October 25, 2019

Millal saame müüa e-häälte krüptogramme hämarveebis?

Õiguskantsleri korraldatud kohtumisel maalisin liigse tõendusjõu probleemi näitlikustamiseks düstoopilise kujutluse hämarveebi teenusest, mis pakuks valijatele korrektse digiallkirjaga ja õige erakonna poolt hääletavate krüptogrammide üleslaadimise eest tasu mõnes krüptovääringus. Missugune täpselt oleks sellise illegaalse teenuse ärimudel, see vajab läbimõtlemist, kuid oht krüptogrammidega kaubitsemiseks on sama reaalne nagu kettrünne pabersedelite puhul.

Majandusministeeriumi e-hääletuse töörühmas on ühena minu jaoks olulisematest laual ettepanek laiendada valija isikliku hääle kontroll häälte kokkulugemise hetkeni praeguse 30 minuti asemel hääle edastamisest. Seda tingimusel, et kontrolli käigus antakse valijale hääle sisu kohta vähem tagasisidet.

See tähendab, et valijasunni vältimiseks ei näidataks QR-koodi alusel mitte valitud kandidaadi nime, vaid mõnda ainult valijale teadaolevat kontrollkoodi. Sellega tehtaks küll isikliku hääle kontroll ebamugavamaks, kuid antaks valijale maksimaalne võimalus veenduda, et tema hääl tõepoolest läks lugemisele.

Peamine vastuargument valija isikliku hääle kontrolli laiendamiseks näib olevat väidetavalt suurenev oht valijasunniks, sh häältega kaubitsemiseks. Oht selleks on loomulikult olemas, kuid vastuargument ise pärineb aegadest, mil e-hääletust välisele kontrollile avavaid mehhanisme ei peetud ülepea vajalikuks.

Argument lähtub eeldusest, et praegune kontrollimehhanism ei ohusta hääle salajasust ega võimalda häältega kaubitsemist. Järgnevas näitan, et eelduse kumbki pool ei pea paika.

Dekaadide tagune kuulujutt

Nüüdseks on juba pool tosinat aastat saanud iga valija oma hääle serverisse jõudmist kontrollida. [1]

See aga ei tähenda, et valimiskomisjon oleks 2011. aastal tahtnud midagi paremaks teha ja sellest lähtuvalt süsteemi täiendanud. See võimalus on meil eelkõige Paavo Pihelga häkitud valijarakenduse ja sellest lähtuva OSCE/ODIHR resoluutse soovituse [2] tõttu selline kontrollimehhanism lisada. Riigikohus mäletatavasti eiras Pihelga valimiskaebust ega esitanud selle alusel ühtegi soovitust [3].

Kuulujutt kontrollimehhanismi loodavast e-häälte turust on aga endiselt liikvel, kuid see käib pigem toona vigasena loodud süsteemi kohta ega kehtiks korrektselt eeluviidud kontrollimehhanismi puhul.

Õigupoolest käituvad toonase valimiskomisjoni kasvandikud nagu mingit kontrollimehhanismi polekski — siiani pean aruteludes meenutama, et kui räägitakse valija isikliku hääle kontrollist, siis me ei räägi millegi uue lisamisest süsteemi, vaid olemasoleva kontrollimehhanismi korrigeerimisest.

Vigasena sünnitatud kontrollimehhanism

Pole ime, et vastu tahtmist sündinud ja siiani aktiivsest mälust tõrjutud kontrollimehhanism on puudulik. Toona jäi tähelepanuta OSCE/ODIHR vaatlejate soovitus kasutada kontrollimiseks “hääletajale antud koodi” — samamoodi jäi kahe silma vahele rõhutus, et selline kontroll võiks ühtlasi võimaldada veenduda, et hääl “loeti ka õigesti üle”.

Kuna vigases lahenduses kuvatakse kontrollkoodi asemel kasutajale tema valitud kandidaadi nimi ja number, siis see välistab tõepoolest hääle salajasuse liigse riive tõttu võimaluse kontrollida häält kuni lugemisele minemiseni — ja sealt edasi. Sellisest lahendusest lähtudes saab ellu viia ainult OSCE/ODIHR soovitusest ainult poole. [4]

Häkkerite kogukondades ringleb lugu sellest, et idee tagastada hääle kontrollimisel valijale tema valiku täielik sisu sündis saunalaval, kus satuti pakutud lahenduse tehnilisest nutikusest nii vaimustusse, et mindi sellega otse Riigikogu põhiseaduskomisjoni istungile [5]. Juhtusin veel samal päeval rongis kokku ühe osalejaga, kes kurtis, et komisjon ei suutnud IT-inimeste ettepanekuid mõista ning nõustus vigase kontrollimehhanismiga ilma sisulise aruteluta.

Välisvaatlejad tulid hääle kontrollimise problemaatika juurde tagasi ka käesoleva aasta raportis ning osutasid, et see ohustab hääletuse salajasust [6]:

ODIHR EET poolt läbi vaadatud tehnilised raamistikud ja toimingud viitavad asjaolule, et siseründaja, kellel on volitus ligi pääseda digitaalsetele valimiskastidele, võiks murda iga valija poolt avaldatud QR-koodi salajasuse — ja seda isegi pärast koodi kehtivuse lõppu. See on vastuolus riiklike seaduste ja rahvusvaheliste standarditega, mis puudutavad hääle salajasust.

Tarvi Martens näeb su häält!

Kui ma 2015. aasta Riigikogu valimistel oma e-sedeli rikkusin, siis postitas VVK-poolne e-hääletuse projektijuht Tarvi Martens ilma mult küsimata Facebooki minu e-hääle ajatempli [7]. Välisvaatlejate viimatise raporti alusel teame, et valija isikliku hääle kontrollimiseks mõteldud QR-koodi süsteem võimaldab murda hääle salajasuse. Seega oleks võinud Martens sama hästi postitada Facebooki ka minu valitud kandidaadi nime ja numbri.

Valimisteenistus on välisvaatlejate raportit kommenteerinud harjumuspärast “aktsepteeritud riski” retoorikat kasutades [8], kuid jätnud tähelepanuta sisulise probleemi. See seisneb nüansis, et QR-koodi alusel on võimalik e-hääletuse enda nõuetest oluliselt lahknev stsenaarium, mis mille käigus kompromiteeritakse QR-koodi abil hääle salajasust mitte ainult pärast lubatud 30 minutit, vaid ka pärast valimisi.

Aktsepteeritud risk hääletamise salajasusele on süsteemi optimistliku turvamudeli järgi see, et QR-kood seab hääle salajasuse ohtu 30 minuti vältel ning seejärel kaotab kood oma tähenduse. Edasisega pole aga valimisteenistus arvestanud ning Euroopa Nõukogu ministrite komitee soovitused e-hääletuse kohta sedastavad, et hääle salajasus peab olema tagatud kõigi hääletusprotseduuri etappide vältel (p 19) ning pärast hääletamist ei tohi olla mingit võimalust viia häält kokku selle andnud isikuga (p 26). [9]

Sellise võimaluse tekkimine süsteemi puuduliku arhitektuuri kõrvalnähuna ongi valimisvaatlejate etteheite tuum.

Fiktiivne 30 minutit

Tegelikult on asi veel hullem. E-hääletuse tehniline protokoll on niimoodi üles ehitatud, et QR-koodi alusel edastatakse valija nutiseadmesse tema e-hääle krüptogramm koos digiallkirjaga [10]. Hääle kontrollimine aga toimub nutiseadmes ning pärast krüptogrammi vastuvõtmist pole selleks enam vaja netiühendust.

See tähendab, et 30 minutine piirang hääle avamisele on fiktiivne ning seda protseduuri saab oskuslik valija ise millal tahes korrata. Kuid teda saab sundida seda tegema ka pahatahtlik mõjutaja.

Serverist nutiseadmesse edastatav krüptogramm sisaldab valija häält ning QR-koodis sisalduv juhuslikkuse parameeter võimaldab hääle lahti krüptida. Koos kaasapandud digiallkirjaga on see tunduvalt rohkem hard evidence valija antud hääle sisu kohta kui valimiskabiinis tehtud foto pabersedelist — digiallkiri on meil teatavasti võrdsustatud päris-allkirjaga.

Välisvaatlejate raport osutab sama arhitektuurivea järelmitele serveri poolel, kuid kliendi jaoks on selle tagajärjed isegi hävitavamad.

Krüptogrammidel põhinev e-häälte turg

Üldiselt OSCE/ODIHR oma soovitusi ei korda, kuigi monitoorib nende täitmist. Järjekordset soovitust tuleb seega ilmselt võtta 2011. aastal antud ja meie e-hääletuses poolikuna ellu viidud soovituste täiendusena.

Tutvustasin lahknevust kontrollitavuse standarditest ka õiguskantslerile, kes kõigest mõni nädal enne OSCE/ODIHR raporti ilmumist kinnitas oma vastuses mulle [11], et e-hääletus vastab igati salajasuse nõuetele ning osutas praeguse süsteemi white paper‘it [12] ning dokumentatsiooni [13] ilmselt eneselegi märkamatult vaidlustades, et salajasust ohustab hoopis otsast lõpuni kontrollitavuse põhimõtete rakendamine.

Õiguskantsleri korraldatud kohtumisel maalisin liigse tõendusjõu probleemi näitlikustamiseks düstoopilise kujutluse hämarveebi teenusest, mis pakuks valijatele korrektse digiallkirjaga ja õige erakonna poolt hääletavate krüptogrammide üleslaadimise eest tasu mõnes krüptovääringus. Missugune täpselt oleks sellise illegaalse teenuse ärimudel, see vajab läbimõtlemist, kuid oht krüptogrammidega kaubitsemiseks on sama reaalne nagu kettrünne pabersedelite puhul.

Võrreldes kettründega pakub krüptogrammide karistamatuks müümiseks tunduvalt soodsama võimaluse aga seesama digikeskkond, mis teeb võimalikuks e-hääletuse.

Minu ootused töörühmale

Ei tasu siiski sattuda krüptogrammidega kaubitsemise ideest liialt elevusse.

See on mõtteeksperiment, mille eesmärk oli näidata, et praegu kasutusel oleva kontrollimehhanismi poolt edastatavad ja lekitatavad andmed soodustavad häälte müüki tõhusamalt kui seda teeks valijale näidatav ning ainult talle teada olev kontrollkood. Kontrollkoodil põhinevad ka kõik teadaolevad hääle kontrolli võimaldavad süsteemid [14] ja tuntud otsast lõpuni kontrollitavuse teaduskäsitlused [15].

Rõhutasin nõusolekus e-hääletuse töörühmaga liituda, et minu peamine kriteerium selles osalemisele on edasiminek kontrollitavuse probleemi lahendamisel ning “jätan endale võimaluse töörühmast lahkuda, kui kontrollitavusega seotud valimisõiguse ja krüptograafia küsimuste klapitamine hakkab infotehnoloogia erialase trivia varju jääma”. [16]

Valija isikliku hääle kontrolli mehhanismi korrigeerimine on üks neist ettepanekutest, mille puudumine sunniks mind töörühma lõppraportiga mitte nõustuma.

Selle ettepaneku esitamisega õiendataks aga dekaadide tagune võlg otsast lõpuni kontrollitavuse teaduskäsitluse ees ning jõutaks lähedale kontrollitavuse tasemele, mida nägid ette Helger Lipmaa ja Oleg Mürk oma 2001. aasta lähteuuringus. [17]

Kuigi töörühma juhtimine on olnud ebakindel [18] ning keskendumine eklektiliselt sündinud murekohtade nimekirja [19] arutamisele ei ole võimaldanud süstemaatiliselt tegelda koalitsioonileppes eesmärgiks seatud e-hääletuse “kontrollitavuse, turvalisuse ja läbipaistvuse” tagamisega [20], siiski on Eesti ajaloo esimese huvirühmi kaasava ning suhteliselt laiapõhjalise e-hääletuse töörühma loomine andnud päris huvitavaid tulemusi ja laual on ka hulk teisi toetamist väärivaid ettepanekuid.

Töörühm ühtegi otsust ettepanekute osas pole veel langetanud.

See on toimetamata blogipostitus. Litsents on kirjas lehe alumises servas ning vastavat märgist ära tuues võib seda teksti oma äranägemise järgi kasutada. Arvestedes e-hääletuse töörühma jõudmist töö lõppfaasi on ilmselt oodata ka järjelugusid.

Viited

[1] https://www.riigiteataja.ee/akt/315012013005
[2] https://www.osce.org/odihr/77557
[3] https://www.riigikohus.ee/lahendid?asjaNr=3-4-1-4-11
[4] https://gafgaf.infoaed.ee/posts/rohkem-kryptot/
[5] https://www.riigikogu.ee/tegevus/eelnoud/eelnou/abc6bd69-0c8f-4012-8616-9277a7cbfec8
[6] https://www.osce.org/odihr/elections/estonia/424229
[7] https://gafgaf.infoaed.ee/posts/minu-evalimised/#schr%C3%B6dingeri-h%C3%A4%C3%A4l
[8] https://digi.geenius.ee/rubriik/uudis/rahvusvahelise-ekspertruhma-raport-leidis-eesti-e-valimiste-osas-mitu-kriitilist-kohta/
[9] https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=0900001680726f6f (jaotis IV)
[10] https://www.valimised.ee/sites/default/files/uploads/eh/IVXV-protokollid.pdf (jaotis 7.3)
[11] https://gafgaf.infoaed.ee/files/6iguskantsler_e-h33letus_23_08_2019.pdf
[12] https://research.cyber.ee/~janwil/publ/ivxv-evoteid.pdf (jaotis 6.4)
[13] https://www.valimised.ee/sites/default/files/uploads/eh/IVXV_raamistiku_yldkirjeldus_29052017.pdf (jaotis 8 ja 8.3)
[14] https://youtu.be/1a48VQwezkY
[15] https://arxiv.org/abs/1504.03778
[16] https://gafgaf.infoaed.ee/posts/linnamyyr/
[17] https://www.valimised.ee/sites/default/files/uploads/eh/lipmaamyrk.pdf
[18] https://digi.geenius.ee/rubriik/uudis/it-minister-kingo-e-valimiste-tooruhm-ei-taida-esialgu-seatud-eesmarki/
[19] https://digi.geenius.ee/rubriik/uudis/taispikk-nimekiri-it-minister-kingo-e-valimiste-tooruhma-koik-valja-toodud-murekohed/
[20] https://www.valitsus.ee/sites/default/files/content-editors/pictures/eesmargid/eesti_keskerakonna_eesti_konservatiivse_rahvaerakonna_ning_isamaa_erakonna_valitsusliidu_aluspohimotted_2019-2023.pdf