Agu Kivimägi: e-valimiste turvalisusest

Peale valimisi on alati neid, kes kahtlevad e-valimiste tulemuses. Kahtlemise põhjuseks on peamiselt süsteemi töö kontrolli keerukus, mis tekitab usaldamatust. Etteheited tehakse protseduuride ja komponentide osas, mis on enam vähem hoomatavad, kuigi nendel ei pruugi olla olulist mõju turbele ja valimistulemusele, kirjutab küberturbeekspert ja roheliste liige Agu Kivimägi.

E-valimiste käigus liiguvad andmed mitme serveri vahel. Tagamaks, et andmeid pole muudetud on IT-s kasutusel standardsed meetodid: andmetest arvutatakse lähte- ja sihtserveris sõnumilühend (ing. hash) ja veendutakse, et mõlemas serveris arvutatu on identne.

Aastal 2007 oli kõik usalduse peal

2011. aastal kuvati sõnumilühend arvutite ekraanile ja kõik vaatlejad võisid kontrollida identsust. Järgmistel valimistel on andmed ja sõnumilühend allkirjastatud serveri poolt. Serveri allkiri kinnitab andmete päritolu ja korrektsust sarnaselt inimese antud digiallkirjaga.

Inimese allkiri ülekande protsessis turvalisust ei lisa. Allkiri on vajalik, et hiljem tuvastada vastutav isik või vastutuse üleminek kui andmed edastatakse üksusele, mille eest vastutab teine isik. 2007. aastal serveri allkirju ei olnud ja turvalisus oli tagatud usaldusega valimisi läbiviivate administraatorite vastu.

E-valimiste turvet arendatakse pidevalt ja eelmisel aastal valminud valimissüsteem on juba oluliselt turvalisem kui varasemad. Likvideeritud on mõned ründevektorid, mida oleks saanud kasutada tulemi manipuleerimiseks. Oluliselt on vähendatud turvalisuse sõltuvust serverite platvormist millega e-valimisi läbi viiakse – ka juhul kui ründajal oleks kontroll serverite üle, siis valimistulemi mõjutamine on raskendatud.

…

Audiitor ei kontrolli turvalisust

Kui võrrelda valimiste turvet ja riigisaladuse kaitsega, siis füüsilisi ja protseduurilisi meetmeid saab e-valimistel veel tublisti arendada.

Audiitori ülesanne e-valimistel pole jälgida valimiste turvalisust vaid toimingute täpset vastavust juhendile. Ma ei kahtle hetkekski valimiste läbiviijate korrektsuses ja lojaalsuses, kui korrumpeerunud meeskonnal oleks lihtne luua süsteem, mis annab ekraanidele täpselt need vastused, mis juhendis ette nähtud, kuid tegelikult teeb midagi muud.

…

E-valimiste turve võiks tulevikus baseeruda kontseptsioonil, mis enam vastab parteipoliitilise süsteemi loogikale – tulemuse rehkendamises osalevad võrdsete osalejatena kõik huvitatud osapooled – poliitilised parteid.

Tulemuse saamiseks on vajalik vähemalt kvalifitseeritud enamuse panuse e. osarehkendus. St et kõik kombinatsioonid osalejatest saavad korrektse rehkenduse korral sama tulemuse aga üksikuna võttes pole keegi võimeline tulemust rehkendama.

Erinevaid skeeme, kus üksteist mitte usaldavad osapooled teevad koostööd ühiselt vajaliku tulemuse saamiseks on maailmas juba rakendatud, näiteks militaarvaldkonnas riikide vahel. Selline skeem oluliselt vähendab usaldamatust, kuna kõik huvitatud osapooled saavad kaasata enda poolt usaldusväärsed isikud enda osarehkendust läbi viima.

Väheneb vajadus usaldada paari administraatorit, kes kogu süsteemi haldavad. Tagavaraks tuleb jätta ka praegune variant, kui poliitikud peaksid otsustama, et nad ei taha tulemust välja arvutada.

OSCE heidab e-valimistele ette, et see pole lõpuni jälgitav.

Jälgitavus on võimalik saavutada, kui valimiskomisjon seab sisse eraldi teenuse neile, kes soovivad enne või peale häälte kokku lugemist veenduda, et nende hääl osales lugemise.

Kuna iga hääl sisaldab valija rakenduses genereeritud unikaalset juhuslikkust, siis selle juhuslikkuse säilitamisel valija poolt on võimalik enne e-häälte hävitamist tuvastada, kas selle juhuslikkusega on mõne kandidaadi poolt hääl antud. Teenust saaks pakkuda piiratud aja jooksul, valimiskomisjoni ruumides isikut näost-näkku tuvastades, vaidluste vältimiseks tuleks juhuslikkus valimiskomisjoni võtmega krüpteerida.

E-valimised on väga mugav ja sellest loobuda ei tahaks, kes on seda juba kasutanud. Meie e-riik koos e-valimistega on nagu kõrge torn, mille me oleme ehitanud, mis paistab kaugele ja mida teised riigid imetlemas käivad. Mida kõrgemaks ehitame, seda enam on vaja torni toestada, et see tugevama tuulega uppi ei kukuks.

Meil on juba kogemus, et oma turvalisusel ei saa me loota tuntud ja soliidsetele firmadele ja nende toodete turvasertifikaatidele. ID-kaardi kiibi turvanõrkused oleks võinud avastada meie omad teadlased.

Ei saa loota, et alati saame infot tšehhi teadlastelt või soome või läti inseneridelt. Eestil peaks olema tšehhidega sarnane teadusasutus või rakendusüksus, kus teadlased ja insenerid katsetaksid süsteemide turvet, millest meie e-riik sõltub.

Artikli täisteksti loe sellest Postimehes 22.03.2019 ilmunud artiklist: https://tehnika.postimees.ee/6551255/agu-kivimagi-e-valimiste-turvalisusest

Agu Kivimägi on olnud ID-kaardi projektijuht Kodakondsus ja Migratsiooniametis ja siseministeeriumi IT keskuses küberturbe osakonna juhataja.