MÄRT PÕDER: valimissaladus e-valimistel pole kaitstud ja võimalik on korraldada ka häälteostu
VIRKKO LEPASSALU
Digiõiguste aktivist Märt Põder nimetab e-valimiste ühe peamise nõrga kohana valija isikliku hääle kontrollimiseks mõeldud QR-koodi süsteemi, mis riivab ülemääraselt hääle salajasuse nõuet. Kurioosse näitena, kuidas võiks QR-koodi avamist kuritarvitada, saaks Põderi sõnul tuua president Alar Karise, kes e-hääletas Põlvamaal Kiidjärvel avalikus internetipunktis.
Teisisõnu, QR koodi, mis tekib igast e-valimisel antud häälest, on võimalik vastava programmiga lahti krüptida ning näha, kelle poolt on keegi hääletanud.
Valmissaladuse põhimõtte ränk rikkumine
Teoreetiliselt on selline võimalus olemas kõigil, kes pääsevad ligi digitaalsetele valimiskastidele. Lligipääs on lisaks ka kogumisteenust pakkuval osapoolel ja selle töötajatel ja kõiki neid andmeid käsitletakse tavaliste isikuandmetena. See on aga valimissaladuse põhimõtte ränk rikkumine.
Kurioosse näitena, kuidas võiks QR-koodi avamist kuritarvitada, saaks Põderi sõnul tuua president Alar Karise, kes e-hääletas Põlvamaal Kiidjärvel avalikus internetipunktis ja kelle e-häält QR koodi kujul pikalt AK uudistesaates ekraanil näidati. TV ekraanilt oleks võimalik QR koodi ka enda seadmesse selle avamiseks sisestada.
Nõnda võiks vastava programmi abil seetõttu kergesti teada saada, kellele president hääle andis.
Kui seda pikemalt lahti seletada, siis QR-kood ise sisaldab asjatundjate keeles öeldes hääle identifikaatorit, sessioonikoodi ja krüptovõtit.
Hääle identifikaatori alusel laadib kontrollrakendus häältekogumisserverist alla hääle krüptogrammi, mis on sisuliselt digiallkirjastatud ja krüptitud hääletussedel. Lahtikrüptimise võti aga asub QR-koodis.
„Iga antud e-hääl saab oma QR-koodi,“ sõnas Põder.
Üliväärtuslik kaamerapilt presidendi hääletamisest
QR-kood ilmub pärast e-hääletamist niisiis valija nutiseadme või arvuti ekraanile koos teatega, et „teie tehtud valik läks arvesse“. Nõnda oli ka president Karise juhtumil, kui ETV operaatori kaamerapilt pärast presidendi poolt e-hääle andmist pikalt tema poolt kasutatud ühiskondliku arvuti ekraanile kinnistus.
QR-koodi on e-hääletamise süsteemis vaja selleks, et valija saaks veenduda, kas tema hääl jõudis serverisse kohale ja salvestati korrektselt. Vt ka https://www.valimised.ee/et/e-haaletamine/e-haaletamisest-lahemalt/haaletamise-kontroll-nutitelefoniga
Kui paberhääletamise puhul seejuures peetakse mõeldamatuks, et keegi komisjoni liikmetest võiks teada saada, kelle poolt kodanik X või Y on oma hääle andnud, siis e-hääletamise puhul on see, nagu öeldud, võimalik. Seda enam, et kui pabersedeli peal ei ole valija allkirja, siis e-hääle andmise kinnitab valija oma digiallkirjaga.
Märt Põderi sõnul on tegemist juba vana, vähemalt 2015. aastast ilmnenud probleemiga: „Seda on peetud hääletamsel aktsepteeritud riskiks ja hääle salajasuse riivet ebaoluliseks.“
Veelgi enam, vastava programmi, millega saaks QR koodi n-ö lahti võtta, on Põder enda sõnul ise kahe päevaga valmis teinud. See tähendab, et IT asjatundja jaoks ei ole see küsimus.
„Kui ma 2015. aasta Riigikogu valimistel oma e-sedeli rikkusin (eksperimendi mõttes – toim), siis postitas valimiskomisjoni e-hääletuse projektijuht Tarvi Martens ilma minult küsimata Facebooki minu e-hääle ajatempli,“ tõi Põder näiteks. „Välisvaatlejate raporti alusel teame, et valija isikliku hääle kontrollimiseks mõteldud QR-koodi süsteem võimaldab murda hääle salajasuse. Seega oleks võinud Martens sama hästi postitada Facebooki ka minu valitud kandidaadi nime ja numbri. Seda kõike sellepärast, et ma olin postitanud Facebooki ka QR-koodi, mida Tarvi Martens kahtlemata nägi.“
Vastuolus riiklike seaduste ja rahvusvaheliste standarditega
Optimistliku turvamudeli järgi peaks serverist pärast e-hääletamist moodustuv QR-kood, mis hääle salajasuse ohtu seab, 30 minuti pärast oma tähenduse kaotama. Paraku see aga nii ei ole. Serverist nutiseadmesse edastatav krüptogramm sisaldab Põderi sõnul valija häält ning QR-koodis sisalduv juhuslikkuse parameeter võimaldab hääle lahti krüptida. Koos kaasapandud digiallkirjaga on see tunduvalt rohkem hard evidence valija antud hääle sisu kohta kui valimiskabiinis tehtud foto pabersedelist — digiallkiri on meil teatavasti võrdsustatud päris-allkirjaga.
OSCE/ODIHR (Euroopa Julgeoleku- ja Koostööorganisatsiooni demokraatlike institutsioonide ja inimõiguste büroo) vaatlusraport 2019. aasta Riigikogu valimiste kohta aga just osutabki sellele nõrgale kohale. Teisisõnu, et QR-koodil põhinev kontrollimehhanism on otseses vastuolus hääletamise salajasuse põhimõttega.
Täpsemalt öeldes väideti raportis, et tehnilised raamistikud ja toimingud viitavad asjaolule, et siseründaja, kellel on volitus ligi pääseda digitaalsetele valimiskastidele, võiks murda iga valija poolt avaldatud QR-koodi salajasus. Märt Põderi sõnul on raport eesti keeles väga halvasti tõlgitud, aga inglise keeles tuleb välja, et QR-koodi abil võidakse murda hääle salajasus: https://www.osce.org/odihr/elections/estonia/424229 Ja seda isegi pärast koodi kehtivuse lõppu, mis peaks turvakaalutlustel olema justkui pool tundi. See on vastuolus riiklike seaduste ja rahvusvaheliste standarditega, mis puudutavad hääle salajasust.
Lahendus seisnekski siis selles, et krüptogramme edastav QR-koodi süsteem tuleb igal juhul asendada vastavalt OSCE/ODIHR soovitusele ainult valijale teada oleva kontrollkoodi edastamisega. Ehk siis valija ise tohiks kontrollkoodi näha, olles selle pärast e-hääletamist serverist saanud, aga loomulikult mitte ei tohiks see jõuda komisjonini.
2019. aasta e-hääletuse „vigade parandamise” komisjonis tehti Märt Põderi sõnul ettepanek see muudatus teha. Autoriks oli Heldur-Valdek Seeder ja ettepanek kandis numbrit 11 https://debriif.infoaed.ee/files/e-valimiste-tooruhma-koondaruanne-12122019-88361339.pdf
Mündi teine pool on, et teoreetiliselt oleks võimalik QR-koodi süsteemi kasutada ka häälte ostmiseks.
Kas võimalik oleks häälteost?
Märt Põderi sõnul võiks ette kujutada hämarveebi teenust, mis pakub iga õige erakonna poolt hääletava ning kehtiva digiallkirjaga krüptogrammi üleslaadimise eest 150 000 satoshit. Teisisõnu, valijale antakse või kantakse üle krüptoraha, et ta õige erakonna poolt hääletaks.
Kinnitusena raha saamiseks peaks pärast e-hääletust serverist saadud QR-koodi ehk krüptogrammi vastavasse hämarveebi keskkonda üles laadima. Nõnda nagu öeldud, on võimalik vastava programmiga lugeda QR-koodi, ja kelle poolt on hääletatud, mitte ainult valimiskomisjoni liikmetel, vaid ka lihtsalt üle keskmise ITs kodus oleval isikul.
Märt Põder märkis, et selline rünne on teoreetilisel kujul lihtsasti teostatav. Aga praktikas toimuks see ilmselt lisamõjuritega: nt nõudes valijalt lisaks näha ID-kaardi toimingute logi või muid andmeid. See tõstaks krüptogrammi väärtust oluliselt, kui on 100% kindel, et valija ei hääletanud pärast ka pabersedeliga. Seda saaks tõendada, kui lekitada valimisjaoskondadest pabersedelil hääletanute nimekirju, millele pääsevad ligi väga paljud inimesed.
Üks asi on häälte ostmise võimalus. Kui palju aga annaks krüptogramme edastavat QR-süsteemi kasutada aga lihtsalt valimiste diskrediteerimiseks ja segaduse külvamiseks, ei tahaks isegi mõelda.
e-hääletamist kasutab meil suurusjärgus 250 000 valijat.
Sellega seotus küsimustest on Märt Põder hiljuti kirjutanud ERRi portaalis https://www.err.ee/1608901955/mart-poder-suuname-tahelepanu-demokraatia-opsusteemile Pikemalt aga krüptogrammisega seotud ohtudest oma blogis https://gafgaf.infoaed.ee/posts/myya-v3hekasutatud-kryptogramm/
Vt ka videot asja kohta http://p6drad-teel.net/~p6der/kryptogramm-et.m4v
Artikkel, väljaandest Pealinn:
