Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 sügis
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2019/20 sügis

  • Pealeht
  • Loengud ja praktikumid
  • Ülesanded
  • Eksam
  • Uudised
  • Viited

E-hääletamine

Elektroonilist hääletamist nimetatakse e-hääletamiseks. E-hääletamise alla kuuluvad elektroonilised hääletamise süsteemid ja elektroonilised häälte kontrollimise süsteemid.

Niisuguseid süsteeme saab jagada kaheks, valimisjaoskonnas olevateks järelvalvega süsteemideks ja iseseisvateks süsteemideks. Valimisjaoskonnas oleva süsteemi näiteks on elektrooniline valimismasin. Elektroonilised valimismasinad on küllaltki levinud, neid kasutatakse näiteks USA-s, Indias ja Brasiilias.


Brasiilia valimismasin, allikas.

Teise kategooriasse kuuluvad iseseisvad süsteemid, mis võimaldavad valijal hääletada väljaspool valimisjaoskonda, näiteks arvuti või mobiiltelefoni abil. Niisugune süsteem on kasutusel Eestis.

E-hääletamine Eestis

Eestis tähendab e-hääletamine seda, et valida saab interneti vahendusel, seega võib seda nimetada ka i-hääletamiseks. Esimest korda sai Eestis valimistel e-hääletada 2005. aastal.

Milles seisneb i-hääletamise eelis?

  • võimaldab hääletada väljaspool jaoskonda (näiteks kodus või välisriigis)
  • suurendab valimisaktiivsust (mugavus, puudub transpordi kulu ja ilma faktor)
  • ideaalse süsteemi korral vähendab valimispettuste võimalust
  • valimistulemus saadakse kiiremini

E-hääletamine on muutunud iga aasta järjest populaarsemaks, sellest annab ülevaate e-hääletamise statistika: http://www.vvk.ee/valijale/e-haaletamine/e-statistika/:

ValimisedAastaE-hääletajate arvE-hääletajate osakaal
Kohalike omavalitsuste valimine200593171,9%
Riigikogu valimised2007302755,5%
Euroopa parlamendi valimine20095866914,7%
Kohalike omavalitsuste valimine200910441315,8%
Riigikogu valimised201114084624.3%
Kohalike omavalitsuste valimine201313380821.2%
Euroopa parlamendi valimine201410315131,3%
Riigikogu valimised201517632930,5%

Mida on vaja e-hääletamise korraldamiseks (Eestis)?

  • ID-kaarti või mobiili-ID identifitseerimiseks ja allkirjastamiseks
  • Seadusandlust, mis reguleeriks e-hääletust
  • E-hääletamise tarkvara
  • E-hääletamise süsteemi (riistvara, andmeturve, side)
  • E-hääletamise korraldajaid
  • Teadlikke kasutajaid

ID-kaart on vastavalt Eesti riigi seadustele kohustuslik isikut tõendav dokument. Seega on Eestis olemas infrastruktuur valijate autentimiseks ja valijail võimalus digiallkirjastamiseks. Samuti on Eestis vastu võetud seadused, mis reguleerivad elektroonilist hääletamist. Vastavalt seadustele korraldab Eestis e-hääletamist Vabariigi Valimiskomisjon, http://www.vvk.ee/.

Eesti e-hääletamise süsteemi ülesehitus

Kuidas Eesti e-hääletamise süsteem töötab? Kõigepealt e-hääletamisel osalevad osapooled:


Osapoolte vaheline interaktsioon.

Eesti e-hääletamise süsteem kasutab n-ö "kahe ümbriku skeemi". Selle kohaselt valija kõigepealt krüpteerib oma hääle antud valimiste avaliku võtmega, mille ta saab valimiste korraldajalt. See krüpteering moodustabki hääle ümber esimese kihi (ümbriku). Seejärel allkirjastab valija saadud krüptogrammi oma salajase võtme abil, see allkiri ongi teine ümbrik. Tulemus saadetakse serverisse.

Serveris eemaldatakse kõikidelt häältelt kõigepealt välimine ümbrik, st tuvastatakse isikud, kes osalesid hääletamisel ja verifitseeritakse nende allkirjad. Seejärel saadetakse sisemised ümbrikud edasi teise serverisse, kus need valimiste salajase võtme abil dekrüpteeritakse ja hääled kokku loetakse. Siinkohal tuleb tähele panna, et esimesel serveril pole valimiste salajast võtit, mistõttu ei saa ta krüpteeritud hääli avada ning teise serverisse jõuavad ainult sisemised ümbrikud, mis kujutavad endast anonüümseid hääli.


"Kahe ümbriku skeem" e-hääletusel. Joonisel kujutatud võtmepaar on n-ö valimiste süsteemi võtmepaar, mitte valija võtmepaar.

Eestis kasutatava e-valimissüsteemi üldistatud mudel.

Hääle verifitseerimine

Hääle verifitseerimine (kontrollimine) vastab hääletaja loomulikule küsimusele "Mis mu e-häälest nüüd edasi saab?" Muuhulgas peaks verifitseerimine vastama järgmistele küsimustele:

  • kas minu hääl pakendati konteinerisse õigesti?
  • kas konteiner saadeti õigesti ära?
  • kas konteiner saabus õigesti kohale?
  • kas konteineri sisu läks valimistulemuse arvutamisel õigesti arvesse?
  • kas valimistulemuse arvutamisel on arvesse läinud kõik õiged konteinerid?
  • ega valimistulemuse arvutamisel pole arvesse võetud libahääli?

Sellest nimekirjast kolmele esimesele küsimusele võimaldab vastata käesoleval aastal esmakordselt kasutusel olev hääle kontrollrakendus, millest allpool juttu tuleb. Ülejäänud omadusi tagavad organisatoorsed meetmed, mille üle valijal kontrolli pole (vt allolevat probleemide nimekirja).

Võimalikud probleemid ja lahendused Eesti e-hääletamise protsessis

  • Võimalus teise inimese eest hääletada.
    • Lahendus: võimalus häält muuta.
    • Lahendus: võimalus eelvalimistel pabersedeliga hääletada.
  • Luuakse pahavara, mis muudab valitavat isikut või ei edasta häält.
    • Lahendus: kasutaja saab kontrollida, kas tema hääl jõudis korrektselt serverisse.
    • Lahendus: massilise kasutamise korral tuleb see päevavalgele ja valimistulemus tühistatakse.
  • E-hääletamise saboteerimine - üritatakse valeinformatsiooni levitada või süsteemi rünnata. Niisugune rünnak loob võimaluse valimistulemuse tühistamiseks.
    • Lahendus: e-hääletamise protsess on võimalikult läbipaistav ja kontrollitav.
  • Antud häält ei saa lõpuni kontrollida, kuna puudub süsteem, mis võimaldaks näha, kas antud hääl ka häälte kokkulugemisel arvesse võeti.
    • Osaline lahendus: valija saab soovi korral häälte lugemise protsessis vaatlejana osaleda.

Eesti e-hääletamise turvaanalüüs

2014. aasta kevadel avaldasid tunnustatud e-hääletamise süsteemide uurijad Eesti e-hääletamise kohta käiva raporti. Nende raport näitas, et Eesti e-hääletamise korraldajatel on probleeme operatsioonilise turvalisusega. Uurijad panid tähele, et igapäevaselt ei kasutata protseduurilisi reegleid või neid ei ole olemas. Protseduurilised reeglid on väga olulised, sest nende järgimine peaks oluliselt vähendama süsteemi ründamise võimalust. Näiteks ei kasutatud tarkvara arendamise jaoks spetsiaalseid ainult selle jaoks mõeldud arvuteid, vaid tarkvara arendajad kasutasid selleks isiklikke arvuteid. Kõige olulisem operatsioonilise turvalisuse rikkumine oli seotud 2013. aasta valimistel toimunud intsidendiga kus häälte lugemise server ei suutnud tulemust DVD plaadile kirjutada ja lahendusena kasutati häälte kättesaamiseks isiklikku USB mälupulka. USB mälupulga kasutamine häälte transpordiks võimaldab teoorias tulemuse muutmist ja häältelugemise serveri nakatamist pahavaraga.

Raport kirjeldas ka mõningaid teadaolevaid ohtusid nagu näiteks sisemist ohtu. Huvitav oli see, et nad näitasid kuidas saab e-valimisi ettevalmistava inimese arvuti nakatamisega valimistulemust muuta. Nende rünne seisnes selles, et nad lisasid operatsioonisüsteemi paigaldamiseks mõeldud DVD-le pahavara, mis nakatas nende e-hääletamise demoserverid. Kusjuures nad suutsid pahavara paigaldada nii, et näis nagu tarkvara poleks modifitseeritud.

Lisaks tõi raport välja ammu teada olnud probleemi, mis seisneb selles, et hääletamiseks kasutatavaid arvuteid ei saa usaldada, sest paljud arvutid on pahavaraga nakatunud. Nimelt kui arvuti on osaks botnetist, siis saab arvutisse paigaldada suvalist tarkvara ja seega ka pahavara, mis salvestab ID-kaardi PIN koode ja hiljem hääletab kindla kandidaadi poolt. Arvutikasutajal on raske niisugust rünnet avastada. On oluline, et hääle kontrollimise süsteem ei paku kaitset niisuguse ründe vastu, sest pahavara saab oma hääle anda näiteks pool tundi pärast seda kui inimene on hääletanud. See on võimalik, kuna Eesti e-hääletamise süsteemi disain lubab korduvalt häält muuta ja ei teavita inimest sellest, et ta on hääletanud. Inimeste korduvhääletamisest teavitamine omakorda muudaks lihtsamaks häälte ostmise ja müümise, sest siis võiks häälte ostjale tekkida võimalus kontrollida kas häält on elektrooniliselt muudetud.

Dokumendid

  1. Uurijate avaldatud pressiteade, 12. mai 2014
  2. Vabariigi Valimiskomisjoni vastulause, 13. mai 2014
  3. E-valimised on (liiga) turvalised, Anto Veldre, CERT-EE
  4. Uurijate vastus VVK vastulausele
  5. Uurijate avaldatav teadusartikkel, november 2014

E-hääletamise tarkvara

E-hääletamise serveri tarkvara lähtekood on avalik ja seda saab vaadata GitHubi repositooriumis: https://github.com/vvk-ehk/evalimine. E-hääletamise valijarakenduse leiab valimiste kodulehelt https://www.valimised.ee/. E-hääletamise valijarakenduse abil saab valija vaadata kandidaatide nimekirju ja anda oma hääle.

Kuidas saavad kasutajad kontrollida, kas paigaldatav tarkvara on autentne?

  1. Veenduge enne tarkvara allalaadimist, et te asute valimiste kodulehel. Selleks kontrollige kas vastav veebileht kasutab HTTPS protokolli ja vaadake veebilehe sertifikaadi andmeid.
  2. Kontrollige, kas teie poolt alla tõmmatud valijarakenduse räsi ühtib meedias avaldatud vastava räsiga.

Täpsem juhend on siin: https://www.valimised.ee/kontroll.

Hääletamise juhend

Valijarakenduse kasutamise juhend asub aadressil https://www.valimised.ee/juhis#etapid. Valimisrakenduses tuleb läbida järgmised etapid:

  • valija tuvastamine mobiili-ID või ID-kaardi abil
  • kandidaatidega tutvumine ja valiku tegemine
  • hääle kinnitamine enda digiallkirjaga
  • hääle serverisse jõudmise kontrollimine (vabatahtlik)

Hääle kontrollimise süsteem

E-hääletamise kontrollsüsteem võimaldab valijal kontrollida, kas tema antud hääl jõudis korrektsel kujul valimiste korraldajateni. Selline verifitseerimine aitab ründe vastu, kus valija arvutis olev pahavara muudab enne serverisse saatmist valija häält. Üldine idee on kirjeldatud siin: https://www.valimised.ee/nutitelefon.

Kontrollsüsteemi kasutamiseks on vaja kas iOS, Androidi või WindowsPhone operatsioonisüsteemiga seadet, millel on kaamera ja netiühendus, näiteks nutitelefon või tahvelarvuti. Kontrollsüsteem peab olema eraldiseisev, seetõttu on teise sõltumatu seadme olemasolu vajalik selleks, et kontrollsüsteem töötaks ka olukorras kus hääletamiseks kasutatud arvuti on kompromiteeritud.

Hääle kontrollimine:

  1. pärast hääletamist kuvatakse arvuti ekraanil QR-kood
  2. hääletaja paigaldab oma mobiili või tahvelarvutisse kontrollsüsteemi programmi
  3. hääletaja loeb QR-koodi, pärast mida saadetakse krüpteeritud päring valimisserverisse
  4. hääletustulemus kuvatakse mobiilseadme ekraanil

Kui ekraanil kuvatav tulemus ei ühti sellega, mis valija algselt tegi, siis tuleks ühendust võtta valijate läbiviijaga.

Täpsem e-hääle kontrollimise juhend asub järgmisel veebilehel: https://www.valimised.ee/nuti-juhend.


Pärast hääletamist kuvatakse ekraanile QR-kood. (Allikas: VVK)

Kas e-hääle verifitseeritavus ei suurenda mõjutatavuse (hääle ostmise) riski?

Nii eelmistel kui ka käesolevatel valimistel on hääle ostjal võimalus oma nõutud hääle andmist kontrollida, vaadates protsessi üle valija õla. Hääle kontrollimise mehhanism annab lihtsalt ühe lisavõimaluse nõutud valiku sooritamise tõestuseks hääle ostjale. Mõlemal juhul on valijal võimalus hiljem oma häält muuta kui ta tunneb, et teda varem mõjutati.

Kas e-hääle kontrollimise võimaldamine ainult nutiseadmete pole teiste jaoks diskrimineeriv? Hääle verifitseerimiseks ei pea kasutama isiklikku seadet - peale hääle kontrollimist ei jää seadmesse konkreetse hääle kohta mingit jälge. Lisaks ei pea kõik e-hääletajad oma häält kontrollima, laiaulatusliku manipuleerimisründe tuvastamiseks piisab, kui 5% hääletanutest oma häält kontrollib ja vea puhul sellele reageerib.

Eelmistel valimistel kasutatud hääle kontrollimise süsteemil polnud veel täit juriidilist jõudu, seega ei oleks massilist ebaõnnestunud e-häälte verifitseerimist saanud kasutada põhjendusena valimistulemuste tühistamise taotlemisel. Selline juriidiline on olemas 2015. aasta riigikogu valimistel.

Lisamaterjalid

  • Eesti e-hääletamise üldkirjeldus
    • http://www.vvk.ee/valijale/e-haaletamine/
  • Eesti e-hääletamise süsteemi üldkirjeldus
    • http://www.vvk.ee/public/EHS/elektroonilise-haaletamise-systeemi-yldkirjeldus-EH-03-03-1_2013.pdf
  • Eesti elektroonilise hääletamise statistika 2005-2011
    • http://www.vvk.ee/valijale/e-haaletamine/e-statistika/
  • Vabariigi Valimiskomisjon
    • http://www.vvk.ee/
  • Valimiste koduleht
    • https://www.valimised.ee
  • Eesti e-hääletamise serveri tarkvara lähtekood
    • https://github.com/vvk-ehk/evalimine
  • E-hääle kontrollimine ja e-hääletamise süsteemi tervikluse kontrollimine
    • https://www.valimised.ee/nutitelefon
    • https://www.valimised.ee/nuti-juhend
    • https://www.valimised.ee/kontroll
  • Practical Security Analysis of E-Voting Systems
    • http://link.springer.com/chapter/10.1007/978-3-540-75651-4_22
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused