Sähköinen äänestys on vaikeampaa kuin luulisi

Vaaliuurna

Vaaliuurna Mäntsälästä. Laatikko on varmasti nähnyt paljon vuosien varrella.

Oikeusministeriön työryhmä on tänään ehdottanut, ettei nettiäänestystä lähdetä edes selvittämään yleisissä vaaleissa.

Päätös voi olla hämmentävä: “miksei Suomessa voi äänestää verkossa, kun pankkiasiatkin sujuvat netissä?” Asiaan perehtymättömälle pankkiasioiden hoitaminen verkossa tuntui vaativalta tekniseltä haasteelta, ja äänestäminen tähän verrattuna ihan ratkaistulta ongelmalta. Näin ei kuitenkaan ole.

Viron kehutussa järjestelmässä on joukko puutteita, jotka ovat luonteeltaan sellaisia, etteivät virolaiset itsekään voi tietää, onko heillä ollut luotettava äänestys. Kerron tässä miksi tässä tapauksessa Viron mallin kopiointi olisi sulaa hulluutta.

Tietoturva-ammattilaisia lukuun ottamatta digitalisaation kannattajat niin poliitikkojen, virkamiesten kuin tavallisten kadunmiestenkin osalta tuntuvat kannattavan sähköistä äänestystä. Heidän on vaikea ymmärtää, miksi näin itsestään selvää hanketta vastustetaan ja vielä sellaisten toimesta, jotka yleensä digihankkeita kannattavat.

Mitään kovin kansanomaista tai helppoa selitystä ei ole, joten väännän tässä avainkohdat rautalangasta. Tätä kirjoitusta lukeakseen ei tarvita teknistä koulutusta eikä taustaa tietoturvasta. Electronic Frontier Finlandin laadukkaassa Sähköäänestys-FAQ:ssa käsitellään samaa aihetta laajemmin.

Verkkoäänestyksessä vaikeaa on useampi ihan perustavaa laatua oleva osa. Kaikkien näiden korjaaminen vienee vielä vuosikymmeniä, sillä emme ammattikuntana vielä tiedä, miten nämä ongelmat ratkotaan.

1) Mistä kaikki voivat tietää, että kaikki äänestykseen käytetyt tietokoneet toimivat niin kuin niiden pitäisi?

2) Mistä kaikki voivat tietää, että monimutkainen sovellus toimii niin kuin pitäisi?

3) Mistä kaikki voivat tietää, että laajassa järjestelmässä kaikissa tietokoneissa pyörii vain ja ainoastaan se softa, jonka siellä pitäisi pyöriä?

Käydään nämä ongelmat läpi esimerkkien kautta.

1) Tarkastettavuus

Miten voimme todistaa, että kaikki tietokoneet toimivat niin kuin pitäisi, on paljon vaikeampi ongelma kuin voisi luulla. Moderni yleiskäyttöinen tietokone koostuu suuresta määrästä komponentteja, joita manipuloimalla voidaan saada oikein kirjoitettu sovellus toimimaan väärin. Esimerkkejä hyökkäyksistä löytyy vaikkapa viimeaikaisista Snowdenin paljastuksista.

Kovalevy voi olla koodattu muuttamaan ääntenlaskentasovellusta, muistipiirit voivat toimia epäluotettavasti kylmennettynä riittävästi, tai laitteen vähäisestä hidastumisesta voidaan ehkä päätellä sillä juuri äänestävän kansalaisen puoluekanta.

2) Virheettömyys

Yhtään vaalijärjestelmän laajuista virheetöntä sovellusta ei vielä ole tehty. Yksinkertaiseltakin tuntuva järjestelmä kutsuu miljoonia muiden kirjoittamia koodirivejä pystyäkseen näyttämään jotain ruudulla tai saadakseen verkkoviestinnän toimimaan.

Jos äänestys vielä toimii joko käyttäjän omassa tietokoneessa tai puhelimessa, näistä kaikki pitäisi suojata perusteellisesti haittaohjelmia vastaan. Tähän emme vielä alana pysty. 90-luvulla amerikkalainen ohjuspuolustusjärjestelmä varoitti täyden kuun aikaan venäläisten laajamittaisesta ohjushyökkäyksestä. Onneksi kukaan outolempi ei tuolloin uskonut kyseistä tietojärjestelmää.

3) Kokonaisuus

Niin käyttäjän, kuin ääntenlaskentakoneidenkin sinänsä toimivia ohjelmia voi kaapata syöttämällä niille jotain muuta, kuin käyttäjä on tarkoittanut, ja vastaavasti näyttämällä käyttäjälle jotain muuta kuin järjestelmä tarkoitti. Esimerkiksi suuri määrä haittaohjelmia perustuu juuri tällaiseen selaimen kaappaukseen ja väärien mainosten näyttämiseen sinänsä oikeilla sivuilla.

Yleiskäyttöisiä käyttöjärjestelmiä, joita käytetään niin äänten laskentaan kuin äänestämiseenkin, ei ole suojattu riittävästi ohjelmien välistä häirintää vastaan. Useimmiten käyttäjäpäässä heikkous toki perustuu käyttäjän höynäyttämiseen, eli niin sanottuun sosiaaliseen hyökkäykseen.

Ja jokerina

4) Katselmoitavuus

Näin laajan järjestelmän tekeminen niin, että järjestelmän toiminta kaikissa ennustettavissa olevissa tilanteissa on kaikkien puolueiden katselmoitavissa on ehkä vaikein haaste. Kyseessä olisi kymmenien tai satojen miestyövuosien urakka, johon yksittäisellä puolueella ei olisi mitään edellytyksiä.

Vaalien jälkeen häviäjällä voisi olla aikamoinen kiusaus syyttää järjestelmää, varsinkin jos äänten menetys olisi maantieteellisesti tai muuten erikoisesti jakautunut.

Jos nykyinen äänestystapamme olisi kallis, hankala, hidas tai epäluotettava, suosittelisin merkittävää tutkimushanketta digiäänestämisen turvaongelmien tutkimiseksi. Näin ei kuitenkaan ole. Saamme tulokset saman illan aikana, kohtuuhintaan ja olemme todistetusti kyenneet luotettavaan äänestämiseen tilanteissa, joissa eri katsantokantojen edustajat ovat olleet vast’ikään sisällissodassa. Aika hyvä järjestelmä, vai mitä.

22 kommenttia artikkeliin ”Sähköinen äänestys on vaikeampaa kuin luulisi

  1. Tärkeä asia mutta esimerkit voisivat olla ehkä parempiakin.

    “Kovalevy voi olla koodattu muuttamaan ääntenlaskentasovellusta, muistipiirit voivat toimia epäluotettavasti kylmennettynä riittävästi, tai laitteen vähäisestä hidastumisesta voidaan ehkä päätellä sillä juuri äänestävän kansalaisen puoluekanta.”

    Kovalevy voi olla koodattu, siis mitä? Muistipiirien kylmyys? Selitätkö tarkemmin miten se koneen hidastuminen riippuu puoluekannasta? Itse pointtihan on hyvä mutta esimerkit ontuvat, jos tämän tarkoitus on olla asiaa maallikolle selvittävä niin maallikko on tämän selityksen perusteella kyllä vielä enemmän ulalla.

    Tuskinpa se katselmoinitikaan kymmeniä tai satoja miestyövuosia vie (jos tämä perustui johonkin tilastolliseen faktaan niin mielelläni kuulisin perusteita). Miksi jokaisen puolueen edes pitäisi se katselmoida erikseen? Eikö riippumaton jokaisen hyväksymä taho riittäisi, tietenkin sillä edellytyksellä että koodi on avointa ja se on mahdollista katselmoida kaikkien halukkaiden toimesta.

    Itse lukeuden sähköisen äänestyksen kannattajiin tietyllä varauksella. Artikkelin mainitsemat ongelmat ovat todellisia ja ne on ehdottomasti ratkottava. Se onko täysin luotettavan järjestelmän tekeminen edes mahdollista on sitten asia erikseen, voi hyvin olla ettei ole. Mutta jos kriteerit saadaan täytettyä niin tervetuloa sähköäänestys.

    • Kiitos MIka kommentistasi. Suurvaltojen tekemät hyökkäykset kriittisiin järjestelmiin ovat ihan oman artikkelinsa paikka. Olennaista niissä on, että joku luotettavana pidetty osa tietokoneesta saadaan toimimaan toisin kuin sen pitäisi toimia. Osa näistä hyökkäyksistä perustuu yhteistyöhön valmistajan kanssa, toisissa laitteita kaapataan kesken kuljetuksen ja oman ryhmänsä muodostavat hyökkäykset, joissa järjestelmän ympäristöä raskaasti häiriten järjestelmä toimii väärin. Alalla on osoitettu kerta toisensa jälkeen, että kyky tehdä edes pienen pieni muutos järjestelmän tilaan on usein vivun tavoin kammettavissa järjestelmän täydeksi kaappaukseksi.

      Useimmissa järjestelmissä kattava turva-auditointi tehdään vain sen kriittisille osille, pieneen osaan systeemiä, ja käyttöjärjestelmä ja muut alustaohjelmat jätetään tarkastuksen ulkopuolelle. Tällainen lähestymistapa soveltuu järjestelmille, joita suurvallat eivät uhkaa. Kokonaisten käyttöjärjestelmien tarkastuksen kustannuksia löytyy kirjallisuudesta ainakin TCSEC (entinen orange book)-nimikkeen kautta, tuolta itse arvioin tämän järjestelmän auditoinnin kustannusta. http://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria

      Riippumaton katselmoija olisi varmasti hyvä tapa edetä, mutta katselmoijan pitäisi olla valittu niin, että vaalit hävinneilllä puolueilla ei olisi intressiä kyseenalaistaa katselmoinnin laatua. Ei ole ihan selvää, minkä toimijan tähän tehtävään saisi valittua sellainen konklaavi, johon kaikki puolueet kuuluisivat.

      Samat ongelmat tulevat pian vastaan kaikissa merkittävissä IoT-hankkeissa, joissa voidaan pelätä suurvaltojen liiallista mielenkiintoa. Sairaalajärjestelmät, liikennevalot, maksujärjestelmät ja vaikka junien ja lentokoneiden ohjausjärjestelmät saattavat vielä olla samojen ongelmien edessä. Uskon, että ratkaisuille on tilausta ja niitä löydetään, kun ongelmien ratkaisematta jättäminen on liian riskaabelia.

  2. Miten olisi yksinkertainen ratkaisu:

    Jokaiselle äänestäjälle annetaan yksilöllinen äänestystunnus, jonka hän liittää äänestäessään. Tätä tunnusta ei voida jäljittää takaisin äänestäjään.
    Kaikki äänet julkaistaan isona tietokantana. Siinä näkyy äänestystunnus ja annettu ääni kussakin tietueessa.

    Tällöin kuka tahansa voi laskea äänestystuloksen riippumattomasti, eli voimme varmistua, että laskenta on todella tehty oikein. Samoin kuka tahansa äänestäjä voi tarkistaa, että hänen äänensä todella on mukana tuossa tietokannassa, eli hänen äänensä on tallentunut oikein.

    • Ehdottamasi tapa on mahdollinen ja toteutettu.
      Tutuu uskomattomalta, että kaikki muut maailman asiat voidaan hoitaa sähköisesti. Mainittakoon tässä vaikka terveydenhuolto ja finanssiasiat.

    • Toikkaselle lista ongelmista:
      – Mainitsemasi yksityinen äänestystunnus olisi pakko tiedottaa äänestäjälle jotenkin. Esimerkiksi paperilapulla. Äänestyksen jälkeen äänestäjä voisi tällä lapulla todistaa ketä hän on äänestänyt ja saada tietyn henkilön äänestämisestä rahallisen korvauksen. Hän voisi siis myydä äänensä. Viitseliäs taho voisi esimerkiksi rakentaa äänestysmaksujärjestelmän, jossa äänestäjät tunnistautuvat ja syöttävät äänestystunnuksen järjestelmään etukäteen ennen vaalien tuloksen julkistusta ja kun vaalien jälkeen tulokset julkistettaisiin, maksettaisiin rahallinen korvaus automaattisesti niille, jotka ovat äänestäneet lupaamiansa ehdokkaita.
      – Aviomies, vaimo, jne, joka tietää toisen äänestystunnuksen, pystyy jälkikäteen varmistumaan ketä toinen on äänestänyt.
      – Edellisissä eduskuntavaaleissa oli 70,1 äänestysprosentti, eli lähes kolmannes jätti äänestämättä. Miten kuvaamassasi järjestelmässä voitaisiin varmistua siitä, että kukaan ei lisäisi väärennettyjä ääniä näille äänestämättä jättäneille kun ääniä ei voida yhdistää henkilöön?
      – Järjestelmän sisäiset ja ulkopuoliset hakkerit voivat aina kaikissa tilanteissa vakoilla kuka äänestää ja ketä.
      – Järjestelmään voidaan kohdistaa palvelunestohyökkäyksiä.

  3. Tarmo,

    äänestyksessä tärkeää on, että äänestäjää ei voida kiristää tai lahjoa äänestämään jonkun muun valitsemaa tahoa. Nykymalli on aika hyvä, on helppo väittää äänestäneensä sitä, jota sovittiin riippumatta siitä, kenelle äänensä todellisuudessa antoi. Mallissasi voisi olla vaikeampaa selvitä moisesta painostuksesta, joka voi johtua perheväkivallasta, alkoholismista, välinpitämättömyydestä, uskonlahkosta tai vaikka vaan työsuhteesta puolueeseen läheisesti liittyvässä organisaatiossa.

    • Virossahan saa äänestää verkossa niin monta kertaa kuin haluaa ja viimeinen ratkaisee. Ja jos menee sitten kuitenkin paikan päälle lapulla äänestämään, se on se laskettava ääni. Eivätkö nämä riittävästi helpota painostuksen ongelmaa?

      • Tuo on ihan puhdas arvovalinta. Monissa maissa tuon on laskettu riittävän vaikka se tekeekin painostamisesta helpompaa.

      • Mieti seuraavaa tilannetta:
        1) Pakotetaan puoliso äänestämään “oikein”.
        2) Otetaan puolisolta pois äänestämisen oikeuttavat dokumentit, eli (sähköinen) henkilökortti, passi, ajokortti, mitä näitä nyt on.
        3) Odotetaan äänestysajan loppuun.
        Tällöin ei mahdollisuus äänestää uudestaan ole minkään arvoinen.

  4. Toikkarinen: Ongelma on että hallinto jolta haluaa myös salata äänen tietää mikä äänestystunnus on lähetetty kenellekin. Parempi tekniikka olisi seuraava jossa käyttäjä liittää tunnuksen sijaan äänestykseensä kryptografisen tiivisteen:

    H(PBKDF2(äänestäjän luoma vahva salasana) || ehdokasnumero || sotu || paikallisesti luotu nonce). Tämä tiiviste sitten julkaistaan ehdokasnumeron ja noncen kanssa. Nonce ja korkea PBKDF2 iteraatioarvo suojaavat sanakirjahyökkäyksiltä kun laiskat äänestäjät kuitenkin valitsevat surkeita salasanoja.

    Tällöin kuka tahansa voi laskea äänestystuloksen, että ääni on tietokannassa, ja kukaan ei tiedä kuka äänen on antanut.

    Se mistä ei päästä yli eikä ympäri on, että vaalisalaisuus ei teknisesti säily jos palveluun pitää kirjautua pankkitunnuksilla tai henkilökortilla. Ei pidä olettaa että äänestys toimii niinkui non luvattu vaan että sitä väärinkäytetään pahimmalla mahdollisella tavalla.

  5. Hei, kiitti mielenkiintoisesta kirjoituksesta. Itse jäin miettimään että eikö iso osa näistä uhista jo nykyisellään täyty? Luulisi äänten koostamisen, yhteenlaskut ja puolueiden sisäisten jakolaskujen menevän jo nykyisellään tietokoneella. Pikaveikkauksena Excell tai vastaava laskin. Vai tehdäänkö njo kaikki vielä alusta loppuun adidaspostina ja kynällä ja paperilla?

    Pointtini siis on, että tavoitetila pitäisi olla aluksi nykyinen taso, ei idealistinen optimi.

  6. Olen ollut monta kertaa vaalilautakunnan puheenjohtajana, joten tiedän miten nykyinen äänetys ja ääntenlaskenta toimivat. Laskenta tapahtuu manuaalisesti: ensin lasketaan annettujen äänten määrä, sitten äänet ehdokkaittain. Tähän menee aikaa vaaleista riippuen tunnista puolentoista.

    Asiasta voi lukea tarkemmin esimerkiksi: http://www.vaalit.fi/fi/index/vaalit/eduskuntavaalit/eduskuntavaalientuloksenlaskenta.html

    “Heti kun vaalihuoneistot kello 20 ovat sulkeutuneet, vaalilautakunnat aloittavat vaalipäivänä annettujen äänten alustavan laskennan. Vaalilautakunta avaa vaaliuurnan, laskee siinä olevat äänestysliput ja merkitsee kullekin ehdokkaalle annetut äänimäärät erityiseen vaalipöytäkirjaan. Heti tämän jälkeen vaalilautakunta ilmoittaa kunnan keskusvaalilautakunnalle ehdokkaiden saamat äänimäärät eli vaalien tuloksen kyseisessä äänestysalueessa.

    Kunnan keskusvaalilautakunta puolestaan välittää tulokset oikeusministeriön vaalitietojärjestelmän keskitettyyn laskentajärjestelmään. Lopuksi vaalilautakunta sinetöi äänestysliput pakettiin ja toimittaa ne ennen maanantaiaamua vaalipiirilautakunnalle.”

    ja vaalilaista https://www.finlex.fi/fi/laki/ajantasa/1998/19980714#L6P78

    “Vaalilautakunnan puheenjohtajan tai varapuheenjohtajan julistettua vaalipäivän äänestyksen päättyneeksi otetaan äänestysliput viipymättä vaaliuurnasta ja lasketaan niiden lukumäärä. Samoin lasketaan niiden henkilöiden lukumäärä, jotka vaaliluetteloon tai äänioikeusrekisteriin tehtyjen merkintöjen mukaan ovat käyttäneet äänioikeuttaan vaalipäivänä.

    Kun äänestyslippujen lukumäärä on laskettu, vaalilautakunta tarkastaa äänestysliput. Ne äänestysliput, jotka on katsottava mitättömiksi, erotetaan eri ryhmäksi. Jäljellä olevat liput jaotellaan siten, että kunkin ehdokkaan hyväksi annetut liput ovat omana ryhmänään. Kussakin ryhmässä olevien äänestyslippujen lukumäärä lasketaan (alustava ääntenlaskenta).

    Vaalilautakunnan on suoritettava äänestyslippujen jaotteleminen ja laskeminen keskeytyksettä loppuun.

    Sen jälkeen kun alustava ääntenlaskenta on suoritettu, laitetaan äänestysliput, jaoteltuina 2 momentin mukaisesti, kestävään päällykseen, joka suljetaan huolellisesti sinetöimällä se oikeusministeriön määräämällä tavalla. Päällykseen merkitään 81 §:n 1 momentissa tarkoitetun vastaanottajan osoite, lähetyksen sisältö ja lähettäjä.”

    • Kiitos selvennyksestä, enpä olisi uskonut että noin juurta jaksaen vielä käsin tehdään. Tehokasta porukkaa ja hiottu systeemi siis.

  7. Kaikista näistä artikkelissa mainituista ongelmista paistaa minusta läpi se, että ennen kuin mitään voidaan yrittää rakentaa pitäisi kaikki epäolennaisetkin ongelmat olla täysin ratkaistu. Eikö äänestysprosessia kannattaisi lähteä digitalisoimaan osajärjestelmä kerrallaan ja avoimen lähdekoodin voimin niin puolueet voivat itse validoida järjestelmän toiminnan. Ei ole minusta yhteiskunnan ongelma jos puolueilla tai ehdokkailla ei ole tähän osaamista tai varaa.

    Lisäksi tosiaankin minusta olisi viisasta ensin avoimin työkaluin osa kerrallaan digitalisoida äänestysprosessi ja sitten ehkä mahdollistaa äänestäminen verkossa.

    • Tuohan nimenomaan on yhteiskunnan ongelma. Noin sillä saataisiin pahimmillaan validointiprosessista pienet ja köyhät puolueet, joilla ei olisi resursseja tuollaista. Tämä olisi jo itsessään demokratian irvikuva, jos äänestystuloksen luotrtta uuden varmistaminen riippuisi puolueen maksukyvystä. Ja entäs sitten riippumattomat ehdokkaat?

      • Niin siis tottakai yhteiskunta tarjoaisi validointipalvelut, mutta miten saada ihminen täysin nollatiedoilla luottamaan digitaaliseen järjestelmään jos hän ei vaikka ymmärryksen puutteen takia kuvitteellisesti ymmärrä sähkön käsitettä? Pitääkö yhteiskunnallisen kehityksen aina mennä sen aivan hitaimman tahtia?

  8. Olen kirjoittajan kanssa samaa mieltä, mutta selitys meni ehkä turhan tekniseksi muistikampojen jäädyttämisineen.

    Oleelliset kriteerit toimivalle äänestysjärjestelmälle ovat:
    1) Jokaisen äänestäjän on voitava olla varma, että hänen äänensä tulee lasketuksi, eikä ylimääräisiä (väärennettyjä) ääniä ole lisätty äänestykseen
    2) Ei saa olla olemassa mitään tapaa yhdistää äänestäjää ja ääntä, edes silloin, kun äänestäjä niin tahtoisi
    3) Äänestyksen tulee olla riittävän helppoa ja tulosten valmistua nopeasti

    Näiden kriteerien perusteella tarkasteltuna sähköisessä äänestyksessä (joko nettiäänestys tai äänestyskoneet) on seuraavat ongelmat:
    1) Vaikka äänestysjärjestelmän lähdekoodi on avoin, äänestäjän on silti hyvin hankala varmistua, että kyseinen koodi varmasti pyörii äänestyspalvelimella, eikä palvelimia ole sorkittu. Tietenkin voitaisiin nimittää “palvelimenvalvontakomitea”, joka ehkäisisi tätä ongelmaa, mutta tämän komitean jäsenten pitäisi pystyä valvomaan kaikkea laitteistosta ohjelmistoon (eli olemaan aika kovan tason asiantuntijoita). Edelleen tavalliset äänestäjät eivät pystyisi itse varmistamaan järjestelmän aukottomutta, vaan pitäisi luottaa asiantuntijoihin.

    On myös mahdollista käyttää eri tyyppisiä tunnisteita, millä äänestäjä voisi tarkistaa oman äänensä perillemenon, mutta se rikkoisi kohtaa 2 vastaan. Lisäksi tunnisteilla yksittäinen äänestäjä ei edelleenkään voisi varmistua siitä, ettei väärennettyjä ääniä ole lisätty järjestelmään.

    2) Vaikka edellämainittuja tarkistustunnisteita ei käyttettäisi, pitää äänestäjän silti luottaa siihen, että järjestelmä ei yhdistä äänestäjää ääneen. Tässä on samat ongelmat kuin kohdassa 1, eli miten äänestäjä voi luottaa järjestelmän toimivuuteen ja siihen, että se tekee mitä lupaa.

    3) Tämä on varmasti koneäänestyksen vahvuus. Äänestää voi mistä vaan ja tulos on valmis heti.

    Nykyisessä äänestystavassa taas kaikki kohda 1-3 toteutuvat kohtalaisesti.
    1) Äänestäjän pitää luottaa kunkin äänestyspaikan vaalilautakuntaan. Heillä olisi periaatteessa mahdollisuus lisätä ylimääräisiä ääniä, tuhota äänestäjien ääniä tai muuten manipuloida tulosta. Tämä on kuitenkin melko tehokkaasti estetty sillä, että vaalilautakunnat koostuvat useiden puolueiden edustajista ja että äänestysalueet ovat äänimäärällisesti pieniä. Ääntenlaskutapa ja kaikki muut toiminta äänestyspaikoilla perustuu paperilappuihin ja manuaaliseen laskentaan, eli asioihin jotka kaikkien on helppo tajuta.

    Jokaisen äänestyspaikan äänimäärät ovat julkista tietoa, joten jos tulosta yritetään manipuloida koontivaiheessa, ainakin jokaisen äänestyspaikan vaalilautakunnat tietävät oman äänestyspaikkansa todellisen tilanteen ja voivat tarkastaa sen myöhemmin. Äänet myös lasketaan uudestaan tarkastuslaskennassa eri ihmisten toimesta, joten myös heidän pitäisi olla huijauksessa mukana.

    2) Äänestyskoppin saa mennä ainoastaan äänestäjä itse. Vaikka nykyään kuvien ottaminen yleistä, niin sekin on periaatteessa kiellettyä. Äänestäjä ei voi siis todistaa äänestäneensä jotain tiettyä ehdokasta, jolloin vaalisalaisuus säilyy. Myöskään vaalivirkailijat eivät pysty yhdistämään äänestäjää ääneen, sillä ne menevät uurnassa sekaisin. Eri puolueiden edustajien keskinäinen valvonta ehkäisee tehokkaasti vaalivirkailijoiden suorittamaan painostusta ja muuta vilppiä.

    3) Äänestys on kohtalaisen helppoa, varsinkin kun nykyään ennakkoäänestyspisteitä on valtavasti. Äänten laskenta kestää n. 3 tuntia. Omasta mielestä hidas laskenta jopa lisää vaalien mielenkiintoa, ja tulosillat ovatkin TV:n katsotuimpia ohjelmia. Heti valmistuva tulos olisi oikeastaan aika tylsä (mitä sitten kolme tuntia jauhettaisiin, ja mitä tehtäis vaalivalvojaisissa).

    • 1) Vaikka äänestysjärjestelmän lähdekoodi on avoin, äänestäjän on silti hyvin hankala varmistua, että kyseinen koodi varmasti pyörii äänestyspalvelimella, eikä palvelimia ole sorkittu. Tietenkin voitaisiin nimittää ”palvelimenvalvontakomitea”, joka ehkäisisi tätä ongelmaa, mutta tämän komitean jäsenten pitäisi pystyä valvomaan kaikkea laitteistosta ohjelmistoon (eli olemaan aika kovan tason asiantuntijoita). Edelleen tavalliset äänestäjät eivät pystyisi itse varmistamaan järjestelmän aukottomutta, vaan pitäisi luottaa asiantuntijoihin.

      Ainakin pelikonsoleissa voidaan kohtuullisella varmuudella varmistua siitä, että siinä pyörii vain valmistajan oma koodi. Samoista systeemeistä voitaisiin kyllä kehittää ääneystysinfraankin sopivia ratkaisuja. Tottakai mm. Xbox 360 konsolin turvajärjestelyt on murrettu, mutta kaikki tämä on käytännössä vaatinut rautaan käsiksi pääsemistä. ja jos rauta rakennetaan sopivilta osin oikeasti läpinäkyväksi niin sen käpälöinnistä tulee olennaisesti hankalampaa.

      • Nettiäänestystyöryhmältä vaadittiin ratkaisua, joka toimii kansalaisten jo omistamilla laitteilla. Käytössä siis monia yleiskäyttöisiä koneita, joissa voidaan ajaa erilaisia valmistajan hyväksymättömiä sovelluksia. Ihan siis normaalien läppärien käyttöjärjestelmillä.

        Huolimatta merkittävistä taloudellisista intresseistä tällainen suojaus ei vielä ole aukottomasti onnistunut edes niissä laitteissa, joiden liiketoimintamalli perustuu suojausten luotettavuuteen. Sekä iOSin että pelikonsolien suojauksiin on saatu riittäviä säröjä, joilla laitteissa on saatu pyörimään myös kopioituja ja muokattuja sovelluksia. Suojaukset toki tuntuvat paranevan koko ajan, eikä uusimpia käyttöjärjestelmän versioita olla saatu heti purettua, mutta ei tuo helpolta näytä edes maailman suurimmille yrityksille.

        • Kyllä tiedän, että suojauksia ei saada vielä riittävän vahvoiksi äänestäjien omoissa laitteissa, mutta pointtini oli, että äänestyspaikalla ja muissa osissa vaaliprosessia tämä voisi onnistua. Tästäkin syntyisi säästöä ja siitä olisi helpompi myöhemmin siirtyä tekniikan kehittyessä eteenpäin.

    • Kuvien ottaminenkaan ei ole ongelma, koska halutessaan voi pyytää uuden äänestyslipun kuvan ottamisen jälkeen ennen lipun leimauttamista.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *