Rahvusvaheline aruanne: https://jhalderm.com/pub/papers/ivoting-ccs14.pdf
Nendele muredele vaatamata ei ole süsteemile varem tehtud üksikasjalikku sõltumatut turvaanalüüsi.
Nendel põhjustel kujutab Eesti Interneti-hääletamise (I-hääletamise) süsteem ainulaadset ja olulist juhtumianalüüsi valimiste turvalisuses.
Selle tugevad ja nõrgad küljed võivad teavitada teisi riike, kes kaaluvad veebihääletuse vastuvõtmist, samuti tulevaste teadus- ja praktikasüsteemide kavandamist.
Selles uuringus hindame süsteemi turvalisust, kasutades vaatlus- ja katsetehnikaid. Jälgisime 2013. aasta oktoobris toimunud kohalike valimiste toiminguid, tegime intervjuusid süsteemi arendajate ja valimisametnikega, hindasime tarkvara lähtekoodi kontrollimise ja pöördprojekteerimise abil ning tegime testid kogu süsteemi reprodutseerimiseks meie laboris.
Meie järeldused näitavad, et süsteemil on tõsiseid protseduurilisi ja arhitektuurilisi nõrkusi, mis seavad Eesti ohtu, et ründajad võivad valimiste tulemusi märkamatult muuta.
Enamik teaduskirjanduses välja pakutud Interneti-hääletusskeeme kasutab krüptograafilisi võtteid, et saavutada omadus, mida nimetatakse otsast lõpuni (E2E) kontrollitavuseks.
See tähendab, et igaüks saab kinnitada, et hääletussedelid on täpselt loetud, ilma et peaks usaldama, et arvutid või ametnikud käituvad ausalt. Seevastu Eesti süsteem ei ole E2E -ga kontrollitav. See kasutab kontseptuaalselt lihtsamat disaini selle hinnaga, et ta peab kaudselt usaldama valijate arvutite, serveri komponentide ja valimistöötajate terviklikkust.
Selle asemel, et tõestada terviklikkust tehniliste vahenditega, tugineb Eesti keerulistele menetluskontrollidele, kuid need menetlused ei ole turvalisuse või läbipaistvuse saavutamiseks piisavad.
Isiklikel vaatlustel ja 2013. aasta protsessi ametlike videote ülevaatamisel täheldasime kõrvalekaldeid protseduurist ja tõsiseid operatiivse turvalisuse puudujääke, mis jätavad süsteemi avatuks rünnakutele, pettustele ja vigadele.
Läbipaistvusmeetmed, nagu videosalvestised ja avaldatud lähtekood, olid puudulikud ja ebapiisavad, et võimaldada välistel vaatlejatel tulemuste terviklikkust kindlaks teha.
Selliste rünnakute teostatavuse kontrollimiseks reprodutseerisime I-hääletussüsteemi laborikeskkonnas ja mängisime valimiste ajal keeruka ründaja rolli.
Suutsime arendada kliendipoolseid rünnakuid, mis varastavad hääletult hääletajate enda arvutites, vältides selliseid kaitsemeetmeid nagu riiklik ID-kiipkaardisüsteem ja nutitelefoni kinnitamise rakendus.
Samuti demonstreerime serveripoolseid rünnakuid, mis on suunatud kaudselt usaldusväärsele häälte lugemise serverile. Võttes sisse sellesse serverisse pahavara, võib võõrvõim või ebaaus insaider muuta hääletust dekrüpteerimise ja tabeldamise vahel, muutes tulemused ründaja eelistatud kandidaadi kasuks.
Me järeldame, et on mitmeid viise, kuidas riikliku tasandi ründajad, keerukad veebikurjategijad või ebaausad siseringid võivad edukalt rünnata Eesti I-hääletussüsteemi.
Selline ründaja võib usutavalt hääli muuta, salajase hääletamise ohtu seada, valimisi häirida või tulemuste terviklikkuses kahtluse alla seada. Neid probleeme on raske leevendada, sest need tulenevad põhilistest arhitektuurilistest valikutest ning menetluskontrolli abil pakutavate turvalisuse ja läbipaistvuse piirangutest. Nendel põhjustel soovitame Eestil I-hääletamise süsteem lõpetada.
Tulime Eestisse tagasi 2014. aasta mais ja jagasime neid järeldusi valimisametnike ja avalikkusega. Kahjuks olid valitsuse reaktsioonid varieeruvatest absurdseteni. Riiklik valimiskomitee teatas, et meie arvates olevaid ohujuhtumeid on kavandamisel juba piisavalt arvesse võetud ja et kirjeldatud rünnakud on teostamatud.
Me ei nõustu mõlemas osas, kuid lugejad saavad tõendid üle vaadata ja teha oma järeldused.
Peaminister Taavi Rõivas ja president Toomas Hendrik Ilves vihjasid meediale, et meid ostis ära rivaalitsev erakond, kes soovis süsteemi halvustada. Me eitame seda tuliselt, kuid see illustreerib seda, kuidas Eesti valimistehnoloogiat puudutav avalik diskursus on hakanud domineerima parteilisusest. Loodame, et riik suudab suure rünnaku ärahoidmiseks õigel ajal eraldada tehnilise reaalsuse poliitilisest retoorikast.
