You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2007-10

Mikko Järvenpää

Elektroniset vaalit Virossa

Johdanto

Tutkielman tarkoituksena on tiivistetysti esitellä Virossa käytössä oleva Internet-pohjainen elektroninen äänestysmenetelmä, joka lanseerattiin vuoden 2005 paikallisvaaleissa. Viro on ensimmäinen valtio maailmassa, joka on ottanut käyttöön laillisesti sitovan Internet-pohjaisen äänestysmenetelmän.

Yleisen historia- ja nykypäivätarkastelun lisäksi tutkielmassa pyritään luomaan katsaus järjestelmän tietoturvallisuusratkaisuihin - millä varmistetaan, että äänestys pysyy salattuna? Tutkielmassa luodaan lopussa pikainen katsaus myös siihen, miten ja missä laajuudessa elektroniset äänestysjärjestelmät on otettu käyttöön muualla maailmassa.

Elektronisten äänestysmenetelmien historiaa

Tietokoneita hyödynnettiin ensimmäisen kerran äänestysprosessissa Yhdysvalloissa 1960-luvun alussa äänten taulukointiin. 1960-luvun aikana primitiiviset äänestyslaitteet levisivät koko Yhdysvalloissa laajaan käyttöön. Nämä äänestyslaitteet olivat yleensä tyypiltään joko offline-koneita tai keskitettyihin verkkoihin liitettyjä. Optiseen skanneriin perustuvat laitteet tulivat markkinoille 1970-luvulla, mutta ne eivät juuri menestyneet, koska niiden luotettavuus parani hyvälle tasolle vasta 1990-luvulla, ja silloin online-teknologiaan perustuvia laitteita alkoi jo tulemaan markkinoille. [1]

Online-teknologiaan perustuvia äänestysmenetelmiä on kehitelty 1970-luvulta lähtien. Erilaisia kehitettyjä järjestelmiä olivat muun muassa Delphi-järjestelmä 1970-luvun alkupuolella ja Televote-projektit 1970-luvun puolivälistä lähtien. Ensimmäinen verkkoa hyödyntävä menetelmä Euroopassa oli ranskalaisten kehittämä Minitel, joka oli ilmainen. Sillä kerättiin esimerkiksi kansalaisten mielipiteitä. Parhaimmillaan menetelmää hyödynsi 7 miljoonaa käyttäjää. Vuonna 1994 WWW:n julkistamisen jälkeen maiden hallitukset ja poliittiset puolueet alkoivat korostaa Internetin merkitystä äänestyksen pohjalla olevana teknologiana, ja useita Internet-pohjaisen äänestyksen kokeiluja käynnistettiin ympäri maailmaa. [1]

Elektroniset vaalit Virossa

Yleistä

Elektronista äänestysmenetelmää käytettiin Virossa ensimmäisen kerran vuoden 2005 paikallisvaaleissa. Tämä oli ensimmäinen kerta OSCE-yhteisössä (Office for Democratic Institutions and Human Rights), kun Internetiä hyödynnettiin koko maan laajuisesti äänestysmetodina parlamenttivaaleissa. [2] Vaikka OSCE-maihin kuuluu vain 56 maata Euroopasta, Keski-Aasiasta ja Pohjois-Amerikasta [3], missään sen ulkopuolellakaan ei tuolloin oltu vielä pidetty maanlaajuisia, Internetiin perustuvia sitovia elektronisia vaaleja [4]. Internetin hyödyntäminen äänestyksessä tehtiin siis maailmassa ensimmäisenä naapurimaassamme Virossa. Vuoden 2007 Riigikogun (parlamentin) vaaleissa menetelmää hyödynnettiin uudelleen [2]. Äänestysmenetelmän suurin ja merkittävin puolestapuhuja on Viron kansallinen äänestyskomitea NEC [5].
Lainsäädäntö vuoden 2007 Riigikogun vaaleissa oli samanlainen kuin vuoden 2005 paikallisvaaleissa. Sen mukaan Internetissä pystyi henkilökohtaisen tunnistekortin avulla äänestämään kuudesta neljään päivään ennen varsinaista vaalipäivää. Äänestää voi myös uudelleen, joko muuttamalla ääntään Internetissä tai äänestämällä varsinaisena vaalipäivänä perinteisin menetelmin. Kansalaisten keskuudessa vaikuttaa olevan Internet-äänestystä kohtaan hyväksyvä asenne, vaikkakin sen hyödyntäminen on vieläkin sangen vähäistä; 5,4 prosenttia äänestäjistä äänesti Internetin kautta vuoden 2007 vaaleissa. [2]

Etä-äänestys Internetin kautta on monessa mielessä samanlaista kuin etä-äänestys postitse, tarjoten samoja hyötyjä kuten lisääntynyt äänestäjien pääsymahdollisuus äänestysprosessiin ja samoja haittoja kuten mahdottomuus tarkkailla äänestysprosessia täysin ja varmistaa välttämättön oikeus vapaaseen ja salaiseen ääneen. Lisäksi, Internetäänestys ei tarjoa täysin läpinäkyvää laskentamenetelmää. [2]

Äänestysprosessi on suunniteltu vastaamaan mahdollisimman pitkälti myös paperiäänestysprosessia, jotta se olisi mahdollisimman tuttu äänestäjille. Järjestelmä tarkastaa äänestäjän identiteetin, antaa "äänestyslipun" äänestäjälle, ottaa äänestäjän allekirjoituksen ja lopulta sallii äänen annettavan. [2]

Toteutustekniikka

Tärkein äänestyksen mahdollistaja Viron vaaleissa on mainittu henkilökohtaisen tunnistekortin (ID-kortti) hyödyntäminen, mikä on laillisesti hyväksytty Internetin kautta tapahtuvan identifioinnin väline ja sen avulla voi myös allekirjoittaa dokumentteja digitaalisesti. [2] Noin 90 prosentilla väestöstä on kyseinen ID-kortti hallussaan, joten se mahdollistaa laajan järjestelmän hyödyntämisen. Internet on käytössä noin 63 prosentilla väestöstä päivittäin, joten myös tätä taustaa vasten virolaisten johtajuus äänestyksessä ei yllätä. [5]

Äänestäjällä on ID-kortin ja Internetyhteyden lisäksi oltava käytössään älykortinlukija, äänestyssovellus sekä Windows, Linux tai MacOS? X käyttöjärjestelmä. [5]

Mitä äänestysjärjestelmän laitteistoon, käyttöjärjestelmään ja ohjelmakomponentteihin tulee, päätettiin käyttää yleistä, standardoitua ja vakaaksi todistettua teknologiaa. Viron Internetäänestysjärjestelmä koostuu seuraavista komponenteista: mainittu äänestyssovellus, Internet-palvelin, todennuspalvelin, ääntenvarastointipalvelin ja ääntenlaskupalvelin. Kaikki palvelimet todennuspalvelinta lukuunottamatta tehtiin virolaisen Cybernetica AS -ohjelmistonkehitysyrityksen [6] toimesta. [2]

Äänestyssovelluksesta on kolme erityyppistä mainituille kolmelle käyttöjärjestelmälle. Internetpalvelimella on monia eri toimintoja: sillä sijaitsee internetsivu, se vastaanottaa äänestyspyynnön, toimittaa yleisen avaimen ääntenlaskupalvelimelta äänestäjälle, vastaanottaa salattuja ja allekirjoitettuja ääniä äänestyssovellukselta ja välittää näitä eteenpäin äänestyspalvelimelle. Todennuspalvelin on vastuussa äänestäjien autenttisuuden tarkastamisesta. Ääntenvarastointipalvelin yhdistetään todennuspalvelimeen äänestäjän autentikoimiseksi ja sen jälkeen salatut äänet tallennetaan. Ääntenlaskupalvelin on offlinetietokone joka ei ole mihinkään verkkoon kytkettynä. Se on varastoituna turvallisessa paikassa, ja sitä käytetään vaalien sulkeutumisen jälkeen. Se laskee nimensä mukaisesti äänet dekryptauksen jälkeen. Edellämainittujen lisäksi järjestelmään kuuluu myös laitteistoturvallisuusmoduuli, joka luo ääntenlaskentapalvelimen yleisen (public) ja yksityisen (private) avaimen, jotka ovat vastaavasti yleinen äänten salaukseen käytetty avain ja salainen äänten dekryptaukseen käytetty avain. [2]

Tietoturvallisuusratkaisut

Edellä jo hiukan sivuttiinkin tietoturvallisuusasioita, mutta tässä osiossa mennään pintaa syvemmälle. Järjestelmä on suunniteltu postitse suoritettavan etä-äänestyksen tapaan suojaamaan äänestäjän anonymiteettiä "tuplakirjekuoren" avulla, joka tarkoittaa, että äänestäjän elektronisen äänestyslipun sisältöä ei dekryptata ennen kuin se on erotettu äänestäjän identiteetistä. [2] Jotta äänestyssovellus voi ottaa tarvittavat tiedot äänestäjän ID-kortista äänestäjän täytyy syöttää sille henkilökohtaisen koodin (PIN1) tunnistautuakseen. Äänestäjän tietokoneen ja Internetpalvelimen välille muodostetaan SSL-yhteys ja äänestyssovellus tarkastaa onko äänestäjä äänestäjien listauksessa. Moninaisten vaiheiden jälkeen, kun ääni on salattu, äänestäjän on syötettävä toinen henkilökohtainen koodi (PIN2), joka mahdollistaa äänen allekirjoittamisen. [2] & [7]

Internetäänestysjärjestelmän turvallisuusarkkitehtuurin ydin perustuu Internetiin yhdistetyn ääntenvarastointipalvelimen ja poissa verkosta olevan ääntenlaskupalvelimen (ja laitteistoturvallisuusmoduulin) erottamiseen toisistaan. Tällöin ulkopuoliset hyökkääjät eivät voi manipuloida ääntenlaskuohjelmistoa koska tämä osa ei missään vaiheessa ole yhdistetty Internetiin - äänet siirretään tälle palvelimelle CD-ROM-levyillä. Lisäksi, mikään muu taho kuin ei voi dekryptata ääniä kuin kansallisen äänestyskomitean NEC:n jäsenet yhdessä. Yksityinen avain ei lähde missään vaiheessa laitteistoturvallisuusmoduulista. [2]

Potentiaaliset turvallisuusriskit ja niihin vastaaminen

NEC:n jäsenet jotka ajavat Internetäänestysprojektia olivat erittäin tietoisia potentiaalisista turvallisuusuhista. Teknisesti, monia eri turvallisuusmekanismeja käytettiin mahdollisten ulkoisten hyökkäysten ja sisäisten väärinkäytösten huomaamiseksi ja estämiseksi. Palvelimet ja sovellukset asennettiin ja konfiguroitiin komponenttitason elementeistä, alkaen käyttöjärjestelmästä, jotta varmistuttaisiin siitä, että niissä ei olisi viruksia, Troijan hevosia tai mitään muitakaan haittaohjelmia asennuksen aikana. [2]

Järjestelmän eri osia vahdittiin tarkasti, esimerkiksi Internetpalvelimelle kohdistuvaa liikennettä monitoroitiin jatkuvasti epänormaaliuksien ja ulkoisten hyökkäyksien havaitsemiseksi. Internetpalvelimen ja ääntenlaskentapalvelimen välillä on palomuuri, ja ne olivat sijoitettuna lukittuun huoneeseen jota vartioitiin poliisin toimesta ja joka oli jatkuvasti myös videovartioinnin kohteena. Laitteistoturvallisuusmoduulin avulla äänet varastoitiin turvallisesti; moduuli tuottaa digitaalisen avainparin paljastamatta yksityistä avainta. Jotta äänestyksen tulokset olisivat saatavilla siinä tapauksessa että laitteistoturvallisuumoduuli pettää, yksityisestä avaimesta otettiin varmuuskopio joka pidettiin erään NEC:n jäsenen toimesta salaisena. Tämän vara-avaimen olemassaolon aiheuttama hypoteettinen turvallisuusriski tiedostettiin, mutta se oli välttämätön, jotta äänestyksen tulokset saataisiin virhetapauksessa purettua. [2]

Toinen tiedostettu riski on, että ei ole mahdollista verifioida, että henkilö joka antaa PIN-koodit koneelle todellisuudessa on äänestäjä itse. NEC:n mielestä kuitenkin mahdollisuus, että äänestäjät antaisivat ID-korttinsa ja PIN-koodinsa toiselle henkilölle on epätodennäköistä, sillä tämän henkilökohtaisen datan avulla on mahdollista esittää toista henkilöä ja laillisesti allekirjoittaa elektronisia dokumentteja. [2]

Koska ei voida varmistaa, että äänestäjä antaa äänensä salassa, Viron äänestysjärjestelmä luottaa mahdollisuuteen äänestää uudelleen. NEC:n mukaan tällöin houkutus mahdolliseen pakottamiseen tai äänenostamiseen vähenee, mikä onkin täysin ymmärrettävä argumentti. [2]

Eräs järjestelmään liittyvä tietoturvallisuusongelma on, että ääntentallennuspalvelin tallettaa ajan jolloin kukin äänestäjä antoi elektronisen äänensä. Tätä lokia, joka on avoin poliittisille puolueille ja tarkkailijoille, voidaan mahdollisesti käyttää väärin. OSCE esittääkin, että NEC harkitsee äänestysjärjestelmän muuttamista siten, että äänestyksen aikaa ei tallenneta. [2]

Internetkommunikointiin liittyvä DoS?-hyökkäyksen (Denial of Service) riski oli myös tässä järjestelmässä riskinä, johon varauduttiin NEC:n toimesta tarkkailemalla liikennettä. Mitään poikkeavaa ei kuitenkaan ole toistaiseksi äänestyksissä havaittu. Järjestelmästä riippumaton riski on, jos äänestäjällä on koneellaan haittaohjelmia. NEC on kuitenkin ohjeistuksella pyrkinyt välttämään tätäkin riskiä. OSCE haluaa kuitenkin vielä tehostetumpaa vastausta näihin ongelmiin. [2]

Puutteistaan huolimatta Viron äänestysmenetelmän tietoturvallisuus on hyvässä hoidossa. Voidaan sanoa, että kaikki aspektit on otettu huomioon, joihinkin ei vain ole panostettu ihan yhtä paljon kuin pitäisi. Tulevaisuudessa tietoturvallisuutta tullaan varmasti entisestään parantamaan.

Elektroniset äänestysmenetelmät muualla & katsaus tulevaisuuteen

Elektronisia äänestysmenetelmiä on otettu käyttöön vuosien saatossa laajalla rintamalla. Muun muassa Brasiliassa, Intiassa, Hollannissa ja Venezuelassa on hyödynnetty elektronisia äänestysjärjestelmiä, jotka eivät hyödynnä Internetiä. Internetiä hyödyntäviä järjestelmiä on käytetty muun muassa Isossa-Britanniassa, Virossa, Sveitsissä, Kanadassa ja Yhdysvalloissa. Suuntaus tänä päivänä onkin juuri Internetiä hyödyntäviin järjestelmiin. [8]

Vaikka elektroniset äänestysmenetelmät ovat kasvattaneet suosiotaan, tämä ei ole tapahtunut erityisen nopeassa tahdissa johtuen osaltaan niitä kohtaan esitetystä kritiikistä. Muun muassa mahdollisuutta ulkopuolisen komponentin lisäämiseen äänestyslaitteistoihin pidetään joidenkin mielestä uskottavuutta heikentävänä uhkana, samoin kuin äänestäjän identiteetin tarkastamisen vaikeutta [8]. Ei ole myöskään pystytty pitävästi todistamaan, että elektronisen äänestyksen kokonaiskustannukset tulisivat halvemmaksi kuin muut järjestelmät [8]. Joidenkin rajumpien näkemysten mukaan elektroninen äänestys ei ole edes yhteneväinen demokratian kanssa [9].

Varmaa kritiikistä huolimatta kuitenkin on, että kehitystyötä elektronisten äänestysmenetelmien ja niistä etenkin Internetiin perustuvien äänestysmenetelmien parissa tullaan jatkamaan. Nähtäväksi jää, miten laajalle elektronisen äänestämisen käytäntö levittäytyy kansainvälisesti. Uskoisin itse, että ainakin kehittyneissä teollisuusmaissa näin tapahtuu lähitulevaisuudessa.

Päätelmät

Viron teknologinen kehittyminen on viime vuosina ollut todella nopeaa; eräänä merkkinä siitä voidaan pitää menestyksekkäästi lanseerattua maailman ensimmäistä sitovaa Internetiin perustuvaa äänestysmenetelmää vuonna 2005. Tässä harjoitustyössä esitellyn järjestelmän toteutustekniikkaa ja tietoturvallisuusratkaisuja on selkeästi pohdittu huolella, ja mahdolliset ongelmakohdat on otettu systemaattisesti huomioon. Kehitystyö jatkuu toki edelleen, mutta nykyinen järjestelmä on hyvällä pohjalla.

Huolimatta elektronista äänestystä kohtaan esitetystä kritiikistä maailman kehittyneet teollisuusvaltiot todennäköisesti yksi toisensa jälkeen siirtyvät pois perinteisestä paperiäänestyksestä kohti Internetiin perustuvaa äänestystä, mikäli ongelmilta vältytään. Viron näyttämää esimerkkiä on hyvä seurata.

Jatkotutkimusmahdollisuuksia

Tarkempi tutkimus muiden maiden elektronisista järjestelmistä ja niiden käytännön eroista (esim. hyödyt, haitat) verrattuna Viron järjestelmään voisi olla eräs mahdollisuus jatkotutkimukselle. Sain myös alla olevat mainiot jatkotutkimusehdotukset kommenttina. Kiitos siitä kommentoijalle.

Jatkotutkimuksena voisi selventää uudelleen äänestämistä perinteisesti, kun ensin on äänestetty sähköisesti. Miten sähköinen ääni devalidoidaan jne.? Myös tarkempia tietoja salaus- ja allekirjoitusalgoritmeista voisi jatkotutkimuksissa kaivella esiin. [10]

Lähteet

Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 06 Oct 2009 - 02:13:23 - JuhaPitkaenen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback