Kas oleme ohverdanud hääle salajasuse asjata?

Esmaspäeval põhiseaduskomisjonis kirjeldasin, kuidas 2000ndatel usuti, et ülejäänud maailm võtab üle meie arusaama e-hääletuse tseremoniaalsest vaadeldavusest. Nii see aga ei läinud ja ametnikud pidid tegema Veneetsia komisjonis ning Euroopa Nõukogus tõsiseid pingutusi, et meie e-hääletust ei tunnistataks tervenisti ebademokraatlikuks.

Rahvusvahelise julgeoleku- ja koostööorganisatsiooni valimisvaatlejate eksperdirühma soovitusel ja kohalike aktivistide survel on nüüdseks tseremoniaalsest vaatlemisest loobutud ning püütud liikuda krüptograafilise kontrolli tagamisele.

Kahjuks on see ebaõnnestunud ning selle tulemusel pole meil enam ei algset tseremoniaalset vaadeldavust ega nõutud krüptograafilist kontrolli – demokraatlik kontroll e-hääletuse üle on seega just praegu ilmselt läbi aegade kõige viletsamas seisus.

Kuigi juba 2000ndatel soovitasid Tartu krüptograafid tseremoniaalse vaadeldavuse kõrval valimiskasti kontrolli krüptograafia vahenditega, ei mõistnud toona e-hääletuse käimalükkamisega kiirustavad poliitikud ega neid nõustanud tehnikud keerulise rätsepakrüpto vajalikkust.

Kuluaaris läksid vaidlused tuliseks ja lõpuks hakati pidama krüptograafilist kontrolli e-hääletust takistavaks.

See on ilmselt üks põhjustest, miks on Eesti e-hääletuse kontrollimehhanismidega nii halvasti läinud.

Kurbmängu võib jälgida OSCE/ODIHR eksperdirühma raportitest läbi aegade, millest ainult 2015. aasta oma tunnustab meie edusamme – aga sedagi vaid osaliselt…

“Lisaks soovitab OSCE/ODIHR, et juhul kui internetihääletust puudutavatele ning käesolevas raportis esiletõstetud tõsistele probleemidele ei leita efektiivset lahendust, tuleks võimudel tõsiselt kaaluda, kas internetihääletus peaks olema laialdaselt kättesaaadav hääletusmeetod, või alternatiivselt, kas peaks seda kasutatama piiratud alustel või üldse mitte kasutama.” (2007)

“Viimastel aastatel on krüptograafia alal tehtud edusamme, mis võimaldavad algusest lõpuni kontrollida antud hääli, st et hääletajal on võimalik kontrollida, kas tema hääl a) anti nii, nagu kavatseti, b) salvestati sellisel kujul, nagu anti c) loeti sellisel kujul, nagu salvestati. Sellise individuaalse tõestatavuse aluseks on tavaliselt hääletajale antud kood, mis võimaldab tal hiljem kontrollida, kas tema hääl salvestati õigesti ja loeti õigesti üle. Lisaks sellele on olemas universaalset tõestatavust võimaldavad algoritmid, mis tähendab seda, et igaüks saab kontrollida, kas antud hääled on õigesti dekrüpteeritud ja üle loetud. Eesti internetihääletuse süsteem selliseid vahendeid ei kasuta. OSCE/ODIHR EAM-le antud seletuse järgi on selle põhjuseks mure, et kontrollitavuse võimaldamine võiks valijaid segadusse ajada. /—/ OSCE/ODIHR soovitab VVK-l moodustada avatud töörühm, et kaaluda võimalust võtta kasutusele kontrollitav internetihääletusskeem või samaväärselt usaldusväärne mehhanism, mille abil saaks valija kontrollida ega tema häält pahavara abil muudetud ei ole.” (2011)

“VVK esitles valijatele verifitseerimisprotsessi, kinnitamaks, et nende e-hääl edastati sihipäraselt ja salvestati häältetalletamisserveris, mis võttis osaliselt arvesse varasemat OSCE/ODIHR-i soovitust. Sellegipoolest, ei luba süsteem end-to-end verifitseerimist.” (2015)

“ODIHR EET poolt läbi vaadatud tehnilised raamistikud ja toimingud viitavad asjaolule, et siseründaja, kellel on volitus ligi pääseda digitaalsetele valimiskastidele, võiks murda iga valija poolt avaldatud QR-koodi salajasuse — ja seda isegi pärast koodi kehtivuse lõppu. See on vastuolus riiklike seaduste ja rahvusvaheliste standarditega, mis puudutavad hääle salajasust.” (2019)

“Nagu eelnevalt soovitatud, peaksid valimiste korraldajad kaaluma meetodeid, kuidas saavutada läbiv (end-to-end) kontrollitavus. Praeguste kontrollitavuse mehhanismide parandamiseks peaksid valimiste korraldajad kõrvaldama puudused individuaalses kontrollitavuses ja tagama, et kõik e-hääletamise tulemuste kindlaksmääramise kriitilise tähtsusega etapid oleksid auditeeritavad.” (2023)

Sõltumata sellest, kas krüptograafilised protokollid suudavad oma tänapäevasel kujul objektiivselt tagada põhiseaduse nõuete järgimise riikliku tähtsusega valimistel, on valimiste demokraatliku kontrolli küsimuste kõrvale lükkamine Eesti e-hääletuse ajaloo üks läbivaid jooni.

Kui sellist kontrolli nõudsid Helger Lipmaa ja Oleg Mürk oma 2001. aasta analüüsis, siis polnud veel juurdunud terminid algusest/otsast lõpuni (end-to-end) või läbiv kontrollitavus või verifitseeritavus – seetõttu käib OSCE/ODIHR valimisekspertide raport selle 2011. aastal välja justkui uue avastuse.

Välisekspertide eiramise põhjused olid aga sügavamal ning selle ajalooliseks tunnistuseks on Helger Lipmaa blogipostitus 2011. aastast, milles teatab, et hääletas paberil, sest krüptograafi ametiuhkus ei luba kasutada ega toetada vigastel alustel e-hääletust.

Valimiskasti kontrollimist võimaldava rätsepakrüpto umbusaldamise taagast pole aga siiani päriselt üle saadud ja põhiseaduskomisjoniski võis esmaspäeval kuulda e-hääletuse algusaegadest pärit kuulujuttu, et krüptograafiline kontroll ohustab hääletamise salajasust ja võimaldab häältemüüki. Kahjuks on aga nii, et hääletamise salajasust riivab OSCE/ODIHR valimisekspertide 2019. aasta raporti järgi hoopis meie praegune IVXV protokoll, kuid kontrollitavust pole see hoolimata salajasuse ohverdamisest siiski suutnud tagada.

Postitus tõukus e-hääletuse vaatlejate petitsiooni esitlusest põhiseaduskomisjonis 25. septembril ja Ago Samosoni 26. septemberil 2023 avaldatud artiklist “E-valimised on praegu usalduse küsimus”.