(Ponovna) Želja po uvedbi e-volitev v Sloveniji

Očitno politiki zopet razmišljajo o uvedbi elektronskih volitev v Sloveniji:

Večer: E-volitve le še vprašanje časa? in SiOL: E-volitve so le vprašanje časa

Elektronske volitve so glede na obstoječe tehnične zmožnosti izvedljive, vendar za takšen korak še ni politične volje, so se strinjali sogovorniki na današnji okrogli mizi DL. So pa poudarili, da so e-volitve samo še vprašanje časa.

Ali smo že tako daleč za to? Mišljeno predvsem iz tehnično-varnostnega vidika?

Seveda smo že imeli novice in teme o tem, a ker nisem vedel pri kateri naj nadaljujem debato sem odprl novo temo (ker so jo tudi politiki vnovič pripeljali na dan) ter spodaj za boljši pregled pripel nekaj starih (tudi zato, da se nam ne bo treba preveč ponavljati)

Novice na slo-techu:
E-volitve: kako jim lahko zaupamo? (2003)
E-volitve tudi v Sloveniji? (2004)
E-volitve v Estoniji (2005)
E-volitve v Sloveniji: odprto- ali zaprtokodne? (2006)
Varnost e-volitev v Sloveniji - se obetajo pritožbe razočaranih kandidatov? (2006)
Skriti stroški e-volitev v Franciji (2007)

Teme:
E-volitve (2011)

http://www.elektronske-volitve.si/

Sistem elektronskih oz. internetnih volitev sicer prinaša določene prednosti, vendar ne prinaša tako velike “dodane vrednosti”, da bi ga bilo smiselno hitro uvajati. Sistem elektronskih oz. internetnih volitev namreč prinaša številne težave in možne nevarnosti, ki jih je sicer mogoče odpraviti ali vsaj omiliti, vendar to zahteva sredstva, čas in strokovne napore.

- Elektronske volitve (e-volitve): volilci lahko glasujejo s pomočjo elektronske naprave (npr. računalnika z zaslonom občutljivim na dotik) na klasičnem volišču (lahko kateremkoli).
- Internetne volitve (i-volitve): volilci lahko glasujejo preko interneta. Volilci obiščejo posebno volilno spletno stran, kjer se elektronsko identificirajo in oddajo svoj glas.

Torej bi se to očitno splačalo le, če bi dejansko imeli (veliko) manj stroškov s tem (torej manj članov komisije za priprave, preštevanje glasovnic itd. mogoče še "zeleni del" manj papirja) ... vendar bi pa verjetno (po slovensko) znali podražiti vse skupaj zaradi korupcijskih navezav pri nakupu naprav ipd.

Če prav razumem, pa še vedno "klasično" rabimo nekoga (človeka), ki te bo preveril preden stopiš do naprave (ravno zaradi identifikacije posameznika)?

Potem s tem res nikamor ne mudi oz. se izvede vse skupaj po možnosti z večino ostalih članic EU.

Sj se jih da za referendume tud ponucat.
Ampak...NE. Tole je se vedno Balkan. Ne bi zaupal temu sistemu :)

Razumem, strošek oz. prihranek pravzaprav sploh nima pomena, razen morda edino, če bi imeli mesečne referendume ipd. torej da bi jih dejansko več rabili.

Morda če bi te naprave krožile po vsej EU (ker nimamo vsi veh volitev in referendumov na isti dan - oz. imamo kakšne EU volitve, glasovanje ipd. kar morda pomeni, da spet vsi v EU rabimo te naprave na isti dan?!), ampak verjetno tudi transport nekaj stane?

Kaj pa vso to arhiviranje starih papirnatih glasovnic (tudi za to se verjetno rabi varovan prostor)? Ali kaj se pravzaprav zgodi z njimi? Koliko časa jih morajo hraniti?

Kako? Kot laik si ne znam čisto točno predstavljat kakšen sistem (z izjemo biometrije) bi lahko funkcioniral? Sistem certifikatov in gesel je popolnoma neprimeren za kaj takega.

jype je 18. mar 2013 ob 12:34 izjavil:

Za zagotavljanje anonimnosti obstaja več kriptografskih prijemov, s katerimi lahko samo volilec sam ugotovi, ali je njegov glas zabeležen pravilno.

Za preprečevanje glasovanja pod pritiskom, mora volilni sistem sprejeti napačno (narobe podpisano) glasovnico, tako da tisti, ki vrši pritisk, nima možnosti ugotoviti, da je oddan glas neveljaven.

Za zagotavljanje ostalih, tehničnih kriterijev, je pa že obstoječa PKI infrastruktura ustrezna.

problem tega sistema je v tem, da predpostavlja poštenost volivca, da ne bo preprosto omogočil tretji osebi, da uporablja njegovo identiteto, oziroma omogoča zlorabo identitete zaradi površnosti uporabnika. 1000 kriptografskih prijemov nič ne pomeni, če posameznik uporablja enako geslo za vse in ga poznajo vsi člani gospodinjstva in še 10 prijateljev. Ob splošni apatiji do volitev vprašanje, če bo sploh ugotovil, da kdo glasuje v njegovem imenu. In nadalje če ugotovi, da je nekdo uporabil njegovo identiteto za glasovanje, to vodi v 1000 realnih in izmišljenih preizkav in drastično niža kredibilnost izvedbe volitev.

Gregor P je 18. mar 2013 ob 12:34 izjavil:

Jah biometrično preverjanje skupaj z nekim varnim e-medijem (recimo e-kartico s čipom, kjer potekajo vsa preračunavanja, enkripcije in se ob zlorabi samouniči; pomeni da rabi vsak še čitalec te kartice) je verjetno že dovolj varna oz. enakovredna zadeva fizičnemu identificiranju in lastnoročni oddaji glasovnice (tudi tam ti je lahko nekdo rekel da glasuj za nekoga drugega) ... ampak ni enako kot če bi to glasovnico anonimno vrgel v volilno skrinjico; namreč ta del mi še ni čisto jasen, kako preprečiš, da ne bi "vsi" vedeli za koga si glasoval?

Tehnično ločit glasovnico od identitete glasoivalca IMO ni problem. je pa res da to omogoča velike zlorabe.

Biometrija se mi zdi preprosto prevelik poseg v zasebnost, saj država na ta način dobi bazo biometričnih podatkov za vse svoje državljane.

Mipe je 18. mar 2013 ob 12:40 izjavil:

Volivcem se pošlje unikaten hash za enkratno uporabo na e-volitvah? En volilec, en hash, en glas. Na strani e-volitev daš hash izbrani opciji in to je to. Tu se je treba samo prepričati, da nihče ne ve, kateri hashi se pošiljajo volivcem. Se pravi, da ne sme biti možnosti vpogleda v hashe in njihove sprejemnike. V primeru tehničnih težav bi lahko občan zahteval nov hash, ki ga pošljejo prek sistema, s tem pa sistem samodejno izniči stari hash, če je bil slučajno uporabljen.

Tako nekako. Še vedno nekaj možnosti za zlorabe, hashe se da ponaredit itd., pa saj je zato tu volilna komisija. Alternativno bi hashe vezali na državljanovo identiteto, vendar bi bili za razliko od EMŠO nevidni in torej uporabni za anonimno glasovanje.

Kako vedet ali je hash dejansko uporabil naslovnik, ali pa je vse hashe v hiši zbralk ata in oddal 5 glasov? Ravno tako tak sistem relativno enostavno vodi v kupovanje glasov.

Pod črto pridemo do bistvenega problema kako nedvoumno zagotovit, da glas dejansko oddaja XY oseba? Vsak sistem brez biometrije tukaj IMO pogori.

Kako veš, da volilec ne glasuje tako, kot so mu naročili ata? Če prisiliš volilca v osebno glasovanje, ne boš s tem ničesar rešil.

Niste prebrali, kaj sem napisal:

jype> Tudi i-volitve se da narediti tako, da so varne, anonimne in preprečujejo cel kup zlorab.
jype> Ni lahko in ljudje morajo razumeti protokol, s katerim je zadoščeno zgornjim kriterijem.
jype> Za zagotavljanje anonimnosti obstaja več kriptografskih prijemov, s katerimi lahko samo volilec sam ugotovi, ali je njegov glas zabeležen pravilno.
jype> Za preprečevanje glasovanja pod pritiskom, mora volilni sistem sprejeti napačno (narobe podpisano) glasovnico, tako da tisti, ki vrši pritisk, nima možnosti ugotoviti, da je oddan glas neveljaven.
jype> Za zagotavljanje ostalih, tehničnih kriterijev, je pa že obstoječa PKI infrastruktura ustrezna.

Vse hkrati.

In če lahko prek rame vidi, kaj dela volilec, bo težko oddal neveljavno glasovnico. In če se namenoma "zatipka" ter sistem to sprejme brez pritožb, kako naj "pravi" volilec ve, da je naredil napako? Veliko ljudi se zatipka celo pri lastnem EMŠO, to, da njihov glas ni upoštevan, pa sploh ne vedo.

Se pravi eno geslo za "pravilen" glas in eno za "na pomoč, v Fritzlovi kleti sem" glas?

Tu je še en problem. Ko volilec prejme geslo in ga vidi z lastnimi očmi, ga lahko vidijo tudi drugi. Tako prek rame. Tako vejo, katero geslo je pravo in katero napačno.

Volilec MORA imeti možnost anonimne razveljavitve svojega glasu. Samo tako se lahko omeji prisilno glasovanje.

Dobro recimo, da smo se rešili "Fritzla" (ki me ne me bo v kleti pretepal in posiljeval, da bi izvedel obe gesli), kako pa se rešimo množičnega torej skupinskega glasovanja članov političnih strank recimo na njihovi neuradni "strankarski konvenciji" na dan volitev? V tem primeru ne gre toliko za "posebno geslo za Fritzla" kot pa da si pod črednim vplivom stranke in z "veseljem", "zavestno" glasujete vsi enako (kar morda ne bi, če bi imel tisto minuto miru v glasovalni kabini)?

Ne more, če ga lahko razveljavi samo osebno na občini, njegov glas pa je anonimen, zato ne vedo, kateri je njegov. To bi urejal sistem. Lahko pa spremljajo, kateri od kandidatov je ravno izgubil glas.

Mipe je 18. mar 2013 ob 13:11 izjavil:

Ne more, če ga lahko razveljavi samo osebno na občini, njegov glas pa je anonimen, zato ne vedo, kateri je njegov. To bi urejal sistem. Lahko pa spremljajo, kateri od kandidatov je ravno izgubil glas.

1. Tiran ti prepreči dostop do "občine".

2. Razveljavitev glasu implicira, da moramo vedeti, kako je posameznik glasoval. Fejst problematično.

Ce bi bilo ukradenih toliko glasov, kot je bilo spisano v zadnjih par novicah(bitcoin) bi kaksna stranka se zunaj parlamenta ostala

Prav tako ne vidim problema z glasovanjem, kjer bi se clovek avtenticiral s certifikatom ali enkratnim geslom.
Ce bi videl problem v tem, potem bi moral biti tudi za takojsnjo ukinitev vseh bancnih sistemov v drzavi(klik,skb...everything).

Problem je v tem, ker digitalno potrdilo in geslo ne jamči identifikacije posameznika. Pri spletnih bankah in podobnem je takšna stvar dopustna, ker se del odgovornosti da digitalno potrdilo in geslo varuje prelaga na uporabnika. Pri volitvah to ni dopustno.

Banki kot taki dol visi kdo je persona za računalnikom, če ima prave kredence za dostop. Pri volilnem sistemu pa takšna ignoranca ni dopustna.

Cel volilni sistem je ena sama pomanjkljivost. Bi bilo treba pogruntat drugačen sistem za izvolitev predstavnikov ljudstva. Dinamična narava volilne baze naj že enkrat pride do izraza; če komu pade podpora, to je volilci izberejo svojega novega favorita, ob zaključku mandata izgubi položaj. Če podpora pade pod določeno mejo, se mu mandat celo skrajša. Volilci izberejo svoje kandidate (anonimno seveda, v kolikor je to mogoče), skozi celo leto lahko kadarkoli zamenjajo svojega favorita, mediji pa imajo jasne cifre namesto tistih trapastih anket od Medie.

To pa seveda pomeni dokaj razvito e-infrastrukturo, pa še vsak občan bi moral imeti svoj e-račun, prek katerega bi lahko izvajal svojo državljansko dolžnost ali celo vlagal svoje pobude. Pa anonimnost pri volitvah mora biti zagotovljena. Vsak aktiven e-račun bi imel volilno pravico, vendar ne smejo obstajati sledljive sledi od izbranih kandidatov do e-računa. To je pa svojevrsten izziv v državi, ki kupuje prisluškovalne ter sledilne naprave za GSM omrežje.