Elektronické vs. internetové hlasování
Nejdříve bude třeba ujasnit si základní pojmy:
- Internetovým hlasováním rozumím možnost, připojit se k internetu, přihlásit se k volebnímu serveru (unikátním jménem a heslem, aby nemohl nikdo hlasovat za vás) a uložit svůj hlas. (Estonská varianta)
- Elektronické hlasování vyžaduje návštěvu volební místnosti, kde svůj hlas zadáte pomocí připraveného přístroje do systému. (Americká varianta)
Diebold aneb jak věc nedělat!
V USA se o elektronickém hlasování vedou spory již několik let. Poměrně oprávněně. Před posledními prezidentskými volbami natočila (a posléze na internet uvolnila) dokument Hackujeme demokracii o elektronickém hlasování stanice HBO. Aktivní internetová americká babička v něm podniká donquijotský souboj s nadnárodní korporací prohledáváním jejich odpadků a konfrontování jejich mluvčí s fakty a vyhrává. Vítězství je to však velmi hořké….
Americký systém vyrábí a z větší části provozuje firma Diebold, která je vlastnickou strukturou blízká republikánské straně, což jí staví před drobnohled opozice. A díky za to. Elektronické hlasování by se totiž mohlo snadno stát noční můrou amerického voliče. Jak americký systém funguje? To se dá poněkud obtížně popsat, protože hlasovací přístroje se stále vyvíjí. Hlasovací přístroj je ve své podstatě počítač s dotykovým displayem nebo scannerem hlasovacího formuláře, na kterém snadno zvolíte jméno kandidáta. Přístroj je opatřen odnímatelnou flash pamětí na níž se ukládá výsledek hlasování.
Výsledný efekt: hlasování se o málo zrychlilo, je zachována anonymita vložených hlasů a výsledek voleb je znám prakticky okamžitě po ukončení hlasování.
Obslužný software je zcela proprietární a jeho zdrojový kód odmítá Diebold poskytnout k přezkoumání. Starší verzi softwaru však zaměstnanci pozapomněli na nezabezpečeném FTP. Hlasovací software GEMS se tak dostal mezi nadšence, který jeho kód začali aktivně zkoumat. GEMS neslouží k obsluze hlasovacích přístrojů, ale k výslednému sčítaní hlasů z jednotlivých hlasovacích přístrojů. Upravit údaje "po rukou" se podařilo jak přímo pomocí GEMS – kdy došlo k zmanipulování celkového výsledku, tak i pomocí samotné Flash karty, opatřenou upravených softwarem.
Svodka
Starší stroje firmy Diebold byly opatřeny malou tiskárnou – stejnou jaké znáte z pokladem supermarketů, které po vložení vašeho hlasu vytiskly záznam vašeho hlasu pro vás a celkovou svodku. Volič si tak mohl přímo na místě ověřit, zda byl jeho hlas započítán správně. V případě, že by došlo k následnému ovlivňování dat, porovnáním jejich výsledku se svodkou by se takováto manipulace dala (při troše mravenčí práce) snadno odhalit.
Nové stroje Diebold již tiskárnu neobsahují a ověření vloženého hlasu tudíž není možné. Výzkumný tým, který se bezpečností hlasovacích přístrojů zabýval, brzy přišel se svým "hackem" hlasovacího přístroje, který fungoval následujícím způsobem: Na flash paměť, kam se ukládali hlasy, nahráli pár řádek vlastního programu, který se po vložení flash paměti ihned spustí a upraví chování obslužného softwaru. Volič pak přijde k přístroji, spokojeně si odhlasuje svého kandidáta a přestože všechny jeho údaje na obrazovce souhlasí, přidaný software hlas před uložením na flash paměť změní. Volič tak odchází s dobrým pocitem, že dal svůj hlas Losnovi, ale program zajistí, aby zvítězil Mažňák. Bez papírové svodky pak neexistuje způsob, jakkoli výsledek ověřit. Navíc se díky automatickým akutalizacím na nejnovější verzi obslužného softwaru upravený software z Flash karty exponenciálně šíří sítě a nahrazuje původní software
Z toho vznikl požadavek k návratu k původním hlasovacím přístrojům opatřených tiskárnou, jež umožňovala provést zpětný audit voleb. Jednoduše se sečtou hlasy ze svodky, jejichž záznam si může každý volič ověřit při vložení hlasu a porovnají se s výsledky uloženými ve flash paměti.
Z poslední zpráv se zdá, že Diebold od výroby hlasovacích systémů odstoupí. S jeho zabezpečením je spojeno příliš negativní publicity, zatloukání a vykrucování, která důvěryhodnosti výrobce bankomatů příliš nesvědčí. (V tomto roce se navíc objevil hack, jak pomocí konfiguračních kódů přesvědčit bankomat, aby si myslel, že zásobník na 20$ bankovky obsahuje pouze 5$ bankonvky – při výběru 25$ tak obdržíte rovných 100$ 😉 )
Černá skříňka politické profilace?
Internetový model navrhovaný panem Smejkalem bohužel neznám a neměl jsem ani možnost detailně se seznámit s Estonským řešení. Nicméně samotný princip hlasování po internetu je definovaný několika základními faktory, které vyplývají z podstaty internetové komunikce, a které jsou podle mého názoru téměř neslučitelné s principem svobodných voleb. (Tedy alespoň pro mě – rád se nechám poučit o opaku.) Možnost odhlasovat si z pohodlí našeho domova znamená, že před uložením našeho hlasu bude nutné ověřit, zda se jedná opravdu o nás, že se za nás nesnaží hlasovat fanatický příznivec té či oné strany. V současné době vám volební komise zkontroluje občanský průkaz a na základě toho ověření vám vydá oficiální obálku, do níž svůj hlas vložíte a skryti za anonymitou plenty se snažíte ovlivnit politické uspořádání země.
Anonymita
Anonymitu voleb bychom rozhodně neměli podceňovat, protože bude-li stát a jeho prostřednictví političtí vůdci mít přístup k politickému profilu jednotlivých voličů, nepochybně bude následovat snaha těchto informací využít – ať již k cílenému politickému marketingu a PR (jinak zvanému propaganda), či zajištění levné pracovní síly pro těžbu v obnovovaných uranových dolech. Volič se bude muset do systému přihlásit jménem a heslem či jiným unikátním identifikátorem a následně vložit svůj hlas. Přesto bude nutně muset existovat registr osob, který tyto záznamy spojí s jejich majiteli – jinak by nám naše hlasovací identifikátor nikdy nikdo nebyl schopen sdělit.
Jakým způsobem hodlá internetový systém zajistit anonymitu hlasování? Snadno! – namítnete mi – samozřejmě je možné uložit hlas jako anonymní číslo, které není nijak spojeno s konkrétní osobou či jejím identifikátorem – zkrátka systém neuloží relaci mezi voličem a vloženým hlasem.
Dobrá přesvědčili jste mě, jak si pak ale mohu ověřit, že můj hlas byl započítán správně?
Jakou mám jistotu, že místo mého hlasu pro Losnu nebyl započítán hlas pro Mažňáka?
Ověřitelnost
Je tedy možné zpětně ověřit správnost anonymího hlasu? Nijak, aniž bychom oželeli svou anonymitu. Můj hlas by bylo nutné uložit s relací k mé osobě a já bych se tak mohl kdykoli zpětně přihlásit do systému a svůj hlas ověřit: A tak se měsíc po volbách koukám a vidím, že můj hlas má Losna, ale přitom jsem hlasoval pro Mažňáka. Ale je to jen mé tvrzení: buď jsem totální sklerotik, který si nepamatuje, jak hlasoval; nebo jsem prevít, který chce mermomocí zpochybnit výsledek voleb; a nebo někdo můj hlas záměrně změnil, aby nezákonně ovlivnil výsledek voleb. Tak či tak zde půjde čistě o tvrzení proti tvrzení s prakticky nulovou ověřitelností (což by samozřejmě značně závislé na schopnostech člověka, který se snaží software zmanipulovat.) Nicméně v případě výskytu většíno procenta podobných stížností by bylo možné volby opakovat.
(Existují způsoby, jak oddělit záznamy o konkrétních osobách od výsledků, ale ty nemůžeme brát ani tak jako bezpečnostní opatření – spíš jako drobné obstrukce, které nikoho s dostatkem vůle (a pravděpodbně i politického krytí) neodradí. V zemi, kde jsou politikům předávány odposlechy dětí politických oponentů, bohužel nemůžeme nad možností zmanipulovat výsledek voleb pouze mávnout rukou, jako nad pouhou paranoidní konspirativní teorií.)
Bez ověřitelnosti je prakticky nemožné se spolehnout na výsledek voleb bez vložení slepé důvěry v poctivost, nezkorumpovatelnost a nevydíratelnost personálu, který volby po technické stránce zajišťuje. (Ve světle faktu, že 80% bankovních podvodů pochází zevnitř – tedy od někoho ze zaměstnanců banky – si dovoluji o takové důvěryhodnosti pochybovat.)
Zmanipulování voleb
Zmanipulování výsledku hlasování se předejít nedá – jiná věc, hovoříme-li o rozsahu takové manipulace. Když se v stávající situaci při sčítání hlasů rozhodne člen volební komise hodit váš hlasovací lístek na jinou hromadu, prostě vám váš hlas ukradne a neudělát s tím vůbec nic. Volební komise má napříč republikou stovky členů, tudíž pravděpodobnost výskytu podobně angažovaných lidí je relativně vysoká. Nicméně rozsah podobné manipulace se pohybuje hluboko pod hranicí statistické chyby a na celkový výsledek má minimální vliv. A to právě z důvodu, že jedinec může tímto způsobem zmanipulovat poměrně malé procento hlasů. Dojde-li tedy ke stížnosti, část voleb se zopakuje aniž by došlo k výraznějším změnám v povolebním uspořádání (tedy pakliže o vládní většině nerozhoduje pouze jedinný poslanecký hlas).
U elektronického nebo internetového hlasování se počet lidí, jež mají možnost s daty manipulovat výrazně snižuje na druhou stranu se ale neúměrně zvyšuje rozsah této manipulace. Zatímco u hlasovacích lístků může jedinec zmanipulovat řádově stovky maximálně pár tisíc hlasů, u anonynímho internetového hlasování můžeme hovořit o miliónech – a to už se na výsledku projeví. Jakákoli pochybnost o věrohodnosti výsledku voleb by pak mohla destabilizovat celý politický systém a především důvěru lidí v demokracii jako takovou.
Závěrem?
Představa, že by se nám podařilo přijít s geniálním bezpečnostním řešením je naprosto naivní. Nic takového neexistuje. Můžeme klást různě obtížné překážky, ale internetový volební systém by se brzy stal mekkou internetových hackerů, pro které bude představovat novou neodolatelnou výzvu ("pche, banku dnes umí nahackovat každej lama"), zahraničních zpravodajských agentur, pro které bude prostředkem, jak prosazovat sobě nakloněné politické představitele a nakonec i pro samotné politické strany, které svými volebními kampaněmi opakovaně ukazují, že v rámci předvolebního boje jsou ochotni obětovat vítězství úplně cokoli – důstojnost, morálku i svědomí.
Jakkoli se tedy může zdát možnost hlasovat ve volbách z tepla svého domova lákavá, považuji ji za jeden z nejnaivnější nápadů, se kterým jsem se kdy setkal. Jeho zavedení do praxe považuji za první znamení příchodu Orwellovské noční můry.
Odkazy
- Princeton University Hack [youtube video]