Häälte avamise võtme kompromiteerimise tõttu pole valimissaladus tagatud

Kuna kompromiteeritud võtit plaanitakse kasutada ka 13. oktoobril valijatele avatava elektroonilise hääletuse puhul, siis seab see kahtluse alla elektroonilise hääletuskanali ja korraldatavate valimiste vastavuse vabade valimiste põhimõtetele. Valimisteenistuse vastused vaatlejate esitatud puuduste avaldustele pole mitte ainult ebapiisavad, vaid on ka eksitavad, kuna nende kirjeldus toimunust ei vasta tegelikkusele.

Arne Koitmäe vastas minu ja valimisvaatleja Sulev Švilponise esitatud puuduste avaldustele 6. oktoobril nii:

30.09.2025 toimunud proovihääletamisel juhatas riigi valimisteenistuse juhi 11.09.2025 korraldusega nr 4 moodustatud elektroonilise hääletamise rakkerühma juht Indrek Leesi sisse võtmeosakute kasutamise ning selle lõpetamisel ka suunas kasutatud võtmeosakute hoidjad tagasi turvakleebist lisama. Seega olid proovihääletamisel häälte avamisel ja lugemisel kasutatavad kiipkaardid ilma turvakleebiseta nende kasutamise ajal, mis toimus audiitorite juuresolekul, ning nende eest vastutasid nende hoidjad, kes võtmeosakute kasutamise ajal ruumist ei lahkunud. Võtmeosakute vastuvõtmisel võtavad vastuvõtjad endale vastutuse ja kohustuse, et hoiavad võtmeid selliselt, et kõrvalistel isikutel puudub neile ligipääs.

Audiitorit puudutavate tähelepanekute kohta märgin, et 30.09.2025 juhtis ja juhendas toiminguid viidatud rakkerühma juht. Audiitor toiminguid ei juhendanud ega andnud ka juhiseid ega korraldusi, küll andis ta saalisviibijatele selgitusi. Lisan, et audiitoril on erinevalt vaatlejast õigus auditi käigus esitada küsimusi ja anda auditeeritava toimingu ajal suulisi kommentaare.

Rekonstrueerisime valimisvaatlejate jäädvustuste põhjal toimunu, millele ja Arne Koitmäe vastustele kutsume avalikkust andma omapoolset hinnangut.

Valimisteenistuse (RVT) juhi Arne Koitmäe vastused häälte avamise võtme osakuid sisaldavate kiipkaartide rändamamineku kohta on eksitavad, sest:

• Kiipkaardid tuli pitseerida kohe pärast kasutamist;
• VVK liikmed ei tohtinud lahkuda pitseerimata kaartidega;
• RVT juhised läksid vastuollu audiitori juhistega;
• Audiitor poleks üldse tohtinud toiminguid juhendada;
• Kaartide kasutamine lõppes nende lugejast eemaldamisega;
• Protseduur läbiti korrekselt eurovalimistel 2024;
• RVT-l ega audiitoril polnud 15 minutit ülevaadet kaartidest;
• Pole tõendatud, et kiipkaardid ei väljunud saalist;
• Soovitatud PIN-koodi ligipääsu piiramiseks ei kasutatud;
• VVK liikmed ei saa vastutada pitseerimata kaartide eest;
• Turvakleebis kaitseb ka VVK liiget ennast šantaaži eest.

Elektroonilise hääletuse turvamudelis tähendab häälte avamise võtme kompromiteerimine, et hääle salajasus valimistel pole enam tagatud. Ei valimiskomisjoni (VVK) liikmetel, RVT-l ega kolmandatel osapooltel pole lihtsat viisi tõendamaks, et turvereeglite rikkumise käigus võtmeosakuid ei kompromiteeritud.

Turvakleebiste kasutamise kirjeldus ja nõuded e‑hääletuse dokumentatsioonis on küll napid, aga elektroonilise hääletuse käsiraamatu lk 6 osutatakse, et kui võtmeprotseduurideks mõeldud kõvaketast ei kasutata, siis peab olema see turvakleebise all:

“Kui välist kõvaketast ei kasutata, säilitakse seda turvakleebisega või turvakotis pitseerituna.”

Samamoodi kirjeldatakse käsiraamatu lk 7 privaatvõtmete osakuid sisaldavate kiipkaartide kasutamist:

“Häälte avamise võtme osakud säilitatakse kiipkaartidel, mis iga kasutamise järel pitseeritakse turvakleebisega. Enne kasutust kontrollib audiitor turvakleebise terviklust.”

On põhjust eeldada, et turvakleebiste kasutamise põhimõtted on ühtsed nii võtmeloomeks ja privaatvõtme abil häälte dekrüpteerimiseks kasutatud arvutisüsteemi kõvaketta kui privaatvõtme osakuid sisaldavate kiipkaartide endi puhul, sest mõlemad andmekandjad opereerivad sama riskiklassiga teabega. Infoturvapoliitika punktis 2.7 peetakse salajase võtme lekkimist kriitiliseks riskiks:

“Kriitilised riskid on elektroonilise hääletamise tulemuste ebakorrektsus, elektroonilise hääletamise tulemuste ebausaldusväärsus, hääletamise katkemine, hääle salajasuse rikkumine, sh võtmerakenduse salajase võtme avalikuks saamine või sellele juurdepääsu kaotamine.”

Kuna turvamudelis postuleeritud eeldusi on rikutud, siis pärast kiipkaartide rändamas käimist turvakleebisega kaitsmata kujul turvaeeldused eeldatavasti enam ei kehti ning toovad kaasa kriitilise riski, mistõttu 29.09 võtmetseremoonia raames loodud võtmeosakute kasutamine edasistes protseduurides pole enam turvaline.

RVT juht Arne Koitmäe püüab oma vastuses puuduste avaldustele vastutust lubamatu ligipääsu vältimise eest kiipkaartidele delegeerida võtmehoidjatele. Turvakleebise eesmärk turvamudelis on sellist vastutust vältida ja RVT ülesanne oli toimingud turvareeglitele vastavalt läbi viia. Pärast kiipkaartide turvakleebiseta rändamas käimist pole võtmehoidjatel enam võimalik tõendada, et võtmed pole kompromiteeritud.

Valimisvaatlejate jaoks lõppes intsidendi menetlus RVT juhi Arne Koitmäe rikkumist eitavate ja eksitavate vastustega puuduste avaldustele. Kuna vaatlejatel puudub õigus kaevata edasi RVT vastuse sisu ja puudub ka valimiskaebuse esitamise õigus “avalikes huvides”, siis olime sunnitud avalikustama toimunu jäädvustused ja pöörduma intsidendile hinnangu saamiseks avalikkuse poole.

Parafraseerides Riigikohtu esimeest Villu Kõvet ei pea valimised mitte üksnes näima ausad, vaid seda ka tõendatult olema – ja tõendid selle kohta peab esitama valimiste korraldaja!

Avaldatud video on osa MTÜ Ausad Valimised vaatlusraportist elektroonilise hääletuse ettevalmistavate toimingute kohta 2025. aasta KOV valimistel. Raportis tehakase viis tehnilist ja korralduslikku tähelepanekut: 1) toimingud ei olnud avalikud, 2) häälte avamise võti loodi puudulikult, 3) proovihääletus toimus avaliku lähtekoodita, 4) audiitori sõltumatus on küsitav ja 5) häälte avamise võti kompromiteeriti.