Millal saame müüa e-häälte krüptogramme hämarveebis?
Õiguskantsleri korraldatud kohtumisel maalisin liigse tõendusjõu probleemi näitlikustamiseks düstoopilise kujutluse hämarveebi teenusest, mis pakuks valijatele korrektse digiallkirjaga ja õige erakonna poolt hääletavate krüptogrammide üleslaadimise eest tasu mõnes krüptovääringus. Missugune täpselt oleks sellise illegaalse teenuse ärimudel, see vajab läbimõtlemist, kuid oht krüptogrammidega kaubitsemiseks on sama reaalne nagu kettrünne pabersedelite puhul.
Majandusministeeriumi e-hääletuse töörühmas on ühena minu jaoks olulisematest laual ettepanek laiendada valija isikliku hääle kontroll häälte kokkulugemise hetkeni praeguse 30 minuti asemel hääle edastamisest. Seda tingimusel, et kontrolli käigus antakse valijale hääle sisu kohta vähem tagasisidet.
See tähendab, et valijasunni vältimiseks ei näidataks QR-koodi alusel mitte valitud kandidaadi nime, vaid mõnda ainult valijale teadaolevat kontrollkoodi. Sellega tehtaks küll isikliku hääle kontroll ebamugavamaks, kuid antaks valijale maksimaalne võimalus veenduda, et tema hääl tõepoolest läks lugemisele.
Peamine vastuargument valija isikliku hääle kontrolli laiendamiseks näib olevat väidetavalt suurenev oht valijasunniks, sh häältega kaubitsemiseks. Oht selleks on loomulikult olemas, kuid vastuargument ise pärineb aegadest, mil e-hääletust välisele kontrollile avavaid mehhanisme ei peetud ülepea vajalikuks.
Argument lähtub eeldusest, et praegune kontrollimehhanism ei ohusta hääle salajasust ega võimalda häältega kaubitsemist. Järgnevas näitan, et eelduse kumbki pool ei pea paika.
Dekaadide tagune kuulujutt
Nüüdseks on juba pool tosinat aastat saanud iga valija oma hääle serverisse jõudmist kontrollida. [1]
See aga ei tähenda, et valimiskomisjon oleks 2011. aastal tahtnud midagi paremaks teha ja sellest lähtuvalt süsteemi täiendanud. See võimalus on meil eelkõige Paavo Pihelga häkitud valijarakenduse ja sellest lähtuva OSCE/ODIHR resoluutse soovituse [2] tõttu selline kontrollimehhanism lisada. Riigikohus mäletatavasti eiras Pihelga valimiskaebust ega esitanud selle alusel ühtegi soovitust [3].
Kuulujutt kontrollimehhanismi loodavast e-häälte turust on aga endiselt liikvel, kuid see käib pigem toona vigasena loodud süsteemi kohta ega kehtiks korrektselt eeluviidud kontrollimehhanismi puhul.
Õigupoolest käituvad toonase valimiskomisjoni kasvandikud nagu mingit kontrollimehhanismi polekski — siiani pean aruteludes meenutama, et kui räägitakse valija isikliku hääle kontrollist, siis me ei räägi millegi uue lisamisest süsteemi, vaid olemasoleva kontrollimehhanismi korrigeerimisest.
Vigasena sünnitatud kontrollimehhanism
Pole ime, et vastu tahtmist sündinud ja siiani aktiivsest mälust tõrjutud kontrollimehhanism on puudulik. Toona jäi tähelepanuta OSCE/ODIHR vaatlejate soovitus kasutada kontrollimiseks “hääletajale antud koodi” — samamoodi jäi kahe silma vahele rõhutus, et selline kontroll võiks ühtlasi võimaldada veenduda, et hääl “loeti ka õigesti üle”.
Kuna vigases lahenduses kuvatakse kontrollkoodi asemel kasutajale tema valitud kandidaadi nimi ja number, siis see välistab tõepoolest hääle salajasuse liigse riive tõttu võimaluse kontrollida häält kuni lugemisele minemiseni — ja sealt edasi. Sellisest lahendusest lähtudes saab ellu viia ainult OSCE/ODIHR soovitusest ainult poole. [4]
Häkkerite kogukondades ringleb lugu sellest, et idee tagastada hääle kontrollimisel valijale tema valiku täielik sisu sündis saunalaval, kus satuti pakutud lahenduse tehnilisest nutikusest nii vaimustusse, et mindi sellega otse Riigikogu põhiseaduskomisjoni istungile [5]. Juhtusin veel samal päeval rongis kokku ühe osalejaga, kes kurtis, et komisjon ei suutnud IT-inimeste ettepanekuid mõista ning nõustus vigase kontrollimehhanismiga ilma sisulise aruteluta. [*]
Välisvaatlejad tulid hääle kontrollimise problemaatika juurde tagasi ka käesoleva aasta raportis ning osutasid, et see ohustab hääletuse salajasust [6]:
ODIHR EET poolt läbi vaadatud tehnilised raamistikud ja toimingud viitavad asjaolule, et siseründaja, kellel on volitus ligi pääseda digitaalsetele valimiskastidele, võiks murda iga valija poolt avaldatud QR-koodi salajasuse — ja seda isegi pärast koodi kehtivuse lõppu. See on vastuolus riiklike seaduste ja rahvusvaheliste standarditega, mis puudutavad hääle salajasust.
Tarvi Martens näeb su häält!
Kui ma 2015. aasta Riigikogu valimistel oma e-sedeli rikkusin, siis postitas VVK-poolne e-hääletuse projektijuht Tarvi Martens ilma mult küsimata Facebooki minu e-hääle ajatempli [7]. Välisvaatlejate viimatise raporti alusel teame, et valija isikliku hääle kontrollimiseks mõteldud QR-koodi süsteem võimaldab murda hääle salajasuse. Seega oleks võinud Martens sama hästi postitada Facebooki ka minu valitud kandidaadi nime ja numbri.
Kui mu e-hääl on rikutud, kas ma saan siis valimispäeval uuesti hääletada? #jüristostein #protokoll #valimised2015 pic.twitter.com/NW4ctzybzz
— Märt Põder / @tramm@mstdn.social (@trtram) February 25, 2015
Valimisteenistus on välisvaatlejate raportit kommenteerinud harjumuspärast “aktsepteeritud riski” retoorikat kasutades [8], kuid jätnud tähelepanuta sisulise probleemi. See seisneb nüansis, et QR-koodi alusel on võimalik e-hääletuse enda nõuetest oluliselt lahknev stsenaarium, mis mille käigus kompromiteeritakse QR-koodi abil hääle salajasust mitte ainult pärast lubatud 30 minutit, vaid ka pärast valimisi.
Aktsepteeritud risk hääletamise salajasusele on süsteemi optimistliku turvamudeli järgi see, et QR-kood seab hääle salajasuse ohtu 30 minuti vältel ning seejärel kaotab kood oma tähenduse. Edasisega pole aga valimisteenistus arvestanud ning Euroopa Nõukogu ministrite komitee soovitused e-hääletuse kohta sedastavad, et hääle salajasus peab olema tagatud kõigi hääletusprotseduuri etappide vältel (p 19) ning pärast hääletamist ei tohi olla mingit võimalust viia häält kokku selle andnud isikuga (p 26). [9]
Sellise võimaluse tekkimine süsteemi puuduliku arhitektuuri kõrvalnähuna ongi valimisvaatlejate etteheite tuum.
Fiktiivne 30 minutit
Tegelikult on asi veel hullem. E-hääletuse tehniline protokoll on niimoodi üles ehitatud, et QR-koodi alusel edastatakse valija nutiseadmesse tema e-hääle krüptogramm koos digiallkirjaga [10]. Hääle kontrollimine aga toimub nutiseadmes ning pärast krüptogrammi vastuvõtmist pole selleks enam vaja netiühendust.
See tähendab, et 30 minutine piirang hääle avamisele on fiktiivne ning seda protseduuri saab oskuslik valija ise millal tahes korrata. Kuid teda saab sundida seda tegema ka pahatahtlik mõjutaja.
Serverist nutiseadmesse edastatav krüptogramm sisaldab valija häält ning QR-koodis sisalduv juhuslikkuse parameeter võimaldab hääle lahti krüptida. Koos kaasapandud digiallkirjaga on see tunduvalt rohkem hard evidence valija antud hääle sisu kohta kui valimiskabiinis tehtud foto pabersedelist — digiallkiri on meil teatavasti võrdsustatud päris-allkirjaga.
Välisvaatlejate raport osutab sama arhitektuurivea järelmitele serveri poolel, kuid kliendi jaoks on selle tagajärjed isegi hävitavamad.
Krüptogrammidel põhinev e-häälte turg
Üldiselt OSCE/ODIHR oma soovitusi ei korda, kuigi monitoorib nende täitmist. Järjekordset soovitust tuleb seega ilmselt võtta 2011. aastal antud ja meie e-hääletuses poolikuna ellu viidud soovituste täiendusena.
Tutvustasin lahknevust kontrollitavuse standarditest ka õiguskantslerile, kes kõigest mõni nädal enne OSCE/ODIHR raporti ilmumist kinnitas oma vastuses mulle [11], et e-hääletus vastab igati salajasuse nõuetele ning osutas praeguse süsteemi white paper‘it [12] ning dokumentatsiooni [13] ilmselt eneselegi märkamatult vaidlustades, et salajasust ohustab hoopis otsast lõpuni kontrollitavuse põhimõtete rakendamine.
Õiguskantsleri korraldatud kohtumisel maalisin liigse tõendusjõu probleemi näitlikustamiseks düstoopilise kujutluse hämarveebi teenusest, mis pakuks valijatele korrektse digiallkirjaga ja õige erakonna poolt hääletavate krüptogrammide üleslaadimise eest tasu mõnes krüptovääringus. Missugune täpselt oleks sellise illegaalse teenuse ärimudel, see vajab läbimõtlemist, kuid oht krüptogrammidega kaubitsemiseks on sama reaalne nagu kettrünne pabersedelite puhul.
Võrreldes kettründega pakub krüptogrammide karistamatuks müümiseks tunduvalt soodsama võimaluse aga seesama digikeskkond, mis teeb võimalikuks e-hääletuse.
Minu ootused töörühmale
Ei tasu siiski sattuda krüptogrammidega kaubitsemise ideest liialt elevusse.
See on mõtteeksperiment, mille eesmärk oli näidata, et praegu kasutusel oleva kontrollimehhanismi poolt edastatavad ja lekitatavad andmed soodustavad häälte müüki tõhusamalt kui seda teeks valijale näidatav ning ainult talle teada olev kontrollkood. Kontrollkoodil põhinevad ka kõik teadaolevad hääle kontrolli võimaldavad süsteemid [14] ja tuntud otsast lõpuni kontrollitavuse teaduskäsitlused [15].
Rõhutasin nõusolekus e-hääletuse töörühmaga liituda, et minu peamine kriteerium selles osalemisele on edasiminek kontrollitavuse probleemi lahendamisel ning “jätan endale võimaluse töörühmast lahkuda, kui kontrollitavusega seotud valimisõiguse ja krüptograafia küsimuste klapitamine hakkab infotehnoloogia erialase trivia varju jääma”. [16]
Valija isikliku hääle kontrolli mehhanismi korrigeerimine on üks neist ettepanekutest, mille puudumine sunniks mind töörühma lõppraportiga mitte nõustuma.
Selle ettepaneku esitamisega õiendataks aga dekaadide tagune võlg otsast lõpuni kontrollitavuse teaduskäsitluse ees ning jõutaks lähedale kontrollitavuse tasemele, mida nägid ette Helger Lipmaa ja Oleg Mürk oma 2001. aasta lähteuuringus. [17]
Kuigi töörühma juhtimine on olnud ebakindel [18] ning keskendumine eklektiliselt sündinud murekohtade nimekirja [19] arutamisele ei ole võimaldanud süstemaatiliselt tegelda koalitsioonileppes eesmärgiks seatud e-hääletuse “kontrollitavuse, turvalisuse ja läbipaistvuse” tagamisega [20], siiski on Eesti ajaloo esimese huvirühmi kaasava ning suhteliselt laiapõhjalise e-hääletuse töörühma loomine andnud päris huvitavaid tulemusi ja laual on ka hulk teisi toetamist väärivaid ettepanekuid.
Töörühm ühtegi otsust ettepanekute osas pole veel langetanud.
See on toimetamata blogipostitus. Litsents on kirjas lehe alumises servas ning vastavat märgist ära tuues võib seda teksti oma äranägemise järgi kasutada. Arvestedes e-hääletuse töörühma jõudmist töö lõppfaasi on ilmselt oodata ka järjelugusid.
Lisalugu: kuidas korraldada e-häälte ostmist hämarveebis?
Veel enne, kui tõdeme üheskoos, et leilivinest pärinev krüptogramme edastav QR-koodi süsteem tuleb igal juhul asendada vastavalt OSCE/ODIHR 2011. aasta soovitusele ainult valijale teada oleva kontrollkoodi edastamisega, enne teeme väikse ekskursi praeguse süsteemi pakutavatesse võimalustesse.
Teate, et hämarveebis müüakse lisaks narkootikumidele ka relvi ning vahendatakse mõrvatellimusi? Et seal müüakse zero-day expoite, krediitkaartide numbereid koos CSC-koodidega — tavalistest veebiplatvormide kasutajakontodest ning nende paroolidest rääkimata.
Niisiis kujutagem ette hämarveebi teenust, mis pakub iga õige erakonna poolt hääletava ning kehtiva digiallkirjaga krüptogrammi üleslaadimise eest 150 000 satoshit. Ütleme, et teenus töötab annetustega ja seemneks on ühel Bitcoini kontol 10 ühiku väärtuses krüptovaluutat — see võiks olla erakonda toetavale krüptoärimehele peenraha. Juures on kiri, et kui laadite üles sobiva krüptogrammi, siis saate sealt sellelt kontolt enda määratud kontole ülekande 150 000 satoshi väärtuses ja teenus töötab, kuni kontol on raha.
Ehk alustuseks tuuakse turule 6666 e-häält. Aga ütleme, et krüptogramme tuleb kasvavas tempos ja kontol on alles 1 Bitcoin ehk 666 häält. Mida teeksid selle hämmastavalt digipädeva erakonna toetajana sina?
Skaleerimine
Loomulikult investeeriks ma teenusesse veel Bitcoine, et võtta turult kõik hääled, mis võtta on.
E-hääli loeti 2019. aasta Riigikogu valmistel kokku 247 041. See teeb kogu rahapaja väärtuseks umbes 370 Bitcoini, mis on praeguse kursi järgi umbes 2,5 miljonit eurot.
Õigupoolest tuleks digiallkirjastatud krüptogrammide väljavõtmine ning üleslaadimine nutiseadmest teha võimalikult lihtsaks. Ettenägelik investor jagaks sealsamas hämarveebis ka nutiseadme äppi, mis võimaldaks seda teha ilma lisapingutuseta. Aga miks piirduda nutiseadmega, kui krüptogrammi saab kätte ka valijarakendusest?
Niisiis, hämarveebist peab olema alla laaditav valijarakendus, mis võimaldab hääletada ainult õige erakonna kandidaatide poolt ning edastab tõenduseks krüptogrammmid ülalkirjeldatud teenusele. See oleks peaaegu perfektne lahendus, sest see pole keerulisem ametliku valijarakenduse kasutamisest.
Aga ta muudab oma hääle ära!
Viimane kaitsevall sellise teenuse vastu on mõistagi väide, et valija saab ju oma häält uuesti e-hääletamise teel muuta ja meie investor on kogu oma raha tuulde lasknud!
Sellise väite esitaja unustab, et hääle müümise tehingus on kaks huvitatud osapoolt ja õige veebiärimees tunneb oma klienti. Kes müüks oma häält? Ilmselt keegi, kellele pole valimistulemus kuigi oluline.
Kui teenuse toob turule see ainus digipädev erakond, siis pole ilmselgelt e-hääle müüjal motivatsiooni ka oma häält kellelegi teisele müüa — teised erakonnad ju hääle eest raha ei paku! Aga isegi, kui tegemist on pahatahtliku häälemüüjaga, kes müüb krüptogrammi küll erakonnale X, kuid hääletab seejärel uuesti ja hoopis erakonna Y poolt, siis seda nimetaks meie poliit-startupi rahastaja ilmselt “aktspeteeritud riskiks”, mille mõju ettevõtmise edukusele on minimaalne.
Ent kui meie investor on arukas, siis teab ta, et tema edukust ei taga sugugi eelkõige e-hääle ostmine otse hääle omanikult. Digipädevaid valijaid, kes oskavad hämarveebist modifitseeritud valijarakenduse alla laadida ja sellega ümber käia, on siiski vähemus.
Seega on mõistlik keskenduda n-ö müügisoovitust andvatele klientidele, kelle ülesandeks on müüjad ise kohale tuua.
Valmistub esimene mängija!
Niisiis, iga skriptipõnn peab saama hämarveebist alla laadida geneerilise pahavara, kuhu ta saab sisestada oma Bitcoini kontonumbri ning seejärel genereerida isikliku koodi, mida levitada kõigisse endale ligipääsetavatesse seadmetesse — vanavanemate jt leibkonna liikmete arvutid või ruuterid, paneelmajade, kontorite ja juhuslike kodude omad.
Nutikas poliit-startupper lisab pahavarra loomulikult mehhanismi, millega ID-kaart pärast hääle andmist lukustada ja hoida sellega ära ümberhääletamist. Sel juhul on ka “aktsepteeritud risk” maksimaalselt maandatud, sest neid, kes oma e-häält jaoskonda ümber hääletama lähevad, on juba kaduvväike hulk.
See on põnev mäng, kus häkkerioskuste eduka rakedamise eest ootab rahaline preemia. Avalik edetabel annab asjale ainult mängulisust juurde — rääkimata iga noore huligaani unistusest keerata riigile korralikult käkki.
Ah, et motivatsiooni pole ikkagi piisavalt? Ei tea, kui on konkreetne ülesanne ja rahasumma, siis leiab inimene imelisi lahendusi. Kui minu paneelmaja, kontori, ühiselamu või raamatukogu e-hääled toovad mulle kokku 2000 eurot, siis äkki vähemalt prooviks? Kui teistel pole motivatsiooni, siis äkki vähemalt Tarvi Martensil oleks — temal on ju kõik krüptogrammid, milles ta võib vabalt supelda ja neid kuhu tahes edastada?
Vajadusel võib mängus osalejate motiveerimiseks tõsta esimese müüdud krüptogrammi hinda nt 1,5 miljoni satoshini ning muuta see regresseeruvaks. Eks iga uue kliendibaasi tekitamine nõuab teatud sooduspakkumisi first adapteritele ja klapitamist — kindlasti on krüptogrammil oma hind ja nendega kauplemiseks ka oma edukas ärimudel.
Ent ülaloleva ekskursi moraal pole, et see on hirmus realistlik stsenaarium, milleks peaks hakkama kohe valmistuma. Moraal on see, et sellise cypherpunk-düstoopia teeb võimalikuks praegune QR-koodi alusel krüptogramme edastav e-hääletuse süsteem.
Õiguskantsler kiidab heaks
Itimees on tõutunistuse poolest kauboi. Ta pärineb 1990ndate metsikust Internetist ja tema rollimudeliks on oma startupiga kullasoonele sattunud liigikaaslane. Pole ime, et selline isend hindab e-hääletuse turvalisust lähtuvalt sellest, kui tõenäoline on võimalike ründajate jackpot — milleks on skaleeritav kood kõigi häälte enda kasuks võltsimiseks. Kõik sellest vähem või — veel hullem — seda eesmärki isegi mitte sihtiv on ebaoluline ega vääri arutamist.
Kahjuks on sellest kullapalavikust nakatatud ka meie õigussüsteemi hoolekanne. On arusaadav, et õigusspetsialistid ei pruugi olla tehniliste süsteemide analüüsimisel kodus, kuid seda enam peaks nad püüdma panustada oma erialase kompetentsiga. Õigusteadlase jaoks ei tohiks olla QR-koodi tekitatav salajasuse riive valimisõiguse põhimõtetele vähem hävitav kui häälte võltsimine või otsene valijasund.
Esitasin loetud päevad pärast Riigikogu valimisi õiguskantslerile palve hinnata meie e-hääletuse vastavust “tänapäevastele vaadeldavuse standarditele” ja anda hinnang “kooskõlale demokraatlike hääletuste nõudmistega”. Kirjavahetuse tulemusena õiguskorra kaitse osakonna juhataja Külli Taroga kutsuti mind aruteluringi, kus arutati e-hääletusega seotud õigusküsimusi.
Kuigi mulle jäi segaseks, kas esinduslik seminar oli kokku kutsutud minu pöördumise arutamiseks või muul põhjusel, tutvustasin selle raames peamiselt Eesti e-hääletuse lahknevusi otsast lõpuni kontrollitavuse standardist. Sealhulgas selgitasin ka probleemi kandidaadi nime ja numbrit esitava hääle kontrolliga, kirjeldasin probleeme seoses krüptogrammi liiga suure tõendusjõuga ning osutasin võimalusele krüptogrammide alusel häältega kaubitseda.
Mõne kuu pärast saabunud vastuses eksib aga õiguskantsler valdkonna põhiteeside vastu ja selmet arutada QR-koodi süsteemi järelmeid valimisõiguse põhimõtete kehtivusele, võrdleb ta e-hääletust posti teel ja kohati ka pabersedelitega hääletusega. Ta isegi ei vaevu neid vigaseid analoogiaid põhjendama, kuigi e-hääletuse standardina käibiv Euroopa Nõukogu ministrite komitee käsulaud nõuab, et liikmesriigid “hindavad e-hääletusega seotud riske ja võtavad kasutusele kohaseid meetmeid nende maandamiseks, iseäranis riskide puhul, mis on omased e-hääletuse kui kanali spetsiifikale”.
E-hääletuse kui kanali spetsiifika tuleneb digikeskkonna omadustest, aga kui need on teadmata ja määratlemata, siis edasine arutelu lihtsalt ei oma mingit tähendust. Õiguskantsler ei suuda õigustamatut pabersedelitega võrdlemist vältida isegi oma mitte-vastuse kokkuvõttes:
Eelnevat kokku võttes võib öelda, et Eesti elektroonilise hääletamise süsteem vastab valimistele seatud põhiseaduslikele printsiipidele. Hääle individuaalne otsast lõpuni kontrollitavus ei ole eesmärk omaette. See ei ole võimalik ka pabersedeliga hääletamisel. Et vähendada häälte müümise ohtu, kasutatakse Eestis elektroonilise hääletamise puhul kombineeritud kontrolli. Eelnev ei tähenda, et süsteemi ei saaks või ei peaks jätkuvalt arendama, täiendades muu hulgas sõltumatu kontrolli võimalusi.
Vaid nädal pärast õiguskantsleri hinnangut laekus OSCE/ODIHR vaatlusraport 2019. aasta Riigikogu valmiste kohta, mis osutab otsesele vastuolule hääletamise salajasuse põhimõttega just QR-koodil põhinevas kontrollimehhanismis.
Viited
[*] Jan Willemson on hiljem eravestluses kinnitanud, et kontrollimehhanism sündis siiski tema töölaual. Raske ütelda, kas see teeb asja paremaks või halvemaks.
[1] https://www.riigiteataja.ee/akt/315012013005
[2] https://www.osce.org/odihr/77557
[3] https://www.riigikohus.ee/lahendid?asjaNr=3-4-1-4-11
[4] https://gafgaf.infoaed.ee/posts/rohkem-kryptot/
[5] https://www.riigikogu.ee/tegevus/eelnoud/eelnou/abc6bd69-0c8f-4012-8616-9277a7cbfec8
[6] https://www.osce.org/odihr/elections/estonia/424229
[7] https://gafgaf.infoaed.ee/posts/minu-evalimised/#schr%C3%B6dingeri-h%C3%A4%C3%A4l
[8] https://digi.geenius.ee/rubriik/uudis/rahvusvahelise-ekspertruhma-raport-leidis-eesti-e-valimiste-osas-mitu-kriitilist-kohta/
[9] https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=0900001680726f6f (jaotis IV)
[10] https://www.valimised.ee/sites/default/files/uploads/eh/IVXV-protokollid.pdf (jaotis 7.3)
[11] https://gafgaf.infoaed.ee/files/6iguskantsler_e-h33letus_23_08_2019.pdf
[12] https://research.cyber.ee/~janwil/publ/ivxv-evoteid.pdf (jaotis 6.4)
[13] https://www.valimised.ee/sites/default/files/uploads/eh/IVXV_raamistiku_yldkirjeldus_29052017.pdf (jaotis 8 ja 8.3)
[14] https://youtu.be/1a48VQwezkY
[15] https://arxiv.org/abs/1504.03778
[16] https://gafgaf.infoaed.ee/posts/linnamyyr/
[17] https://www.valimised.ee/sites/default/files/uploads/eh/lipmaamyrk.pdf
[18] https://digi.geenius.ee/rubriik/uudis/it-minister-kingo-e-valimiste-tooruhm-ei-taida-esialgu-seatud-eesmarki/
[19] https://digi.geenius.ee/rubriik/uudis/taispikk-nimekiri-it-minister-kingo-e-valimiste-tooruhma-koik-valja-toodud-murekohed/
[20] https://www.valitsus.ee/sites/default/files/content-editors/pictures/eesmargid/eesti_keskerakonna_eesti_konservatiivse_rahvaerakonna_ning_isamaa_erakonna_valitsusliidu_aluspohimotted_2019-2023.pdf