15. aprill 2024

E-hääletus matkib demokraatlikke valimisi vaid väliselt

Kas usaldaksime valimisi, kui protseduuride ja tulemuste korrektsuses veendumine käiks jaoskonnahoone ja selle akende välispidise vaatluse teel? E‑hääletuse vaatlemine sellega sisuliselt piirdubki.

Vähem kui kolm päeva enne 2023. aasta Riigikogu valimiste e-hääletuse algust laadis Cybernetica/Smartmatic töötaja RVT/VVK avalikku varamusse üles valimiste näidiskoodi, kus oli parandatud oluline viga krüptoprotokollis. Viga võimaldas petta valija isikliku hääle kontrolli mehhanismi nii, et e-hääle muutmine pahavara poolt kasutaja arvutis poleks tulnud välja ka edastatud hääle kontrollimisel sõltumatus seadmes QR-koodi abil.

Austraalia ja Prantsusmaa ülikoolide krüptograafid ütlevad 2023. aasta lõpul avaldatud teadusartiklis, et dokumenteeritud viga oli eriti murettekitav, kuna oli ilmne koolipoisi taseme viga ning oleks pidanud hakkama silma ka süsteemi lähtekoodiga tutvumata. Nende hinnangul sai olla selline viga siiani avastamata auditeeritavuse viletsa taseme ja süsteemi asjakohase spetsifikatsiooni ning selge turvamudeli puudumise tõttu – ning kuna e-hääletuse lähtekood vastab nende hinnangul vaid ühele üheksast väljatoodud arendusstandardist, siis oletavad nad oma avastust üldistades, et sarnaseid puudusi on süsteemis veel.

Võidavad õiged inimesed

Kui 2014. aasta eurovalimiste eel demonstreeris professor Halderman oma tiimiga tosinkonda rünnet Eesti e-hääletuse vastu ja soovitas neist lähtuvalt süsteemi kasutamise lõpetada, lükati see soovitus tagasi väitega, et väliseksperdid on tehniliselt ebapädevad ja täidavad poliitilist tellimust. Kuna seekord pole võimalik rünnata sõnumitoojat ad hominemiga, vaid teadlaste väljatoodud viga on avalikkusele märku andmata parandatud, pole ilmselt põhjust kahelda teadlaste hinnangute pädevuses, sest need ühtivad ka hulga teiste sõltumatute ekspertide diagnoosidega – küll aga tasub panna tähele, et need erinevad nagu öö ja päev valimiste korraldaja PM veergudel avaldatud väidetest, et “mitte ükski raport ei ole seadnud e-hääletamise turvalisust kahtluse alla”.

Kuigi välisekspertide 2014. aasta soovitused pälvisid vähemasti avalikkuses üksmeelse kõrvalelükkamise sõnumitooja tapmise vormis, oli RIA, RVT jt valimiste korralduses osalejate selgituste leitmotiiv, et “e-hääletuse puhul on võrgukiht, seire ja logid meie kontrolli all ja üldsegi mitte ründaja kontrolli all” ning professor Halderman meenutas Euroopa infoturbeentusiastide aastakongressil tagasivaatavalt, et meie süsteemi eest vastutanud asjatundjad olid süsteemi puudustest hoolimata veendunud, et “kõik on hästi, sest valimisi võidavad jätkuvalt õiged inimesed”.

Ent just see ongi Eesti e-hääletuse suurim probleem ning demokraatlikkuse puudujääk, et valimistulemust ei hinnata mitte sammude korrektse läbiviimise ja tulemuse seadusest lähtuva kindlaks tegemise, vaid selle järgi, kes valimisi võidavad. Julgustan seda mõtet rahulikult lõpuni mõtlema – kas paberhäälte alusel Riigikokku saama pidanud Aivo Peterson ja Mihhail Stalnuhhin olid ehk need valed inimened, kes võita ei tohtinud? Või olid valed inimesed terves Ühendatud Vasakparteis või vähemasti liikumises KOOS – aga miks siis mitte ka Keskerakonnas või Isamaas, kelle e-häälte osakaal on läbi valimiste samuti madal püsinud? Kas mitte ei vaidlustanud tulemusi täiesti mõjuva põhjusega EKRE, kellega on mistahes koostööd demokraatlikes protsessides vahelduva eduga püüdnud välistada vist kõik parlamendierakonnad, andes mõista, et tegu on valede inimestega?

Sõltumatu kontrolli puudumine

Kuna e-hääletuse usalduspüramiid põhineb usaldusel RIA ja RVT paarikümne töötaja vastu, kellest enamik pole avalikkusele teada muudmoodi kui nende seisukoha kaudu, et “võidavad õiged inimesed”, siis pole meil võimalik hinnata, kas ja kuna on nad kollektiivselt või individuaalselt hinnanud vajalikuks astuda omapoolseid samme valede inimeste või jõudude võidu ärahoidmiseks. Kas see oli 2014. aastal midagi sellist, mida võisid nad pidada vajalikuks tulevikus või olid nad juba oma võimu valimistulemust korrigeerida kasutanud? Kuna RIA ja RVT ülesanne on tagada valimiste korrektne läbiviimine, siis on nende võimuses ka seda mitte tagada või teha vastupidist – ja tulemust muutva täienduse lisamiseks süsteemi ei pea skeemis osalema sugugi mitte kõik töötajad, vaid piisab ühestainsast.

Kui RVT juht Arne Koitmäe ja VVK esimees Oliver Kask väidavad, et e-hääletuse toimingud on kontrollitavad ja vist ka kontrollitud, siis missuguste tõendite alusel nad seda väidavad? Päris kindlasti ei teinud kumbki neist tehnilisi kontrolle läbi ise ega ole ilmselt suuteline hindama ka nende korrektsust – olnuna vaatlejana protseduuride juures kohal võis näha Koitmäed ainult tulemuste allkirjastamiseks protseduuride läbiviimise ruumist läbi astuvat ja Kaske fuajees teleintervjuu käigus kirjeldamas taustal käimasolevate protseduuride pähe samme, mida tegelikult valimistulemuse korrektsuse kontrollimise päeval ei läbitudki. Ilmselt pole põhjust eeldada, et kummagi ametniku väited tulemuse korrektsuse kohta põhineks tõenditel.

Omamata ise ettekujutust vajalikest tõenditest ning tundmata nende vastu ka sisulist huvi eksitavad nad avalikkust aga ka vaatlejatele protseduuride ja tulemuste korrektsuse kohta pakutavate tõendite osas. Mõlemad räägivad kontrollimehhanismidest, mis tagavat süsteemi sisendi ja väljundi korrektsuse – kõlab ka märksõna krüptograafia, mille pakutava lugemistõendi abil olevat “võimalik tõestada, et hääletamistulemus on korrektne ja seda ei ole muudetud”. Ühtegi sellist tõendit aga ei pakuta analüüsimiseks vaatlejatele, kes peavad leppima reaalajas terminaliekraanil möödavilksava väljundi hindamisega. Kuigi terminalilogi annab vaid kaudselt aimu läbitud protseduuridest, ei jagata isegi seda nappi materjali vaatlejatele analüüsimiseks – vaatlejad on üldjoontes samasuguses olukorras nagu 2007. aastal, mil rahvusvahelised vaatlejad soovitasid hinnata valimiste korraldajal, kas sellist e-hääletust peaks ehk “kasutatama piiratud alustel või üldse mitte kasutama”.

Vaid kaudsed tõendid

E‑hääletuse kontrollimehhanismid katavad vaid osa protsessist, sj kontrollsummad püüavad tagada andmete terviklust ühest süsteemist teise tõstmisel, häälte töötlemise protsesse sisuliselt ei kontrollita ning vaatlejatega ei jagata isegi lugemistõendit.
E‑hääletuse kontrollimehhanismid katavad vaid osa protsessist, sj kontrollsummad püüavad tagada andmete terviklust ühest süsteemist teise tõstmisel, häälte töötlemise protsesse sisuliselt ei kontrollita ning vaatlejatega ei jagata isegi lugemistõendit.

Kuigi e-hääletuse protseduure on 2013. aastast tembitud krüptograafiliste täiendustega, ei taga need piisavaid tõendeid tulemuse korrektsuses veendumiseks ka süsteemi jooksutavatele tehnikutele, kes peavad lihtsalt usaldama, et kõrvallauas istuv kolleeg või tööruumide arvutitele ligi pääsev koristaja pole otsustanud valimistulemusega mängida. Teoorias võiks tagada kogutud häälte korrektsuse ID-kaardi krüptograafia, kuid digiallkirjade korrektsuse ja tegelikkuses kasutatatud sertifikaatidega pole võimalik vaatlejatel tutvuda – tuleb lihtsalt uskuda, et valimiste korraldaja poolelt ei lisanud keegi nende hulka mõnda, mis lubaks kaasata fiktiivsete valijate hääli. Audiitor võiks teoorias selliseid asju kontrollida, aga praktikas kinnitab ta ainult ettenähtud kohtades sammude läbimise fakti ega hinda nende sisulist korrektsust. Sisuliselt hindab audiitor ainult segamis- ja lugemistõendeid, kuid ei kontrollinud faktiliselt isegi nende kahe tõendi omavahelist vastavust – nende tõendusjõud on piiratud ega kata samme e-hääletuse korralduses jämedalt kolmest eri arvutisüsteemist isegi ühesainsas.

Audiitori aruanded on vaid teksti vormis kinnitused, et nemad jälgisid valimiste korraldaja samme, kuid ei sisalda tõendeid sammude läbimise ega korrektsuse kohta, ka ei selgita audiitor, mis tõendite alusel ta sammud korrektselt läbituks tunnistab. Vaatlejate jaoks korvavad audiitori aruanded siiski teataval määral terminalilogide puudumist, sest neis on protseduuride hoolika välise vaatluse abil loetletud läbitud sammud. Nii selgus audiitori möödunud valimiste aruandest, et e-häälte esimene lugemine toimus osaliselt enne seaduses ettenähtud aega valimisõhtul kl 20 ja teise lugemise käigus läbiti esimese lugemise sammud vaid osaliselt – selle põhjal võib ütelda, et e-hääletuse tulemusi pole seaduse nõuetele vastavalt siiani kindlaks tehtud, st pole korrektselt läbitud isegi e-häälte esimest lugemist, rääkimata teisest lugemisest või lubatud täiendavatest korduslugemistest.

Valimiste korralduse eest vastutavad juhtivametnikud on läinud oma PM selgitustes seda teed, et kirjeldavad e-hääletuse süsteemi omadusi nagu nad neid näha tahaks – aga mitte nii nagu need 2023. aasta Riigikogu valimiste ajal kehtinud seadustes ja VVK otsustes määratletud olid. Nad tunduvad unustavat, et leheveerul esitatud lausetel ei ole tagantjärele seadusandlikku jõudu, vaid e-hääletus oleks tulnud läbi viia kehtinud regulatsioonist lähtuvalt. Kuna nad seda teha ei suutnud, vaid lugesid regulatsioone eirates kokku kehtetute digiallkirjadega hääled, puuduva haldusüksuse koodiga hääled ja ühe õnnetu pärast e-hääletuse lõppu esitatud tühja e-sedeli ning pidid selle kõige vormistamiseks omakorda seadusi eirama, siis pole küsimus mitte selles, kas e-hääletuse tulemus on karistusseadustiku mõttes võltsitud, vaid selles, kui tõsiseks võltsimist pidada – kui e-hääletust polnud hoolimata pingutustest võimalik viia läbi seadusele vastavalt, siis kas seadustele vastav e-hääletus on ülepea võimalik?

Sellele küsimusele oleks saanud anda vastuse Riigikohus, mis seda siiski vältis – nüüd oleme õiguslikus limbos, kus on kinnitatud valimistulemus, mille kindlakstegemise reeglite rikkumisest on hoolimata e-häälte andmekandjate hävitamisest ja seda peitma pidanud õiguslikust kaskadöörlusest säilinud ümberlükkamatud tõendid. Mida toovad need kaasa valitud institutsioonide jaoks? Kuigi Riigikohtu hinnangul “tuleks e-hääletuse tulemuste kindlakstegemise olulisemad reeglid kehtestada seadusega” jääb nii avalikkuse, valitsuse kui ka ilmselt seadusandja jaoks segaseks, kuidas seda teha.

Üldjoontes nagu sedelitega

Protseduuride oma silmaga jälgimine füüsilises keskkonnas on piisav, et kontrollida valimiste korraldaja poolt läbitud sammude korrektsust jaoskondades toimuva sedelhääletuse puhul. Lihtsustatult võib ütelda, et sedelhääletuse puhul vaatlemine ongi kontrollimine. E-hääletuse puhul aga arvutite või terminaliekraanide silmaga jälgimine kontrolli mitte üheski võrreldavas tähenduses ei taga – kui tuua analoogia füüsilisse jaoskonda, siis võiks väita, et sedelhääletuse korrektsuses veendumiseks piisab jaoskonnahoone ja selle akende jälgimisest distantsilt. Ilmselt ei peaks sellist protseduuri piisavaks isegi VVK esimees Oliver Kask, kelle sõnul on vaidlus e-hääletuse tulemuste üle “tavapärane” nagu pabersedelite ülelugemine – mis sest, et temaga siiski ei nõustu RVT juht Arne Koitmäe, kes kinnitab, et e-hääletuse ja sedelhääletuse vahel on “põhimõttelised erinevused”.

Tegelikult kajab siin küsimus, mis on lahendamata e-hääletuse algusest ja mida toonane respublikaan Urmas Reinsalu esitles 2005. aastal Riigikogus Preisi üldisele maaõigusele osutades kui küsimust sellest, et kas see, mis käib roigasaia kohta, tuleks eraldi määratleda ka lippidega aia kohta. E-hääletusega pole võimalik jätkata selge määratluseta, missuguseid tõendeid läbitavate sammude korrektsusest peab e-hääletuse protsess pakkuma valimiste korraldajatele nii kollektiivselt kui individuaalselt, aga tuleb määratleda ka see, kuidas vahendatakse nende oletatavat tõendusjõudu avalikkusele.

Süsteemi kõige kriitilisemas arvutis pidi olema autentne Windows 10 opsüsteem, kuid operaator isegi ei mäletanud, et [oli sinna paigaldanud Internetist alla laaditud vabavara](https://gafgaf.infoaed.ee/posts/esoteeriline-turvamudel/#olulisim-s%C3%BCsteem-turvamata).
Süsteemi kõige kriitilisemas arvutis pidi olema autentne Windows 10 opsüsteem, kuid operaator isegi ei mäletanud, et oli sinna paigaldanud Internetist alla laaditud vabavara.

Kuigi Riigikohtu esimees Villu Kõve täpsustused Riigikohtu üldsõnalisele suunisele on tänuväärsed, jääb siiski segaseks, mida tähendab, et “elektroonilise hääletamise tulemuste kindlakstegemise olulisemad reeglid /—/ peaksid /—/ olema vähemalt üldjoontes arusaadavad ka sügavamaid eriteadmisi omamata”. Kas piisab sellest, kui reeglid on ainult üldjoontes arusaadavad või peab valija, vaatleja – aga kas mitte ka valimiste korraldaja – olema suuteline neist lähtuvalt tegutsema?

Valimised ei toimu ju ometi üldjoontes või teoorias, vaid ikkagi väga konkreetsete sammude tulemusena selgub arvuline tulemus, mis määrab võimu jaotuse ning teostamise õiguse aastateks. See tulemus ei saa tekkida üldjoontes ja eikusagilt nagu e-hääletuse võtmete genereerimiseks ja häälte kokkulugemiseks kasutatud arvutisüsteem 2023. aasta Riigikogu valimistel.


Artikli lühiversioon ilmus 28. märtsil 2024 Postimehes pealkirja all “E-valimiste turvalisus on illusioon”. Päisepildil on e-häälte dekrüpteerimine 2019. aastal, mil hääled esmalt dekrüpteeriti ja seejärel miksiti, mis tühistas suuresti miksimise mõtte. Selle kohta tehtud valimiskaebuse 5-19-20 arutelus tegi Riigikohus ettepaneku “elektroonilise hääletamise tulemuste kindlakstegemise reeglid sätestada selgemalt õigustloovates aktides”, kuid krüptograafilised tõendid ja protseduurid on siiani määratlemata.