16 lutego 2013

Po co nam wybory elektroniczne?


Wielu z nas wybory kojarzą się z niedzielnym popołudniem wolnym od polityki w mediach. Tego dnia około 40% dorosłych Polaków wybiera się do lokalu wyborczego w celu oddania swojego głosu. Po przedstawieniu dowodu osobistego osobie z komisji wyborczej, wyborca otrzymuje kartę wyborczą, z którą udaje się do kabiny, a następnie swoje preferencje wyborcze zamienia na krzyżyk przy nazwisku kandydata. Karta trafia do urny wyborczej. Od przeszło 24 lat dzięki tej procedurze wybierani są przedstawiciele narodu. Jakie są wady i zalety "wyborów papierowych" i dlaczego tyle się mówi o wyborach elektronicznych?


Wady na pewno jest w stanie wymienić każdy z nas. Są to między innymi: teoretyczna możliwość kupowania głosów, koszty związane z wydrukiem kart wyborczych oraz ich zabezpieczeniem, możliwość fałszowania głosów i pomyłek przy ich liczeniu, skomplikowana procedura wyborcza, a także brak ułatwień dla osób niepełnosprawnych. Nieocenioną zaletą jest za to tajność oddanego głosu. Czy da się rozwiązać te problemy i stworzyć system wyborczy, który będzie jak najlepszym i najbezpieczniejszym rozwiązaniem? Okazuje się, że jest to niezwykle trudne. Z tego właśnie powodu naukowcy od lat pracują nad jak najlepszymi rozwiązaniami stworzenia elektronicznego systemu wyborczego. Poza stroną prawną i społeczną, dużym problemem pozostaje strona matematyczna i informatyczna stosowanych rozwiązań i ją pragnę przybliżyć czytelnikom. 

Dlaczego nad tym problemem głowią się naukowcy na całym świecie skoro w Estonii taki system jest już używany? Estoński system idealnie przeczy sportowej zasadzie "kto pierwszy ten lepszy". Nie zapewnia tajności głosu, a także umożliwia ich sprzedawanie oraz podmianę. Nie jest także schematem E2E (end-to-end), który umożliwiałby weryfikację poprawności oddanego głosu zapewniając, że głos został oddany zgodnie z intencją wyborcy (cast-as-intended), zapisany jak oddany (recorded-as-cast) i policzony jak zapisany (tailed-as-recorded) . Schemat ten zakłada, że żadna strona (tj. wyborca, komisja) w wyborach nie jest zaufana, każdy może oszukać. Wielu Estończyków posiada elektroniczne dowody osobiste, które umożliwiają oddanie głosu w domu. Umożliwiają one złożenie podpisu elektronicznego. Obywatel Estonii może wejść na specjalną stronę internetową i za jej pomocą zaznaczyć kandydata, na którego oddaje głos. Następnie głos jest szyfrowany kluczem publicznym komisji wyborczej (w praktyce oznacza to, że tylko komisja wyborcza może go odszyfrować posiadając swój asymetryczny klucz prywatny, pojęcia z kryptografii asymetrycznej), a następnie podpisywany kluczem prywatnym zawartym w elektronicznym dowodzie osobistym (podpis może złożyć tylko dana osoba, zweryfikować autentyczność może każdy posiadający klucz publiczny) i zostaje wysłany komisji wyborczej publicznym kanałem telekomunikacyjnym. Głosy można oddawać nielimitowaną liczbę razy do czasu zakończenia wyborów, przy czym tylko ostatni głos się liczy. Gdzie w takim razie czyha zagrożenie? Wybierając kandydata narażamy się na to, że komputer zna nasz wybór. Skoro komputer zna nasz wybór to "czarny kapelusz" (zły haker) może poznać nasz głos i go podmienić. "Nietknięty" przez komputer głos nie oznacza, że nikt nie pozna naszej preferencji wyborczej. Głos trafia do wirtualnej urny (komisja wyborcza), która następnie usuwa głosy nadpisane i usuwa z nich podpisy elektroniczne. W tym ostatnim zdaniu zawarty jest cały problem. Nie mamy pewności, że przed odszyfrowaniem głosu komisja wyborcza zdejmie podpis elektroniczny. Następnie całość jest zgrywana na nośnik pamięci i "wrzucana" do komputera niepodłączonego do Internetu, gdzie głosy są liczone. 

Zawirusowany komputer sprawia, że oddany głos może być inny niż głos zaznaczony przez wyborcę, możliwe jest poznanie jego głosu, które może sprzyjać sprzedaży. Czy można rozwiązać problem zawirusowanego komputera? Okazuje się, że tak. Łatwe to nie jest i wymaga... wydrukowania kart wyborczych. Tego typu karty byłyby wysyłane innym kanałem do wyborcy, np. pocztą. Po wpisaniu kodu karty wyborca wypełniałby zależnie od schematu pola, które nie byłyby przypisane nazwiskom. Nazwiska znajdowałyby się tylko na karcie wyborczej w losowej permutacji (kolejności). Problemem, z którym zetknęli się wprowadzający system e-votingu w Brazylii jest właśnie losowość, okazało się, że generator liczb pseudolosowych... był przewidywalny. Znając działanie tego mechanizmu możliwe, że poznanie „losowej” liczby przed jej wylosowaniem.

Jednym z najlepszych rozwiązań zdalnych schematów wyborczych jest system Scratch Click & Vote, wymyślony przez dwóch naukowców z Wydziału Podstawowych Problemów Techniki Politechniki Wrocławskiej, profesora Mirosława Kutyłowskiego oraz doktora Filipa Zagórskiego . System ten został już wykorzystany w testowym w polskim pokazowym e-głosowaniu w 2009 roku. Ze szczegółami SC&V można się zapoznać w serwisie e-glosowanie.org.

Poza wyborami internetowymi istnieją także wybory elektroniczne .... Mogą się one odbywać nadal w lokalu wyborczych przy wykorzystaniu jednej z dwóch metod: użycie maszyn DRE oraz użycie skanerów optycznych. Maszyny DRE przypominają wizualnie bankomaty. Jednak zaprojektowanie ich jest znacznie trudniejsze o czym przekonał się jeden z największych producentów tychże urządzeń - firma Diebold. W przypadku transakcji bankowych jej szczegóły zna bank i klient, który za pomocą potwierdzenia może zapoznać z nią każdego. W przypadku e-wyborów oznaczałoby to nie tylko brak tajności głosu, ale także możliwość jego sprzedaży. Sprzedaż głosu uważamy za realne zagrożenie wtedy, gdy głosujący może udowodnić na kogo głosował. Problemem jest pogodzenie braku dowodu, że głosujący głosował na kandydata X jak i bezpieczeństwa, że jego głos nie został podmieniony. Karta wyborcza w maszynach DRE jest tylko w postaci elektronicznej. Dla oddanego głosu drukowane jest potwierdzenie wyborcze.

W przypadku skanerów optycznych specjalnie wypełniona karta wyborcza jest skanowana i głos jest wprowadzany do systemu, a wyborca otrzymuje potwierdzenie zależne od przyjętego schematu. Za pomocą tego potwierdzenia po wyborach, kiedy część kart wyborczych (bez nazwisk) zostanie opublikowana, będzie mógł sprawdzić czy jego głos nie został podmieniony. W przypadku schematu VAV (Vote-Antivote-Vote) wyborca zakreśla kandydata kryżykiem przy jednej z kolumn z literą V i innego kandydata zarówno przy kolumnie A jak i V. Jako potwierdzenie wyborcze otrzymuje wybraną przez siebie kolumnę, system nie wie którą. Nie jest w stanie udowodnić na kogo zagłosował, ani na kogo nie zagłosował. Po zakończeniu wyborów zawartość urny jest publikowana w Internecie. Szansa, że w przypadku nieuprawnionej modyfikacji głosu nie dowiedzie tego procederu wynosi 2/3. W przypadku 12 takich wyborców jest to 2/3 podniesione do dwunastej potęgi, czyli ok. 7 promili szans na to, że oszustwo nie wyjdzie na jaw. Schemat VAV można też zaimplementować w rozwiązaniach zdalnych. Zaletą skanerów optycznych jest fakt, że w przypadku awarii systemu informatycznego głosy mogą zostać ręcznie policzone. Może to też posłużyć jako weryfikacja prawidłowości procesu wyborczego. 

E-voting nie będzie wcale oznaczał, że znikną wszelkie "papiery" związane z wyborami. Pozostawienie reliktu w postaci kartek papieru jest spowodowane bezpieczeństwem. Warto wspomnieć, że Dr Filip Zagórski, który pracuje nad tymi rozwiązaniami jest w tym temacie specjalistą światowej klasy, dzięki czemu Polska ma niebagatelny wkład w światowe badania nad systemami wyborczymi nowej generacji. Jest to też osoba, dzięki której w znacznym stopniu powstał ten artykuł, gdyż przez ostatni semestr brałem udział w serii wykładów o E-votingu, które zainspirowały mnie do napisania tego tekstu. Czy wybory elektroniczne zwiększą frekwencję? Czy może procedura wyborcza zamiast ulec uproszczeniu stanie się bardziej skomplikowana? Czas pokaże, a tymczasem zachęcam czytelników do dyskusji i zadawania pytań.

Warto zobaczyć:

http://www.e-glosowanie.org/index.php?option=com_content&view=article&id=48&Itemid=57
http://www.youtube.com/watch?v=2A70v_uLYxY
https://docs.google.com/open?id=0B3FRxzLB9yn0aUdYa0JXQ05rQTg

Bardzo dziękuję osobom, które zgłosiły uwagi merytoryczne do treści tego tekstu.



Pliki cookies

Uwaga! Strona wykorzystuje do działania pliki cookies, które są zbierane między innymi w celach reklamowych oraz statystycznych, a także dla poprawy wygody korzystania z serwisu. Jeżeli nie zgadzasz się z tym wyłącz opcję w przeglądarce. Więcej informacji