IT-viikon uutisen mukaan USA:ssa käytössä olleen sähköisen äänestysjärjestelmän valmistaja on myöntänyt järjestelmän hukanneen ääniä Ohiossa. Sinällään tapauksessa ei ole mitään yllättävää. Suljettu koodi on aina suuri riski ilman varmistusmekanismia äänen perille menosta. Jopa avoimen koodin ohjelmissakin voi olla vastaavia ongelmia.
Mielenkiintoista on se, käynnistääkö virheen myöntäminen keskustelun äänen perille menon varmistuksen tarpeellisuudesta uudestaan. Pelkään ettei niin tapahdu enkä edes usko että äänestyspömpelin tekijät halua myöntää virheen mahdollisuutta koodissaan.
tiistai 26. elokuuta 2008
keskiviikko 13. elokuuta 2008
Biometristen tunnisteiden luottettavuus
Tulevaisuudessa äänestäjienkin tunnistamiseen käytetään biometrisia henkilötunnisteita. IT-viikon uutinen Biopassin murtaminen onnistui tutkijalta nopeasti paljasti karun totuuden, absoluuttisen tunnistamisen mahdottomuuden. Tekniikan taakse piiloutuminen sumentaa kansalaisten arviointi kykyä arvioitaessa niin sähköisen äänestyksen kuin biometristen tunnisteiden luotettavuuttakin.
Paperin ja kynän kanssakin voi yrittää tehdä vilunkia, mutta jokainen meistä ymmärtää ettei se ole kovin helppo valvovien silmien alla. Huijata voidaan yrittää myös koneiden valvovan silmän alla eikä se ole sen epätodennäköisempää kuin ihmisten valvoessa. Päinvastoin koodista aina voi löytyä hakkerin mentävä aukko, jonka käyttöä kukaan ei normaali oloissa voi huomata ellei järjestelmää ole rakennettu sellaisen varalle. Tähänkin pitäisi osata äänestysjärjestelmää rakennettaessa varautua, niin että kiinnijäämisen riski olisi mahdollisemman korkea ja äänestyksen manipuloinnin seurannaisvaikutukset jäisivät mitättömäksi.
Nämä ehdot toteutuvat vain jos äänestäjällä on mahdollisuus varmistaa äänensä päätyminen uurnaan ja epäselvässä tapauksessa korjata viallinen ääni. Jos tähän päästään kukaan ei voi äänestää toisen puolesta ilman kiinnijäämisriskiä, eikä näin ollen absoluuttista tunnistamista tarvita . Jos vielä tulos voidaan korjata mahdollisissa väärinkäytöstapauksissa, toisen puolesta äänestämiseen ei pitäisi olla kenelläkään motivaatiota.
Paperin ja kynän kanssakin voi yrittää tehdä vilunkia, mutta jokainen meistä ymmärtää ettei se ole kovin helppo valvovien silmien alla. Huijata voidaan yrittää myös koneiden valvovan silmän alla eikä se ole sen epätodennäköisempää kuin ihmisten valvoessa. Päinvastoin koodista aina voi löytyä hakkerin mentävä aukko, jonka käyttöä kukaan ei normaali oloissa voi huomata ellei järjestelmää ole rakennettu sellaisen varalle. Tähänkin pitäisi osata äänestysjärjestelmää rakennettaessa varautua, niin että kiinnijäämisen riski olisi mahdollisemman korkea ja äänestyksen manipuloinnin seurannaisvaikutukset jäisivät mitättömäksi.
Nämä ehdot toteutuvat vain jos äänestäjällä on mahdollisuus varmistaa äänensä päätyminen uurnaan ja epäselvässä tapauksessa korjata viallinen ääni. Jos tähän päästään kukaan ei voi äänestää toisen puolesta ilman kiinnijäämisriskiä, eikä näin ollen absoluuttista tunnistamista tarvita . Jos vielä tulos voidaan korjata mahdollisissa väärinkäytöstapauksissa, toisen puolesta äänestämiseen ei pitäisi olla kenelläkään motivaatiota.
tiistai 12. elokuuta 2008
Kyllä kansa luottaa
Viimeksi kaipasin keskustelua, sain mitä halusin. 10.8. ilmestyneessä Sunnuntaisuomalaisessa kyseltiin kansalaisilta luottavatko he sähköiseen äänestykseen. Tulos oli karua luettavaa. Kyselyn mukaan 77% luottaa koneisiin. Tämä ei sinällään ole yllättävää, vaan huolestuttavaa. Teknisestä näkökulmasta käynnistyvä äänestyskokeilu on vähintäänkin epäilyttävä, mikä käy ilmi myös artikkelista vaalijohtajan päinvastaisista vakuutteluista huolimatta. Ilmeisesti kuitenkaan epäilys ei ole saavuttanut kansalaisia.
Miten käy sähköisen äänestämisen tulevaisuudessa, jos tässä kokeilussa tyritään? Meneekö ihmisiltä täydellisesti luottamuskoneilla äänestämiseen?
Ainekset katastrofiin ovat valmiina. Lehden mukaan jopa järjestelmän auditoijaryhmän puheenjohtaja Juhani Karhumäki avoimesti korostaa, että auditointi tehtiin vain kokeilua varten. Valtiollisiin vaaleihin professori ei nykyisenlaisena kelpuuttaisi. (Tätä kohtaa ei nettiartikkelissa ole.)
Ilmeisesti kansalaiset voisivat katsoa Hacking democracyn. Ei siksi etteikö sähköinen äänestäminen voisi olla turvallista vaan siksi että ymmärtäisivät, miksi äänestysjärjestelmän on oltava läpinäkyvä ja ymmärrettävä. Itsessään äänet sisältävän muistikortin hakkeronti ei ole sen kummoisempi toimenpide kuin uurnaan menevien äänien vaihtaminen toisiin.
Miten käy sähköisen äänestämisen tulevaisuudessa, jos tässä kokeilussa tyritään? Meneekö ihmisiltä täydellisesti luottamuskoneilla äänestämiseen?
Ainekset katastrofiin ovat valmiina. Lehden mukaan jopa järjestelmän auditoijaryhmän puheenjohtaja Juhani Karhumäki avoimesti korostaa, että auditointi tehtiin vain kokeilua varten. Valtiollisiin vaaleihin professori ei nykyisenlaisena kelpuuttaisi. (Tätä kohtaa ei nettiartikkelissa ole.)
Ilmeisesti kansalaiset voisivat katsoa Hacking democracyn. Ei siksi etteikö sähköinen äänestäminen voisi olla turvallista vaan siksi että ymmärtäisivät, miksi äänestysjärjestelmän on oltava läpinäkyvä ja ymmärrettävä. Itsessään äänet sisältävän muistikortin hakkeronti ei ole sen kummoisempi toimenpide kuin uurnaan menevien äänien vaihtaminen toisiin.
torstai 7. elokuuta 2008
Sähköäänestys-FAQ päivitetty
EFFI on päivittänyt FAQ:ta, mutta lopputulos on edelleen valitettavan sekava. Käsittääkseni FAQ:ssa pitäisi olla usein esitettyjä kysymyksiä vastauksineen selkeästi esitettynä. Tähän sähköäänestys-FAQ kai pyrkii. Valitettavasti sisältö on vähän turhan valikoitunutta ja tarkoitushakuista. Monessa tapauksessa vieläpä epämääräistä eli monellakin tavalla samanlaista kuin oikeusministeriön sähköisen äänestämisen kokeilua esittelevät sivut, joiden vajavaista sisältöä EFFI on arvostellut.
Esimerkiksi kohta "Mikä äänestäjien painostuskohta?" ohittaa nykytilanteen kokonaan. Nykyisin äänestys salaisuus perustuu pelkkää luottamukseen. Minikameroiden uhkasta ei puhuminen ei kai käy, koska ainoa keino niiltä suojautumiseen on äänen vaihtamisen mahdollistaminen (viron parjatun systeemin tapaan). Kohdassa ei myöskään puututa tekijään, joka mahdollistaa painostamisen, eli ulkopuolisen mahdollisuuteen yhdistää ääni henkilöön. FAQ:ssa kuitenkin puututaan kärkkäästi olosuhteisiin joissa painostus voisi mukamas tapahtua. Mikä on mielestäni täysin toisarvoista, mutta ilmeistä kun halutaan vakuuttaa että paperivarmistus on ainoa oikea keino varmistaa tulos eihän silloin voi nykyjärjestelmää kyseenalaistaa. Samalla jarrutetaan tosin aika vahvasti kehitystä.
Nimittäin FAQ:ssa kummittelee edelleen lause "Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen" kun siellä pitäisi lukea "Vain äänestäjä itse saa pystyä tunnistamaan oman äänensä" . Jälkimmäinen mahdollistaa äänten seurannan laskentaan asti.
Näillä eväillä nettiäänestämistä keskustelu pitäisi viedä eteenpäin. FAQ sisältää edelleen myös mainintoja vilkkaista keskusteluista, joita käydään, vaikka tosiasiassa keskustelu on tauonnut. Molemmat osapuolet ovat kaivautuneet bunkkereihinsa.
Esimerkiksi kohta "Mikä äänestäjien painostuskohta?" ohittaa nykytilanteen kokonaan. Nykyisin äänestys salaisuus perustuu pelkkää luottamukseen. Minikameroiden uhkasta ei puhuminen ei kai käy, koska ainoa keino niiltä suojautumiseen on äänen vaihtamisen mahdollistaminen (viron parjatun systeemin tapaan). Kohdassa ei myöskään puututa tekijään, joka mahdollistaa painostamisen, eli ulkopuolisen mahdollisuuteen yhdistää ääni henkilöön. FAQ:ssa kuitenkin puututaan kärkkäästi olosuhteisiin joissa painostus voisi mukamas tapahtua. Mikä on mielestäni täysin toisarvoista, mutta ilmeistä kun halutaan vakuuttaa että paperivarmistus on ainoa oikea keino varmistaa tulos eihän silloin voi nykyjärjestelmää kyseenalaistaa. Samalla jarrutetaan tosin aika vahvasti kehitystä.
Nimittäin FAQ:ssa kummittelee edelleen lause "Äänestäjän henkilöllisyys ei saa olla yhdistettävissä ääneen" kun siellä pitäisi lukea "Vain äänestäjä itse saa pystyä tunnistamaan oman äänensä" . Jälkimmäinen mahdollistaa äänten seurannan laskentaan asti.
Näillä eväillä nettiäänestämistä keskustelu pitäisi viedä eteenpäin. FAQ sisältää edelleen myös mainintoja vilkkaista keskusteluista, joita käydään, vaikka tosiasiassa keskustelu on tauonnut. Molemmat osapuolet ovat kaivautuneet bunkkereihinsa.
maanantai 30. kesäkuuta 2008
EFFI syynäsi auditoijien raportin
Odotetusti EFFI otti myös kantaa auditointiin. Lausunto oli tiukka sanainen. Mielenkiintoista on, että auditointiraportista löytyy EFFIn muukaan myös selvä äänestyssalaisuuden rikkoja kohta.
Itseäni ei niinkään huolestuta äänien jäljitettävyys jälkikäteen vaan jäljittämisen helppous. Jos uurnan kopiota säilyttää organisaatio, joka säilyttää kopioita salausavaimista, on jotain pielessä.
Siksi EFFIn suositus, pidättäytyä äänestämästä koneella, on todella paikallaan.
Mitä tulee korjauksiin ja niiden auditointiin, niin eipä siihen taida aika riittää. Joten näyttää siltä että auditointi onkin ollut pelkkää teatteria.
Itseäni ei niinkään huolestuta äänien jäljitettävyys jälkikäteen vaan jäljittämisen helppous. Jos uurnan kopiota säilyttää organisaatio, joka säilyttää kopioita salausavaimista, on jotain pielessä.
Siksi EFFIn suositus, pidättäytyä äänestämästä koneella, on todella paikallaan.
Mitä tulee korjauksiin ja niiden auditointiin, niin eipä siihen taida aika riittää. Joten näyttää siltä että auditointi onkin ollut pelkkää teatteria.
tiistai 24. kesäkuuta 2008
Auditoijien raportti lukiessa ei voi kuin ihmetellä
Raportti paljastaa järjestelmästä aivan alkeellisia ratkaisuja, joita ei ole ilmeisesti ajateltu juuri ollenkaan, jopa minä olen pystynyt ennakoimaan omassa visiossani nuo ongelmat.
Raportissa törmää jatkuvasti epäkohtiin joita ei luulisi tuollaisessa järjestelmässä olevan lainkaan, kuten esim. äänestäjällä luulisi olevan jonkinlainen mahdollisuus 'nähdä' menikö ääni uurnaan, laskenta on aina yksinkertaisinta tarkastaa laskettamalla äänet uudelleen toisilla laskijoilla, äänien sekoittaminen luotettavasti ennen laskentaa jne.
Kriittisiksi luokiteltuja ongelmia oli kuitenkin aika vähän ja kokeilun pysäyttäväksi auditoijat eivät olleet uskaltaneet luokitella yhtään! Se hieman yllätti, kun katsoi sitä mikä oli vialla. Ratkaisuksi tarjottiin lisää asiantuntijoita organisaatioon, mikä näin järjellä ajatellen tuntuu naurettavalta. Minusta huijauksen mahdollisuus äänen antamisen jälkeen olisi pystyttävä minimoimaan ihan teknisillä ratkaisuilla, ihmiset tekevät virheitä.
Miksi tehdä virhealtis järjestelmä, jos virheiden syntyminen on mahdollista vältää toteutuksella?
Raportissa törmää jatkuvasti epäkohtiin joita ei luulisi tuollaisessa järjestelmässä olevan lainkaan, kuten esim. äänestäjällä luulisi olevan jonkinlainen mahdollisuus 'nähdä' menikö ääni uurnaan, laskenta on aina yksinkertaisinta tarkastaa laskettamalla äänet uudelleen toisilla laskijoilla, äänien sekoittaminen luotettavasti ennen laskentaa jne.
Kriittisiksi luokiteltuja ongelmia oli kuitenkin aika vähän ja kokeilun pysäyttäväksi auditoijat eivät olleet uskaltaneet luokitella yhtään! Se hieman yllätti, kun katsoi sitä mikä oli vialla. Ratkaisuksi tarjottiin lisää asiantuntijoita organisaatioon, mikä näin järjellä ajatellen tuntuu naurettavalta. Minusta huijauksen mahdollisuus äänen antamisen jälkeen olisi pystyttävä minimoimaan ihan teknisillä ratkaisuilla, ihmiset tekevät virheitä.
Miksi tehdä virhealtis järjestelmä, jos virheiden syntyminen on mahdollista vältää toteutuksella?
maanantai 23. kesäkuuta 2008
Sähköisien äänestysjärjestelmän auditointi on päättynyt
Raportti kuitenkin selvästi toteaa että järjestelmä on luotettava vain, jos kaikki toimijat noudattavat annettuja pelisääntöjä. Käytännössä edellinen merkitsee sitä että tutkittu koodi näytti tekevän sitä mitä sen pitikin. Edellistä mielenkiintoisempaa onkin että raportti puuttuu myös kovalla kädellä äänestystapahtumaan ja äänestyksen toteutukseen(, mitä auditoijilta ei kai oltu pyydetty). EFFI ottikin jo taas kantaa äänestyksen toteutukseen. Digitoday uutisoi auditoijien vaatimuksesta kahdentaa äänten laskenta, mikä nyt on tietysti vähimmäisvaatimus vaatimus tällaisessa järjestelmässä.
Tilaa:
Blogitekstit (Atom)