Valim

SUSSERDAMINE E-VALIMISTEL?! Kas e-valimiskasti sisu on selline, nagu peaks? Audiitorite kontrollrakendus vastas eitavalt

UPS, MIDAGI LÄKS VALESTI! Vaatlejad said häältelugemist ekraanilt jälgida. Väiksemad inimlikud vead kõrvaldati kiirelt, kuid valimiskasti terviklikkuse küsimuse lahendamisele kulus 20 minutit.

SUSSERDAMINE E-VALIMISTEL?! Kas e-valimiskasti sisu on selline, nagu peaks? Audiitorite kontrollrakendus vastas eitavalt(43)

Priit Pärnapuu

Priit Pärnapuu

Valimiskastist leidsid audiitorid e-hääle, mis oli korraga nii loetud kui ka tühistatud – nagu Schrödingeri kass, mis on ühtaegu nii elus kui surnud. Probleem küll lahenes, kuid valimisteenistusel tuleb järgmiseks korraks leida lahendus, kuidas käsitleda identseid e-hääli.

Valimisõhtul oli e-häälte lugemisega tuli takus. Valimisteenistus soovib võimalikult kiiresti tulemused avaldada, neil pole aega vaatlejatele selgitusi jagada. Päev hiljem oleks aega laialt: välisvaatlejate hordid on lahkunud, alles on vaid üksikud kohalikud entusiastid, kellel mingi oma e-valimiste eksperiment käimas.

Pühapäevaõhtune loendus läks esmaspäeval, 20. oktoobril, kordamisele aegluubis. Kes tahtis, sai küsida. Valimisteenistuse poolelt vastas Indrek Leesi. Lääneranna vallas üksikkandidaadina üles astunud ja kolm häält saanud Kaspar Kartanas, kes on mitmete valimiskaebuste taga, oli samuti kohal. Kartanas ise keeldus Õhtulehele kommentaare jagamast, kuid juuresviibinute sõnul küsinud ta Leesi käest, kas e-valimiskastis oli korduvaid krüptogramme.

E-hääle krüptogramm

Krüptogramm on suvaline märkide jada, kuhu on salakeeles ära peidetud, millises linnas või vallas valija hääletas ja millise kandidaadi poolt. Hääletaja enda andmeid see ei sisalda.

Valimisteenistusel on võti salakirja lugemiseks ja ta saab sealt häälte loendamise ajal teada, millises kohalikus omavalitsuses valija hääletas ja kelle poolt.

Isegi kui sama valija hääletab samas ringkonnas sama kandidaadi poolt mitu korda, tekib ametlikus valijarakenduses iga kord erinev krüptogramm.

Leesi olla küll vastamisel rääkinud maast ja ilmast, aga kuulajad lugesid vastusest välja, et korduvaid krüptogramme ei olnud, sest… neid ei saagi olla.

„See ei olnud ilmutatud, aga implitsiitselt, isegi kui sama inimene on andnud mitu korda hääle samale kandidaadile elektrooniliselt, siis juhuslikkus teeb nii, et krüptogrammid on erinevad,“ kirjeldas Ronald Judin, kuidas tema Leesi jutust aru sai. Judin kandideeris valimistel Eesti Rahvuslaste ja Konservatiivide ridades Tartu linnas ja sai kümme häält ning teeb parajasti eksperimenti, kas tal õnnestub täiesti vastuvaidlematult tõestada, kelle poolt ta e-hääletas.

Teisisõnu: valimisteenistus eraldi ei kontrollinud, aga kuna korduvaid krüptogramme ei saagi olla, polegi vajadust kontrollida.

Vaatlejana kohal viibinud MTÜ Ausad valimised esindaja Märt Põder pakkus Leesi jutu peale, et äkki siiski kontrolliks. Kui neid ei saa olla, aga siiski on, oleks see ju probleem? Leesi pakkumist vastu ei võtnud.

Korduvad krüptogrammid

Põder selgitas Õhtulehele, kuidas korduvad krüptogrammid tähendaksid, et valimiste salajasus satub ohtu. Isegi, kui sama inimene hääletab mitu korda sama kandidaadi poolt, tekib valimiskasti erinev krüptogramm. Vastupidine aga ei kehti: kui e-hääle krüptogrammid on identsed, on ka sinna peidetud info sama. Kes teab, millise kandidaadi kasuks anti hääl ühe krüptogrammiga, teaks ka seda, mis on peidetud identsesse krüptogrammi.

„Hüpoteetiliselt võib ette kujutada, et kõik valijad lepivad omavahel kokku. Genereerime kõigi kandidaatide krüptogrammid ette ära, paneme tabelisse ja iga valija võtab sealt krüptogrammi ja saadab ainult selle, ta ei genereeri seda ise juhuslikkusega. Kõik, kes hääletavad Edgar Savisaare poolt, saadavad Edgar Savisaare krüptogrammi. Kes hääletavad Andrus Ansipi poolt, neil on Andrus Ansipi krüptogramm. Sellisel juhul oleks see avalik hääletus. Valimisteenistus saaks kõigi hääletajate hääle teada. Valimisteenistus justkui ei tohiks vaadata ja nad ka ütlevad, et nad ei vaata. Aga valimised peavad olema selliselt korraldatud, et nad ei ütle, et me ausõna ei vaadanud, vaid nii, et nad ei saakski vaadata.“

Ei saa olla, aga siiski oli

Erinevalt valimiste õhtust on teistkordsel lugemisel võtmeroll audiitoritel. Nemad teevad oma programmidega läbi samad sammud nagu häältelugejad. Neil on vaba voli teha ka kontrolle, mida valmisteenistus ise ei tee.

Audiitorrakendus ühel hetkel peatus ja väljastas veateate: „Vastuvõetud häälte sees on korduvaid krüptogramme. E-valimiskasti verifitseerimise logid on terviklikud: ei.“

Teisisõnu: valimiskastis on midagi, mida seal ei peaks olema või on midagi puudu, mis seal peaks kindlasti olema. Igatahes ei vasta sisu sellele, mida audiitorite kirjutatud kontrollirakendus oli eeldanud.

„Seda peaks nüüd analüüsima,“ teatas klaviatuuri klõbistanud audiitor Mart Oruaas veateate peale. „Tulemus ei ole hetkel positiivne.“

Kohal viibinud vaatlejad olid Oruaasa tegevusega rahul: „Ta ilmselgelt oskas arvutit kasutada. Seda oli hea vaadata, kuidas ta tööd tegi.“ Oruaasa tegevust nägid vaatlejad ja otseülekande jälgijad esialgu ka suurelt seina peal. Siis tõmmati juhe aga arvuti tagant ära isikuandmete kaitseks – paraku liiga hilja, mõneks sekundiks oli näha valija isikukood, kelle antud hääled olid veateate põhjustanud.

Õhtuleht pöördus ka kõnealuse valija poole. Tegu on 1976. aastal sündinud naisega, kellel vähemalt avalike andmete põhjal ei paista olema IT-haridust ega tausta. „Ma ise ei ole üldse IT-inimene,“ kinnitas naine ka ise. „Mul tuttav on küll IT-ga kursis. Mina lubasin kasutada oma andmeid.“

Kas see tuttav oli Kaspar Kartanas? „Jah,“ vastas naine.

Naise hinnangul on e-valimistel kitsaskohti ja mitte vähe. E-valimiste korraldajad on tema sõnul äärmiselt ülbed igasuguste märkuste suhtes. Just suhtlemise moodus ei ole tema hinnangul hea.

Happy case

Järgnes umbes 20 minutiline arutelu audiitorite ja valmisteenistuse vahel, kus segadust oli rohkem kui rubla eest. Mõni sai aru, et valijaid oli mitu, mõni et üks. Kord käis jutt kolmest, kord viiest häälest. Ja nii edasi.

„Seal oli viis erinevat e-häält, millel oli viis täpselt sama sisuga allkirjastatud faili. Nendest kolm läksid tühistamisele. Kaks olid viimasena antud hääled, millest eelmine läks tühistamisele ja viimane läks edasi järgmisse etappi,“ kõlas Indrek Leesi selgitus. Tema hinnangul oli kõik kokkuvõttes korrektne, sest ühelt valijalt läks lugemisele täpselt üks, viimasena antud hääl.

Audiitorite rakendusel jooksis igatahes juhe kokku: sama isik hääletas korduvalt, valimiskastis eksisteeris kolm täpselt sama sisuga faili, millest üks läks lugemisele. Täpselt sama hääl, mis läks lugemisse, oli aga ka nende hulgas, mis läksid tühistamisele. Teisisõnu: üks ja sama hääl oli korraga nii tühistatud kui ka loetud – nagu Schrödingeri kass, mis on ühtaegu nii surnud kui elus.

Ehkki audiitorite lõpphinnang tuleb valimisteenistusele kirjalikult, võttis Oruaas kohapeal asja selliselt kokku: „See asi kerkis enne üles [Kaspar Kartanase küsimuse näol] ja ma tuulasin natuke dokumentatsioonis. Tundub, et tegemist on case'iga, mida ei ole korralikult läbi mõeldud. Kui tullakse niimoodi susserdama, kuidas see susserdamine koondub ära ja tuleb ühemõtteline tulemus.“

„See tundub happy case,“ jätkas Oruaas veidi hiljem. „Aga „E-valimiskasti verifitseerimise logid on terviklikud: ei“ on tegelikult päris paha lause.“

Happy case

IT-valdkonnas kasutatav mõiste, mida kasutatakse olukorras, kus süsteem on töötanud täpselt nii nagu peaks: kasutaja teeb kõik õigesti, süsteem töötab plaanipäraselt, vigu ega erandeid ei ole.

Happy case'i vastand on error case, kus midagi läheb valesti või juhtub ootamatu erand.

Kirjalikku auditisse tuleb Oruaasa sõnul märkus järgmiseks korraks: „Korduva krüptogrammiga susserdamise case tuleb tarkvarainseneridel läbi mõelda ja korralikult ära lahendada.“

„Veateade ei ole vale,“ hindas Leesi audiitorite tööd kohapeal. „Tegemist on eri case'iga. Hääletamise mõttes tulemus läks kirja üks kord. Lause [E-valimiskasti verifitseerimise logid on terviklikud: ei.] tuleks ringi sõnastada või panna sinna täpsustav kommentaar. Ametliku valijarakendusega olukorda, kus sul on sama sisuga fail, aga erinevad ajatemplid ja erinevad kehtivuskinnitused, juhtuda ei saa.“

„Võltsimist ei ole ja suurt jama sellest vist ka tegelikult ei ole,“ kommenteeris Põder arutelu tulemust Õhtulehele. „Aga, kui sul auditis valimiskasti terviklikkuse kontroll läbi kukub, on see läbi kukkunud ja audiitor peab seda pärast selgitama isegi kui see puudutas ainult ühte või kahte häält ja tulemus sellest ei muutu.“

„Minu hinnangul nad tegid ebasobivat semantilist maagiat ja otsustasid niimoodi, et hoopis auditirakendus oli andnud eksitava teate,“ kommenteeris lõpptulemust Judin. „Minus tekitab see küsimuse, kes saab öelda, et auditirakendus ei ole ekslikult ka asju õigeks lugenud, kui ta luges midagi ekslikult valeks.“ 

Valimisteenistuse juht: audiitorid said sama tulemuse nagu valimisteenistus

Häälte teistkordsel lugemisel ilmnenud kontrollrakenduse veateadet selgitas Õhtulehele valimisteenistuse juht Arne Koitmäe. Tema sõnul oli riigi valimisteenistusele üle antud valimiskastis 279 388 e-häält. Nende seas oli korduvhääli 7182, pabersedeliga hääletas e-hääle üle 1388 valijat. Häälte avamisele läks 270 818 häält, millest kolm olid kehtetud ehk loetamatud sedelid. Arvesse läks 270 815 e-häält. Koitmäe sõnul toimus esmaspäeval, 20. oktoobril e-häälte korduslugemine.

Millise tulemuse andis korduslugemine?

„Tulemus oli sama. Seejärel audiitor kontrollis miksimise tõendit, lugemise tõendit ja kontrollis krüptogrammide terviklust ning ühtegi viga ei tuvastatud.

Kui toimus krüptogrammide (salastatud häälte) kontroll, siis protsess peatus ja kuvas ekraanile viidatud teksti. Programm ongi vaikimisi selliselt seadistatud, et kõrvalekalde tekkimisel oleks võimalik kohe tuvastada selle põhjus. Audiitor tuvastas, et peatumise põhjuseks oli asjaolu, et täpselt sama krüptogramm oli nii tühistatud korduvhäälte seas kui ka anonümiseeritud valimiskastis. Selliseid hääli oli mitu. Kui see oli tuvastatud, käivitati programm uuesti, mindi sellest punktist edasi ja programm jätkas krüptogrammide kontrolli. Programm jõudis lõpuni ja teatas, et samad krüptogrammid, mis sisalduvad anonümiseeritud valimiskastis, sisalduvad ka üleantud valimiskastis. Seega krüptogrammide kontroll tuvastas, et keegi ei ole krüptogramme lisanud, kustutanud ega välja vahetanud. Programm käitus krüptogramme kontrollides nii nagu pidi, samuti tuvastas krüptogrammide kontroll, et ka korduvad hääled olid korrektselt tühistatud ja anonümiseeritud valimiskasti jõudis igalt valijalt üks hääl.“

Identseid krüptogramme on esinenud ka varasematel e-valimistel. Mis täpselt oli nüüd esmakordne?

Vastab tõele, et selliseid krüptogramme on olnud ka varem, kuid varasemalt pole selline hääl olnud valija viimasena antud hääl. Selgituseks – korduvad krüptogrammid saavad tulla ainult sama valija poolt. See tähendab, et valija on ise ehitanud rakenduse, millega ta on oma krüptogrammi alla laadinud ja saatnud täpselt sama krüptogrammi valimiskasti mitu korda. Ametliku valijarakenduse ega kontrollrakendusega seda teha ei saa.

Valimisteenistusel on teada isik, kelle e-hääl on audiitorrakenduse hinnangu taga. Kas on plaan isikult uurida, mida, kuidas ja miks ta tegi? 

Sellist plaani ei ole, valijal on võimalus enda tehtud rakendusega häält rikkuda. Lisaks ei tegele riigi valimisteenistus isikute tuvastamisega. E-hääletamise süsteem ja selle kontrollmehhanismid on ehitatud nii, et korduvad, jaoskonnas üle hääletatud või muul viisil ebakorrektsed e-hääled ei jõua lugemisele. Selles oli esmaspäeval kõigil huvilistel ka ise võimalik taas veenduda. 

Kuna lugemisele läinud hääl on identse krüptogrammiga, saaks kõrvaldatud hääle avamise korral teada, millisele kandidaadile läks lugemisele läinud hääl. Seda, et valija andis hääle kandidaadile X, teada aga ei tohi. Mis siin tagab hääletamise salajasuse?

Avamisele ehk dekrüpteerimisele lähevad ainult anonüümsed hääled. Ühtegi häält, mis on enne anonümiseerimist tühistatud, ei avata. Lisaks krüpteeritakse kõik krüptogrammid pärast anonümiseerimist üle (miksitakse), mis tähendab, et see ei ole enam identne varem kõrvaldatud krüptogrammiga. Avatud häält ei saa ühelgi viisil valija isikuandmetega kokku viia.

Praegu käib jutt üksikutest ühesuguse krüptogrammiga häältest. Mida see tähendaks, kui ühesuguse krüptogrammiga oleks näiteks järgmistel valimistel 100, 1000 või 100 000 häält?

See tõstaks ainult tühistatud korduvhäälte arvu. Igalt valijalt läheb lugemisele ainult viimasena antud hääl, nagu kirjas seaduses.

Valimisteenistuse e-häälte lugemisel kõnealused hääled veateadet ei andnud. Veateade tuli audiitorrakenduselt. Kuidas mõista seda, et valimisteenistuse ja audiitorite rakendused annavad erinevad tulemused? Kas audiitorid teevad mingeid täiendavaid kontrolle, mida valimisteenistus ise ei tee? Kas audiitorite rakendus on vigane?

Korrektne oli nii häälte lugemine kui ka audiitorrakenduse töö. Riigi valimisteenistus töötleb ja loeb kokku e-hääled. Audiitor kasutab auditeerimiseks eraldi enda loodud tarkvara.

E-häälte lugemisel toimub esmalt valimiskasti tervikluse kontroll ja seejärel eemaldatakse korduvhääled peale viimasena antud hääle, mis jääb alles.

Nagu öeldud, toimub pärast e-häälte korduvlugemist andmete tervikluse kontroll, mille käigus programm tuvastas korrektselt, et täpselt samasugune krüptogramm on nii tühistatud häälte seas kui ka anonümiseeritud valimiskastis. Audiitor tuvastas asjaolud ja andmete tervikluse kontroll viidi edukalt lõpuni.

Enne häälte teistkordset lugemist küsis üks vaatlejatest (Kaspar Kartanas), kas valimiskastis oli korduvaid krüptogramme. Valimisteenistuse töötaja Indrek Leesi olla vastanud: ei ole, ega saagi olla. Audiitorrakendus aga leidis korduvaid krüptogramme. Palun selgitada seda vastuolu.

Riigi valimisteenistuse töötaja selgitas, et anonümiseeritud valimiskastis korduvhääli olla ei tohi ja neid seal ka ei olnud. Korduvad krüptogrammid ehk sama isiku korduvalt antud hääled eemaldatakse eelmises faasis ja alles jäetakse isiku viimasena antud hääl.

Ametliku valimisrakenduse kasutamise korral ei saa identseid krüptogramme tekkida. Ma saan aru, et kõnealused hääled on loodud mingi isetehtud rakendusega. Miks ei saa e-valimisi selliselt korraldada, et hääletada saabki üksnes ametliku valimisrakenduse abil?

Elektrooniline hääletamine on üles ehitatud selliselt, et valija annab oma hääle ehk krüpteerib oma e-hääle iseenda arvutis, mitte ei logi selleks mõnda keskkonda sisse. See on kõige turvalisem ja parim lahendus, et tema elektroonilist häält ei saaks keegi muuta. Valija saab e-hääletamiseks vajaliku rakenduse alla laadida valimiste lehelt, kus on avaldatud ka materjalid, mille veenduda, et allalaaditud valijarakendus on autentne. See muudab valimised läbipaistvamaks ja tõstab usaldust.

Et kõik saaksid veenduda Eesti e-hääletamise süsteemi korrektses toimimises, on avalikud ka süsteemi lähtekood, hääletamissedeli vorm ja e-hääle moodustamise reeglid. Piisavate teadmiste korral on võimalik nende põhjal luua ise valijarakendus, sellega hääl anda ning seda kontrollida. See pole keelatud, seda on ka üritatud ja seeläbi tõestatud, et elektrooniline hääletamine on tõesti läbipaistev ja usaldusväärne.

Samamoodi on piisavate teadmiste korral võimalik ametliku valijarakenduse baasil luua oma rakendus ja muuta näiteks hääletamissedeli sisu, digiallkirjastada oma loodud krüptogramm ja üritada saata seda valimiskasti teatud lisameetodeid kasutades.

Isegi kui õnnestub taoline sedel e-valimiskasti saata, siis ebakorrektsed e-hääled lükkab süsteem kõrvale ja neid ei avata. Kehtetud e-hääled ei ole suurem turvarisk kui on jaoskonnas valimiskasti lastud soditud sedel. Inimene on lihtsalt rikkunud oma enda hääle.

Isetehtud valijarakendus ei anna kellelegi mitte mingit eelist. See on kasutaja enda arvutis asuv rakendus, millega valija krüpteerib oma e-hääle ja saadab selle e-valimiskasti. E-hääle andmiseks peab inimene olema valijate nimekirjas, tal peab olema kehtiv eID dokument, selle sertifikaadid ning igal valijal läheb arvesse ainult viimasena antud hääl.

Problemaatiliseks muutub olukord siis, kui kutsutakse teisi inimesi alternatiivseid rakendusi kasutama. Kuna mingit garantiid ei ole, et need töötavad ja nendega antud hääled lugemisse lähevad, võetakse sellega inimestelt ära võimalus valimistel osaleda. Samuti ei kehti alternatiivse süsteemi pakkujale nõuded, mis on kehtestatud valimiste korraldajale. Eesotsas nõudega tagada hääletamise salajasus, mis tagab valimisvabaduse. Valija ei saa isetehtud süsteemi puhul olla lõpuni kindel, milliseid andmeid tema kohta kogutakse, kaua neid säilitatakse ja kellega neid jagatakse.