan käsittelyyn paremmin sopivia ratkaisuja kuin täällä jossa luotetaan sokeasti vanhaan hyvään järjestelmään.

Klassinen tilanne, jossa isäntä käskee emäntää äänestää on nykypäivä teoriassa paljon helpompaa kuin aikana ennen videopuhelimia. Isäntä voi olla uskottavasti norkoilemassa äänestyspaikalla. Samoin pultsarilta mäyrään vaihdettu ääni on helppo varmentaa norkoilemalla siihen sopivalla ennakko äänestyspaikalla. Edellisiin uhkiin ei ole ole oikeastaan kuin yksi ratkaisu äänen vaihtamisen mahdollistaminen ja nettiäänestäminen missä tahansa. Näin pultsari voi myydä, vaikka kaikille ehdokkaille ja emäntä voi sanoa isännälle joo tuu kattoon mä äänestän.

Edellä esitetyillä kiristyksillä ja ostoilla ei tosiaan kuitenkaan tehdä suuria vaalipetoksia, mutta ne ovat oikeasti mahdollisia ja järjestelmällisinä laajasti toteutettuina muuttavat lopputulosta siinä kuin uurnaan syötetyt haamuäänestäjien äänet tai kokonaan vaihdetut uurnat.

Minusta on varsin teoreettista väittää, että joku olisi äänestyspaikalla kyttäämässä ilman että herättää epäilyksiä miten joku jolta hän on esim. ostanut äänen äänestää.

Sitäkään kyllä en ymmärrä miten äänestyskoneen napin painamisen todistaminen kännykkäkameralla olisi vähemmän tiriviaalia, tai miten tilanne olisi tältä osin parempi sähköisessä äänestyksessä.

Perustava ongelma sähköisessä äänestyksessä on kuitenkin se, että laskettu tulos voi olla yhtä hyvin väärä kuin oikea. Koodausvirheitä voi sattua. Lisäksi tuhansien vaalilautakuntien jäsenten sijaan pitäisi kaikkien tulevaisuudessa luottaa muutamaan oikeusministeriön virkamieheen, että koodia ei ole peukaloitu tai vastaavaa.

Nykyisessä käsinlaskennassa voi sattua aivan pieniä laskuvirheitä, mutta käytännössä ei suuria. Sähköisessä äänestyksessä koodausvirheet voivat aiheuttaa yhtä hyvin pienen kuin suurenkin virheen. Virhettä voi olla kuitenkin hyvin vaikea huomata, ellei siitä aiheudu mitään kovin kummallista (esim. negatiivinen äänimäärä tai kaikki äänet samalle ehdokkaalle).

Ainoa tapa saada riittävän luotettava sähköinen äänestys on paperivarmenteen käyttö siten, että riittävän suuri osa äänistä tarkastetaan satunnaisesti paperivarmenteiden perusteella.

Vastaava oleellisten asioiden yksinkertaistaminen on mahdollista myös oikein toteutetussa sähköisessä äänestyksessä. Jos nettiäänestys toteutetaan yksinkertaisesti niin että
1. äänestetään koneellaan ja salataan ääni,
2. tarkastetaan anonyymisti että oma ääni on sähköisessä uurnassa ja
3. avataan sekä lasketaan äänet
Päästään kaikkien ymmärtämään yksinkertaisuuteen. Tietysti jos äänestys toteutetaan nykyisen kokeilun lailla päinseiniä niin vaadittua uskoa ei synny. Esittämässäni yksinkertaistuksessa usko toimivuuteen syntyy kohdassa kaksi “tarkastetaan onko ääni uurnassa”. Perinteisessä mallissa tuloksen luotettavuus taataan leimaamalla ja effin vaatimus uskon palauttamiseen on ollut paperinen varmistustuloste.

Onko edellinen vertaus sitten oikea, pitääkö väitteeni tyhmyydestämme paikkansa?
Esimerkiksi suurin osa ihmisistä ei ymmärrä edes suhteelliseen vaalitapaan liittyvää edustuspaikkojen jakamista, joten ei se nykyinen systeemikään mikään yksinkertainen ole edes ilman leimoja ja sinetöintejäkään. Vaalivalvojista puhumattakaan.

Oikein toteutetussa sähköinen äänestysmenetelmässä hankalasti ymmärrettävät valvontakysymykset suojataan salauksilla. Vähän vastaavasti nykyisessä leimoilla ja sineteillä turvataan uurnan sisältö. Oletko koskaan ajatellut kumpi on vaikeampaa väärentää leimat, sinetit ja äänestysliput vai murtaa nykyiset salausavaimet?
Taisit itsekin yllättyä vastauksesta. Tokihan tiedät ettei lippujen vaihtaminen ole mahdollista, koska paikalla on vaalivalvojia. Toisaalta jos jokainen äänestäjä tietää äänensä olevan uurnassa tarvitaanko näitä ulkopuolisia valvojia joihin luottaa?

Koska datan ja paperin luonne vain eroavat täysin toisistaan niitä pitää kohdella sen mukaisesti. Data kopioituu helposti paperi vaikeasti. Dataa on helppo käsitellä käsinkoskematta näkymättömästi kun taas paperin kulkua on helppo valvoa. Dataa voidaan käsitellä nopeasti kaikkialta, paperi on paikallista hitaasti pyöritettävää. On täysin hullua lähteä jäljittelemään datalla paperia äänestystarkoituksessa, niin kuin nykyisin on toimittu lähes kaikissa kokeiluissa, viroa lukuun ottamatta.

Uskallan väittää, että jos äänestystä tarkastellaan vain tiedonkeruutapahtumana unohtamalla täysin aikaisemmat paperiset vastineensa päästään yllättävään yksinkertaisuuteen, jossa jopa äänestäjän absoluuttisesta tunnistamisesta voi tulla tarpeetonta.

Jos kaikki vahvistavat äänensä olevan uurnassa ja äänestäjien määrä tiedetään kukaan ei ole voinut äänestää kenenkään toisen puolesta. Samalla toisen puolesta äänestäminen on kovin hyödytöntä varsinkin kun ns. äänensä hukannut voi helposti äänestää uudestaan.

Haluaisin herätellä teidät näin maanantaina ajattelemaan nettiäänestyksen mahdollisuuksia. Toivoisin PP:n tekniikkaa ymmärtävä väki luopuisi MUTU-mantroista ja alkaisi ajatella omilla aivoilla ja kieltäytyisi hyväksymästä suoraan muiden valmiiksi pureskeltuja ajatuksia.

Miten selitetään sähköinen äänestysjärjestelmä yhtä helposti ymmärrettävällä tavalla? Ei mitenkään, tekniikasta ymmärtämätön ihminen ei pysty koskaan käsittämään miten ääni rekisteröityy. miten ne lasketaan ja kuinka sitä valvotaan.

Itse olen hyvin tekninen ihminen ja saattaisin jopa ymmärtää äänestysjärjestelmän ohjelmakoodia, mutta mielestäni sähköistä äänestystä ei pidä toteuttaa jos sitä ei pystytä selittämään kansalle kansan ymmärtämällä tavalla.

Toinen kohta sähköäänen perumisen mahdottomuudesta riippuu täysin järjestelmän toteutustavasta. Jos matkitaan paperi uurna mallia olet oikeassa.
Mutta käytännössä sähköäänestys on mahdollista toteuttaa myös “ennakkoäänimallilla” jos ääni avataan vasta laskettaessa. Tällöin jokainen ääni on mahdollista poistaa tai muuttaa ennen laskentaa varsin helposti.

Ennen kuin väität että anonymiteetti vaarantuu, muistutan että salatun äänen anonymiteetin vaarantuminen on huomattavasti pienempi kuin nykyisen ennakkoäänen. Salauksesta johtuen sitä ei oikeastaan voi kukaan avata. Sähkö äänessä toisaalta ei tarvitse olla muita kuin äänestäjän itse tunnistamia tunniste tietoja. Joten se siitä vöitteestä.