IT-viikon uutisen mukaan USA:ssa käytössä olleen sähköisen äänestysjärjestelmän valmistaja on myöntänyt järjestelmän hukanneen ääniä Ohiossa. Sinällään tapauksessa ei ole mitään yllättävää. Suljettu koodi on aina suuri riski ilman varmistusmekanismia äänen perille menosta. Jopa avoimen koodin ohjelmissakin voi olla vastaavia ongelmia.
Mielenkiintoista on se, käynnistääkö virheen myöntäminen keskustelun äänen perille menon varmistuksen tarpeellisuudesta uudestaan. Pelkään ettei niin tapahdu enkä edes usko että äänestyspömpelin tekijät halua myöntää virheen mahdollisuutta koodissaan.
tiistai 26. elokuuta 2008
keskiviikko 13. elokuuta 2008
Biometristen tunnisteiden luottettavuus
Tulevaisuudessa äänestäjienkin tunnistamiseen käytetään biometrisia henkilötunnisteita. IT-viikon uutinen Biopassin murtaminen onnistui tutkijalta nopeasti paljasti karun totuuden, absoluuttisen tunnistamisen mahdottomuuden. Tekniikan taakse piiloutuminen sumentaa kansalaisten arviointi kykyä arvioitaessa niin sähköisen äänestyksen kuin biometristen tunnisteiden luotettavuuttakin.
Paperin ja kynän kanssakin voi yrittää tehdä vilunkia, mutta jokainen meistä ymmärtää ettei se ole kovin helppo valvovien silmien alla. Huijata voidaan yrittää myös koneiden valvovan silmän alla eikä se ole sen epätodennäköisempää kuin ihmisten valvoessa. Päinvastoin koodista aina voi löytyä hakkerin mentävä aukko, jonka käyttöä kukaan ei normaali oloissa voi huomata ellei järjestelmää ole rakennettu sellaisen varalle. Tähänkin pitäisi osata äänestysjärjestelmää rakennettaessa varautua, niin että kiinnijäämisen riski olisi mahdollisemman korkea ja äänestyksen manipuloinnin seurannaisvaikutukset jäisivät mitättömäksi.
Nämä ehdot toteutuvat vain jos äänestäjällä on mahdollisuus varmistaa äänensä päätyminen uurnaan ja epäselvässä tapauksessa korjata viallinen ääni. Jos tähän päästään kukaan ei voi äänestää toisen puolesta ilman kiinnijäämisriskiä, eikä näin ollen absoluuttista tunnistamista tarvita . Jos vielä tulos voidaan korjata mahdollisissa väärinkäytöstapauksissa, toisen puolesta äänestämiseen ei pitäisi olla kenelläkään motivaatiota.
Paperin ja kynän kanssakin voi yrittää tehdä vilunkia, mutta jokainen meistä ymmärtää ettei se ole kovin helppo valvovien silmien alla. Huijata voidaan yrittää myös koneiden valvovan silmän alla eikä se ole sen epätodennäköisempää kuin ihmisten valvoessa. Päinvastoin koodista aina voi löytyä hakkerin mentävä aukko, jonka käyttöä kukaan ei normaali oloissa voi huomata ellei järjestelmää ole rakennettu sellaisen varalle. Tähänkin pitäisi osata äänestysjärjestelmää rakennettaessa varautua, niin että kiinnijäämisen riski olisi mahdollisemman korkea ja äänestyksen manipuloinnin seurannaisvaikutukset jäisivät mitättömäksi.
Nämä ehdot toteutuvat vain jos äänestäjällä on mahdollisuus varmistaa äänensä päätyminen uurnaan ja epäselvässä tapauksessa korjata viallinen ääni. Jos tähän päästään kukaan ei voi äänestää toisen puolesta ilman kiinnijäämisriskiä, eikä näin ollen absoluuttista tunnistamista tarvita . Jos vielä tulos voidaan korjata mahdollisissa väärinkäytöstapauksissa, toisen puolesta äänestämiseen ei pitäisi olla kenelläkään motivaatiota.
tiistai 12. elokuuta 2008
Kyllä kansa luottaa
Viimeksi kaipasin keskustelua, sain mitä halusin. 10.8. ilmestyneessä Sunnuntaisuomalaisessa kyseltiin kansalaisilta luottavatko he sähköiseen äänestykseen. Tulos oli karua luettavaa. Kyselyn mukaan 77% luottaa koneisiin. Tämä ei sinällään ole yllättävää, vaan huolestuttavaa. Teknisestä näkökulmasta käynnistyvä äänestyskokeilu on vähintäänkin epäilyttävä, mikä käy ilmi myös artikkelista vaalijohtajan päinvastaisista vakuutteluista huolimatta. Ilmeisesti kuitenkaan epäilys ei ole saavuttanut kansalaisia.
Miten käy sähköisen äänestämisen tulevaisuudessa, jos tässä kokeilussa tyritään? Meneekö ihmisiltä täydellisesti luottamuskoneilla äänestämiseen?
Ainekset katastrofiin ovat valmiina. Lehden mukaan jopa järjestelmän auditoijaryhmän puheenjohtaja Juhani Karhumäki avoimesti korostaa, että auditointi tehtiin vain kokeilua varten. Valtiollisiin vaaleihin professori ei nykyisenlaisena kelpuuttaisi. (Tätä kohtaa ei nettiartikkelissa ole.)
Ilmeisesti kansalaiset voisivat katsoa Hacking democracyn. Ei siksi etteikö sähköinen äänestäminen voisi olla turvallista vaan siksi että ymmärtäisivät, miksi äänestysjärjestelmän on oltava läpinäkyvä ja ymmärrettävä. Itsessään äänet sisältävän muistikortin hakkeronti ei ole sen kummoisempi toimenpide kuin uurnaan menevien äänien vaihtaminen toisiin.
Miten käy sähköisen äänestämisen tulevaisuudessa, jos tässä kokeilussa tyritään? Meneekö ihmisiltä täydellisesti luottamuskoneilla äänestämiseen?
Ainekset katastrofiin ovat valmiina. Lehden mukaan jopa järjestelmän auditoijaryhmän puheenjohtaja Juhani Karhumäki avoimesti korostaa, että auditointi tehtiin vain kokeilua varten. Valtiollisiin vaaleihin professori ei nykyisenlaisena kelpuuttaisi. (Tätä kohtaa ei nettiartikkelissa ole.)
Ilmeisesti kansalaiset voisivat katsoa Hacking democracyn. Ei siksi etteikö sähköinen äänestäminen voisi olla turvallista vaan siksi että ymmärtäisivät, miksi äänestysjärjestelmän on oltava läpinäkyvä ja ymmärrettävä. Itsessään äänet sisältävän muistikortin hakkeronti ei ole sen kummoisempi toimenpide kuin uurnaan menevien äänien vaihtaminen toisiin.
torstai 7. elokuuta 2008
Sähköäänestys-FAQ päivitetty
EFFI on päivittänyt FAQ:ta, mutta lopputulos on edelleen valitettavan sekava. Käsittääkseni FAQ:ssa pitäisi olla usein esitettyjä kysymyksiä vastauksineen selkeästi esitettynä. Tähän sähköäänestys-FAQ kai pyrkii. Valitettavasti sisältö on vähän turhan valikoitunutta ja tarkoitushakuista. Monessa tapauksessa vieläpä epämääräistä eli monellakin tavalla samanlaista kuin oikeusministeriön sähköisen äänestämisen kokeilua esittelevät sivut, joiden vajavaista sisältöä EFFI on arvostellut.
Esimerkiksi kohta "Mikä äänestäjien painostuskohta?" ohittaa nykytilanteen kokonaan. Nykyisin äänestys salaisuus perustuu pelkkää luottamukseen. Minikameroiden uhkasta ei puhuminen ei kai käy, koska ainoa keino niiltä suojautumiseen on äänen vaihtamisen mahdollistaminen (viron parjatun systeemin tapaan). Kohdassa ei myöskään puututa tekijään, joka mahdollistaa painostamisen, eli ulkopuolisen mahdollisuuteen yhdistää ääni henkilöön. FAQ:ssa kuitenkin puututaan kärkkäästi olosuhteisiin joissa painostus voisi mukamas tapahtua. Mikä on mielestäni täysin toisarvoista, mutta ilmeistä kun halutaan vakuuttaa että paperivarmistus on ainoa oikea keino varmistaa tulos eihän silloin voi nykyjärjestelmää kyseenalaistaa. Samalla jarrutetaan tosin aika vahvasti kehitystä.
Nimittäin FAQ:ssa kummittelee edelleen lause "Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen" kun siellä pitäisi lukea "Vain äänestäjä itse saa pystyä tunnistamaan oman äänensä" . Jälkimmäinen mahdollistaa äänten seurannan laskentaan asti.
Näillä eväillä nettiäänestämistä keskustelu pitäisi viedä eteenpäin. FAQ sisältää edelleen myös mainintoja vilkkaista keskusteluista, joita käydään, vaikka tosiasiassa keskustelu on tauonnut. Molemmat osapuolet ovat kaivautuneet bunkkereihinsa.
Esimerkiksi kohta "Mikä äänestäjien painostuskohta?" ohittaa nykytilanteen kokonaan. Nykyisin äänestys salaisuus perustuu pelkkää luottamukseen. Minikameroiden uhkasta ei puhuminen ei kai käy, koska ainoa keino niiltä suojautumiseen on äänen vaihtamisen mahdollistaminen (viron parjatun systeemin tapaan). Kohdassa ei myöskään puututa tekijään, joka mahdollistaa painostamisen, eli ulkopuolisen mahdollisuuteen yhdistää ääni henkilöön. FAQ:ssa kuitenkin puututaan kärkkäästi olosuhteisiin joissa painostus voisi mukamas tapahtua. Mikä on mielestäni täysin toisarvoista, mutta ilmeistä kun halutaan vakuuttaa että paperivarmistus on ainoa oikea keino varmistaa tulos eihän silloin voi nykyjärjestelmää kyseenalaistaa. Samalla jarrutetaan tosin aika vahvasti kehitystä.
Nimittäin FAQ:ssa kummittelee edelleen lause "Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen" kun siellä pitäisi lukea "Vain äänestäjä itse saa pystyä tunnistamaan oman äänensä" . Jälkimmäinen mahdollistaa äänten seurannan laskentaan asti.
Näillä eväillä nettiäänestämistä keskustelu pitäisi viedä eteenpäin. FAQ sisältää edelleen myös mainintoja vilkkaista keskusteluista, joita käydään, vaikka tosiasiassa keskustelu on tauonnut. Molemmat osapuolet ovat kaivautuneet bunkkereihinsa.
Tilaa:
Blogitekstit (Atom)