Arvutiteaduse instituut
  1. Kursused
  2. 2023/24 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2023/24 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Terminoloogia
  • Eksam
  • Viited

E-hääletamine

Sisukord

  • Sissejuhatus
    • Turvanõuded
  • E-hääletamine Eestis
  • Eesti e-hääletamise süsteemi ülesehitus
    • Süsteemi muudatused 2017. aastal
  • E-hääletamise tarkvara
    • Hääle kontrollimise süsteem
  • Hääle verifitseerimisest üldisemalt
  • Võimalikud probleemid ja lahendused Eesti e-hääletamise süsteemis
    • Eelmise põlvkonna Eesti e-hääletamise süsteemi turvaanalüüs
  • Kasulikud lingid
  • Moodle foorum ja tagasiside ankeet

Mis on e-hääletamine?

Elektroonilist hääletamist nimetatakse e-hääletamiseks. E-hääletamise alla kuuluvad nii elektroonilised hääletamise süsteemid kui ka elektroonilised sedelite lugemise süsteemid.

Niisuguseid süsteeme saab jagada kaheks, valimisjaoskonnas olevateks järelvalvega süsteemideks ja iseseisvateks süsteemideks. Valimisjaoskonnas oleva süsteemi näiteks on elektrooniline valimismasin. Elektroonilised valimismasinad on küllaltki levinud, neid kasutatakse näiteks USA-s, Indias ja Brasiilias.


Brasiilia valimismasin, (allikas).

Teise kategooriasse kuuluvad iseseisvad süsteemid, mis võimaldavad valijal hääletada väljaspool valimisjaoskonda, näiteks arvuti või mobiiltelefoni abil. Niisugune süsteem on kasutusel Eestis.

Turvanõuded

Demokraatlikes ühiskondades põhinevad valimised vastama paarile olulisele turvanõudele. Näiteks on tänapäeval üldiseks printsiibiks hääletamise salajasus, mis tähendab seda, et valija poolt tehtud valik peab jääma salajaseks. Selle turvanõude eesmärgiks on tagada valmisvabadus. Paberhääletamise korral tagatakse see seeläbi, et valija saab hääletussedeli täita valimiskabiinis ning hääletussedelil pole infot hääletaja identiteedi kohta. See peaks takistama kolmandal osapoolel kontrollida, kuidas valija sedeli täitis, mis omakorda peaks ennetama valijate mõjutamist ja häälte ostmist. Valijate mõjutamise ja häälte ostmise takistamine oli üheks peamiseks põhjuseks miks hääletamise salajasuse nõue kasutusele võeti. Hääletusviisi mida me mõistame salajase hääletamise all võeti kasutusele Austraalias 19. sajandi keskel. Mõnes riigis oli vastav seadusandlik nõue olemas ka varem, aga seda ei rakendatud korrektselt, mistõttu oli siiski võimalik valijaid mõjutada (näiteks olid erinevatel poliitikutel kasutusel erinevat värvi valimissedelid).

Lisaks hääletamise salajasusele on oluline, et kõik valimisõiguslikud isikud saaksid võrdsetel alustel valimistel osaleda ning ka see, et hääled kogutakse ja loetakse korrektselt kokku. Lisaks nendele omadustele on olemas ka mitmeid täpsemaid turvanõudeid, aga üldiselt saab neid kategoriseerida kas terviklusnõuete või privaatsusnõuete alla.

E-hääletamise ja i-hääletamise seisukohalt on oluline mõista, et valimiste läbipaistvuse ja tervikluse tagamine on vastuolulised nõuded. Üheltpoolt on vaja, et hääl jääks salajaseks ja valijat ei oleks võimalik mõjutada. Seetõttu ei tohiks hääletaja saada tõestada kuidas ta hääletas, sest muidu oleks võimalik hääli osta/müüa ja valijaid mõjutada/ähvardada. Teiseltpoolt on vaja, et valmissüsteem oleks võimalikult läbipaistev, et oleks võimalik kontrollida kas kõik kehtivad hääled loetakse korrektselt üle ning hääli ei muudeta ega lisata. Paberhääletamise korral ei ole valijatel niisugust kontrolli võimalik otse läbi viia ja valijad peavad usaldama protsesse ning valimiste vaatlejaid. Elektroonilise hääletamise korral on põhimõtteliselt võimalik ehitada süsteem, mis võimaldab valijal jälgida kogu hääle teekonda ning kontrollida, kas antud hääl läks lugemisel arvesse. Lisaks saaks ehitada ka kontrollsüsteeme, mis võimaldaksid kontrollida kas kõik valimisõiguslike valijate poolt antud kehtivad hääled on lugemisel arvesse võetud. Kuigi niisugused kontrollsüsteemid on võimalikud ja muudaksid häälte tervikluse otsast lõpuni kontrollitavaks läheksid need automaatselt vastuollu hääletamise salajasuse ja mõjutuskindlusega, kuna niisugune kontroll võimaldaks valijal teistele tõestada kuidas ta hääletas. Seega tuleb hääletussüsteeme ehitades leida terviklusomaduste ja privaatsusomaduste vahel sobiv tasakaalupunkt. Niisuguse tasakaalupunkti leidmine võiks ideaalses maailmas sõltuda taustsüsteemist ja kaasnevatest riskidest.

E-hääletamine Eestis

Eestis tähendab e-hääletamine seda, et valida saab interneti vahendusel, seega võib seda nimetada ka i-hääletamiseks (rahvusvaheliselt on korrektne kasutada terminit i-hääletamine ehk i-voting, sest e-hääletamine ehk e-voting seostub pigem valimismasinatega). Esimest korda sai Eestis i-hääletada 2005. aastal.

Milles võiks seisneda i-hääletamise eelis?

  • võimaldab hääletada väljaspool jaoskonda (näiteks kodus või välisriigis)
  • suurendab valimisaktiivsust (kuigi teadusuuringud ei kinnita, et leiduks selge seos)
  • mugavus - puudub transpordi kulu ja ilma faktor
  • valimistulemus saadakse kiiremini
  • ideaalse hääletamissüsteemi korral vähendab valimispettuste ja rünnete võimalust (aga kas leidub üldse ideaalset lahendust?)

I-hääletamine on muutunud iga aasta järjest populaarsemaks, sellest annab ülevaate e-hääletamise statistika: https://www.valimised.ee/et/valimiste-arhiiv/elektroonilise-hääletamise-statistika:

ValimisedAastaE-hääletajate arvE-hääletajate osakaal
Kohalike omavalitsuste valimine200593171,9%
Riigikogu valimised2007302755,5%
Euroopa parlamendi valimine20095866914,7%
Kohalike omavalitsuste valimine200910441315,8%
Riigikogu valimised201114084624.3%
Kohalike omavalitsuste valimine201313380821.2%
Euroopa parlamendi valimine201410315131,3%
Riigikogu valimised201517649130,5%
Kohalike omavalitsuste valimine201718603431,7%
Riigikogu valimised201924723243,8%
Euroopa parlamendi valimine201915552146.7%
Kohalike omavalitsuste valimine202127558746,9%
Riigikogu valimised202331351450.9%

Mida on vaja e-hääletamise korraldamiseks (Eestis)?

  • ID-kaarti või mobiili-ID identifitseerimiseks ja allkirjastamiseks
  • Seadusandlust, mis reguleeriks e-hääletust
  • E-hääletamise tarkvara
  • E-hääletamise süsteemi (riistvara, infoturve, side)
  • E-hääletamise korraldajaid
  • Teadlikke kasutajaid
    • Esimene kontrollküsimus: Kas Eesti i-hääletamise süsteem on piisavalt turvaline?
    • Teine kontrollküsimus: Kuidas Eesti i-hääletamise süsteem toimib? Kui te ei oska sellele küsimusele vastata, siis te ei saanudki teadlikult eelnevale küsimusele vastata ning vastus sõltus pigem usaldustasemest. Seetõttu on selle loengu eesmärgiks põgusalt tutvustada Eesti i-hääletamise süsteemi.

ID-kaart on vastavalt Eesti riigi seadustele kohustuslik isikut tõendav dokument. Seega on Eestis olemas infrastruktuur valijate autentimiseks ja valijail võimalus digiallkirjastamiseks. Samuti on Eestis vastu võetud seadused, mis reguleerivad elektroonilist hääletamist. Hääletamise ning sealhulgas i-hääletamise läbiviimist kontrollib Vabariigi Valimiskomisjon, kes muuhulgas registreerib kandidaadid, teeb kindlaks tulemused ja vaatab läbi kaebused. Valimisi korraldab Riigi valmisteenistus, mis on Riigikogu Kantselei struktuuriüksus.

Eesti i-hääletamise süsteemi ülesehitus

Kuidas Eesti i-hääletamise süsteem töötab? Kõigepealt i-hääletamisel osalevad osapooled:


Osapoolte vaheline interaktsioon. (Allikas)

Kõige lihtsam on Eesti i-hääletamise süsteemi kirjeldamiseks kasutada n-ö "kahe ümbriku skeemi". Järgnev kirjeldus on mõnevõrra lihtsustatud, aga annab edasi üldise idee.

Kahe ümbriku süsteemi kohaselt valija kõigepealt krüpteerib oma hääle valimiste avaliku võtmega, mille ta saab valimiste korraldajalt. See krüpteering moodustabki hääle ümber esimese kihi (ümbriku). Seejärel allkirjastab valija saadud krüptogrammi oma privaatvõtme abil, see allkiri ongi teine ümbrik. Tulemus saadetakse serverisse.

Serveris eemaldatakse kõikidelt häältelt kõigepealt välimine ümbrik, st tuvastatakse isikud, kes osalesid hääletamisel ja verifitseeritakse nende allkirjad. Seejärel saadetakse sisemised ümbrikud edasi serverisse, kus need valimiste privaatvõtme abil dekrüpteeritakse ja hääled kokku loetakse. Siinkohal tuleb tähele panna, et esimesel serveril pole valimiste privaatvõtit, mistõttu ei saa ta krüpteeritud hääli avada ning teise serverisse jõuavad ainult sisemised ümbrikud, mis kujutavad endast anonüümseid hääli.

Oluline on ka see, et häälte lugemise server on täiesti eraldatud ülejäänud maailmast ning ei oma sideühendusi. Seetõttu viiakse krüpteeritud hääled lugemisserverisse eraldi andmekandjal, milleks varasemalt oli CD / DVD. Häälte dekrüpteerimiseks kasutatakse lävikrüptosüsteemi, mis tähendab seda, et häälte dekrüpteerimise võtme kasutamiseks on vaja mitut osapoolt (näiteks nelja inimest, kes omavad vastavaid kiipkaarte, mis sisaldavad krüptograafilisi osakuid). Lävikrüptosüsteemi kohaselt saab vastavat krüptograafilist toimingut sooritada ainult siis kui on olemas piisav lävend (ehk piisav hulk krüptograafilisi osakuid). Selleks, et vältida käideldavuse probleeme on lävisüsteemides kasutusel väike varu, et näiteks dekrüpteerimine oleks võimalik ka siis kui ühe võtmehoidjaga midagi juhtub. Näiteks saab kasutada lävisüsteemi kus võtmehoidjaid on kokku üheksa, aga võtme kasutamiseks piisab viiest.


"Kahe ümbriku skeem" e-hääletusel. Joonisel kujutatud võtmepaar on n-ö valimiste süsteemi võtmepaar, mitte valija võtmepaar. (Allikas)

Eestis kasutatava e-valimissüsteemi üldistatud ja lihtsustatud mudel. Ei sisalda 2017. a. täiendusi.

Süsteemi muudatused 2017. aastal

2017. aasta KOV valimisteks täiendati i-hääletamise süsteemi. Kui varasemalt toimus häälte anonüümimine digiallkirjade eemaldamise kaudu, siis alates 2017. aastast tekkis juurde võimalus lisaks digitallkirjade eemaldamisele ka hääli krüptograafiliselt anonüümida enne kui need häältelugemiseks mõeldud serverisse viiakse. Vastavaks krüptograafiliseks anonüümimistehnikaks on miksimine, mis põhineb mixnetil. Selle abil on võimalik võtta krüpteeritud ja signeeritud hääled, eraldada häältelt digiallkirjad ning siis krüpteeritud hääled üle krüpteerida ja ära segada, et tulemusest ei ole võimalik krüpteeritud häält ja signatuuri enam kokku viia. Lisaks annab miksimiseks kasutatud süsteem turvatõestuse, mis näitab, et miksimine oli korrektne ja et valimiste tulemus ei saa miksimise tulemusel muutuda, kuna krüpteeritud häälte sisu ei muutu.

Uuendatud süsteem tagab ka selle, et sedelite töötlemise käigus jäävad tegevustest järgi krüptograafilised jäljed. Seeläbi saab audiitor kontrollida, et süsteemi haldajad võtsid kõik krüpteeritud hääled valijatelt vastu ning et kõik vastavad hääled (korduvhääled eemaldatakse ja viimane jääb kehtima) läksid lugemisel arvesse. Samuti saab kontrollida, et kõik krüpteeritud hääled, mis sisestati miksimisprotsessi jõudsid muutmata kujul dekrüpteerimisfaasi. Samuti annab IVXV krüptograafilise tõestuse selle kohta, et dekrüpteeritud hääled vastavad sisendiks saadud krüpteeritud häältele. Kokkuvõttes saab erinevate krüptograafiliste kontrollide abil tuvastada, et valimissüsteem ei eemaldanud, muutnud ega lisanud sedeleid. Neid kontrolle saavad teostada audiitorid.

IVXV kasutab häälte krüpteerimiseks ElGamal krüptosüsteemi, kuna see võimaldab mixnetil töödelda krüpteeritud hääli. Täpsemalt on miksimise jaoks vaja, et kasutusel olev krüptosüsteem oleks homomorfne, kuna see omadus võimaldab teha krüptogrammide peal matemaatilisi tehteid. ElGamal on korrutamise suhtes homomorfne, mistõttu annab kahe ElGamal krüptogrammi omavaheline korrutis korrektse krüptogrammi, mille väärtus on võrdne vastavate krüptogrammide korrutise väärtusega: Enc(m1) * Enc(m2) = Enc(m1 * m2). See omadus võimaldab krüpteeritud hääli üle krüpteerida ilma häälte sisu muutmata. Selle jaoks tuleb olemasolev krüptogramm läbi korrutada krüptogrammiga, milles oleva nn. sisu väärtuseks on 1. Oluline on tähele panna, et ühega korrutamisel tulemus ei muutu ning seetõttu võimaldab niisugune meetod krüpteeritud hääli ümber krüpteerida ilma häält ennast muutmata. Seejuures on oluline, et ElGamal krüpteerimiseks kasutatakse lisaks avalikule võtmele ja krüpteeritavale materjalike ka unikaalset juhuslikku väärtust, mis muudab iga krüptogrammi unikaalseks.

IVXV kasutab häälte vastuvõtmiseks ja registreerimiseks kahte eraldiseisvat teenust, mis on hallatud erinevate organisatsioonide poolt. Hääled võtab vastu häälte kogumise server ehk Vote Collector ning hääled registreerib registreerimisteenus ehk Registration Service. Mõlemad osapooled on kaasatud ka hääle verifitseerimisprotsessi. Kui valija kasutab hääle kontrollimiseks nutitelefonis olevat verifitseerimisrakendust, siis kontrollib see nii hääle registreerimist registreerimisteenuse poolt kui ka seda, et hääl on korrektselt häälte kogumise serverisse kohale jõudnud.


IVXV üldine arhitektuur, mis kirjeldab 2017. aastal kasutusele võetud hääletussüsteemi. (Illustratsiooni allikas: Kristjan Krips-i doktoritöö. )

Täpsemalt saab uuendatud süsteemi (nimega "IVXV") kohta lugeda siit: Elektroonilise hääletamise üldraamistik ja selle kasutamine Eesti riiklikel valimistel (2023).

I-hääletamise tarkvara

I-hääletamise serveri tarkvara lähtekood on avalik ja seda saab vaadata GitHubi repositooriumis: https://github.com/vvk-ehk/ivxv. I-hääletamise valijarakenduse lähtekood pole avalik, kuna nii üritatakse mõningaid ründeid ära hoida ja muuta keerukamaks nende teostamist. Valijarakenduse leiab valimiste ajal valimiste kodulehelt, milleks on eelmistel kordadel olnud https://www.valimised.ee/. I-hääletamise valijarakenduse abil saab valija vaadata kandidaatide nimekirju ja anda oma hääle.

Kuidas saavad kasutajad kontrollida, kas paigaldatav tarkvara on autentne?

  1. Veenduge enne tarkvara allalaadimist, et te asute valimiste kodulehel. Selleks kontrollige kas vastav veebileht kasutab HTTPS protokolli ja vaadake veebilehe sertifikaadi andmeid.
  2. Kontrollige, kas teie poolt alla tõmmatud valijarakenduse räsi ühtib meedias avaldatud vastava räsiga.

Varasemalt kasutusel olnud kontrollimise juhendit näeb Wayback Machine kaudu siit: E-hääletamise süsteemi tervikluse kontrollimine.

Hääletamise juhend

Valimisrakenduses tuleb läbida järgmised etapid:

  • valija tuvastamine mobiili-ID või ID-kaardi abil
  • kandidaatidega tutvumine ja valiku tegemine
  • hääle kinnitamine enda digiallkirjaga
  • hääle serverisse jõudmise kontrollimine (vabatahtlik)

Hääle kontrollimise süsteem valijarakenduses

I-hääletamise kontrollsüsteem võimaldab valijal kontrollida, kas tema antud hääl jõudis korrektsel kujul valimiste korraldajateni. Selline verifitseerimine aitab ründe vastu, kus valija arvutis olev pahavara muudab enne serverisse saatmist valija häält. Üldine idee on arhiveeritud: siin.

Kontrollsüsteemi kasutamiseks on vaja kas iOS või Androidi operatsioonisüsteemiga seadet, millel on kaamera ja internetiühendus. Niisugusteks seadmeteks on näiteks nutitelefon ja tahvelarvuti. Kontrollsüsteem peab olema eraldiseisev, seetõttu on teise sõltumatu seadme olemasolu vajalik selleks, et kontrollsüsteem töötaks ka olukorras kus hääletamiseks kasutatud arvuti on kompromiteeritud.

Hääle kontrollimine:

  1. pärast hääletamist kuvatakse arvuti ekraanil QR-kood
  2. hääletaja paigaldab oma mobiili või tahvelarvutisse kontrollsüsteemi programmi
  3. hääletaja loeb QR-koodi, pärast mida saadetakse krüpteeritud päring valimisserverisse
  4. hääletustulemus kuvatakse mobiilseadme ekraanil

Kui ekraanil kuvatav tulemus ei ühti sellega, mis valija algselt tegi, siis tuleks ühendust võtta valimiste läbiviijaga.

Täpsem e-hääle kontrollimise juhend on arhiveeritud: siin.


Pärast hääletamist kuvatakse ekraanile QR-kood. (Allikas: VVK)

Kas i-hääle verifitseeritavus ei suurenda mõjutatavuse (hääle ostmise) riski?

Hääle ostjal on kogu aeg olnud võimalus hääle andmist kontrollida, vaadates hääletamisprotsessi üle valija õla. Seetõttu pakub Eesti i-hääletamise süsteem korduvhääletamise võimalust. Hääle kontrollimise mehhanism ei muuda fakti, et teadlik valija saab oma valikut hiljem korduvhääletamise abil muuta.

Ametliku verifitseerimisrakendusega häält kontrollides ei jää seadmesse konkreetse hääle kohta mingit jälge. Laiaulatusliku ründe tuvastamiseks piisab, kui ~5% hääletanutest oma häält kontrollib ja vea puhul sellele reageerib ning teavitab valimiste korraldajaid.

2013. aasta KOV valimistel kasutatud hääle kontrollimise süsteemil polnud veel täit juriidilist jõudu, seega ei oleks massilist ebaõnnestunud i-häälte verifitseerimist saanud kasutada põhjendusena valimistulemuste tühistamise taotlemisel. Selline juriidiline jõud on olemas alates 2015. aasta Riigikogu valimistest.

Hääle verifitseerimine

Hääle verifitseerimine (kontrollimine) vastab hääletaja loomulikule küsimusele "Mis mu i-häälest nüüd edasi saab?" Sõltuvalt kasutusel olevast verifitseerimissüsteemist võib selle all mõista erinevaid küsimusi:

  • kas minu hääl pakendati konteinerisse õigesti?
  • kas konteiner saadeti õigesti ära?
  • kas konteiner saabus õigesti kohale?
  • kas konteineri sisu läks valimistulemuse arvutamisel õigesti arvesse?
  • kas valimistulemuse arvutamisel on arvesse läinud kõik õiged konteinerid?
  • ega valimistulemuse arvutamisel pole arvesse võetud libahääli?

Sellest nimekirjast kolmele esimesele küsimusele võimaldab vastata 2013. aastal kasutusele võetud hääle kontrollrakendus. Ülejäänud küsimustele ei saa valija ise vastuseid leida.

Alates 2017. aasta KOV valimistest kasutatakse uuendatud i-hääletamise süsteemi, mis võimaldab vastata kõigile eelnevas nimekirjas olevatele küsimustele. Uuendatud süsteemis tekib hääletamise ajal tehtud tegevustest auditeeritav jälg, mida hiljem saab kasutada näiteks selleks, et kontrollida ja tõestada kas kõik valimissüsteemi jõudnud hääled läksid lugemisele (pärast korduvhäälte eemaldamist). Neid kontrolle teostavad audiitorid, kes peavad kontrollima ka krüptograafiliste tõestuste korrektsust.

Võimalikud probleemid ja lahendused Eesti i-hääletamise süsteemis

  • Teise inimese hääle mõjutamine / sunnitud hääletamine.
    • Lahendus: võimalus häält muuta.
    • Lahendus: võimalus pabersedeliga hääletada.
  • Luuakse kahjurvara, mis hääletamise hetkel muudab valitavat isikut või ei edasta häält.
    • Lahendus: kasutaja saab kontrollida, kas tema hääl jõudis korrektselt serverisse.
    • Lahendus: massilise kasutamise korral tuleb rünne suure tõenäosusega päevavalgele ja valimistulemus tühistatakse.
  • Luuakse kahjurvara, mis kasutab ära kaardilugejasse jäänud ID-kaarti ja korduvhääletab.
    • Suuremahulist rünnet saab tuvastada serveripoolsete logide analüüsimisel.
    • Hääletaja saab monitoorida kuidas tema ID-kaardi sertifikaate on kasutatud läbi: MyID portaali. Probleemiks on monitoorimise keerukus, mistõttu see ei sobi paljudele valijatele.
  • I-hääletamise saboteerimine - üritatakse valeinformatsiooni levitada või süsteemi rünnata. Niisugune rünnak loob võimaluse valimistulemuse tühistamiseks.
    • Lahendus: i-hääletamise protsess on võimalikult läbipaistev ja kontrollitav.
  • Antud häält ei saa lõpuni kontrollida, kuna puudub süsteem, mis võimaldaks näha, kas antud hääl ka häälte kokkulugemisel arvesse võeti.
    • Osaline lahendus: valija saab soovi korral häälte lugemise protsessis vaatlejana osaleda.
    • Lahendus: 2017 aastal kasutusele võetud uuendatud serveritarkvara annab audiitoritele tõestuse selle kohta, et kõik serverisse edastatud hääled võeti lugemisel arvesse (korduvhääletuse korral läheb arvesse viimasena antud hääl). Valija ise seda kontrollida ei saa ning seetõttu tuleb usaldada audiitoreid. Täpsem info on kirjas alampeatükis "Süsteemi muudatused 2017. aastal".

Eelmise põlvkonna Eesti i-hääletamise süsteemi turvaanalüüs - nüüdseks suures osas aegunud

Järgnev info on nüüdseks vananenud, kuna Eesti i-hääletamise serveripoolne tarkvara sai 2017. aastal suures osas ümber kirjutatud ning võimaldab matemaatiliselt tõestada, et hääle terviklust pole serveripoolel rikutud (st. et serveri poolel pole hääli kustutatud, lisatud ega muudetud ning et kõik kehtivad hääled, mis jõudsid süsteemi lähevad ka lugemisele). Siiski on tegemist põneva lugemisega, kuigi paljud analüüsi järeldused pole enam relevantsed.

2014. aasta kevadel avaldasid tunnustatud e-hääletamise süsteemide uurijad Eesti e-hääletamise kohta käiva raporti. Nende raport näitas, et Eesti i-hääletamise korraldajatel on probleeme operatsioonilise turvalisusega. Uurijad panid tähele, et igapäevaselt ei kasutata protseduurilisi reegleid või neid ei ole olemas. Protseduurilised reeglid on väga olulised, sest nende järgimine peaks oluliselt vähendama süsteemi ründamise võimalust. Näiteks ei kasutatud tarkvara arendamise jaoks spetsiaalseid ainult selle jaoks mõeldud arvuteid, vaid tarkvara arendajad kasutasid selleks isiklikke arvuteid. Kõige olulisem operatsioonilise turvalisuse rikkumine oli seotud 2013. aasta valimistel toimunud intsidendiga kus häälte lugemise server ei suutnud tulemust DVD plaadile kirjutada ja lahendusena kasutati häälte kättesaamiseks isiklikku USB mälupulka. USB mälupulga kasutamine häälte transpordiks võimaldab teoorias tulemuse muutmist ja häältelugemise serveri nakatamist pahavaraga. Suvalise USB mälupulga kasutamine on ohtlik kuna USB on juba disaini poolest ebaturvaline - selle kohta saab lugeda siit: BadUSB. Lisaks võib USB seade olla nakatunud pahavaraga, mida on raske tuvastada (näiteks kui kasutusel on 0-day tüüpi turvaauk). Hiljuti kirjutati, et 2008 aastal kasutati USA sõjaväe õhkeraldatud arvutite ründamiseks USB seadmeid: The Russians reportedly once used an ingenious tactic to break into US military computers not connected to the internet.

Raport kirjeldas ka mõningaid teadaolevaid ohtusid nagu näiteks sisemist ohtu. Huvitav oli see, et nad näitasid kuidas sai teatud tingimustel e-valimisi ettevalmistava inimese arvuti nakatamisega nende enda demoserveris olevat valimistulemust muuta. Nende rünne seisnes selles, et nad lisasid operatsioonisüsteemi paigaldamiseks mõeldud DVD-le pahavara, mis nakatas nende i-hääletamise demoserverid. Kusjuures nad suutsid pahavara paigaldada nii, et näis nagu tarkvara poleks modifitseeritud. Antud ründe võimalikkusest teavitati valimiste korraldajaid enne kui vastav raport avaldati. Praegu vastav rünne enam võimalik ei ole. Antud ründe olemus seisneb selles, et tarkvara ehitades on alati vaja midagi usaldada ja seda usaldust saab teoorias kuritarvitada. Näiteks usaldatakse kompilaatoreid, millega lähtekoodist luuakse käivitatav programm, kompilaatorite loomiseks kasutatakse omakorda tarkvara, mida peaks usaldama, jne. Sellest probleemist on andnud hea ülevaate Ken Thompson oma kuulsas artiklis: Reflections on Trusting Trust.

Lisaks tõi raport välja ammu teada olnud probleemi, mis seisneb selles, et hääletamiseks kasutatavaid arvuteid ei saa usaldada, sest paljud arvutid on pahavaraga nakatunud. Nimelt kui arvuti on osaks botnetist (zombivõrgustikust, kus arvuti on kellegi teise kontrolli all), siis saab arvutisse paigaldada suvalist tarkvara ja seega ka pahavara, mis salvestab ID-kaardi PIN koode ja hiljem hääletab kindla kandidaadi poolt. Arvutikasutajatel on raske niisugust rünnet avastada, kuid massilise rünne oleks tõenäoliselt tuvastatav. On oluline, et hääle kontrollimise süsteem ei paku kaitset niisuguse ründe vastu, sest häält saab kontrollida ainult poole tunni jooksul pärast hääletamist ja pahavara saab oma hääle anda näiteks pool tundi pärast seda kui inimene on hääletanud. See on võimalik, kuna Eesti i-hääletamise süsteemi disain lubab korduvalt häält muuta ja ei teavita inimest sellest, et ta on hääletanud. Valijate korduvhääletamisest teavitamine omakorda muudaks lihtsamaks häälte ostmise ja müümise, sest siis võiks häälte ostjale tekkida võimalus kontrollida, kas häält on elektrooniliselt muudetud. Eelnev illustreerib i-hääletamise keerukust, kuna kõiki turvanõudeid pole võimalik samaaegselt täita ning seetõttu tuleb leida sobiv tasakaalupunkt.

Dokumendid

  1. Uurijate avaldatud pressiteade, 12. mai 2014
  2. Vabariigi Valimiskomisjoni vastulause, 13. mai 2014
  3. E-valimised on (liiga) turvalised, Anto Veldre, CERT-EE, 14. mai 2014
  4. Uurijate vastus VVK vastulausele 14. mai 2014
  5. Uurijate avaldatud teadusartikkel, november 2014

Kasulikud lingid

  • Mõned e-hääletamisega seotud teadusartiklid
    • Practical Security Analysis of E-Voting Systems (2007)
    • The Application of I-voting for Estonian Parliamentary Elections of 2011 (2011)
    • Verifiable Internet Voting in Estonia (2014)
    • Security Analysis of the Estonian Internet Voting System (2014)
    • Log Analysis of Estonian Internet Voting 2013–2015 (2015)
    • Improving the verifiability of the Estonian Internet Voting scheme (2016)
    • Estonian Voting Verification Mechanism Revisited Again (2017)
    • On practical aspects of coercion-resistant remote voting systems (2019)
    • Planning the next steps for Estonian Internet voting (2020)
    • Developing a Personal Voting Machine for the Estonian Internet Voting System (2021)
    • Mobile Voting – Still Too Risky? (2021)
  • E2E-VIV projekti raames tehtud verifitseeritavuse uuring
    • The Future of Voting - End-To-End Verifiable Internet Voting (Complete Report, 2015)
    • Report for Non-technical Audiences
    • Expert Statements
  • Muu
    • Elektroonilise hääletamise üldraamistik ja selle kasutamine Eesti riiklikel valimistel (2017)
    • Eesti e-hääletamise serveri tarkvara lähtekood
    • Compendium on Cyber Security of Election Technology (2018)
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused