Wstępniak na nowy tydzień: po wyborczych niepewnościach pomyślmy o e‑wyborach
Ten wstępniak miał być o czymś innym, ale nie mogłem siępowstrzymać, podobnie pewnie jak i większość Polski w tychostatnich godzinach. Będzie więc o wyborach, ale bez obaw – niebędzie o polityce. Będzie o technice, w której osadzone sąprocedury demokratyczne, dostępie do informacji i przejrzystościmediów.
Wczorajszy wieczór spędziliśmy z moją lepszą połową nabasenie. Przed godziną 21 wielu ludzi nagle wybyło z basenów doszatni, by dostać się do swoich smartfonów i dowiedzieć się, ktowygrał. Informacja, że PKW o półtorej godziny przedłużyła tzw. „ciszęwyborczą” z powodu incydentu w jednej z komisji w niewielkiejmiejscowości spotkała się z bardzo żywą reakcją, jakiej dawnonie widziałem wśród obcych sobie przecież ludzi. Najczęstszekomentarze jakie słyszałem – „robią wałek”, „musządoliczyć głosy”, „prowokacja”. Nie inaczej było wkomentarzach publikowanych na najpopularniejszych portalachinternetowych. I choć takie oceny sytuacji nie miały żadnegouzasadnienia w faktach, pokazały mi jednak, jak ci „zwykli”obywatele nie dowierzają klasie politycznej czy instytucjom państwa,na każdym kroku oczekując z ich strony zakulisowych działań.Zasłona ciszy wyborczej, zamykającej mediom usta w tak ekscytującymspołeczeństwo momencie mogła tylko wzmocnić te postawy – tymbardziej, że w naszych pogrążonych w ekstazie komunikacjiczasach jest nie tylkobezsensowna, ale i niemożliwa.
Nie przesadzam. Informacje oczęściowych wynikach exit-polls wyciekały z sondażowni doniektórych dziennikarzy, a ci nie widzieli problemu w tym, by przezmedia społecznościowe informować „szyfrem” swoich czytelników.Z ćwierknięć na Twitterze mogliśmy się więc dowiedzieć już wgodzinach popołudniowych, że bigos po 44,8 zł, a budyń po 55,2złotego, na liście przebojów pierwsze miejsce dla hitu „Oh doodah day”… walcz z tym, Państwowa Komisjo Wyborcza, która jużnie raz ukazałaś swoją sprawność w organizowaniu wyborów.
I po co nam taka cisza wyborcza,odbierana przez wielu jako okazja dla zakulisowej gry cieni? Jestemostatni, by pochwalać demokrację jako ustrój, ale jeśli jużrobimy tę demokrację, róbmy to dobrze. Do tej pory byłemprzeciwnikiem stosowania rozwiązań informatycznych w systemachwyborczych, choćby ze względu na potencjalną łatwośćmanipulowania nimi, jak również to, że skazują nas one nakorzystanie z kasty ekspertów, matematyków i kryptografów –„zwykły” mąż zaufania komisji wyborczej, będący np.weterynarzem czy hydraulikiem, rozumie kartkę i długopis, zapewnenie rozumie kryptosystemów na bazie klucza publicznego, nie jest wstanie ocenić ich poprawności. Z drugiej jednak strony „zwykły”wyborca od momentu oddania głosu i tak nie ma żadnego rzeczywistegowglądu w obecny mechanizm wyborczy, nie jest w stanie zweryfikowaćtego, czy jego głos został policzony, jak głosy były sumowane,wszystko to dzieje się w sposób ukryty. Czy w imię większejprzejrzystości systemu wyborczego nie warto byłoby poświęcićjego przystępności dla tego „zwykłego” męża zaufania…szczególnie, że jego rola mogłaby stać się zbędna?
Zbiegiem okoliczności miałemostatnio okazję przeczytać artykuł poświęcony najbardziejzaawansowanemu systemowi e-votingu, jaki do tej pory widziałem.Opracowany przez brytyjskich informatyków Du-Vote jestwykorzystującym sprzętowy token wręczany wyborcom protokołemelektronicznego głosowania, który w elegancki sposób rozwiązujeproblem zaufania do procesu wyborczego na każdym z jego etapów, niewymagając przy tym żadnych specjalnie zabezpieczanych komputerów.Weryfikowalność wyborów zostaje zachowana nawet jeśli napastnicyprzejmą jednoczesną kontrolę nad terminalami wyborczymi (takżezwykłymi prywatnymi pecetami), nad siecią, nawet nad serweramizliczającymi głosy, zaś dla ocalenia poufności głosowaniawystarczy to, by przynajmniej jeden z elementów łańcucha niezostał przejęty. W ten sposób Du-Vote może działać w wiarygodnysposób nawet na zawirusowanych pecetach, czy też terminalachwyborczych, których firmware zostało nieco „ulepszone” – niemusimy tu nikomu w nic wierzyć. Poprawność oddania głosu jestweryfikowana przez serwer pomysłowym nieinterakcyjnym algorytmemtypu zero-knowledge, każdy wyborca może sprawdzić, czy jego głoszostał policzony, i czy jedynie uwierzytelnione głosy zostałyzliczone.
Niestety ceną bezpieczeństwa ipoufności przy gwarancji pełnej weryfikowalności wyborów jestzłożoność systemu, w którym wiedza o głosie zostaje rozproszonana wiele komponentów, z których każdy ma własne mechanizmybezpieczeństwa. I tak to komisja wyborcza ma swoją witrynęinternetową, zawierającą nazwiska kandydatów, jest teżodpowiedzialna za wydanie wyborcom sprzętowego tokenu, zawierającegotajną listę cyfr powiązanych z tymi nazwiskami. By zagłosować nakandydata Iksińskiego, wyborca wchodzi na stronę internetowąkomisji i wprowadza tam sekretny ciąg cyfr z tokenu. Nawet jeślinapastnik przejąłby kontrolę nad systemem tak, że wyborca myśląc,że głosuje na Iksińskiego, wskazywałby Ygrekowskiego, to wciążniezależność danych z tokenu sprawiałaby, że takie wskazaniebyłoby nieskuteczne.
A co, jeśli napastnik opanowałbydystrybucję tokenów i witrynę komisji wyborczej? I na to Du-Votema swój sposób. Używa do tego kolejnego fizycznego urządzenia owysokiej odporności na ataki informatyczne – monety, takiejzwykłej monety z orłem i reszką. Na stronie głosowania wyborcydostają dwie kolumny z losowymi ciągami cyfr i są proszeni o rzutmonetą. Rzut ten określa, która z kolumn cyfr powinna byćwprowadzona do tokenu. Nawet jeśli napastnik kontroluje i tokeny iserwer wyborczy, to nie kontroluje rzutu monetą, a przekazanie jakogłosu kodu wygenerowanego na podstawie cyfr z błędnej kolumnyspowoduje jego odrzucenie.
Jeśli jesteście zainteresowanialgebrą stojącą za Du-Vote, zapraszam do zapoznania się zartykułemDu-Vote: Remote Electronic Voting with Untrusted Computers.Ja tu tylko napiszę, że zdaję sobie sprawę z nierealnościwprowadzenia takiego systemu głosowania w jego obecnej formie – wsytuacji gdy wielu ludzi ma problemy z poprawnym zrobieniem znaku X wkratce, oczekiwanie, że będą oni korzystali ze sprzętowychtokenów i rzutów monetą do generowania kodów jest mało realne, ajednym z podstawowych założeń współczesnej demokracji jestprzecież to, że nawet wyborcy o inteligencji poniżej przeciętnejprawo do głosu mają. Z drugiej jednak strony z pokolenia napokolenie biegłość techniczna ludzi rośnie, a sam procesuwiarygadniania stosowany w Du-Vote może zostać uproszczony, np.przez wykorzystanie zamiast tokenu i monety odpowiedniej zaufanejaplikacji wyborczej dla smartfonów.
W każdym razie widać, żerozwiązania w zakresie elektronicznych wyborów stają się corazbardziej dojrzałe – i kwestia ich wdrożenia to dziś bardziejkwestia woli politycznej, niż problemów technicznych. Nie sądzę,by nasz kraj pierwszy zdecydował się za przyjęcie systemu takiegojak Du-Vote (pewnie zrobi to Estonia), ale czy musi zrobić to jakoostatni?
Po tej wyborczej ekscytacjipozostaje mi zaprosić Was do kolejnego tygodnia z naszym portalem.Jak możecie się spodziewać, tematem wiodącym będzie Google i toco Google robi, ale na pewno na tym nie skończymy. Obiecany wzeszłym tygodniu artykuł o pikselarcie już jest praktycznie gotowy(wzbogacił się o zrzuty ekranu), będziemy też mieli mieli dla Wasinteresujący „prezentownik” na Dzień Dziecka, testy ciekawegosprzętu i oczywiście interesujące newsy ze świata IT.
