Igaunijas pašvaldību e-vēlēšanu novērojumi

Man, kā vienam no LATA biedriem, tika piedāvāts pārstāvēt Latvijas IT novērotājus Igaunijas pašvaldību vēlēšanās. Un, tā kā Latvijas vēlēšanu elektronizācijā esmu ieņēmis nogaidoši kritisku nostāju, izmantoju izdevību novērtēt kolēģu pieredzi.

Īss e-vēlēšanu procesa apraksts

Lai nodrošinātu gan balsu uzskaiti, gan anonimitāti, e-vēlēšanas notiek, izmantojot publiskās-privātās atslēgas infrastruktūru ar vēlētāja un balsošanas komitejas atslēgu pāriem. Balsojums par konkrēto partiju tiek šifrēts, izmantojot vēlēšanu komisijas publisko atslēgu, un tad tas tiek elektroniski parakstīts (šifrēts ar iedzīvotāja privāto atslēgu).

Pielietojot iedzīvotāja publisko atslēgu nosaka, kurš iedzīvotājs ir nobalsojis un no ziņojuma izņem šifrēto balsojumu. Tālāk šifrētos balsojumus kā anonīmas, unikālas balsis nodod tālākai apstrādei vēlēšanu komitejai, kur, pielietojot tās privāto atslēgu atšifrē noteiktā balsojuma saturu.

Atšķirībā no mūsu koncepcijas, Igaunijā elektronisko balsošanu pielīdzina iepriekšējai balsošanai un to pārtrauc 3 dienas iepriekš, lai savlaicīgi atzīmētu tos, kuri vairs nevar balsot vēlēšanu iecirkņos. Kad mēs ieradāmies uz novērošanu, e-vēlēšanas jau bija notikušas, un bija noteikts, kuri iedzīvotāji ir balsojuši elektroniski, bet nebija atšifrēts balsojumu saturs.

Pirmā diena

Pirmajā novērošanas dienā (19. oktobrī) mums parādīja statistiku par Igaunijas politisko vidi (atklājās, ka līdzības ar Latviju ir vairāk, nekā es biju domājis). Pēc tam Igaunijas sertifikātu centra (mūsu LVRTC analoga) vadītājs Tarvi Martens deva apkopotu informāciju par jau notikušajām e-vēlēšanām. No šīs prezentācijas svarīgākā informācija bija sekojoša:

• E-vēlēšanas Igaunijā notika jau sesto reizi un trešo reizi pašvaldību vēlēšanās.
• E-vēlēšanām ir nepieciešams uzstādīt īpašu klienta programmu, kuru lejuplādē no vēlēšanu mājas lapas.
• Elektroniski nobalsoja 133808 iedzīvotāji (Igaunijā pašvaldības var vēlēt visi pastāvīgie iedzīvotāji) un šajās vēlēšanās pirmo reizi netika sasniegts jauns elektroniski balsojušo absolūtais rekords: balsu skaits bija par 28% lielāks kā iepriekšējās pašvaldību vēlēšanās 2009.g., bet par 5% mazāks kā 2011. g. parlamenta vēlēšanās.
• Pirmo reizi tika piedāvāta iespēja pārbaudīt savu balsojumu ar Android telefona lietotni. Par pārbaudītajiem balsojumiem netika saņemts neviens iebildums.
• Pirmo reizi servera lietojumprogramma tika publicēta kā atvērtā pirmkoda programmatūra (ar CC-BY-NC-ND licenci, kas ļauj tikai pētīt kodu, bet neļauj to lietot un izplatīt).
• Pirmo reizi serveru uzstādīšanas un balsu skaitīšanas procedūras tika publicētas Youtube. Tiem, kam ir interese (līdz šim interese nav bijusi liela), daļu no procesa var apskatīt neklātienē Youtube kanālā.

Pēc prezentācijām novērotājus uzaicināja uz vakariņām Igaunijas parlamenta ēkā, kurās es iztaujāju Tarvi par man interesējošiem jautājumiem.

Salīdzinot mūsu un igauņu e-vēlēšanu vēsturi, atklājām vairākus punktus par labu viņiem:

1. Igauņi e-vēlēšanu procesu sāka savlaicīgi un nesasteigti. Tāpēc viņi dabīgā un pakāpeniskā veidā, kopā ar e-vēlēšanu sistēmas sagatavošanu un izveidi, sagatavoja arī nepieciešamos IT drošības un kriptoloģijas ekspertus.
2. Igauņu sertifikātu reģistrs jau no sākuma tika balstīts uz Linux un atvērtā pirmkoda programmatūru ar visām no tā izrietošajām sekām: atvērti standarti, kas palīdz sistēmu integrācijā, neatkarība no viena piegādātāja, tāpēc minimizēti korupcijas riski, un tāpēc:
   1. Igauņi nav piedzīvojuši tādus datu noplūdes skandālus kā mēs savulaik ar EDS, un pavisam nesen arī ar NVA mājas lapu.
   2. Igauņu identifikācijas kartes ir ieviestas daudz efektīvākā veidā un tās tagad atzīst un lieto daudz plašāks iedzīvotāju skaits.
3. Viena no universitātēm, kuras akadēmiskais personāls "neveido karjeru ar igauņu e-vēlēšanas sistēmas noniecināšanu", viņiem bija palīdzējusi novērst divas sliktāk implementētas (un tāpēc potenciāli nedrošas) sistēmas vietas.
4. Oficiāli e-vēlēšanu klienta kodu viņi nav publicējuši tāpēc, lai mazinātu nelegālu klientu (piem., tādu, kas ar serveri sazinās pareizi, bet nodod tam nevis lietotāja izvēli, bet ko citu).
   Man gan šķita, ka drīzāk klienta-servera saziņā ir kāds posms, kas ir "drošs no nezināšanas" (security by obscurity), vai varbūt arī viņi neuzticas savu vēlētāja IT zināšanām (piemēram, ka klienta programmatūra nav jāinstalē no jebkuras vietas, un ka tie saprot, kā var pārbaudīt pakotnes kontrolsummas).
5. Oficiāli igauņu kolēģi piekrīt ekspertu paustajam, ka auditējamības/aizklātuma prasības ir algoritmiskai neatrisināmas, tomēr viņi uzskata, ka praktiskām vajadzībām pielāgots process ir pietiekami uzticams.

Otrā diena

20. oktobrī balsu skaitīšanas drošības prasības bija aptuveni tādas pašas kā lidostās un papildus tam mums atņēma telefonus, kameras un datorus. To pamatoja it kā ar to, lai mēs priekšlaicīgi nenopludinātu balsojuma rezultātus, bet man šķiet, ka patiesais iemesls bija atņemt mums iespēju nopludināt iespējami skandalozu notikumu (piemēram, vandalizētus vēlēšanu rezultātus, kurā vinnējusi kaut kāda līdz šim nezināma "Vinnija Pūka partija").

Balsu skaitīšanas process noritēja saskaņā ar dokumentētām instrukcijām. Neskaitot cilvēkus, galvenajās lomās bija divi Dell PowerEdge R320 serveri (tīmekļa serveris un balsu skatīšanas serveris, abi ar Debian Linux) un man nepazīstama HSM iekārta. Kopumā rakstītās procedūras tika ievērotas, tomēr es novēroju vairākas svarīgas nepilnības:

1. Atšķirībā no serveriem, nekādi netika pierādīta izmantotās Windows7 darbstacijas, kas tika izmantota rezultātu augšuplādēšanai vēlēšanu komisijas sistēmā, labdabība un atbilstība (varbūt tāpēc, ka tas nav pierādāms?).
2. Uz serveriem tika izlaista procedūrā minētā ps -efa (print status, parametrus rakstu aptuvenus, pēc atmiņas) komanda, kas pierāda, ka uz tā strādā tikai iepriekš paredzētas programmas. Par Windows darbstacijas procesu apskati instrukcijā nekas nebija teikts, un attiecīgi arī netika parādīts.
3. Kad tika rādīts, ka sākotnējais DVD disks ir tukšs, tajā uzrādīja failus (pēc Windows logu virināšanas un bakstīšanas komandrindā tas pazuda).
4. Kad balsu skaitīšanas serveris atteicās pieņemt jau otru DVD disku, Tarvi pieņēma lēmumu izmantot USB zibatmiņu (pēc noklusēšanas to neizmanto, jo tā nav tikai vienreiz rakstāma), kurā bija vairākas esošas mapes un faili, un kurus viņš neizdzēsa.

Pasākumā bija arī viena kurioza vieta, kad galvenais komandu rakstītājs kļūdaini sāka ievadīt halt komandu exit vietā, un viņa kolēģi sāka kliegt Eu, ko tu dari!! analogu igauņu valodā.

Guvu arī vērtīgas atziņas, par to, kā Linux darbstacija ir labāka par Windows:

1. Tai, tāpat kā serveriem, operētājsistēma būtu ar atvērtu pirmkodu, tātad pārbaudāmāka un uzticamāka,
2. Kad Tarvi parādīja teksta failā ierakstītos rezultātus notepad, tajā nebija attēloti rindu pārnesumi, jo tas nesaprot Unix stila rindu pārnesumus. Ar Linux gedit viss būtu kārtībā.
3. Lai pierādītu, ka faili, pārkopējot no servera uz darbstaciju nav mainīti, sha1sum izsaukšana Windows bija galīgi kreisa (Tarvi meklēja mapi, kurā viņam glabājās paša lejuplādēti SSL rīki un tad viņš piņķerējās ar izsaukšanas parametriem). Linux darbstacijā tā ir viena no iebūvētām un ērti izsaucamām komandām.

Process kopumā atgādināja viduvēji iestudētu un vāji izpildītu teātri. Vājo izpildījumu es skaidroju ar uztraukumu, un to, ka (man šķiet) viņi to nebija pietiekami pārbaudījuši testa vidē. Tomēr sazvērestības teoriju piekritēji to varētu tulkot kā aizsegu nelikumībām.

Tomēr, pat ja šī izrāde būtu parādīta raiti, tas nenovērstu tās galveno trūkumu — jebkurā gadījumā tā bija tikai fasāde mums neredzamam procesam.

Secinājumi

Ja viens vēlēšanu iecirknis ir krāsns, tad e-vēlēšanu sistēma ir kodolreaktors. To, ko var piedot piedzērušam kurinātājam, nevar piedot kodolstacijas operatoram. Lai arī papīra process ir hierarhisks, tas ir decentralizēts. Katrs vēlēšanu iecirknis principā ir pastāvīgs un, ja notiek kādas neatbilstības, tas atsaucas tikai uz konkrēto iecirkni.

Papīra vēlēšanu procesu var auditēt no sākuma līdz beigām. Un, pat, ja mēs neauditējam papīra/tintes izgatavošanu, šmaukšanās to sagatavošanā rada daudz mazāku risku, kā elektroniskā datu apstrādē.

Papīra procesa auditēšanai pietiek ar tiem rīkiem kas mums pašiem vienmēr ir klāt: redzi un veselo saprātu. Elektroniskā procesa auditēšanā mums ir jāpaļaujas uz neskaitāmiem pastarpinātiem rīkiem (gan programmatūru, gan aparatūru) un, ja pieņemam, ka process norit pareizi, mums ir jātic visu šo rīku darbībai. Piemēram, ilgās tagadnes pulksteņa viens no galvenajiem principiem bija tas, ka visu pulksteņa darbību ar izpētīt un saprast, veicot vizuālu apskati. Datoru programmas (un it sevišķi aparatūra) ir tik tālu no šī principa, cik to pieļauj galīgs visums.

Igauņu kolēģi kā vienu no e-vēlēšanu stūrakmeņiem uzsver "no black boxes" (neizmantot "melnās kastes") principu un konsekventi dodas arvien lielākas atvērtības virzienā. Tomēr ceļš viņiem vēl ejams tāls, jo būtībā viņi šo principu nenodrošina — pat izmantojot atvērtā pirmkoda programmatūru, viņi nepierādīja, ka programma, kas darbojas, ir iegūta no pirmkoda, ko mēs varam apskatīt. Aparatūrā viņi izmanto neskaitāmas melnās kastes — sākot ar nepārbaudītiem datoru procesoriem, un beidzot ar aparatūras drošības iekārtām (nākotnē to varētu labot ar atvērtā pirmkoda aparatūras izmantošanu).

Attīstoties tehnoloģijām, cilvēki ik pa laikam ievieš jaunus rīkus, kas sākumā ir neuzticami, nepaklausīgi un pat bīstami, bet ar laiku tiek izprasti, sakārtoti un "pieradināti".

Pilnīgi noteikti nevaru noliegt kolēģu drosmi, jo man šis process atgādināja padomju atomzemūdenes izmēģinājumu ar igauņu vēlētājiem uz borta.

Jāatzīmē, ka Latvijā ir IT speciālisti ar attieksmi pa vidu starp "Es arī gribu!" un "Viņi vismaz kaut ko dara!", tāpēc pieļauju, ka nezināmā nākotnē (šobrīd valdības politkorektā attieksme ir: "principā par, bet nākamā gada budžetā naudas nav") šādas ekstrēmas IT izklaides būs pieejamas arī mums.