Sähköinen äänestys

[Artisti]

Sähköinen äänestys jättää sähköisen muistijäljen siitä, kuka on äänestänyt ja ketä. Huono juttu vaalisalaisuuden kannalta.

[Skeptikko]

Yle esitti äskettäin ohjelman kvanttitietokoneista ja muista tulevaisuuden keksinnöistä. Kyseisessä dokumentissa käsiteltiin myös paljon sähköisen äänestyksen suojaamisen periaatteita. Minulta jäi alkuosa dokumentista näkemättä. Näkikö joku dokumentin? Mitä siinä sanottiin, ja mikä sen nimi oli.

En nähnyt, mutta ei kannata uskoa kaikkea mitä näkee YLEltä.

Dokumentissa esimerkkitapaukseksi oli otettu Sveitsin suoran demokratian sähköiset äänestykset. Dokumentin mukaan niissä suojaus toteutetaan kvanttisalauksella, ja siten se on murtamaton. Minusta se oli niin uskottavasti sanottu, että uskon sen olevan totta -- ja tieteellisesti todistettua totuutta --. Nyt olisi hyvä pyytää ilmoittautumaan niitä, jotka eivät vieläkään usko sähköisen äänestyksen hyvyyteen, niin voisimme listata heidät myös tieteen kyseenalaistajien joukkoon.

Käytännössä tuossa on ollut kyse enemmän huuhaasta ja asioita tuntemattomien ihmisten huijaamisesta uskomaan asioihin, joista tuossa ei ole kyse. Tässä lyhyesti selitystä asiasta:

Mitä todennäköisemmin kyse on ollut salausavainten vaihdosta ns. one time pad -salaukseen tai tavanomaiseen symmetriseen salaukseen kvanttisalausmenetelmällä. Oikein hyvässä toteutuksessa tämän uskotaan teoriassa suojaavan siltä, että joku voisi salaa vain kuunnella siirrettävää dataa ilman, että tämä kuuntelu huomattaisiin. Kuitenkaan tämä ei millään tavalla tavanomaisissa tavassa yksinään estä sitä, että pelkän kuuntelun sijasta joku onkin linjalla välissä (eli ns. man-in-the-middle attack) ja sitten esiintyy osapuolelle A osapuolena B ja osapuolelle B osapuolena A.

Tämän man-in-the-middle-hyökkäyksen estämiseksi tarvitaan jotain tapaa autentikoida osapuolet - eli vaikka perinteisen salauksen jaetun salaisuuden hyödyntämistä tai julkiseen avaimeen perustuvaa autentikointia. Toisaalta kuitenkin voidaan mahdollinen salauskin silloin toteuttaa ilman mitään kvanttiavaimenvaihtoa sillä jaetulla salaisuudella tai julkiseen avaimeen perustuvilla salausmenetelmillä, ilman mitään eksoottista, hyödyiltään kyseenalaista ja toteutuksen toimivuudelta epävarmaa kvanttiavaintenvaihtoa. Ja ylipäätään on syytä muistaa, ettei vaaleissa ole ongelmana niinkään se, että joku kuuntelisi passiivisesti äänestyspaikan tiedonsiirtoa jonkun keskuslaskentapaikan kanssa, vaan esimerkiksi se, että joku pääsee joko tiedonsiirron aikana tai muussa välissä muuttelemaan dataa.

Quantum cryptography
https://en.wikipedia.org/wiki/Quantum_cryptography

The most well known and developed application of quantum cryptography is quantum key distribution (QKD), which is the process of using quantum communication to establish a shared key between two parties (Alice and Bob, for example) without a third party (Eve) learning anything about that key, even if Eve can eavesdrop on all communication between Alice and Bob. If Eve tries to learn information about the key being established, key establishment will fail causing Alice and Bob to notice. Once the key is established, it is then typically used for encrypted communication using classical techniques. For instance, the exchanged key could be used as the key to a stream cypher, or (if bandwidth is not a concern) it could be used directly as a one-time pad.

The security of QKD can be proven mathematically without imposing any restrictions on the abilities of an eavesdropper, something not possible with classical key distribution. This is usually described as "unconditional security", although there are some minimal assumptions required including that the laws of quantum mechanics apply and that Alice and Bob are able to authenticate each other, i.e. Eve should not be able to impersonate Alice or Bob as otherwise a man-in-the-middle attack would be possible.

One aspect of QKD is that it is secure against quantum computers, as its strength does not depend on mathematical complexity, like post-quantum cryptography, but on physical principles.

Mitä tulee vielä siihen seikkaan, että kvanttiavaintenvaihto olisi turvallinen kvanttitietokoneita vastaan, jos sellaisia jossain vaiheessa onnistutaan tekemään, niin on syytä muistaa, että tässäkin piilee vakava ongelma. Nimittäin jos autentikointiin käytetään kuitenkin kvanttitietokoneille arkoja klassisia salausmenetelmiä, niin silloin ei kvanttitietokoneiden tultua markkinoille, enää noiden tapojen käyttäminen riitäkään autentikointiin. Ja ilman autentikointia taas kvanttiavaintenvaihto on yhtä tyhjän kanssa.

Tämän lisäksi on syytä muistaa se, että kvanttiavaimenvaihto ei ole mitenkään kovin kypsä asia ja laitteiden käytännön toteutuksissa on löytänyt niiden turvallisuuden tuhoavia ongelmia. Tämänkään takia en missään nimessä käyttäisi kvanttisalausta yksinään tietoturvattomuuden vuoksi, enkä kyllä näe useimmiten nykytilanteessa järkeä käyttää rahaa jonkun kalliin kvanttiavaintenvaihdon toteuttamiseen. Kyse on enemmänkin käärmeöljyn myynnistä ja eräs kvanttiavaintenvaihtoa kaupitteleva firma sattuu muistaakseni olemaan sveitsiläinen, mikä selittänee tämän asian...:

Kvanttisalaus
https://fi.wikipedia.org/wiki/Kvanttisalaus

Kvanttisalausta pidettiin pitkään murtumattomana salauksena, mutta Kanadassa Toronton yliopistollisessa tutkimuslaitoksessa on onnistuttu murtamaan kvanttisalaus. Tutkijat ohjasivat laitteiden valosensoreihin voimakasta valoa. Se sotki sensoreiden toimintaa niin, että tietoa voitiin salakuunnellla ilman, että vakoilua huomattiin.[1]

PS, tässä vielä Bruce Scheierin, jonka ammattina on salausmenetelmät ja tietoturvallisuus, kommentti kvanttiavaintenvaihdosta:

Essays: Quantum Cryptography: As Awesome As It Is Pointless - Schneier on Security
https://www.schneier.com/essays/archives/2008/10/quantum_cryptography.html

Quantum cryptography is back in the news, and the basic idea is still unbelievably cool, in theory, and nearly useless in real life.
...
This month we've seen reports on a new working quantum-key distribution network in Vienna, and a new quantum-key distribution technique out of Britain. Great stuff, but headlines like the BBC's "'Unbreakable' encryption unveiled" are a bit much.
...
While I like the science of quantum cryptography — my undergraduate degree was in physics — I don't see any commercial value in it. I don't believe it solves any security problem that needs solving. I don't believe that it's worth paying for, and I can't imagine anyone but a few technophiles buying and deploying it. Systems that use it don't magically become unbreakable, because the quantum part doesn't address the weak points of the system.

Bruce Schneier
https://en.wikipedia.org/wiki/Bruce_Schneier

PS 2, vähän lisää:

Switzerland Protects its Vote with Quantum Cryptography
https://www.schneier.com/blog/archives/2007/10/switzerland_pro.html

This is so silly I wasn't going to even bother blogging about it. But the sheer number of news stories has made me change my mind.

Basically, the Swiss company ID Quantique convinced the Swiss government to use quantum cryptography to protect vote transmissions during their October 21 election. It was a great publicity stunt, and the news articles were filled with hyperbole: how the "unbreakable" encryption will ensure the integrity of the election, how this will protect the election against hacking, and so on.

Complete idiocy. There are many serious security threats to voting systems, especially paperless touch-screen voting systems, but they're not centered around the transmission of votes from the voting site to the central tabulating office. The software in the voting machines themselves is a much bigger threat, one that quantum cryptography doesn't solve in the least.
...
So, congratulations to ID Quantique for a nice publicity stunt. But did they actually increase the security of the Swiss election? Doubtful.

[Skeptikko]

Sähköinen äänestys jättää sähköisen muistijäljen siitä, kuka on äänestänyt ja ketä. Huono juttu vaalisalaisuuden kannalta.

Riippuu siitä miten se toteutetaan. En kyllä kuitenkaan kannata sähköistä äänestystä kumminkaan päin toteutettuna.

[Leona]

Perussuomalaiset ajaa hallituksessa niitä röyhkeimpiä demokratian ja järjen vastaisia hankkeita jotka ovat kokoomuksen, sdpn, keskustan jne. asialistalla.

Tätä tulee loputtomasti järjestelmäoppositiolta tasan niin kauan kuin niitä äänestetään.

[sivullinen.]

Pohdit väärää kysymystä, koska paras tapa suojata äänestykset on sellainen, että kuka tahansa voi sen helposti ymmärtää. Jos äänestykset tehdään paperilapuilla jotka kuka tahansa pystyy laskemaan uudestaan tarvittaessa, demokratia on paljon vahvemmalla pohjalla.

Ylen dokkarissakin todettiin paperilappujen olevan huonoja, koska ne voidaan vaihtaa kuljetuksen aikana. Näin voidaan tehdä hyvinkin helposti. Yhtä helppoa on laskea tietokoneen ruudulta ykkösiä ja nollia -- tai muita numeroita -- kuin laskea paperilappuja. Yhtä vähän paperilaput estävät huijausta kuin tietokoneen ruudulla olevat numerot. Jos paperilaput on vaihdettu yhden kerran, ne voidaan laskea vaikka sataan kertaan ja satojen ihmisten toimesta, mutta eivät ne silti kerro, mikä äänestyksen oikea tulos oli.

Väiteesi korruptiosta on myös täysin merkityksetön tämän kysymyksen kannalta. Korruptiota on tai ei ole, eikä sillä ole mitään tekemistä sen kanssa äänestetäänkö paperilla vai sähköisesti. Epäluuloinen kansa on aina hyvä asia korruption estämiseksi -- kuten itse sanot --. Jos paperisesta äänestyksestä siirtyminen sähköiseen äänestykseen lisää epäluulojen määrää, on se hyvä asia. Jo sen vuoksi kannattaisi siirtyä sähköiseen äänestykseen.

Ja vaikka jäsen Skeptikko uskottavan tieteellisen näköisesti koittaa todistaa Ylen dokumentin olleen väärässä, en hänen tieteelliseltä kuulostaviakaan todisteita usko. En siksi, että pitäisin Yleä luotettavana tai Ylen esittämää dokumenttia luotettavana, enkä siksi, että epäilisin jäsen Skeptikon olevan tyhmä tai epäluotettava, vaan yksinkertaisesti siitä syystä, että olen tietoinen Sveitsin käyttävän tätä tapaa -- jonka olen Ylen dokumentissa esitetyn väitteen lisäksi itse jo aikoja sitten tarkastanut ja todennut paikkaansa pitäväksi asiaksi --. Se riittää minulle todisteeksi. Minä uskon sveitsiläisten tietävän, mitä tekevät. Minä uskon salauksen toimivan, jos sveitsiläiset uskovat sen toimivan niin varmasti, että uskaltavat sitä itse käyttää, eivätkä ole havainneet sen toimimattomuudessa puutteita.

Jos sveitsiläiset hyväksyvät sen puutteen, ettei salaus ole välttämättä hyvä "kvanttitietokoneita vastaan, jos sellaisia jossain vaiheessa onnistutaan tekemään", niin minäkin sen hyväksyn. Minusta sciencefiction kirjallisuuden maalailemien uhkakuvien edessä alistuminen ei ole tarpeen. En pelkää ufoja enkä kolmipäisiä hirviölintuja, joten miksi pelkäisin kaikki salaukset murtamaan pystyviä kvanttitietokoneita? Uudelleen käytän myös jo usempaan kertaan tässä ketjussa mainitsemaani perustetta: Niinkauan kun uskallan käyttää verkkopankkia, pankkikorttia ja niinkauan kuin pankit uskaltavat siirrellä rahaa tietokoneilla, niinkauan ei ole mitään syytä pelätä äänestysjärjestelmien haavottuvuutta tietokonesalauksen murtumisen suhteen.

[Atte Saarela]

Pohdit väärää kysymystä, koska paras tapa suojata äänestykset on sellainen, että kuka tahansa voi sen helposti ymmärtää. Jos äänestykset tehdään paperilapuilla jotka kuka tahansa pystyy laskemaan uudestaan tarvittaessa, demokratia on paljon vahvemmalla pohjalla.

Ylen dokkarissakin todettiin paperilappujen olevan huonoja, koska ne voidaan vaihtaa kuljetuksen aikana. Näin voidaan tehdä hyvinkin helposti. Yhtä helppoa on laskea tietokoneen ruudulta ykkösiä ja nollia -- tai muita numeroita -- kuin laskea paperilappuja. Yhtä vähän paperilaput estävät huijausta kuin tietokoneen ruudulla olevat numerot. Jos paperilaput on vaihdettu yhden kerran, ne voidaan laskea vaikka sataan kertaan ja satojen ihmisten toimesta, mutta eivät ne silti kerro, mikä äänestyksen oikea tulos oli.

Mistähän mahtaa johtua, että länsimaissa on käytännössä melko harvinaista, että paperiäänestyksissä huijataan (muuten paitsi ennakkoäänestyksessä, esim Itävallassa).

Käytännössä ei paperiäänten vaihtaminen ole lainkaan niin yksinkertaista kuin luulet. Sen sijaan sähköisiä ääniä voi vaihtaa yhdellä koodinpätkällä tarvittavan määrän.

Väiteesi korruptiosta on myös täysin merkityksetön tämän kysymyksen kannalta. Korruptiota on tai ei ole, eikä sillä ole mitään tekemistä sen kanssa äänestetäänkö paperilla vai sähköisesti. Epäluuloinen kansa on aina hyvä asia korruption estämiseksi -- kuten itse sanot --. Jos paperisesta äänestyksestä siirtyminen sähköiseen äänestykseen lisää epäluulojen määrää, on se hyvä asia. Jo sen vuoksi kannattaisi siirtyä sähköiseen äänestykseen.

Aha, oletko vastaavasti sitä mieltä, että koska runsas maahanmuutto lisää maahanmuuttokriittisyyttä (esim Keski-Eurooppa), niin runsas maahanmuutto on myös hyvä asia?

Ja vaikka jäsen Skeptikko uskottavan tieteellisen näköisesti koittaa todistaa Ylen dokumentin olleen väärässä, en hänen tieteelliseltä kuulostaviakaan todisteita usko. En siksi, että pitäisin Yleä luotettavana tai Ylen esittämää dokumenttia luotettavana, enkä siksi, että epäilisin jäsen Skeptikon olevan tyhmä tai epäluotettava, vaan yksinkertaisesti siitä syystä, että olen tietoinen Sveitsin käyttävän tätä tapaa -- jonka olen Ylen dokumentissa esitetyn väitteen lisäksi itse jo aikoja sitten tarkastanut ja todennut paikkaansa pitäväksi asiaksi --. Se riittää minulle todisteeksi. Minä uskon sveitsiläisten tietävän, mitä tekevät. Minä uskon salauksen toimivan, jos sveitsiläiset uskovat sen toimivan niin varmasti, että uskaltavat sitä itse käyttää, eivätkä ole havainneet sen toimimattomuudessa puutteita.

Ei kaikessa kannata peesata sveitsiläisiäkään. Siellä on lähtökohtaisesti vähemmän korruptiota kuin Suomessa johtuen esim. siitä että paljon pienempi osa poliitikoista on päätoimisia poliitikkoja.. Jos nykyinen järjestelmä toimii meillä luotettavasti eikä ole kovin kallis, mitä ihmeen järkeä on lähteä sitä vaihtamaan?

[JKN93]

Hallituksemme suunnittelee nyt todella sähköisen nettiäänestyksen käyttöönottoa kaikissa yleisissä vaaleissa ja jopa mahdollisiin kansanäänestyksiinkin.Manipulaation riski kasvaa eliitille haluttuun/toivottuun lopputulokseen ja näin ollen kansan todelliset vaikutusmahdollisuudet voivat entisestään heiketä.
http://www.verkkouutiset.fi/politiikka/om%20hallitus%20nettiaaanestys-56889

[sivullinen.]

Amerikan presidentin vaaleissa väitetään olevan ääntenlaskussa virheitä. Jossain osavaltiossa on annettu enemmän ääniä kuin on ihmisiä. Vääryydestä syytetään tietenkin sähköistä äänestystä. Asian huvittava puoli on, että niissä osavaltioissa, joissa ongelmia väitetään olevan, ei ole edes ollut käytössä sähköistä äänestystä.

Sähköinen äänestys näyttävästi pystyy säteilemään ongelmiaan myös osavaltiorajojen yli. Se on voodoota -- tai sitten sähköinen äänestys on vain pelkkä helppo syntipukki, joka se tuntuu olevan --. Tosiasioiden valossa jälleen se äänestystapa, jossa oli enemmän ongelmia, oli paperiäänestys. Papereita on huomattavasti helpompi väärentää kuin sähköisesti varmennettuja ääniä. Se ei enää ole edes mielipide, vaan tämäkin tapaus sen todistaa.

Paperiäänestyksen kannattajien on syytä alkaa kaivelemaan puolustuspuheenvuorojaan esiin. Sähköinen äänestys on tulossa. Olettaisin amerikassa sitä otettavan käyttöön yhä enevässä määrin Trumpin valtakaudella. Vaikka Suomi on jo pudonnut teknologisen kehityksen kärjestä itäeurooppalaiselle keskitasolle ja alemmas, tullaan Suomessakin kymmenen vuoden sisällä kohdistamaan erittäin suurta painetta sähköisen äänestyksen suuntaan. Kansalaisaloite.fi on teknisesti ollut toimiva, mutta Eduskunta on sen toiminnan estänyt käytännössä sosialismia puolustaakseen. Sähköisen äänestyksen esteet ovat siten Suomessa enää hallinnollisia eli sosialismista johtuvia.

Sosialismin aika alkaa kuitenkin olla ohi. Kuvitellaanpa sellainen tapaus, että Eduskunta lakkauttaa itsensä yllättäen, koska saa ukaasin Saksasta laittaa maan asiat kuntoon ja toteaa, ettei siihen kykene, koska ei ole kyennyt yhtään mihinkään muuhunkaan pitkään aikaan. Silloin Suomessa on todella kova paine vaihtaa sosialismi demokratiaan; se paine on silloin myös sosialisteilla, joita uhkaa Saksan viha. Onko meillä silloin jäljellä mitään muuta vaihtoehtoa kuin siirtyä täysin kansalaisaloite.fin kautta tehtävien lakien laadintaan?

Minun nähdäkseni vain sotilashallinto olisi vaihtoehto sille. Kansalaisaloite.fissä tosin 50 000 ääntä riittää saamaan aloitteen vireille; se ei tarkoita vielä suoraan aloitteen hyväksymistä. Jos raja nostettaisiin esimerkiksi 100 000, ja sovittaisiin niin paljon ääniä saaneen aloitteen olevan suoraan laki ja säädös, jota kaikkien on noudatettava, olisi se kelvollinen ratkaisu -- joskaan ei täydellinen --. Se ei kertoisi enemmistön tahdosta, mutta ei siitä kerro Eduskunnan tekemätkään päätökset, sillä Eduskunnassa päätös tehdään hallituspuolueiden enemmistövoimalla, ja hallituspuolueet eivät edusta kansasta edes 20% -- ja niidenkin joukossa on iso kasa perseensä myyneitä ja vastoin kansan tahtoa lehmänkauppoja tekeviä --. Kansalaisaloite.fissä ainoa huono puoli on sen vanhuksia syrjivä piirre, sillä vanhukset käyttävät nettiä vähemmän, ja vaikka aloitteita voi allekirjoittaa myös paperilla, on se huomattavasti vaikeampaa.

[Nikolas]

Tietenkin paperiäänestys on mahdollista toteuttaa huonosti aivan kuten autotehdas voi tuottaa Trabanteja. Ei se silti tarkoita että muutkin autotehtaat tuottaisivat Trabanteja.