Proč je elektronické hlasování pořád ještě špatný nápadTom Scott
5
Na téma elektronického hlasování a voleb přes internet Tom mluvil už v roce 2015 na kanálu Computerphile. V roce 2019 se k tomuto tématu opět vrací, tentokrát na svém vlastním kanálu, a zdůrazňuje, že ani stále známější blockchain a další nové technologie neřeší základní požadavky na úspěšné volby.
Přepis titulků
Před 5 lety jsem dělal video pro kanál Computerphile, proč elektronické hlasování není dobrý nápad. A pořád mi někdo píše s otázkami, jestli se to už nezměnilo. Tenhle nový nápad to může vyřešit. Elektronické hlasování už přece musí být za rohem. Ne. Ne, vážně není. Zkusím vysvětlit, proč je elektronické hlasování dál špatný nápad.
Základy Volby mají velmi nezvyklé nároky. Potřebují dvě věci, které se málem vylučují. Anonymitu a důvěru. Váš hlas by měl být naprosto anonymní, nikdo nesmí umět zjistit, koho jste volili. I po sečtení všech hlasů. Tím pádem vás nikdo nemůže podplatit nebo vydírat.
Když v Británii označíte lístek tak, že vás jde identifikovat, například ho podepíšete, tak se váš hlas nezapočítá. Proto se volební komisi nelíbí, když si lidé u voleb dělají selfie, protože by nemělo být zpětně dokazatelné, koho lidé volili. Jinak by mohla existovat daňová úleva pro voliče modrých nebo přístup na párty jen pro voliče žlutých nebo výhrůžky lidem, co nevolí červené.
Hlasování musí být anonymní. Druhý požadavek je naprostá transparentnost a důvěra. Systém musí zajistit, že je hlas bezpečně a přesně započítán, ale také musí být každému jasné, bez ohledu na jejich znalosti, že se tomu systému dá věřit. Když se používá papír, dáte hlasovací lístek do zapečetěné urny, ta se otevře až ve chvíli, kdy mají všichni zainteresovaní přítomného nějakého svého zástupce.
Urnu vždy mají hlídat lidé z více zúčastněných stran nebo aspoň být přítomní zapečetění před převozem. Voliči musí mít důvěru v to, že bude jejich hlas započítán, i když už lístek nikdy neuvidí a nejde je s ním zpětně spojit. A nemůžete tu důvěru vložit v jediného člověka, lidi lze podplatit nebo jim vyhrožovat nebo nejsou kompetentní nebo všechny tři věci najednou. Fyzické hlasování není dokonalé.
Lze ho kompromitovat, stalo se to. Ani systém v Británii nesplňuje ty dva požadavky bezchybně. Z nařízení soudu je možné identifikovat, který volič odevzdal který hlas, a někdy se to nejspíš stalo i mimo soudní systém. Ale já nechci říct, že je stávající systém dokonalý. Není. Ale útoky na něj není snadné škálovat. Papírový systém je starý celá staletí a za tu dobu už byl vyzkoušen snad každý možný druh podvodu a našla se proti němu obrana.
Čím více hlasovacích lístků chcete změnit, tím více lidí, času a peněz potřebujete a tím méně pravděpodobné je, že své spiknutí utajíte. Při volbách v Británii fungují tisíce volebních místností, kde pracují zástupy zaměstnanců, tisíce dobrovolníků… Změnit významné množství hlasů, tak aby to změnilo výsledky, je opravdu velmi obtížné. Lidé to zkoušeli, někteří za to byli odsouzeni, někomu to asi v nějakém rozsahu prošlo.
Podezřelé živly používají termín „sklízení babiček“ pro obcházení domovů důchodců, kde přesvědčí zranitelné seniory, aby jim dali plnou moc, že mohou volit za ně. Ano, v malém měřítku to funguje. Ale když chcete ten útok rozšířit, je to neskutečně složité a časově náročné a roste šance, že vás někdo odhalí.
U elektronického hlasování to tak není. Nejdřív budu mluvit o hlasovacích automatech. To znamená, že ve volební místnosti je počítač, lidé pořád volí za plentou, jen mačkají tlačítka, místo aby psali na papír. První problém: Důvěra v ten software a hardware. Teoreticky by hlasovací počítač mohl fungovat s open source softwarem, každý by se mohl podívat na zdrojový kód.
V praxi se to neděje. Bývá to uzavřený kód nahrávaný z USB flashky, kterou je snadné zavirovat, na počítač, který celé roky bez dozoru a občas i bezdůvodně připojený na internet někde ležel. A ten systém lze plně testovat pouze během probíhajících voleb, to samo o sobě je důvod, proč se elektronickému hlasování vyhnout. Ale řekněme, že kouzlem máme stabilní, bezpečný, otevřený software. Jak může volič důvěřovat tomu, že je ten software opravdu nainstalovaný na přístroji, který používá?
Možná by šel použít kontrolní součet nebo jiný systém, který zkontroluje, že ten software funguje. Ale to ten problém jen odsouvá. Musíte pak věřit tomu součtu, že nebyl zfalšován. A většina voličů nepochopí, co to je nebo proč by tomu měli věřit. V USA jsou hlasovací přístroje testovány pravidelně, každý rok v „hlasovací vesnici“ na DEF CONu, to je největší hackerský kongres.
Nejde o nic oficiálního. Hackeři dokázali změnit uložené hlasy, změnit lístky, co se ukazují voličům, a na jednom zařízení se jim podařilo rozběhnout hru Doom. Představte si, že místo přístroje by za plentou stál člověk, kterému pošeptáte, koho volíte. A on vám svatosvatě slíbí, že rozhodně váš hlas správně zaznamená a nechá sečíst. Ne, nemůžete se podívat, jak a kam to zaznamenává, nemůžete mu zavolat, zjistit, co a jak dělá, ale slibuje, že to určitě udělá.
S elektronickými přístroji je to velmi podobné. Říkají vám: Věř mi, tvůj hlas jsem započítal a rozhodně mě nikdo nezaviroval. Čestný skautský. Druhý problém je převoz hlasů. Jak ty hlasy dostanete z přístroje na místo sčítání? Jsou tři možnosti, buď převezete všechny přístroje, zapečetíte je a fyzicky je převezete z volební místnosti ke sčítání.
To nikdo nedělá. Nebo můžete výsledky stáhnout na nějakou USB flashku a odvézt tu. Stačí jeden přehmat a už máte jiné výsledky. Pokud navrhujete systém pro ověřování a zabezpečení počtu hlasů, zkuste to vysvětlit běžnému voliči tak, aby to pochopil a důvěřoval tomu. Dobře, možná by šlo ty hlasy poslat elektronicky přes internet.
To je optimistické. Útoky man-in-the-middle jsou obtížnější, ale nejsou nemožné. Hlavně když nemůžete důvěřovat softwaru. Navíc byste ta zařízení připojili přímo k internetu. A dobrovolně. To nás přivádí ke třetímu problému, centrální sčítací server. Na konci procesu je server, který hlasy sčítá a oznamuje finální výsledky. A má stejné problémy s důvěrou a verifikací jako jednotlivé hlasovací přístroje.
Ale teď k tomu počítači má přístup jen pár lidí. To platí i u sčítaček hlasů, které automaticky počítají stohy papírových lístků. Jak můžeme vědět, že tajně nemění hlasy? Žijeme ve světě, kde Volkswagenu roky procházelo to, že auta navrhoval tak, aby u testů emisí podváděla. A to ani nepočítáme uživatelské chyby.
Ve Skotsku zkoušeli elektronické hlasování a výsledky byly opraveny, když si pozorovatel všiml, že nedávají smysl a zastavil vyhlášení. Ukázalo se, že někdo zapomněl dojít na konec tabulky, aby přečetl správný sloupec s konečnými výsledky. A i když se vám hlasování narušit nepovede, důvěru narušíte snadno. Můžete zpochybnit přístroje nebo celý systém sčítání, stačí do zařízení strčit neznámou flashku, vyfotit to a dát na web.
Nebo tu fotku zfalšovat. Pro zmaření elektronické volby, nemusíte měnit hlasy, stačí vyvolat dost nedůvěry ve výsledky. To je u lístků a fyzických volebních uren mnohem složitější. A ani jsme se nedostali k tomu příšernému nápadu, že by lidé měli mít možnost hlasovat z domu pomocí telefonu nebo počítače. Jsem si jistý, že zařízení, na kterém vy osobně sledujete tohle video, je bez virů a aktualizované.
Ale můžete to říct u všech svých příbuzných? Svých sousedů? Přesná čísla se liší napříč průzkumy bezpečnostních firem, ale je jisté, že obrovské množství zařízení v sobě má nějaký virus. Spousta telefonů má staré operační systémy. A za to můžou jen podvodníci, kteří šíří botnety, představte si útok, který by mohl zorganizovat malý, dobře financovaný tým, za kterým stojí vláda nějakého státu.
Takový útok by se škáloval snadno. Stačí najít jednu mezeru v systému a je stejně náročné změnit jeden hlas jako změnit hlasů miliony. Takové spiknutí může zůstat úplně malinké. Dokonce ani nemusíte vkročit do země, jejíž volby nabouráváte. Jasně, najde se několik rozumných námitek.
Například, co takové Estonsko? Ano, v roce 2005 nabízelo Estonsko jako první na světě hlasování přes internet. V komunálních volbách, pak v celostátních a evropských. V roce 2019 tak hlasovalo přes 40 % voličů. To znamená skoro čtvrt milionu lidí. Na první pohled ten systém vypadá robustně. Voliči se prokazují státem vydávanou smart kartou nebo SIM kartou, ale jsou tam i problémy.
Nezávislá studie ukázala na chyby v zabezpečení procesů, softwarová architektura už je stará 10 let, tedy nebezpečně zastaralá, a hrozí kyberútoky od cizích mocností. Ať už využívají jednotlivé telefony, nebo narušují důvěru ve sčítací server. Další námitka často zní: Co nové technologie, co třeba blockchain?
Když vynecháme tu práci s vysvětlováním blockchainu a snahu přesvědčit lidi, aby té divné technologii věřili, že za to stojí, je to pořád jen databáze. Neřeší to problém důvěry v SW a HW, nemění to fungování toho rozhraní mezi úmyslem voliče a informací zapsanou v databázi. To se i tak musí vyřešit.
Když to vytiskne potvrzení o hlasování, tak to naruší anonymitu. Když to vytiskne zdánlivě náhodná čísla, naruší to důvěru, protože málokdo pochopí, co to znamená. Neříkám, že elektronické hlasování nemá své výhody. Jasně, že má. Třeba přístupnost, to je velmi důležité. U voleb menšího významu, pro menší skupiny, maličkosti, proč ne. Do toho! Ale když na výsledku závisí budoucnost celých národů, je elektronické hlasování pořád špatný nápad.
A pořád byste měli hlasovat proti. Dokud můžete. Překlad: jesterka www.videacesky.cz
Základy Volby mají velmi nezvyklé nároky. Potřebují dvě věci, které se málem vylučují. Anonymitu a důvěru. Váš hlas by měl být naprosto anonymní, nikdo nesmí umět zjistit, koho jste volili. I po sečtení všech hlasů. Tím pádem vás nikdo nemůže podplatit nebo vydírat.
Když v Británii označíte lístek tak, že vás jde identifikovat, například ho podepíšete, tak se váš hlas nezapočítá. Proto se volební komisi nelíbí, když si lidé u voleb dělají selfie, protože by nemělo být zpětně dokazatelné, koho lidé volili. Jinak by mohla existovat daňová úleva pro voliče modrých nebo přístup na párty jen pro voliče žlutých nebo výhrůžky lidem, co nevolí červené.
Hlasování musí být anonymní. Druhý požadavek je naprostá transparentnost a důvěra. Systém musí zajistit, že je hlas bezpečně a přesně započítán, ale také musí být každému jasné, bez ohledu na jejich znalosti, že se tomu systému dá věřit. Když se používá papír, dáte hlasovací lístek do zapečetěné urny, ta se otevře až ve chvíli, kdy mají všichni zainteresovaní přítomného nějakého svého zástupce.
Urnu vždy mají hlídat lidé z více zúčastněných stran nebo aspoň být přítomní zapečetění před převozem. Voliči musí mít důvěru v to, že bude jejich hlas započítán, i když už lístek nikdy neuvidí a nejde je s ním zpětně spojit. A nemůžete tu důvěru vložit v jediného člověka, lidi lze podplatit nebo jim vyhrožovat nebo nejsou kompetentní nebo všechny tři věci najednou. Fyzické hlasování není dokonalé.
Lze ho kompromitovat, stalo se to. Ani systém v Británii nesplňuje ty dva požadavky bezchybně. Z nařízení soudu je možné identifikovat, který volič odevzdal který hlas, a někdy se to nejspíš stalo i mimo soudní systém. Ale já nechci říct, že je stávající systém dokonalý. Není. Ale útoky na něj není snadné škálovat. Papírový systém je starý celá staletí a za tu dobu už byl vyzkoušen snad každý možný druh podvodu a našla se proti němu obrana.
Čím více hlasovacích lístků chcete změnit, tím více lidí, času a peněz potřebujete a tím méně pravděpodobné je, že své spiknutí utajíte. Při volbách v Británii fungují tisíce volebních místností, kde pracují zástupy zaměstnanců, tisíce dobrovolníků… Změnit významné množství hlasů, tak aby to změnilo výsledky, je opravdu velmi obtížné. Lidé to zkoušeli, někteří za to byli odsouzeni, někomu to asi v nějakém rozsahu prošlo.
Podezřelé živly používají termín „sklízení babiček“ pro obcházení domovů důchodců, kde přesvědčí zranitelné seniory, aby jim dali plnou moc, že mohou volit za ně. Ano, v malém měřítku to funguje. Ale když chcete ten útok rozšířit, je to neskutečně složité a časově náročné a roste šance, že vás někdo odhalí.
U elektronického hlasování to tak není. Nejdřív budu mluvit o hlasovacích automatech. To znamená, že ve volební místnosti je počítač, lidé pořád volí za plentou, jen mačkají tlačítka, místo aby psali na papír. První problém: Důvěra v ten software a hardware. Teoreticky by hlasovací počítač mohl fungovat s open source softwarem, každý by se mohl podívat na zdrojový kód.
V praxi se to neděje. Bývá to uzavřený kód nahrávaný z USB flashky, kterou je snadné zavirovat, na počítač, který celé roky bez dozoru a občas i bezdůvodně připojený na internet někde ležel. A ten systém lze plně testovat pouze během probíhajících voleb, to samo o sobě je důvod, proč se elektronickému hlasování vyhnout. Ale řekněme, že kouzlem máme stabilní, bezpečný, otevřený software. Jak může volič důvěřovat tomu, že je ten software opravdu nainstalovaný na přístroji, který používá?
Možná by šel použít kontrolní součet nebo jiný systém, který zkontroluje, že ten software funguje. Ale to ten problém jen odsouvá. Musíte pak věřit tomu součtu, že nebyl zfalšován. A většina voličů nepochopí, co to je nebo proč by tomu měli věřit. V USA jsou hlasovací přístroje testovány pravidelně, každý rok v „hlasovací vesnici“ na DEF CONu, to je největší hackerský kongres.
Nejde o nic oficiálního. Hackeři dokázali změnit uložené hlasy, změnit lístky, co se ukazují voličům, a na jednom zařízení se jim podařilo rozběhnout hru Doom. Představte si, že místo přístroje by za plentou stál člověk, kterému pošeptáte, koho volíte. A on vám svatosvatě slíbí, že rozhodně váš hlas správně zaznamená a nechá sečíst. Ne, nemůžete se podívat, jak a kam to zaznamenává, nemůžete mu zavolat, zjistit, co a jak dělá, ale slibuje, že to určitě udělá.
S elektronickými přístroji je to velmi podobné. Říkají vám: Věř mi, tvůj hlas jsem započítal a rozhodně mě nikdo nezaviroval. Čestný skautský. Druhý problém je převoz hlasů. Jak ty hlasy dostanete z přístroje na místo sčítání? Jsou tři možnosti, buď převezete všechny přístroje, zapečetíte je a fyzicky je převezete z volební místnosti ke sčítání.
To nikdo nedělá. Nebo můžete výsledky stáhnout na nějakou USB flashku a odvézt tu. Stačí jeden přehmat a už máte jiné výsledky. Pokud navrhujete systém pro ověřování a zabezpečení počtu hlasů, zkuste to vysvětlit běžnému voliči tak, aby to pochopil a důvěřoval tomu. Dobře, možná by šlo ty hlasy poslat elektronicky přes internet.
To je optimistické. Útoky man-in-the-middle jsou obtížnější, ale nejsou nemožné. Hlavně když nemůžete důvěřovat softwaru. Navíc byste ta zařízení připojili přímo k internetu. A dobrovolně. To nás přivádí ke třetímu problému, centrální sčítací server. Na konci procesu je server, který hlasy sčítá a oznamuje finální výsledky. A má stejné problémy s důvěrou a verifikací jako jednotlivé hlasovací přístroje.
Ale teď k tomu počítači má přístup jen pár lidí. To platí i u sčítaček hlasů, které automaticky počítají stohy papírových lístků. Jak můžeme vědět, že tajně nemění hlasy? Žijeme ve světě, kde Volkswagenu roky procházelo to, že auta navrhoval tak, aby u testů emisí podváděla. A to ani nepočítáme uživatelské chyby.
Ve Skotsku zkoušeli elektronické hlasování a výsledky byly opraveny, když si pozorovatel všiml, že nedávají smysl a zastavil vyhlášení. Ukázalo se, že někdo zapomněl dojít na konec tabulky, aby přečetl správný sloupec s konečnými výsledky. A i když se vám hlasování narušit nepovede, důvěru narušíte snadno. Můžete zpochybnit přístroje nebo celý systém sčítání, stačí do zařízení strčit neznámou flashku, vyfotit to a dát na web.
Nebo tu fotku zfalšovat. Pro zmaření elektronické volby, nemusíte měnit hlasy, stačí vyvolat dost nedůvěry ve výsledky. To je u lístků a fyzických volebních uren mnohem složitější. A ani jsme se nedostali k tomu příšernému nápadu, že by lidé měli mít možnost hlasovat z domu pomocí telefonu nebo počítače. Jsem si jistý, že zařízení, na kterém vy osobně sledujete tohle video, je bez virů a aktualizované.
Ale můžete to říct u všech svých příbuzných? Svých sousedů? Přesná čísla se liší napříč průzkumy bezpečnostních firem, ale je jisté, že obrovské množství zařízení v sobě má nějaký virus. Spousta telefonů má staré operační systémy. A za to můžou jen podvodníci, kteří šíří botnety, představte si útok, který by mohl zorganizovat malý, dobře financovaný tým, za kterým stojí vláda nějakého státu.
Takový útok by se škáloval snadno. Stačí najít jednu mezeru v systému a je stejně náročné změnit jeden hlas jako změnit hlasů miliony. Takové spiknutí může zůstat úplně malinké. Dokonce ani nemusíte vkročit do země, jejíž volby nabouráváte. Jasně, najde se několik rozumných námitek.
Například, co takové Estonsko? Ano, v roce 2005 nabízelo Estonsko jako první na světě hlasování přes internet. V komunálních volbách, pak v celostátních a evropských. V roce 2019 tak hlasovalo přes 40 % voličů. To znamená skoro čtvrt milionu lidí. Na první pohled ten systém vypadá robustně. Voliči se prokazují státem vydávanou smart kartou nebo SIM kartou, ale jsou tam i problémy.
Nezávislá studie ukázala na chyby v zabezpečení procesů, softwarová architektura už je stará 10 let, tedy nebezpečně zastaralá, a hrozí kyberútoky od cizích mocností. Ať už využívají jednotlivé telefony, nebo narušují důvěru ve sčítací server. Další námitka často zní: Co nové technologie, co třeba blockchain?
Když vynecháme tu práci s vysvětlováním blockchainu a snahu přesvědčit lidi, aby té divné technologii věřili, že za to stojí, je to pořád jen databáze. Neřeší to problém důvěry v SW a HW, nemění to fungování toho rozhraní mezi úmyslem voliče a informací zapsanou v databázi. To se i tak musí vyřešit.
Když to vytiskne potvrzení o hlasování, tak to naruší anonymitu. Když to vytiskne zdánlivě náhodná čísla, naruší to důvěru, protože málokdo pochopí, co to znamená. Neříkám, že elektronické hlasování nemá své výhody. Jasně, že má. Třeba přístupnost, to je velmi důležité. U voleb menšího významu, pro menší skupiny, maličkosti, proč ne. Do toho! Ale když na výsledku závisí budoucnost celých národů, je elektronické hlasování pořád špatný nápad.
A pořád byste měli hlasovat proti. Dokud můžete. Překlad: jesterka www.videacesky.cz
Komentáře (0)