You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2007-13

Miikka Palvalin

Elektroniset vaalit TTY:llä

Johdanto

Sähköisesti tapahtuva äänestäminen on ollut Suomessa  esillä aina vaalien alla. Vielä siihen ei ole ryhdytty, vaikka useista maista on jo saatu kokemuksia vaalien toimivuudesta. Tosin vuoden 2008 kunnallisvaaleissa sähköistä äänestystä kokeiltiin kolmessa kunnassa normaalin äänestyksen lisäksi. Puutteellisuuksien johdosta vaalit jouduttiin uusimaan näissä kunnissa vuonna 2009.

Suomessakin on ollut pienemmän mittakaavan vaaleissa mahdollisuus äänestää internetin välityksellä. Näin on esimerkiksi TTY:n edustajiston vaaleissa[1], joita tässä jutussa käsitellään. Vaalit järjestetään joka toinen syksy ja toimikausi kestää kaksi vuotta. Elektronisilla vaaleilla pyrittiin lisäämään äänestysaktiivisuutta ja äänestyksen helpottamista. Vaaleissa on mahdollista äänestää myös perinteisellä menetelmällä, mikäli ei ole mahdollisuutta äänestää internetissä tai ei luota sähköiseen tapaan.

Jutun tarkoituksena on keskittyä sähköisen äänestämisen tietoturvallisuuteen kun kyseessä on pieni ja pitkälle tekninen yhteisö. Vaaleista ei internetistä löytynyt muuta tietoa kuin käytännönjärjestelyitä[1]. Tämä on tavallaan yksi tietoturva ratkaisu että ei anneta mitään tietoa julkisuuteen, mutta luultavasti suurin osa ihmisistä silti luottaa sähköiseen äänestämiseen.

Tiedot vaalien toteutuksesta on hankittu sähköpostin välityksellä ylioppilaskunnasta, TTY:n tietohallinnosta sekä Leanware OY:ltä. Heiltä sain tiedot vastauksena kysymyksiin joita lähetin eli minulla ei mitään tarkkoja teknisiä kuvauksia ollut saatavilla.

Intranet-tunnus autentikoinnin välineenä

Elektronisen vaalin järjestämisessä oleellisimpia asioita ovat autentikointi ja varmistuminen siitä että jokainen voi äänestää vain kerran. TTY:n ympäristössä autentikoinnin keinoksi on otettu intranet-tunnus[5]. Tunnuksen saa TTY:n opiskelija käymällä atk-pisteessä todistamassa henkilöllisyytensä. Tunnusta käytetään mm. kursseille ja tenttiin ilmoittautumiseen. Tämän vuoksi voidaan olettaa ihmisten pitävän siitä erityisen hyvää huolta, jotta kukaan ei pääse sabotoimaan henkilökohtaisia asioita.

Intranet -tunnuksen ongelmana pitäisin sitä että sellainen on kohtuu helppo varastaa mikäli haluaa. Tämä johtuu siitä että tunnus on yleensä muotoa sukunimiX, missä X on jokin numero joten se on siis helposti saatavissa selville jos tietää henkilön nimen. Salasanan voi saada selville katsomalla olan yli kun joku toinen kirjautuu sisään. Salasanan selville saaminen yhdellä katsomisella voi olla hankalaa, mikäli se on tehokas salasana, mutta tehtävää on huomattavasti helpompi koska koulun koneelta sähköpostin lukeminen vaatii salasanan ja käyttäjätunnuksen syöttämistä muutamia kertoja peräkkäin ellei ole vaihtanut sähköpostiin erillistä salasanaa.

Vaalirauhan säilyminen ei valvotussa ympäristössä

Perinteisesti vaaleissa jokainen käy yksinään äänestyskopissa antamassa äänensä ja pudottaa sen sitten suoraan vaaliuurnaan. Tällöin henkilö saa varmasti ilmaista oman mielipiteensä ilman että kukaan muu pystyy vaikuttamaan siihen. Sähköisessä äänestämisessä[2] näin ei kuitenkaan ole, sillä mitenkään ei voida varmistua siitä etteikö joku toinen olisi vaikuttanut äänestämiseen tai äänestänyt toisen henkilön puolesta.

Sähköinen äänestäminen myös mahdollistaa äänten ostamisen ja myymisen. Joku voisi esimerkiksi luvata että kaikki jotka todistetusti ovat äänestäneet minua saavat ilmaisen pitsan. Em. toiminta voitaisiin estää mahdollistamalla uudelleen äänestäminen, mutta näissä vaaleissa sellaista mahdollisuutta ei ole. Tekninen ratkaisu ananymiteetin säilymisestä ei mahdollista sitä.

Vaalien tekninen toteutus

Vaalien teknisestä toteutuksesta vastaavat TTY:n tietohallinto ja Leanware Oy[7]. Työt on jaettu siten että tietohallinto hoitaa palvelimen ja tietoliikenneyhteydet. Leanware taas vastaa äänestys sovelluksesta. Yritys on ollut mukana myös TAY:n edustajistovaalien toteutuksessa sekä TTY:n henkilöstövaaleissa.

Vaalisovellus on rakennettu helppokäyttöiseksi ja yksinkertaiseksi jotta äänestäminen onnistuisi luotettavasti kaikilta. Ennen äänen lähtemistä henkilö saa vielä varmennuksen että on äänestämässä haluamaansa henkilöä, johon on vastattava kyllä tai ei. Mielestäni tämä oli hyvä ominaisuus jotta virheellisesti kirjoitettu numero ei aiheuttaisi äänen menemistä väärälle henkilölle. Kuvaa vaalisovelluksesta en tajunnut äänestyksen aikana ottaa.

Palvelimen saatavuus ja äänten katoamisen ehkäisy

Vaalien käytössä on oma erillinen palvelin, joka tarkemmin on VMwaren-virtualisointi alustan päällä pyörivä RHEL3/AS-järjestelmä. Tarvittaessa vaalikoneen toimiva virtuaalikone voidaan siirtää toiselle toiselle VMware-palvelimelle, joita on käytössä yhteensä neljä kappaletta.

Virtuaalipalvelimen levy-image ja tiedostojärjestelmä varmennetaan[6] kerran vuorokaudessa. Tiedostojärjestelmätasolla on käytössä nauhavarmenne. Virtuaalikoneimagen varmistus on puolestaan toteutettu snapshot menetelmällä. Tietokantajärjestelmä on Oraclen toimittama ja sen varmistukset on hoidettu RMAN(Recovery MANager) -menetelmin.

Palvelimelle pääsyä ei ole rajoitettu millään tavalla, vaan äänestäminen onnistuu mistä tahansa internet liittymästä. Vaalikone ei kuitenkaan ole jatkuvasti auki, vaan vain tiettyinä päivinä. Äänestyspäivät ilmoitetaan vaalikuulutuksessa. Vaaleissa on myös ennakkoäänestysmahdollisuus olemassa ja se on totetutettu kokonaan sähköisesti. Teknisesti se ei eroa millään tavalla varsinaisesta äänestyksestä.

Äänestyksen sabotoiminen

Eniten häiriötä aiheuttavaksi riskiksi on arvioitu hajautettu palvelunestohyökkäys(DDoS)[8], mutta sen todennäköisyys ei ole kovin suuri. Jos tälläinen hyökkäys kuitenkin tapahtuisi, niin vaalikoneelle pääsy rajoitettaisiin TTY:n verkkoon, jolloin äänestäminen ulkopuolelta vaatisi VPN-yhteyden.

Muita sabotointi mahdollisuuksia internetin välityksellä ei ole pidetty merkittävinä riskeinä. Joku vaalien järjestäjistä pystyisi vaaleja sabotoimaan, mutta sama pätee myös perinteisellä tavalla järjestettyihin vaaleihin.

Anonymiteetti

Oleellinen osa suljettuja vaaleja on äänestäjien ja äänten pysyminen erillään. TTY:n vaaleissa web-palvelimella tapahtuva äänestys ei kirjaa mitään tunnistetietoja käyttäjästä vaikka palvelin tarkastaakin henkilön pääsyoikeuden. Itse ääni on myöskin anonyymi eli jokainen äänestytilanne kasvattaa jonkun ehdokkaan(tai tyhjien) äänimäärää yhdellä ja mihinkään ei jää tietoa äänen antajasta. Tällä tavalla toteutettu äänestysjärjestelmä ei mahdollista uudelleen äänestämistä, joten ensimmäisellä kerralla on oltava varma henkilöstä jota haluaa äänestää.

Äänten laskeminen

Ääniä ei varsinaisesti tarvitse mitenkään laskea, koska järjestelmä kirjaa ääntä annettaessa sen suoraan yksittäiselle henkilölle. Näin ollen äänestyksen päätyttyä ohjelmaa voidaan pyytää muodostamaan tiedosto josta näkyvät ehdokkaiden nimet ja äänimäärät. Ylioppilaskunnan tehtävä on sitten tulkita niitä ja laskea ketkä pääsevät läpi. Vaaleissa käytetään suhteellista laskentatapaa joten käsin tehtävä laskenta on välttämätöntä vähintään tuloksen tarkistamiseksi.

Toteutuksen arviointi

Jos vaaleja verrataan luentomonisteessa[3] ja elektronista äänestämistä käsittelevän sivun[4] kanssa niin voi järjestelmästä löytää monia yksinkertaistuksia ja ei täysin tietoturvallisesti toteutettuja ratkaisuita.

Anonymiteetistä on huolehdittu kohtuullisen hyvin, mutta kuitenkin sillä seurauksella että äänestäjä ei voi olla varma onko hänen äänensä mennyt perille. En tiedä että julkaistaanko äänestäneiden lista, mutta ainakin vähänkään korkean äänestysprosentin sattuessa näin tulisi tehdä. Sen avulla äänestäjät voisivat varmistua siitä että järjestäjät eivät ole äänestäneet kenenkään äänestämättä jättäneen puolesta.

Intranet tunnuksen avulla tapahtuvassa autentikoinnissa turvallisuutta voisi parantaa muistuttamalla tai pakottamalla ihmiset vaihtamaan salasanansa. Toisten puolesta äänestäminen tunnuksia varastamalla on melko helppoa mikäli äänestysprosentti on alhainen, koska käyttämättömiä tunnuksia on runsaasti.

Muilta osin järjestelmä vaikuttaa riittävältä. Järjestäjiin voi myöskin melko hyvällä varmuudella luottaa, sillä yksittäisellä yrityksellä ei ole juurikaan perusteita TTY:n edustajistovaalin lopputulokseen vaikuttaa.

Päätelmät

Nykyinen järjestelmä vaikuttaa melko yksinkertaiselta ja sitä ei selvästikään ole tarkoitettu kovin merkittävien(esim. presidentinvaalit) vaalien järjestämiseen. TTY:n edustajistovaaleissa se hoitaa tehtävänsä kuitenkin varsin hyvin koska kenelläkään ei liene syytä epäillä mitään järjestettyä tulosta.

Vaalien äänioikeutetut eivät ainakaan tähän mennessä(ennen 2007 vaaleja) ole olleet kovinkaan äänestysaktiivisia. Sen perusteella uskon että jonkin virheen takia tapahtuva äänten katoaminen ei aiheuta kovin suurta kohua vaikka seurauksena olisi uusinta äänestys. Elektronisiin vaaleihin siirryttiin jotta äänestysaktiivisuutta saataisiin nostatettua ja uskon että tämän järjestelyn avulla se myös onnistuu.

Elektroninen äänestäminen on toimiessaan erittäin hyvä menetelmä, mutta siinä on myös monta mahdollisuutta tapahtua epäoikeuden mukaisuutta laitteiden tai epärehellisten järjestäjien toimesta.

Lähteet

Lähteisiin viitattu 29.10.2007
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 06 Oct 2009 - 00:46:21 - JukkaJaervenpaeae?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback