Głosowanie elektroniczne

Transkrypt

1 Głosowanie elektroniczne Aktualny stan wiedzy prof. dr hab. Mirosław Kutyłowski Instytut Matematyki i Informatyki Politechnika Wrocławska dr Filip Zagórski Instytut Matematyki i Informatyki Politechnika Wrocławska The Department of Computer Science The George Washington University Essevo Sp. z o. o. 20 kwietnia 2011

2 We didn t know a whole lot about the elections business when we went into it. Here we are, a bunch of banking folks thinking making voting machines would be similar to making ATMs. We ve learned some pretty painful lessons. Thomas W. Swidarski President and CEO Diebold, Inc. 2

3 Spis treści I. Podstawowe zagadnienia 2 1. Głosowanie w lokalach wyborczych 2 2. Głosowanie zdalne 4 3. Wybory elektroniczne bariery i wymagania 7 II. Zagrożenia 9 4. Poziom kontroli nad produktami informatycznymi 9 5. Możliwości audytu kodu Certyfikacja Wrogi kod 14 III. Weryfikowalność 16 IV. E-głosowanie na świecie Estonia Norwegia Stany Zjednoczone 22 V. Podsumowanie Problemy Szanse

4 VI. Appendix 28 A. E2E bez użycia kryptografii 28 A.1. VAV - Vote Antivote Vote A.2. ThreeBallot A.3. Sure Vote

5 Wstęp Niniejszy raport określa stan technologii, praktyki i planów w zakresie głosowania zdalnego, za pomocą środków komunikacji elektronicznej. Omawiamy w nim kluczowe zagadnienia związane z głosowaniem zdalnym. W szczególności przedstawiamy listę wymagań jaką powinny spełniać systemy wykorzystywane w tajnych i bezpośrednich wyborach powszechnych. Przedstawiamy stan na koniec 2010 roku, dalsze ważne informacje na ten temat będą dostępne w lipcu 2011, kiedy to odbędzie się spotkanie specjalistów na seminarium Verifiable Elections and the Public w Centrum Leibnitza w Niemczech. Dwa tygodnie później planowane jest spotkanie członków Election Assistance Commission (EAC), naukowców National Institute of Standards and Technology (NIST) oraz ekspertów, podczas którego zostaną wydane wstępne rekomendacje dotyczące konkretnych systemów głosowania zdalnego.

6 Część I. Podstawowe zagadnienia Maszyny wyborcze (mechaniczne) zaprojektowano i rozpoczęto ich używanie pod koniec XIX wieku, pierwsze elektroniczne rozwiązania wprowadzono pod koniec lat 70-tych ubiegłego stulecia [23]. Natomiast system kryptograficznych wyborów elektronicznych został zaprojektowany przeszło 30 lat temu [5]. W kilku krajach stosuje się lub stosowało do niedawna rozwiązania pochodzące z lat 80-tych, a nawet, w niektórych państwach korzystano z tych samych maszyn elektronicznych przez około 20 lat (Holandia). W przypadku tym mowa jest jednak nie o zdalnym głosowaniu przy pomocy środków komunikacji elektronicznej, ale o składaniu głosu przy pomocy maszyn do głosowania w lokalach wyborczych. Bardziej wyrafinowane (weryfikowalne) metody składania głosu w lokalu wyborczym mają zaledwie kilkuletnią historię. Dopiero w bieżącym roku zostanie po raz pierwszy wykorzystany w wyborach powszechnych system głosowania zdalnego zapewniający zarówno tajność jak i weryfikowalność wyników (odbywające się od kilku lat wybory internetowe w Estonii nie zapewniają ani tajności ani weryfikowalności). 1. Głosowanie w lokalach wyborczych W przypadku głosowania w lokalu wyborczym, stosuje się zazwyczaj jeden z dwóch scenariuszy. 1. Maszyny wyborcze (DRE) W rozwiązaniu tym głos oddawany jest za pomocą elektronicznej maszyny (DRE - Direct Recording Electronic). Urządzenie to może być zarówno standardowym komputerem stacjonarnym wyposażonym w odpowiednie oprogramowanie, jak i też dedykowanym rozwiązaniem sprzętowym, zwykle posiadającym ekran dotykowy. Dodatkowo niektóre rozwiązania wspierają interfejs audio, umożliwiając oddawanie głosów osobom niewidomym w tym przypadku wyborca wykorzystując słuchawki, odsłuchuje nazwiska kandydatów i za pomocą pilota wybiera swojego kandydata. Niestety, jak pokazały doświad- 2

7 czenia wielu krajów, takie rozwiązanie, pomimo swojej wygody jest najbardziej narażone na ataki informatyczne głos istnieje jedynie w postaci elektronicznej, przez co wyborca nie wie tak na prawdę w jaki sposób został on zapisany przez system. Zaproponowane rozszerzenia tej technologii VVPAT (Voter Verifiable Paper Audit Trail) nie rozwiązują wszystkich problemów. Co więcej, wprowadzają nowe zagrożenia. Prowadzi to do sytuacji, w której maszyny DRE zaczynają być zastępowane innymi, bardziej bezpiecznymi. 2. Opt-Scan Innym, szeroko stosowanym podejściem jest wykorzystanie papierowych kart wyborczych, na których wyborcy zaznaczają swój wybór. Następnie karty te są skanowane i tym samym zostają wprowadzone do systemu (optical scan, opt-scan, digital pen). Obliczenie głosów odbywa się elektronicznie. Taki scenariusz ma jeszcze tę zaletę, że głosy można policzyć zarówno drogą elektroniczną, jak i w sposób tradycyjny. Stanowi to dodatkowe zabezpieczenie przed potencjalnymi nadużyciami. Komentarz Wprowadzanie dedykowanych maszyn na wybory jest przede wszystkim rozwiązaniem bardzo drogim oprócz ogromnych kosztów zakupu takiego sprzętu należy ponieść jeszcze koszty przechowywania ich pomiędzy wyborami, serwisowania oraz zmian konfiguracyjnych przy każdych kolejnych wyborach. Brazylia, która zdecydowała się na wprowadzenie maszyn do głosowania ze względów logistycznych, próbowała obniżyć koszty poprzez wypożyczenie maszyn innym krajom, wykorzystując odmienne terminy wyborów. Skończyło się to niepowodzeniem, ze względu na brak zaufania ze strony potencjalnych pożyczających (chodziło o podejrzenia o możliwość fałszowania wyborów w innych krajach za pomocą wypożyczonych maszyn). Scenariusz wykorzystujący skanowanie głosów jest o wiele tańszy i aby uczynić go równie wygodnym, a w szczególności aby mogły z niego korzystać osoby niewidome, prowadzone są intensywne prace nad rozwiązaniem hybrydowym: wyborca zaznacza głos na komputerze stojącym w lokalu wyborczym (może to zrobić z wykorzystaniem komend głosowych), drukowane jest potwierdzenie wyborcze, potwierdzenie jest skanowane i wprowadzane do systemu. 3

8 Istotą tego podejścia jest to, że głosy wyborców niepełnosprawnych są nieodróżnialne od pozostałych. Rozwiązanie nie wymaga zakupu specjalnych maszyn do głosowania ich rolę może spełniać zwykły komputer z uruchomionym programem wyborczym. Tym niemniej, powyższe rozwiązania są droższe niż tradycyjne głosowanie papierowe i stają się atrakcyjne tylko wtedy, gdy zachodzą dodatkowe okoliczności. Jedną z nich może być trudność zliczania głosów z uwagi na poziom komplikacji procedury (tak jak ma to miejsce na przykład w wyborach lokalnych w Hamburgu ze względu na liczbę kandydatów i sposób zliczania głosów czy w Australii, gdzie wyborcy oddają głos nie na pojedynczego kandydata, ale są zobowiązani do uporządkowania kandydatów względem preferencji). Innym czynnikiem może być brak realnych możliwości ochrony urny przed wymianą wrzuconych kart do głosowania (maszyny do głosowania wprowadzono w Indiach możliwość manipulacji elektronicznej urny w terenach wiejskich określano jako niezwykle niską zważywszy brak odpowiednich specjalistów w lokalnych komisjach wyborczych). 2. Głosowanie zdalne Forma ta zdobywa coraz większą popularność wśród wyborców tam, gdzie głosowanie zdalne zostało dopuszczone. Wzrost popularności nie jest jednorazowy i skokowy, jest bardzo wyraźnie widoczna tendencja wzrostowa. W części państw, jak pokażemy, tę drogę używa znacząca dla wyników wyborów frakcja wyborców. Obecnie najpopularniejszą formą głosowania zdalnego jest głosowanie listowe. W poniższej tabeli przedstawiona jest liczba głosów oddanych listownie w wyborach do Bundestagu w poszczególnych latach (w milionach i jako odsetek wyborców, którzy wybrali tę formę głosowania). rok mln % Rysunek 1: Liczba głosów (w milionach i jako % wszystkich głosujących) oddanych listownie w wyborach do Bundestagu w poszczególnych latach. Podobną tendencję można zaobserwować w innych krajach. Poniższa tabela pokazuje jak wielu wyborców (jako odsetek wszystkich głosujących) w Wielkiej Brytanii decyduje się na na 4

9 oddanie głosu zdalnie (frekwencja 2001: 59%, 2005: 61%, 2010: 65%) oddanych głosów listowych w mln wydanych kart w mln % 4.0% 12.1% 20.0% frekwencja 59% 61% 65% Rysunek 2: Udział głosów przesłanych pocztą wśród wszystkich głosów dla wyborów powszechnych w Wielkiej Brytanii w poszczególnych latach. Głosowanie zdalne (listowe) w kantonie genewskim wprowadzono w 1995 roku. Początkowo z tej formy korzystało 20% wyborców, obecnie już 95%, podczas gdy jedynie 5% udaje się do lokali, w celu oddania głosu. Możliwe jest również oddawanie głosu przez Internet (od 2008 roku). Jednak na tę formę głosowania nałożono następujący limit - przewidziano, że jedynie 20% głosów można oddawać w ten sposób. Z tego powodu kantony muszą wybierać poszczególne okręgi, w których ta forma jest dopuszczalna. Następujące kraje europejskie stosują głosowanie listowe: Portugalia, Hiszpania, Irlandia, Wielka Brytania, Belgia, Holandia, Niemcy, Szwajcaria, Austria, Włochy, Chorwacja, Bośnia, Norwegia, Szwecja (około 30% wyborców wybiera tę formę, jest ona stosowana od 1942 roku), Finlandia, Litwa, Łotwa, Estonia. W Estonii można również oddawać głos przez internet (tamtejszy system opisujemy w Rozdziale 8), aby oddać taki głos należy posiadać aktywny elektroniczny dowód osobisty. Takowymi dysponuje około 350 tys. Estończyków, z których 104 tys. oddało głos przez internet w wyborach w 2009 roku. Przełożyło się to na 15.8% udział we wszystkich oddanych głosów. Komentarz Wzrost popularności głosowania listowego trudno wytłumaczyć samym przekonywaniem się wyborców do tej formy. Zasadniczym powodem mogą być przyczyny natury logistycznej - ciągły wzrost mobilności wyborców i w rezultacie mniejsza dostępność lokali wyborczych. Odnotujmy także, że wzrost udziału głosujących zdalnie odbywa się przy ogólnej tendencji spadku frekwencji wyborczej. Jednakże głosowanie listowe nie jest bezpieczne. Francja wycofała się z głosowania pocztowego w 1975 roku ze względu na przypadki oszustw wyborczych. Podobne obawy wyrażane są w Szwajcarii - dotychczas niezawodna i godna zaufania poczta szwajcarska po prywatyzacji może być pozbawiona niezbędnej kontroli Państwa w zakresie prawidłowego dostarczania 5

10 głosów do komisji wyborczych. Właśnie możliwość oszustw wyborczych na dużą skalę w przypadku głosowania pocztowego [28] jest czynnikiem, który wpływa na intensyfikację wysiłków w zakresie głosowania przez Internet. Główne zagrożenia związane z głosowaniem listowym są następujące: Karty mogą nie dotrzeć do komisji wyborczych na czas - w szczególności dotyczy to kart wysyłanych z zagranicy (przykład USA i Wielkiej Brytanii) i docierających do komisji wyborczej po terminie. Aby zmniejszyć to zagrożenie można wydłużyć okres pomiędzy przesyłaniem kart do wyborców i terminem ich odsyłania - skutkuje to jednak tym, że listy wyborcze muszą być zgłoszone na kilka do kilkunastu tygodni przed wyborami. Istnieje możliwość wpływania na wyniki głosowania poprzez niszczenie (bądź opóźnianie czasu ich dotarcia do komisji wyborczej) kopert selektywnie, według ich miejsca wysłania (w sytuacji gdy poparcie na kandydatów jest skorelowane statystycznie z miejscem wysłania głosu), lub nawet wszystkich kopert (w sytuacji gdy poparcie dla kandydatów w głosowaniu listowym jest inne niż przypadku głosowania w lokalach wyborczych). Dotyczy to w szczególności niszczenia przez pracowników poczty na każdym etapie dostarczania przesyłki. Traktowanie kart wyborczych jako przesyłek rejestrowanych znacząco zwiększa koszty obsługi wyborów. Ataki tego typu miały miejsce w USA (i raz mogły zadecydować o wyniku wyboru prezydenta, dotyczy to Broward County 2000 i zniknięcia kart wyborczych). Karty przesyłane do wyborców mogą być przechwytywane, a następnie odsyłane do komisji wyborczej. Wykorzystywane zabezpieczenia w postaci własnoręcznego podpisu nie gwarantują bezpieczeństwa. Wykorzystanie danych osobowych do uwierzytelnienia: np. numeru PESEL, dat urodzenia itp. utrudnia, ale nie uniemożliwia przeprowadzenie ataku z uwagi na to, że dane te przechowywane są w wielu instytucjach. Wiele kart odsyłanych przez wyborców (Wielka Brytania) nie spełnia wymagań dotyczących uwierzytelniania - głosy takie nie są brane pod uwagę. Członkowie komisji wyborczej mogą unieważnić kartę (w sposób analogiczny do głosowania w lokalu wyborczym). 6

11 Reasumując, głównym problemem głosowania zdalnego jest niepewność wyborcy czy jego głos zostanie policzony. 3. Wybory elektroniczne bariery i wymagania Bariery Przeprowadzenie głosowania elektronicznego jest zadaniem dość złożonym. Przede wszystkim wynika to z faktu, że człowiek nie jest w stanie wykonywać skomplikowanych operacji arytmetycznych używanych w kryptografii, a które z łatwością wykonuje komputer. W związku z tym, wyborca nie jest w stanie bezpośrednio sprawdzić, czy jego głos został poprawnie zakodowany, a bez tego nie ma mowy o integralności wyborów. Niestety większość zaproponowanych, jak i część obecnie projektowanych schematów wyborów elektronicznych nie uwzględnia tego faktu. Pierwszy protokół odpowiadający możliwościom obliczeniowym człowieka został zaprojektowany dopiero w 2004 roku [7]. Modele uwzględniające ludzkie możliwości (np.: możliwość zapamiętywania jedynie krótkich ciągów znaków, umiejętność rozróżnienia dwóch ciągów) zostały sformalizowane stosunkowo niedawno, m. in. w [2, 12]. Wybory elektroniczne wymagania Wybory elektroniczne muszą spełniać naraz co najmniej dwa (pozornie sprzeczne) wymagania: integralność: wyborca musi być przekonany, że głosy zostały poprawnie policzone. Zwłaszcza powinno to dotyczyć jego głosu. Głos wyborcy nie może zostać zmodyfikowany ani przez jego komputer (wirusa), ani przez komisję wyborczą. tajność: wybór głosującego musi pozostać tajny (tak jak tajny jest głos oddawany w lokalu wyborczym). Tajność powinna być zagwarantowana również w przypadku nacisku wywieranego na wyborcę (ang. coercion). Zapewnienie tajności wraz z wymaganiem integralności głosowania czyni skonstruowanie dobrego systemu wyborów elektronicznych zadaniem niezwykle trudnym. W przypadku e-bankowości jedynie klient i bank znają szczegóły wykonywanych operacji, jednak potwierdzenie wystawiane przez bank pozwala klientowi z łatwością uprawdopodobnić szczegóły transakcji osobom trzecim. W przypadku systemów wyborczych sytuacja jest inna 7

12 wyborca nie powinien mieć możliwości ujawnienia swojego wyboru, jednocześnie będąc w stanie sprawdzić, że operacja została należycie wykonana. Problem obrazują słowa prezesa firmy będącej czołowym producentem bankomatów, która zaczęła dostarczać elektroniczne maszyny wyborcze (jedne z najbardziej skrytykowanych w raporcie [11]). Przyznał on [15]: Nie wiedzieliśmy wiele o biznesie wyborczym gdy do niego wchodziliśmy. My, grupa ludzi związanych z bankowością, uważaliśmy, że robienie maszyn wyborczych będzie podobne do robienia bankomatów. Dostaliśmy bolesną nauczkę. 1 Wypowiedź ta pokazuje jak wielkim wyzwaniem jest zaprojektowanie dobrego systemu wyborów elektronicznych. Wybory elektroniczne zagrożenia Niespełnienie powyższych wymagań prowadzi do możliwości poważnych nadużyć wyborczych. Takie niebezpieczeństwo dotyczy rozwiązań stosowanych w wielu krajach zarówno wyborów elektronicznych w komisji wyborczej: wiele stanów USA - w tym Kalifornia [11], Niemcy, Holandia [16, 20], jak i głosowania przez internet: Estonia, Norwegia. 1 We didn t know a whole lot about the elections business when we went into it. Here we are, a bunch of banking folks thinking making voting machines would be similar to making ATMs. We ve learned some pretty painful lessons. 8

13 Część II. Zagrożenia 4. Poziom kontroli nad produktami informatycznymi Współczesne produkty informatyczne osiągnęły bardzo wysoki poziom złożoności. Obecnie przeciętny producent korzysta z dużej liczby gotowych komponentów (biblioteki oprogramowania) i zaawansowanych narzędzi do generowania oprogramowania i systemów informatycznych. Produkcja systemów informatycznych od zera pod kontrolą pojedynczego producenta jest sytuacją zupełnie wyjątkową. Jest to nieuniknione, ze względu na wysoki poziom zaawansowania w wielu dziedzinach informatyki i nieuchronną specjalizację. Co więcej, ze względów ekonomicznych powszechna jest praktyka powierzania części zadań podwykonawcom, szczególnie w sytuacji, gdy zadania są standardowe, lecz pracochłonne. Zazwyczaj kontrola nad produktem dostarczonym przez podwykonawcę ogranicza się do sprawdzenia, czy zaimplementowane są zamówione funkcjonalności. Nie jest powszechną praktyką sprawdzanie, czy dostarczony produkt nie realizuje dodatkowych (w tym nieudokumentowanych) funkcjonalności. Zbadanie, czy dodatkowych funkcjonalności nie zaimplementowano (choćby ze względów produkcyjnych) jest kosztowne, a koszt może być niewspółmiernie wysoki w stosunku do kosztu wyprodukowania analizowanego oprogramowania. Bardzo często mamy do czynienia z łańcuchem wykonawców - dostarczycieli produktów - i trudno nawet wskazać autora konkretnego fragmentu oprogramowania. Jest to tym trudniejsze, że końcowy produkt powstaje często poprzez automatyczne przetworzenie z komponentów tworzonych przez różnych wytwórców. Przez takie złożenie różnych komponentów mogą powstawać luki bezpieczeństwa historia ostatnich dziesięcioleci zna wiele spektakularnych problemów powstałych właśnie na styku różnych (bezpiecznych) komponentów. Komponenty typu black box Wiele produktów informatycznych ma postać tzw. czarnej skrzynki. W przypadku takim znana jest specyfikacja wykonywanych funkcji (lub co najmniej ich części), zaś zasady i sposób działania samego produktu pozostają nieujawnione. Informacje 9

14 te są tajemnicą wytwórcy i są objęte ochroną w ramach prawa autorskiego (w zakresie zdefiniowanym dla programów komputerowych). Wszelkie czynności zmierzające do zrozumienia sposobu działania owego produktu bez zgody właściciela praw autorskich są nielegalne. Co więcej, prawo autorskie przewiduje poważne konsekwencje karne i odszkodowawcze (wobec właściciela praw autorskich) w przypadku analizy programów komputerowych, o ile analiza ta przekracza zakres wynikający z tzw. normalnego użytkowania zgodnie z przeznaczeniem produktu. Komponenty softwarowe typu black box dostarczane są w postaci skompilowanego kodu. Utrudnia to w znacznym stopniu analizę sposobu działania programu. Z tego względu formułowane jest często żądanie dostarczania produktu w wersji nieskompilowanej. Dostarczenie kodu źródłowego nie ma jednak tak wielkiego znaczenia jak kiedyś. Po pierwsze, duży postęp odnotowano w zakresie technik dekompilacji, tj. przetwarzania kodu wykonywalnego do zapisu programu w językach wysokiego poziomu łatwiejszego do analizy. Po drugie, dostarczenie kodu źródłowego nie oznacza zezwolenia na wykonywanie operacji analizy kodu za pomocą narzędzi informatycznych - operacje takie objęte są majątkowym prawem autorskim. Kompilatory Poprawność kodu źródłowego, spełnienie warunków bezpieczeństwa nie gwarantuje, że otrzymany z niego kod wykonywalny posiada te same własności. Teoretycznie, kod wykonywalny ma działanie równoważne do programu nieskompilowanego. Jednak każdy kompilator jest jedynie translatorem z jednego języka programowania na inny język programowania. Translacja nigdy nie jest wierna, a sytuację komplikują bardzo znacznie na przykład procedury optymalizacji kodu. W konsekwencji, sposób działania programu ma zapewniać ten sam wynik końcowy, ale nie musi on być uzyskiwany w dokładnie ten sam sposób. Co więcej, kompilator dodaje wiele szczegółów (takich jak gospodarka pamięcią), które mogą być kluczowe dla bezpieczeństwa wytworzonego kodu i podatności na ataki. W ekstremalnych przypadkach, w trakcie kompilacji mogą być wyeliminowane mechanizmy bezpieczeństwa zaprojektowane w programie źródłowym - właśnie ze względu na optymalizacje prowadzoną pod kątem efektywności działania. Kompilatory są nadzwyczaj zaawansowanymi narzędziami, w dużej mierze postęp w produkcji systemów informatycznych polega na przesunięciu zadań: zamiast wykonywać wiele czynności programistycznych ręcznie są one wykonywane automatycznie przez kompilatory. 10

15 Ze względu na zaawansowanie technologiczne oraz korzystanie z kodu zawartego w bibliotekach oprogramowania (włączanych do tworzonego kodu w trakcie translacji), kontrola nad działaniem kompilatora jest coraz trudniejsza - miejsc do ukrycia zapadek staje się coraz więcej. System operacyjny Współczesne systemy operacyjne powstawały w ramach ewolucji determinowanej w dużej mierze przez czynniki marketingowe. Aspekty bezpieczeństwa dopiero w ostatnich latach zaczęły być istotnym elementem projektowania systemów operacyjnych. Mimo tego wciąż trudno traktować systemów operacyjnych jako produktów godnych całkowitego zaufania: wiele decyzji co do filozofii budowy systemu trudno jest odwrócić, ze względu na kompatybilność ze starszymi produktami, przyzwyczajenia użytkowników i uwarunkowania rynkowe, zakładane jest pełne zaufanie do producenta, brak mechanizmów szerokiej i kompleksowej kontroli deklarowanych mechanizmów bezpieczeństwa. W praktyce jedynymi systemami operacyjnymi, dla których prowadzi się systematyczną kontrolę pod względem bezpieczeństwa, są systemy dla kart chipowych. 5. Możliwości audytu kodu Problemy nierozstrzygalne Trudność w badaniu kodu związana jest z fundamentalnymi ograniczeniami natury matematycznej. Okazuje się, że odpowiedź na wiele bardzo istotnych pytań dotyczących własności programów należy do kategorii tzw. problemów nierozstrzygalnych. Dla problemu nierozstrzygalnego nie istnieją (i nigdy nie będą istniały) programy odpowiadające na pytania o spełnianiu własności sformułowanej w problemie. Sytuacja jest w pewnym stopniu analogiczna do zagadnienia perpetum mobile. Niestety, wśród zagadnień nierozstrzygalnych jest wiele fundamentalnych pytań związanych z własnościami wykonywania programów. Jednym z klasycznych zagadnień nierozstrzygalnych jest odpowiedź na pytanie, czy dwa programy dają dokładnie ten sam wynik działania. 11

16 Z opisanych powodów analiza własności programów musi być dokonywana w dużym stopniu ręcznie z uwzględnieniem specyficznych własności przedstawionego kodu. Narzędzia programistyczne mogą stanowić istotną pomoc, ale nie należy oczekiwać w pełni automatycznego przebiegu tego procesu. Open source Przyjęcie formuły open source jest traktowane niekiedy jako gwarancja uzyskania bezpieczeństwa i poprawności produktów software owych. Dostęp do kodu źródłowego niewątpliwie ułatwia analizowanie kodu, jednak nie oznacza to, że analiza kodu jest łatwa, tania i nie wymaga specjalistycznych umiejętności. Oczywiście, pada argument, że dowolna osoba może przystąpić do analizy, jednak jest to możliwość w znacznej mierze teoretyczna, gdy kod jest skomplikowany i jego zbadanie związane jest z wysokim kosztem i nakładem pracy. Zrozumienie sposobu działania kodu (przynajmniej na poziomie programu źródłowego w języku wysokiego poziomu) jest możliwe, o ile producent kodu zaopatruje kod w odpowiednie komentarze oraz stosuje techniki takie jak invariants - polegające na sformułowaniu niezmienników dla poszczególnych pętli. O ile niezmienniki są dobrze sformułowane pozwala to wyprowadzić określone własności na wyjściu z pętli. Jednak w przypadku producenta pragnącego wbudować w oprogramowanie zapadki mamy do czynienia z sytuacją dokładnie odwrotną: kod pisany jest w taki sposób, by utrudnić jego zrozumienie w sposób pozwalający na wykrycie zapadek. W takiej sytuacji nawet sformułowanie odpowiednich hipotez dotyczących sposobu działania programu może być niezwykle trudne i kosztowne. Dostępność kodu należy traktować jako warunek konieczny. Oczywiście należy pamiętać o tym, że zazwyczaj produkty o bardzo niskiej jakości, które bezwzględnie nie powinny być stosowane do e-wyborów, osłonięte były tajemnicą producenta. Ostatni spektakularny przykład analizy maszyn do głosowania stosowanych w Indiach (i aresztowanie współautora analizy) wskazuje, że dostępność szczegółowych informacji o budowie systemu jest warunkiem wstępnym eliminującym rozwiązania całkowicie niedopuszczalne. Jak widzimy opublikowanie kodu źródłowego nie jest tożsame z możliwością dokonania analizy sposobu działania oprogramowania. Przedstawienie kodu służy jednak z pewnością zabezpieczeniu dowodów w ewentualnych procesach karnych przeciwko producentowi i zniechęcać go do ukrycia niepożądanych funkcjonalności. Z pewnością upublicznienie kodu przeci- 12

17 wdziała nieudolnym implementacjom (takim, jakie stosowane były np. w USA). Z drugiej strony nie chroni to przed wyrafinowanym przeciwnikiem, bowiem problemy mogą tkwić nie w samym kodzie źródłowym, lecz procesie kompilacji, czy zgodności kodu źródłowego z kodem wykonywalnym. Wiele nieporozumień związanych jest z samą definicją pojęcia open source. Licencje typu open source w wersji wprowadzonej przez Open Source Initiative (OSI) nie pozwalają na dowolne wykorzystanie oprogramowania. W istocie najistotniejszą cechą jest zakaz komercjalizacji. Inne postanowienia, takie jak nieograniczone prawo do modyfikacji kodu i jego rozwoju, raczej utrudniają badanie oprogramowania - wynikowy program jest wynikiem działania wielu twórców nie powiązanych inaczej niż zasadami licencji open source. Ich odpowiedzialność jest również iluzoryczna. 6. Certyfikacja Podstawowym modelem badania bezpieczeństwa produktów informatycznych pod względem ich bezpieczeństwa są tak zwane Common Criteria. Proces badania produktu rozpoczyna się od sformułowania profilu ochrony - protection profile. Protection profile jest zamkniętą listą własności, sformułowanych jak najbardziej konkretnie mając na uwadze postulowane (na przykład przez przez przepisy prawa) cechy produktu informatycznego. Proces udzielania certyfikatu dla określonego produktu polega na sprawdzeniu na podstawie przedłożonej dokumentacji, czy posiada on własności określone w protection profile. Wydawany certyfikat wskazuje na protection profile, dla którego przeprowadzono badanie produktu. Rzetelność procesu certyfikacji ma być gwarantowana przez niezależność instytucji certyfikującej od producenta. Formułowane przez prawo warunki wykluczają możliwość prowadzenia certyfikacji w sytuacjach oczywistych zależności pomiędzy certyfikującym a producentem, jednak nie są w stanie przewidzieć całej złożoności tego typu powiązań. Proces certyfikacji polega w ostateczności na sprawdzeniu tzw. checklist w odniesieniu do produktu. Sprawdzenie może być dokonywane na różnym poziomie zaufania - poziomy te nazywane są EAL. Im wyższy jest poziom EAL tym lepiej. Nadanie określonego poziomu wynika z tego, jaki rodzaj dokumentacji przedstawiono do oceny. Dokumentacja ta może zawierać nieformalną argumentację na temat poprawności metody, dowód formalny, ale również 13

18 tylko wskazanie na profesjonalną organizację procesu produkcji. W przypadku produktów, dla których poziom bezpieczeństwa jest zagadnieniem kluczowym, regułą powinno być wymaganie w przypadku krytycznych komponentów co najmniej nieformalnego uzasadnienia bezpieczeństwa produktu. Tym samym powinien być wymagany poziom co najmniej EAL5. W dotychczasowej praktyce niewiele jest jednak produktów o kluczowym dla bezpieczeństwa znaczeniu, dla których przeprowadzono certyfikację na poziomie EAL5 lub wyższym. Jednym z produktów, dla których dostępne są rozwiązania EAL5, są komponenty urządzeń do składania podpisu elektronicznego. Brak jest jednak bardziej skomplikowanych produktów (na przykład systemów operacyjnych) certyfikowanych do tego poziomu. Różnica pomiędzy EAL4+ a EAL5 jest ogromna i dla przykładu stworzenie w pełni funkcjonalnego systemu operacyjnego certyfikowanego do poziomu EAL5 wydaje się być ekonomicznie i technicznie niewykonalne. W praktyce instytucja certyfikacji jest nadużywana. Po pierwsze, certyfikaty mogą odnosić się do własności nieistotnych z punktu widzenia zastosowań rozważanego produktu. Po drugie, zakres protection profile może być zbyt ograniczony by zapewnić rzeczywisty poziom bezpieczeństwa. 7. Wrogi kod Metod zaszywania wrogich funkcjonalności w oprogramowanie jest wiele. Najprostsza do zastosowania jest tak zwana obfuskacja. Polega ona na zaciemnieniu sposobu działania oprogramowania na przykład poprzez zmianę pętli napisanych w języku wysokiego rzędu przez dynamiczne struktury programowe, trudne do automatycznej dekompilacji i odtworzenia kształttu pętli bez analizy działania programu. Obfuskacja stosowana jest ze zmiennym szczęściem do ukrywania zasady działania oprogramowania, jako techniczny środek ochrony praw autorskich. Zaznaczyć jednak należy, że w przypadku ochrony własności intelektualnej do złamania ochrony dochodzi już wtedy, gdy sposób działania oprogramowania zostaje z grubsza poznany, w sposób zapewniający możliwość stworzenia podobnego produktu. W przypadku ukrywania wrogich komponentów w programie, wrogi kod może być bardzo krótki i może pozostać niezauważony nawet przy zaawansowanej analizie obfuskowanego kodu. Drugie z poważnych zagrożeń polega na stosowaniu losowych parametrów w trakcie wykonywania protokołów z udziałem co najmniej dwóch uczestników. Ciągi deklarowane jako losowe 14

19 w istocie mogą zawierać zręcznie zaszyfrowane wiadomości, które mogą być odczytane jedynie przez posiadaczy odpowiednich kluczy. W przypadku stosowania do tego celu kryptografii asymetrycznej tak zbudowany kanał pozostaje bezużyteczny dla osób trzecich nawet w przypadku odkrycia pełnej zawartości wrogiego kodu wraz z używanymi tam kluczami kryptograficznymi. Drugie z zagrożeń związanych z losowymi parametrami powstaje w przypadku protokołów kryptograficznych. To, że są one bezpieczne w przypadku zastosowania źródła idealnie losowego, nie gwarantuje bezpieczeństwa w przypadku odstępstw od idealnej losowości. Okazuje się, że dla wielu podstawowych algorytmów obniżenie bezpieczeństwa może być dramatyczne. Gdy w protokole wykorzystujemy urządzenia typu czarnej skrzynki, to w istocie ślepo zdajemy się na własności generatora losowości. Nawet gdy wyjście z generatora losowego jest dostępne do analizy, z wyjątkiem bardzo poważnych odstępstw nie jest możliwe efektywne testowanie takich urządzeń. Wiarygodne są jedynie wyniki negatywne (np. poprzez zastosowanie testów NIST). W szczególności, wielu rozwiązań dostarcza sama kryptografia: pozwala ona na zbudowanie takich generatorów, których wyjście jest praktycznie nieodróżnialne od losowego bez znajomości tajnego klucza. Wspomniane powyżej użycie tzw. wrogiej kryptografii nie jest ograniczone do wyjścia z generatorów parametrów losowych. Można się nią posługiwać w praktycznie każdym przypadku, gdy protokoły używają parametrów losowych - nawet gdy pozostają one ukryte. Zagrożenie to dotyka prawie każdego analizowanego przez nas algorytmu, zaś zainfekowanie kodu polega zwykle na modyfikacji niewielkiej liczby linii kodu. Wytwórcy produktów informatycznych stosujących narzędzia kryptograficzne nie oferują obecnie prawie żadnych mechanizmów obronnych w tym zakresie. W szczególności dotyczy to urządzeń do składania podpisu elektronicznego. 15

20 Część III. Weryfikowalność Sprawdzenie poprawności działania programu komputerowego jest właściwie niemożliwa. W szczególności bardzo trudno jest powiedzieć jakie działania wykonują elektroniczne maszyny wyborcze, których są dziesiątki. Wynika to nie tylko z powodów opisanych w poprzednim rozdziale. Problem jest logistyczny maszyny te pomiędzy wyborami znajdują się w różnych punktach wyborczych, co więcej zazwyczaj są pozostawione są bez nadzoru (są na przykład składowane w obiektach administracji publicznej). Z taką sytuacją borykają się wszystkie demokracje korzystające z tego typu rozwiązań. Przy okazji ponownego wykorzystania sprzętu w kolejnych wyborach należałoby sprawdzić dokładnie każdą z maszyn z osobna: zarówno oprogramowanie jak i specyfikację sprzętową. W obliczu niemożliwości wykonania takiego sprawdzenia, należy traktować maszynę wyborczą jako czarną skrzynkę i przyjąć, że: możemy jedynie sprawdzić jakie są dane: wejściowe i wyjściowe, nie jesteśmy sprawdzić w jaki sposób maszyna prowadzi obliczenia. Na szczęście takie założenia (odpowiadające praktyce i zdrowemu rozsądkowi) nie przeszkadzają w projektowaniu rozwiązań, które gwarantują rzetelność wyników wyborów. Schematy uwzględniające powyższe założenia, które jednocześnie zapewniają możliwość wykazania poprawności zliczania głosów nazywamy weryfikowalnymi systemami wyborczymi (end-to-end verifiable voting schemes). To czy dany system wyborczy jest weryfikowalny dowodzi się poprzez rozbicie procesu wyborczego na poszczególne etapy. Analizuje się całą drogę, którą przebywa głos od momentu złożenia przez wyborcę do momentu, gdy zostanie uwzględniony w wynikach wyborów. Latem 2010 roku została zaproponowana metodologia dokonywania takiego sprawdzenia przez grupę naukowców pracujących w NIST (National Institute of Standards and Technology, amerykańska agenda rządowa) [24]. Zaproponowany przez nich sposób może stanowić element obiektywnej i wiarygodnej oceny schematów wyborów elektronicznych. Wartym podkreślenia jest fakt, że jest to podejście gwarantujace osiągnięcie oczekiwanego efektu, którym jest uzyskanie wyników wyborów odpowiadających zamiarom głosujących. Ponadto osiągane 16

21 jest to niezależnie od implementacji czy od konfiguracji sprzętu. Co więcej wymagania te wymuszają w szczególności odporność na ataki wirusowe mogące prowadzić do utraty integralności 2. Dzieje się tak dlatego, że wymagania ( certyfikacyjne ) odnoszą się do samego protokołu wyborczego a nie jego realizacji programistycznej. Zaproponowane kryteria są ogólne, nie zależą od konkretnej realizacji protokołu wyborczego (papierowy/elektroniczny, zdalny/w lokalu wyborczym, oraz tego czy schemat wykorzystuje kryptografię, itp.). O elektronicznym systemie wyborczym powiemy, że jest weryfikowalny jeżeli spełniony jest każdy z następujących warunków: 1. Zaprezentowana karta wyborcza jest poprawna (oryg.: presented ballots are well-formed) w szczególności: prezentacja opcji dostępnych dla wyborcy jest taka sama jak opcje, które będą odczytane przez system. 2. Wysłany głos jest poprawny (oryg.: cast ballots are well-formed) w szczególności odpowiadająca mu reprezentacja (czy to papierowa czy elektroniczna, np. kryptogram) nie zawiera dodatkowych głosów bądź głosów ujemnych. 3. Głos zapisany przez system jest taki sam jak głos wysyłany (oryg.: recorded as cast) w szczególności: głos wysłany przez wyborcę jest tym samym, który został zapisany przez system wyborczy. 4. Głosy są policzone zgodnie z zapisaniem ich w systemie (oryg.: tallied as recorded). 5. Spójność (oryg.: consistency) w szczególności: zbiór głosów poddanych sprawdzeniu recorded as cast jest taki sam jak zbiór głosów poddany sprawdzeniu tallied as recorded. 6. Każdy głos zapisany przez system wyborczy jest poddany sprawdzeniu zapisany jak wrzucony (recorded as cast) (oryg.: each recorded ballot is subject to the recorded as cast check) w szczególności: wszystkie głosy uwzględnione w wynikach końcowych mogły być poddane sprawdzeniu przez co najmniej jednego głosującego. Ponadto, nałożone jest jeszcze dodatkowe kryterium, które może się różnić w zależności od badanego systemu wyborczego: jeżeli jakakolwiek procedura w schemacie wyborczym musi 2 Należy jednak pamiętać, że zła implementacja jak i nieprzestrzeganie procedur może wpłynąć na tajność wyborów. 17

22 być wykonana w celu uzyskania integralności wyników głosowania, to system musi zapewniać możliwość sprawdzenia czy system rzeczywiście postąpił zgodnie z tą procedurą. Wyborca powinien mieć możliwość dostarczenia publicznie weryfikowalnego dowodu, że dany system nie postąpił zgodnie z procedurą (o ile coś takiego rzeczywiście miało miejsce). Metodologia NIST [24] pozwala na rozbicie zadania oceny systemu do składania głosów na mniejsze pod-zagadnienia, a tym samym czyni ocenę łatwiejszą do przeprowadzenia. Spójny katalog własności pozwala na uniknięcie przeoczenia krytycznych dla bezpieczeństwa aspektów ocenianego systemu. 18

23 Część IV. E-głosowanie na świecie W niniejszym rozdziale przedstawimy najciekawsze 3 naszym zdaniem przykłady głosowania (zdalnego jak i w lokalach wyborczych). Zaczniemy od przedstawienia systemu estońskiego, oferującego szeroki wachlarz form oddawania głosów, w tym i głosowania przez Internet (przykład niewarty naśladowania). Następnie omówimy planowany w Norwegii system internetowy. Na końcu przybliżymy jedno z rozwiązań stosowanych w Stanach Zjednoczonych. 8. Estonia Estonia dopuszcza wiele metod oddawania głosów [13]. Domyślną jest głosowanie w lokalu wyborczym, w miejscu zamieszkania. Wyborcy mogą jednak uzyskać zezwolenie na głosowanie w miejscu pobytu, w dniu wyborów (procedura analogiczna do polskiej). Estonia stosuje też wczesne głosowanie (early voting) wyborcy mogą oddawać głos na sześć do czterech dni przed wyborami w lokalu odpowiednim dla miejsca zamieszkania bądź też uzyskać zezwolenie na oddanie wczesnego głosu w miejscu pobytu. Dla osób czasowo bądź stale przebywających poza granicami przewidziano możliwość głosowania w ambasadach i konsulatach. Takie głosowanie trwa 2 dni, jednakże w odróżnieniu od Polski takie głosowanie odbywa się na 15 do 10 dni przed terminem wyborów. Głosowanie przez Internet prawo Od 2005 roku w Estonii dopuszczono możliwość głosowania przez Internet. Wykorzystując tę formę głosowania, można oddawać głosy przez okres 7 dni, okres ten kończy się na 4 dni przed datą wyborów. Wyborcy mogą oddać głos drogą internetową dowolną liczbę razy, mogą również unieważnić głos elektroniczny poprzez oddanie papierowego głosu podczas trzech dni wczesnego głosowania. W 2005 roku, Sąd Najwyższy wydał postanowienie, że powyższa zasada odpowiednio wypełnia prawo wyborcze, w szczególności wymaganie tajności głosowania, narzucone przez konstytucję. 3 Najciekawsze nie jest równoznaczne z warte naśladowania. 19

24 Bezpieczeństwo systemu wyborczego opiera się na dokumentach tożsamości, które wspierają protokoły elektronicznej identyfikacji i autentykacji. Nowością w tegorocznych wyborach było możliwość oddawania głosów za pomocą telefonów komórkowych wyposażonych w specjalne karty SIM. Głosowanie przez Internet technologia Wyborcy oddają głosy za pomocą komputerów. Te, szyfrują wybór za pomocą klucza publicznego Komisji Wyborczej. Następnie, z wykorzystaniem elektronicznego dowodu kryptogramy zostają podpisane. Po zakończeniu głosowania z puli głosów zostaną usunięte te z nich, które zostały nadpisane poprzez złożenie nowszego głosu bądź unieważnione poprzez oddanie głosu w lokalu wyborczym. Kolejnym krokiem jest usunięcie podpisów cyfrowych z pozostałych do liczenia kryptogramów (ich pozostawienie pozwalałyby na przypisanie głosu do wyborcy). Kryptogramy głosów przeznaczone do zliczenia są nagrywane na nośnik pamięci i przenoszone do niepodłączonej do sieci stacji, obliczającej wynik głosowania (Vote Counting Application). Zagrożenia Wykorzystywany system nie został poddany procesowi certyfikacji. Jego kod źródłowy jest zamknięty, choć dopuszcza się możliwość udostępnienia źródeł części serwerowej. Jednak sam kod aplikacji wyborczej nie zostanie upubliczniony z uwagi na niebezpieczeństwo tworzenia jego podrobionych wersji. Powyższe niebezpieczeństwo obrazuje dokładnie słabość estońskiego rozwiązania. Głównym zagrożeniem dla systemu jest komputer wyborcy. System nie jest tak na prawdę przygotowany na jakikolwiek atak mogący: zagrozić tajności głosowania komputer wie jak głosuje wyborca, wirus może przekazać tę informację, zagrozić integralności głosowania komputer może w niewykrywalny sposób zmienić wybór głosującego. System estoński odpowiada na zagrożenia związane ze sprzedażą głosów. Co prawda za pomocą prostego oprogramowania można masowo starać się online kupować głosy. Jednakże wyborca może kupującego oszukiwać i następnie wysłać inny głos kasujący poprzedni lub głosować osobiście. 20

25 Duże zagrożenia kryją się w samym sposobie liczenia głosów złożonych drogą elektroniczną. W odróżnieniu do procedur tradycyjnych, tajność opiera się wyłącznie na zaufaniu do komisji wyborczej. Co prawda procedura postępowania jest taka, że najpierw usuwane są podpisy wyborców a później głosy są deszyfrowane, jednak odstąpienie od tej procedury nieweryfikowalne dla wyborcy powoduje powiązanie każdego złożonego głosu z wyborcą. Stosowany w Estonii system nie jest weryfikowalny end to end auditable. W szczególności wyborca nie ma możliwości sprawdzenia, czy głos zapisany przez system jest taki sam jak głos przez niego wyklikany komputer może go dowolnie zmienić (problem ze spełnieniem warunków: recorded as cast, presented ballots are well formed definicji weryfikowalności systemów wyborczych). Wyborca nie może też mieć pewności, że nie nastąpiło ujawnienie jego głosu w trakcie zliczania. 9. Norwegia Specyfikacja systemu norweskiego uwzględnia zagrożenia, które obecne są w systemie estońskim. Wdrażany tam system będzie o znacznie bezpieczniejszy. Pierwszym zabezpieczeniem, uniemożliwiającym komputerowi zmianę głosu wyborcy jest przesłanie do wszystkich uprawnionych kart wyborczych z kodami. Kody te odpowiadają nazwiskom kandydatów, są wygenerowane w sposób losowy i niezależny dla każdej karty wyborczej z osobna. Kody są stosunkowo krótkie, ale wraz z numerem karty wyborczej pozwalają jednoznacznie określić na kogo został oddany głos. Wyborcy oddają głos za pomocą komputera, który szyfruje jego wybór a następnie podpisuje cyfrowo z użyciem elektronicznego dokumentu tożsamości. Głos trafia do elektronicznej urny, gdzie jest re-szyfrowany 4. Następnie zaszyfrowany głos jest przekazywany do systemu generującego potwierdzenie wyborcze. System ten wylicza wartość potwierdzenia, wysyła je na telefon komórkowy głosującego. re-szyfruje, przekazuje do puli głosów do policzenia. 4 Re-szyfrowanie jest operacją kryptograficzną nie zmieniającą zaszyfrowanego tekstu jednak zmieniającą postać kryptogramu w ten sposób, że jej związek z oryginalnym kryptogramem jest niewykrywalny bez znajomości klucza do deszyfrowania. 21

26 Wyborca sprawdza, czy przesłane potwierdzenie jest zgodne z kartą wyborczą jeżeli komputer zmieni głos, to wyborca jest w stanie to wykryć. Najpoważniejszą wadą systemu norweskiego jest możliwość udowodnienia przez wyborcę jak głosował: wystarczy porównać kartę wyborczą z otrzymanym potwierdzeniem. Z drugiej strony z podobną sytuacją mamy do czynienia w sytuacji szeroko akceptowanych wyborów listowych, gdy wyborca sfotografuje swój głos. Z drugiej strony, podobnie jak w Estonii rozwiązanie norweskie dopuszcza możliwość odwołania elektronicznego głosu. Dzięki temu zapobiega się w pewnym stopniu wymuszeniom i sprzedaży głosów kupujący/wymuszający nie może być pewien, że dany głos nie zostanie nadpisany. Obecnie główną przeszkodą we wprowadzeniu głosowania przez internet w Norwegii jest brak elektronicznych dowodów tożsamości. 10. Stany Zjednoczone W Stanach Zjednoczonych wybory federalne przeprowadzane są zgodnie z wytycznymi narzuconymi przez poszczególne stany, natomiast o formie wyborów lokalnych decydują poszczególne hrabstwa i miasta. Skutkuje to ogromnym zróżnicowaniem wykorzystywanych technik wyborczych i chaosem. Większość stanów USA umożliwia zarówno głosownie pocztowe jak i głosowanie w lokalu wyborczym. Co ciekawe, w czterech stanach (Waszyngton mln mieszkańców, Oregon 3.4 mln mieszkańców, Maryland 5.7 mln, New Jersey 8.8 mln) jedyną formą głosowania wczesnego jest głosowanie listowe. W wielu jurysdykcjach stosowane są maszyny wyborcze i to pomimo zagrożeń, które ze sobą niosą. Rozwiązania takie są jednak w odwrocie od momentu przyjęcia raportu [11], wykonanego na zlecenie sekretarz stanu Kalifornia, który w druzgocący sposób punkt po punkcie wytykał wszystkie błędy projektowe i implementacyjne wykorzystywanych maszyn wyborczych. Władze miasta (i hrabstwa) San Francisco poprosiły o publiczne komentarze do dokumentu [14]. W dokumencie tym określone są wymagania jakie powinien spełnić system, który ma zastąpić maszyny wyborcze. W szczególności zwraca się uwagę na weryfikowalne systemy wyborcze takie jak wykorzystany w Takoma Park system Scantegrity [8]. W 2009 roku przeprowadzono pierwsze wiążące wybory z wykorzystaniem weryfikowal- 22

27 nego systemu wyborczego (Takoma Park w stanie Maryland, wykorzystano wspomniany wyżej system Scantegrity). Wyborcy oddają głos na papierowych kartach wyborczych, na których część informacji wydrukowana jest niewidzialnym atramentem. Po zaznaczeniu specjalnym markerem kod potwierdzający staje się widoczny. Wyborca może przepisać kod a następnie sprawdzić na stronie internetowej, czy został on zapisany w systemie. Karty wyborcze są skanowane, a specjalna procedura zapewnia, że kody potwierdzające zostają przypisane jako głosy odpowiednim kandydatom. W razie jakichkolwiek wątpliwości głosy mogą być ponownie przeliczone ręcznie. W listopadzie 2011 przeprowadzone zostaną kolejne wybory lokalne w Takoma Park. Tym razem oprócz oryginalnego systemu Scantegrity zostanie wykorzystane jego modyfikacja pozwalająca głosować osobom niewidomym w lokalu wyborczym (z użyciem komputera) przy zachowaniu własności weryfikowalności dla procesu głosowania. Ponadto zamiast tradycyjnego głosowania pocztowego zostanie zastosowane głosowanie, w którym wyborcy otrzymywać będą papierowe karty wyborcze pocztą (karty systemu Scantegrity), natomiast odsyłać je będą przez internet. Głosowanie będzie bezpieczne: komputer wyborcy nie dowie się na kogo oddawany jest głos (wyborcy wprowadzają kody potwierdzające), głos nie zostanie zmieniony (zarówno przez komputer czy komisję wyborczą) wyborca może sprawdzić czy jego głos dotarł w niezmienionej formie do komisji wyborczej i w takim przypadku przesyła token, który spowoduje, że głos zostanie policzony. System wyborów zdalnych wykorzystany w Takoma Park z racji wykorzystanego protokołu zapewniającego weryfikowalność nie powinien powtórzyć kompromitacji, jaka spotkała rozwiązanie testowane przez Dystrykt Kolumbia w październiku 2010 [17]. 23

28 Część V. Podsumowanie Problemy Wielu kłopotów związanych ze stosowaniem elektronicznych systemów wyborczych można było uniknąć. Problemy z wdrożeniami tego typu systemów miały wiele źródeł. Pochopne decyzje. W wielu przypadkach decyzja o wykorzystaniu elektronicznych systemów wyborczych dokonywana była bez przygotowania fachowego zarówno zamawiającego jak i oferentów. Politycy podejmowali często decyzje pod wpływem konieczności wydatkowania przyznanych środków (akt HAVA [1] w Stanach Zjednoczonych) lub pod presją osiągnięcia pierwszeństwa. W wyniku pochopnych decyzji politycznych dostawcami rozwiązań zostawały firmy nieprzygotowane do oferowania tego typu systemów. Flagowym przykładem jest wspomniany wcześniej czołowy producent bankomatów, który zaczął dostarczać elektroniczne maszyny wyborcze (jedne z najbardziej skrytykowanych w raporcie [11]). Fałszywe założenia w zakresie bezpieczeństwa. W niektórych krajach zdawano sobie sprawę z trudności zaprojektowania bezpiecznego schematu wyborów elektronicznych, w związku z czym... budowa systemów oparta została o założenia usprawiedliwiające luki bezpieczeństwa. Dotyczy to na przykład Estonii, gdzie założono, iż nie ma możliwości zabezpieczenia przed oszustwami wyborczymi za pomocą wrogiego oprogramowania na komputerze wyborcy i konsekwentnie ignoruje się to zagrożenie 5. W wielu wypadkach instalowane były systemy, gdzie brak dostępu do istotnych informacji na temat mechanizmów bezpieczeństwa motywowany był właśnie względami bezpieczeństwa (security by obscurity), mimo jawnej sprzeczności z ogólnie przyjętymi zasadami. Życie pokazało, że rozwiązania tego typu obarczone były fundamentalnymi, szkolnymi błędami wskazującymi na brak profesjonalizmu wytwórcy ([11]). Stosowanie tego typu rozwiązań zostało zabronione 5 Założenie przyjęte w Estonii jest nieprawdziwe, co pokazują schematy: SureVote [6], SCV [22], Remotegrity [9]. 24

29 przez niemiecki Bundesverfassungsgericht ([4]). System ewaluacji. Przebieg procesu wyborczego poddawany jest ocenie, jednak ocena ta jest często iluzoryczna i stanowi raczej atrapę rzetelnego procesu ewaluacji. Dotyczy to w szczególności procedur stosowanych w Belgii (maszyny wyborcze i zliczanie głosów), Estonii (głosowanie zdalne), Austrii (wybory przedstawicieli studentów). Procedura kontroli polega nieraz na tak absurdalnych działaniach, jak okazanie kodu źródłowego komisji na kilka godzin, bez możliwości zastosowania żadnych narzędzi informatycznych (Austria). Ignorowane są faktyczne możliwości dokonywania oszustw wyborczych (Estonia, Francja) choćby przez stwierdzenie, że w poprzednich wyborach ataków hackerskich nie zauważono. Z drugiej strony organy odpowiedzialne za systemy wyborcze starają się wykazać należyty poziom bezpieczeństwa poprzez przedłożenie badań z audytów i certyfikatów wystawionych przez niezależne podmioty dla składników systemu e-votingu. Tradycyjne audyty i certyfikaty są pomocne w ocenie bezpieczeństwa systemów elektronicznych. Jednak nie dość, że odnoszą się zwykle do ograniczonej liczby aspektów, pomijają czynniki krytyczne i właściwe jedynie dla wyborów elektronicznych. Certyfikacja, z natury samego procesu odnosi się do profili bezpieczeństwa i bada zgodność produktu z profilem. W chwili obecnej brak jest opracowanych profili bezpieczeństwa dla e-votingu, oferowane certyfikaty dotyczą innych produktów. Co gorsza, dla wielu poziomów certyfikatów nie jest konieczne przedstawienie nawet nieformalnego dowodu spełniania określonych własności, zaś cały proces opiera się o badanie przedstawionych dokumentów, a nie stanu faktycznego Szanse Wsparcie ze strony naukowej. Początkowo środowisko naukowe nie zauważało problemu wyborów elektronicznych. Następnie, przez długi czas, nie było w stanie przedstawić rozwiązań/technik/specyfikacji itp. odpowiednich dla praktycznej implementacji systemów e- votingu. Proponowane rozwiązania były opierane na nierealistycznych założeniach dotyczących możliwości obliczeniowych głosującego. Sytuacja ta uległa w ostatnich latach znaczącej zmianie proponowane schematy wyborów dobrze modelują ludzkie możliwości. 25