hyodyllista > toiminta.effi

Ville Muikkula (27.08.2008, 13:15)
Seuraava teksti ei ole mikään julkaistu paperi, vaan pelkkä
harjoitustyö:

Etä-äänestäminen vaaleissa Internet-verkon kautta: tietoturvauhkia ja
vastatoimia

Ville Muikkula
Tietojenkäsittelytieteiden laitos
Oulun yliopisto
<vmuikkul>

Tiivistelmä

Internet-äänestämisellä voi olla saavutettavissa joukko mukavuuden ja
ajansäästön kaltaisia etuja, mutta siihen kohdistuu myös uhkia, jotka
voivat vaarantaa kansalaisten luottamuksen vaalijärjestelmän toimivuuteen.
Tässä artikkelissa tarkastellaan kirjallisuuslähteistä löydettyjä
Internet-äänestämiseen kohdistuvia uhkia ja niiden torjumiseen soveltuvia
vastatoimia. Sähköisillä vaalijärjestelmillä ja sähköisen kaupankäynnin
sovelluksilla on yhteisiä ongelma-alueita, mutta myös olennaisia
eroavaisuuksia esimerkiksi hyökkäystilanteista toipumiseen käytettävissä
olevien keinojen kannalta. Osaa uhkista ei voida teknisillä keinoilla
torjua. Internet-äänestämisen ja yleisemmin sähköisen etä-äänestämisen
kehittämisessä ja käyttöönotossa kannattaa edetä vaiheittain, jotta
mahdollisia kehityskohteita voidaan havaita ja ratkaista ilman
laajamittaisia ongelmia.

Avainsanat
Internet-äänestäminen, sähköinen etä-äänestäminen, tietoturva

1. Johdanto

Internet-äänestäminen on yksi sähköisen etä-äänestämisen menetelmä. On
kuitenkin huomattava, että myös äänestyspaikoilla on mahdollista soveltaa
samaa tekniikkaa. Jos Internet-äänestäminen otetaan tulevaisuudessa
käyttöön Suomessa, järjestely koskettaa periaatteessa kaikkia
äänioikeutettuja. Kyseessä on siten yhteiskunnallisesti merkittävä asia.

Sähköinen äänestäminen äänestyspaikalla erityisten äänestyskoneiden avulla
on järjestely, joka on yleinen esimerkiksi Yhdysvalloissa ja monet sen
ongelmista koskevat myös Internet-äänestämistä. Tietoliikenneyhteys ja
vaalitoimitsijoiden valvomattomissa olevat päätelaitteet aiheuttavat
sähköisessä etä-äänestämisessä uusia ongelmia. Yksi keskeisimmistä
ongelmista on vaalisalaisuuden vaarantuminen. Tässä tutkimuksessa
selvitetään, mitä tietoturvauhkia äänestyspaikan ulkopuolella tapahtuvaan
Internet-äänestämiseen liittyy ja mitä vastatoimia näihin uhkiin on
sovellettavissa.

Erilaisissa markkinointikilpailuissa tai keskustelupalstojen
epätieteellisissä mielipidekyselyissä on jo pitkään ollut mahdollista
äänestää Internetin kautta. Näillä sovelluksilla ei kuitenkaan ole
samanlaisia tietoturvavaatimuksia kuin kunnallisilla ja valtiollisilla
vaaleilla.

Rubin (Rubin 2002) määrittelee sähköisen etä-äänestämisen järjestelyksi,
jossa äänestäminen tapahtuu Internet-verkon kautta, todennäköisimmin
www-selaimella, joko kotoa tai mahdollisesti mistä tahansa muusta
Internet-yhteydellä varustetusta paikasta. Tämä ei kuitenkaan ole kattava
määritelmä: sähköinen etä-äänestäminen voisi tapahtua myös muun
tietoliikenneverkon kautta.

Kenties suurin haaste Internet-äänestämiselle syntyy siitä, että
äänestäjien käyttämät tietokoneet eivät ole vaalitoimitsijoiden
hallittavissa. Kotitietokoneet eivät yleensä ole yhtä hyvin suojattuja
kuin yritysten järjestelmät. Automatisoiduilla työkaluilla vihamielinen
taho voi nopeasti etsiä ja hyödyntää haavoittuvuuksia tuhansista tai jopa
miljoonista tietokoneista. (Jefferson et al. 2004)

Lainsäädännössä on määrätty kuinka vaalitoimitus tulee järjestää ja mitä
rangaistuksia väärinkäytöksistä voi seurata. Teknisillä menetelmillä
voidaan pyrkiä takaamaan luottamuksellisuus, eheys ja saatavuus. Vaalien
yhteydessä luottamuksellisuus voidaan nähdä viittaavan vaalisalaisuuteen,
eheys ääntenlaskennan oikeellisuuteen ja saatavuus järjestelmän
suojaamiseen palvelunestohyökkäyksiltä ja muilta toimintahäiriöiltä.
Äänestysjärjestelmän ylläpitäjien korruptoimattomuus on tärkeää.

Sähköisen äänestämisen ja etenkin sähköisen etä-äänestämisen kokeiluissa
kannattaa edetä vaiheittain, jotta mahdollisia kehityskohteita voidaan
havaita ja korjata ilman laajamittaisia ongelmia. Joka tapauksessa
perinteinen äänestystapa tulee säilymään eikä Internet-äänestämisellä ole
tarkoitus korvata sitä, vaan tarjota rinnalle vaihtoehtoinen menetelmä
(Rivest 2002; Wu ja Sankaranarayana 2002; Schryen 2003).

Tämän artikkelin luvussa 2 mainitaan joitakin Internet-äänestämisellä
tavoiteltavia etuja. Luvussa 3 esitellään järjestelyyn kohdistuvia uhkia
ja niiden torjumiseen soveltuvia vastatoimia. Luku 4 sisältää
johtopäätökset ja mahdollisia jatkotutkimusaiheita.

2. Internet-äänestämisellä tavoiteltavia etuja

Schryen (Schryen 2003) luettelee Internet-äänestämisen mahdollisia hyviä
puolia, joita ovat esimerkiksi äänestysaktiivisuuden kasvu,
kustannussäästöt sekä hylättyjen äänien osuuden pieneneminen. Hän
huomauttaa, että pilottihankkeiden äänestysaktiivisuustiedoista on vaikeaa
tehdä tulkintoja, koska ei voida tietää, kuinka moni olisi joka
tapauksessa äänestänyt. Uuden äänestystavan saaman julkisuuden antama
vaikutus voi olla myös väliaikaista. Kustannussäästöjä voidaan saavuttaa
ainakin liikenteen vähenemisen kautta. Hylättyjen äänien osuutta voidaan
pienentää tekemällä ohjelmallinen syötteen kelpoisuustarkastus. Toisaalta
Schryen on sitä mieltä, että mahdollisuus hylättävien protestiäänten
tietoiseen jättämiseen olisi säilytettävä. Liikuntarajoitteisille
henkilöille Internet-äänestäminen on äänestyspaikalle menemistä helpompi
ratkaisu. Työkiireet tai matkoilla olo eivät myöskään estä äänestämistä.
(Wu ja Sankaranarayana 2002) Internet-äänestämisen etuja yksilölle ovat
myös ajansäästö ja vaivattomuus. Ei ole tarpeen lähteä äänestyspaikalle,
jossa voi joutua jonottamaan. Vaalipäivän sään vaikutus
äänestysvilkkauteen vähenee. (Hoffman ja Cranor 2001) Ääntenlaskun nopeus
on keskeinen hyvä piirre. Internet-äänet saadaan laskettua välittömästi
äänestysajan päätyttyä.

3. Internet-äänestämiseen kohdistuvia uhkia ja niiden torjumiseen
soveltuvia vastatoimia

Rivest esittää hyvän kysymyksen: onko etä-äänestäminen Internet-verkon
kautta yleensäkään toivottava asia? Hänen mielestään mukavuudenhalu ja
"tehkäämme näin, koska se on mahdollista" eivät ole riittäviä perusteluja
sähköisen äänestämisen käyttöönotolle. Hyväksyttävä perustelu sen sijaan
olisi esimerkiksi kasvanut luottamus äänestystuloksiin, jos tämä tavoite
olisi saavutettavissa. Useita kryptografisessa mielessä hyviä
äänestysprotokollia on esitelty, eikä kryptografia olekaan
äänestysjärjestelmissä iso ongelma. Hänen mukaansa ongelma onkin siinä,
kuinka äänestäjä ja äänestysprotokolla liitetään toisiinsa. Nykyään
henkilökohtaiset tietokoneet eivät ole riittävän turvallisia toimiakseen
luotettavina alustoina äänestyssovelluksille. (Rivest 2002)

Internet-äänestämisen tulisi olla vähintään yhtä turvallista kuin
perinteisen lippuäänestyksen ja lisäksi tämä pitäisi pystyä osoittamaan.
On oletettava, että jos jokin hyökkäystapa on mahdollinen, se tulee
ennemmin tai myöhemmin toteutumaan. (Oppliger 2002)

Wu ja Sankaranarayana (Wu ja Sankaranarayana 2002) väittävät, että kunhan
vaalijärjestelmän ylläpitäjät ja heidän tietokantansa pidetään kunnolla
valvonnassa, "vaalisalaisuuden kaltaiset tekniset seikat voidaan
varmistaa". Suurimpina ongelmina he pitävät Internet-verkon ja
tietokantajärjestelmien luotettavuutta. Rubin (Rubin 2002) sen sijaan
toteaa, että johtuen kodeissa sijaitsevien tietokoneiden huonosta tilasta
haittaohjelmien suhteen, palvelunesto­hyökkäysten tehokkuudesta ja
nimipalvelinjärjestelmän (DNS) epäluotettavuudesta, sähköiseen
etä-äänestämiseen vaaleissa ei ole olemassa sopivaa teknologiaa. Myös
Schryen (Schryen 2004) on sitä mieltä, että Internetin käyttö
etä-äänestämiseen sen nykyisen arkkitehtuurin ja protokollien avulla
aiheuttaisi enemmän tietoturvaongelmia kuin kyetään hoitamaan. Hän
kuitenkin pitää äänestyspaikalla toimitettavaa Internet-äänestämistä
kannatettavana tutkimuskohteena.

Internet- ja PC-pohjaisilla järjestelmillä on lukuisa joukko
perustavanlaatuisia tietoturvaongelmia, jotka altistavat ne tunnetuille
hyökkäystavoille, joista millä tahansa voi olla tuhoisat seuraukset.
Tällaiset hyökkäykset voivat tapahtua laajassa mittakaavassa ja niiden
alkuunpanija voi sijaita missä tahansa. Tekijä voi olla yksittäinen
henkilö tai vieraan valtion hyvin rahoitettu organisaatio.
Internet-äänestämisestä vaaleissa ei voida saada turvalliseksi
näköpiirissä olevassa tulevaisuudessa. (Jefferson et al. 2004)
Yhdysvaltalainen Internet Policy Institute toteaa, että etä-äänestäminen
Internet-verkon kautta aiheuttaisi merkittävän riskin äänestysprosessin
eheydelle, eikä sitä tulisi ottaa käyttöön julkisissa vaaleissa ennen kuin
siihen liittyviin olennaisiin teknisiin ja yhteiskuntatieteellisiin
kysymyksiin on perehdytty kunnolla. Osaan niistä edistyksellisinkään
nykyinen teknologia ei tarjoa ratkaisuja. On ensisijaisen tärkeää, että
poliitikot ja virkamiehet hankkivat tietoa sähköiseen etä-äänestämiseen
kohdistuvista uhkista ja niiden toteutumisen kielteisistä seurauksista
vaalijärjestelmän uskottavuudelle. (Internet Policy Institute 2001)

Perinteisen lippuäänestyksen hajautetusta luonteesta johtuen
väärinkäytökset eivät todennäköisesti leviä laajalle. Sähköiseen
etä-äänestämiseen kohdistunut onnistunut hyökkäys puolestaan saisi
runsaasti julkisuutta, mikä on yksi ilkivaltaisia tahoja motivoiva tekijä.
Vieläkin uhkaavampaa on, että vaalituloksiin voidaan pyrkiä vaikuttamaan
sen tulematta huomatuksi. (Rubin 2002) California Internet Voting Task
Force kehottaa varovaisuuteen ja ehdottaa, että Internet-äänestäminen
otettaisiin käyttöön vaiheittain, jotta äänestyspaikkojen sähköisten
äänestyskoneiden kanssa koettujen kaltaisilta ongelmilta vältyttäisiin.
Aluksi voitaisiin antaa mahdollisuus Internet-äänestämiseen omalla
äänestyspaikalla, sitten muillakin äänestyspaikoilla, seuraavaksi
kuntatason organisaatioiden ylläpitämillä tietokoneilla ja lopulta mistä
tahansa Internet-yhteydestä käsin. (California Secretary of State 2000)

Monet sähköisiin vaalijärjestelmiin liittyvistä uhkista ovat
samankaltaisia kuin sähköisen kaupankäynnin sovelluksilla, mutta myös
useita oleellisia eroavaisuuksia on olemassa. Kaupankäynnin sovelluksissa
kaikki osapuolet säilyttävät kuittinsa ja pitävät tapahtumista
yksityiskohtaista kirjanpitoa. Äänestys on puolestaan suunniteltava niin,
että äänestäjälle ei jää äänestyskäyttäytymistä ilmaisevaa kuittia eikä
järjestelmän ylläpitäjienkään pidä voida kyetä yhdistämään yksittäisiä
äänestäjiä heidän antamiinsa ääniin. Kaupankäynnin sovelluksiin syötetyt
virheelliset tiedot on mahdollista korjata jälkikäteen, mutta vaalivilpin
seurausten korjaaminen sähköisessä vaalijärjestelmässä voi usein
osoittautua mahdottomaksi. Sähköisen kaupankäynnin epäselvyyksiin on aina
mahdollista palata myöhemmin, mutta äänestystulosten julkaisemiselle on
aikaraja. (Rivest 2002; Hoffman ja Cranor 2001)

Useita Internet-äänestämisen tietoturvavaatimuksia voidaan ratkaista
olemassa olevilla tekniikoilla, mekanismeilla ja palveluilla. Äänestäjän
ja äänestyspalvelimen autentikointiin voidaan soveltaa julkisen avaimen
salausmenetelmiä. Tiedonsiirron luottamuksellisuus ja eheys on
toteutettavissa esimerkiksi SSL-protokollan avulla. Lisäjärjestelyjä
tarvitaan äänten suojaamiseen päätelaitteissa ja palvelimissa. (Oppliger
2002)

3.1 Vaalisalaisuuden vaarantuminen

Lippuäänestyksessä äänestäjä tekee merkintänsä äänestyskopissa niin, että
kukaan muu ei näe hänen valintaansa. Vaaliuurnassa äänestysliput
sekoittuvat siten, että niitä ei voida yhdistää äänestäjiin.
Tietokoneistetussa järjestelmässä tällainen riski on olemassa. Schryen
pitää välttämättömänä, että äänestäjän autentikointi ja äänten
tallentaminen suoritetaan erillisissä laitteistoissa (Schryen 2003). Myös
Wu ja Sankaranarayana esittävät, että authentikointi ja ääntenlaskenta
tulisi hoitaa kahden eri luotetun tahon toimesta (Wu ja Sankaranarayana
2002).

Jos äänestys tapahtuu muuten kuin vaalitoimitsijoiden läsnäollessa, ei ole
mahdollista varmistaa, että äänestäminen tapahtuu ilman kolmannen
osapuolen tarkkailua. Teknologian keinoin tätä ei voida ratkaista.

3.2 Äänestäjien luottamuksen heikentyminen

Perinteisessä suljetussa lippuäänestyksessä äänestäjä näkee, että hänen
äänestyslippunsa menee vaaliuurnaan muiden joukkoon. Ääntenlaskennan
tapahtuminen paikallisesti eri poliittisia ryhmiä edustavien
vaalitoimitsijoiden toimesta ylläpitää luottamusta oikeelliseen
menettelyyn. Internet-äänestäminen edellyttää luottamusta tekniikkaan. Jos
ihmiset eivät tunne järjestelmän toimintaa, mieleen voi jäädä epäilys
siitä, tuleeko oma ääni varmasti oikein käsitellyksi. Äänten
tarkistuslaskenta menettäisi merkitystään Internet-äänestämisessä. Vaikka
sähköisestä vaalijärjestelmästä saadaankin tulokset välittömästi ja
toistuvasti identtisinä, tämän toimenpiteen toistaminen ei ole mielekästä.

Laajamittaisen ja jopa useamman yhtäaikaisen vaalin tuloksiin vaikuttavan
hyökkäyksen onnistumisella voi olla tuhoisa vaikutus kansalaisten
luottamukseen vaalitoimitusta kohtaan, vaikka hyökkäys havaittaisiin ja
välittömät seuraukset kyettäisiin korjaamaan. Väärinkäytöksiä voi
tapahtua, vaikka mitään poikkeuksellista ei havaittaisikaan. (Jefferson et
al. 2004)

Voidaan pitää suositeltavana, että sähköisen äänestysjärjestelmän
suunnitteludokumentit ja lähdekoodit ovat yleisesti saatavilla, sillä tämä
lisää toiminnan läpinäkyvyyttä. Olisi virhe sallia "musta laatikko"
-tyyppisen liikesalaisuuksin suojatun järjestelmän käyttöönotto. Historia
on osoittanut, että menetelmien salassapitoon nojautuva
turvallisuusajattelu ei toimi käytännössä (Oppliger 2002). Ihmisillä on
oikeus tuntea äänestysjärjestelyjen toteutus niin yksityiskohtaisella
tasolla kuin he kykenevät sen ymmärtämään. Asiantuntijoiden tulee vapaasti
voida etsiä äänestysjärjestelmistä ongelmia. (Internet Policy Institute
2001)

3.3 Äänten myyminen ja pakottaminen

Äänten ostaminen ja myyminen saattavat lisääntyä Internet-äänestämisen
myötä, sillä reaaliaikainen viestintä suuren ihmisjoukon kesken
mahdollistaa kysynnän ja tarjonnan kohtaamisen. Jos äänestämiseen
tarvittavat autentikointitiedot on mahdollista myydä, niillä varmasti
tullaan tekemään kauppaa. Äänioikeusilmoituksen mukana postitse saapuva
käyttäjätunnus/salasanatyyppinen ratkaisu olisi siten kelvoton. Jos
äänestäjien autentikointi tehtäisiin esimerkiksi verkkopankkitunnusten
avulla, tämä vähentäisi merkittävästi halukkuutta tarvittavien tietojen
luovutukseen.

Internet-äänestämisessä on mahdotonta estää tilanne, jossa äänestäminen
tietyllä tavalla tapahtuu väkivallalla uhkaamalla tai muuten painostamalla
(Wu ja Sankaranarayana 2002). Painostajana voi olla esimerkiksi
työnantaja, uskonnollinen yhteisö, hoitolaitoksen henkilökunta tai muu
taho (Phillips ja von Spakovsky 2001).

3.4 Käyttöliittymäongelmien vaikutus äänestystuloksiin

Jos näytölle mahtuu vain osa ehdokkaista ja loput saisi nähdäkseen
vierittämällä ikkunan sisältöä, ei tasavertaisuus ehdokkaiden kesken
toteudu (Schryen 2003). Vastaavia ongelmia voi ilmetä, jos samalla kertaa
äänestetään useista asioista ja äänestyslomakkeiden sivutus ei ole
toteutettu järkevällä tavalla.

Huolellisella käyttöliittymäsuunnittelulla voidaan välttää tilanne, jossa
ehdokkaat joutuisivat epäreiluun asemaan toisiinsa nähden. Ongelma on
siinä, että joissakin tietokoneissa saattaa olla nykymittapuun mukaan
pienitarkkuuksisia näyttöjä, jolloin ensimmäisinä äänestyslomakkeilla
olevat saavat paremman näkyvyyden kuin viimeisinä olevat. Onkin
perusteltua pyrkiä pitämään näytöllä näkyvien kohteiden määrä niin
pienenä, että kaikki tarvittava sisältö pystytään esittämään myös
vanhemmilla laitteistoilla.

3.5 Äänestäjän autentikointitietojen kaappaaminen

Voidaan kuvitella tilanne, jossa esimerkiksi kirjastossa tai
nettikahvilassa oleva yleisöpääte on asetettu kaappaamaan äänestäjien
autentikointitiedot siten, että äänestäjä näkee tarkasti oikean kaltaisen
äänestyssivuston ja kuvittelee äänestäneensä, mutta todellisuudessa hänen
tunnisteensa kerätään kolmannen osapuolen käytettäviksi. (Rubin 2002;
Jefferson et al. 2004)

Pahantahtoiset tahot voivat massapostittaa keräämiinsä
sähköpostiosoitteisiin viestejä, joissa kysytään, onko vastaanottaja
muistanut käydä äänestämässä sekä annetaan linkki, joka johtaakin
väärennetylle äänestyssivustolle. Edelleen on mahdollista harhauttaa
äänestäjiä muuttamalla DNS-palvelimien palauttamaa IP-osoitetta niin, että
vaikka käyttäjä syöttää täysin oikean ihmisen luettavassa muodossa olevan
www-osoitteen, selain lataakin sivuston hyökkääjän haluamasta
IP-osoitteesta (Rubin 2002). Tämä hyökkäys onnistuisi
Internet-palveluntarjoajan tasolla. Julkisen langattoman verkon tukiaseman
ylläpitäjälle se olisi helppoa.

Sertifikaatit ja julkisen avaimen menetelmät tarjoavat keinoja
äänestyspalvelimen autentikointiin (Weinstein 2000). On silti kohtuutonta
olettaa, että keskiverto Internet-käyttäjä ymmärtäisi
palvelinsertifikaatin merkityksen ja vaivautuisi tarkistamaan sen
kelpoisuuden (Rubin 2002; Schryen 2004).

3.6 Äänen muuttaminen paikallisesti

Äänestäjän käyttämä tietokone saattaa olla saastunut haittaohjelmalla,
joka on nimenomaisesti suunniteltu muuttamaan äänestäjän äänen toiseksi
tämän tietämättä (Rubin 2002). Tällaista haittaohjelmaa voidaan pyrkiä
levittämään ennen äänestyspäivää samoilla keinoilla kuin muitakin
haittaohjelmia.

Vastatoimena on esimerkiksi haittaohjelmien tunnistamiseen tarkoitettujen
työkaluohjelmistojen asentaminen ja pitäminen ajan tasalla. Tällaiset
työkaluohjelmistot kykenevät kuitenkin varmuudella tunnistamaan vain
entuudestaan tunnettuja haittaohjelmia. Varmempi keino on käynnistää
tietokone vain-luku-tyyppiseltä massamuistivälineeltä, jossa on
ajantasainen versio jostakin tällä tavalla toimivasta
käyttöjärjestelmästä. Tietovälineen sisällön tulee olla luotetun tahon
suunnittelema, valmistama ja jakelema. Tämä ratkaisu aiheuttaisi kuitenkin
merkittäviä hankaluuksia kotikäyttäjille. Lukemattomien erilaisten
aitteistokokoon­panojen ja Internet-liittymätyyppien vuoksi on mahdotonta
toteuttaa yleismaailmallista, kaikkialla automaattisesti toimivaa
ratkaisua. Jo pelkkä tietokoneen uudelleenkäynnistäminen CD-levyltä
saatetaan kokea epämukavaksi. (Oppliger 2002)

3.7 Äänen muuttaminen tiedonsiirron aikana

Tiedonsiirto tietokoneiden välillä on suojattavissa kryptografisilla
menetelmillä. Niillä on saavutettavissa äänestykseen liittyvien sanomien
luottamuksellisuus ja eheys tietoverkossa. (Rubin 2002; Wu ja
Sankaranarayana 2002)

Luotettava tiedonsiirto ei ole Internet-äänestämisen suurin ongelma-alue,
vaan ongelmat kasautuvat asiakas- ja palvelinjärjestelmiin (Weinstein
2000).

3.8 Tallennettujen äänten muuttaminen

Äänet on tallennettava jollekin massamuistivälineelle, jonka sisältöä
saattaa päästä epätoivotulla tavalla lukemaan, muokkaamaan tai sotkemaan.
Tiedot tulisi varmuuskopioida, mutta tämäkään ei täysin ehkäise tiedon
katoamista tai sotkeentumista. Paras tapa ylläpitäjien tekemien
väärinkäytösten ehkäisemiseen on asettaa heidät tarkkailemaan toisiaan
sekä laillisuusvalvonnan käyttö. (Wu ja Sankaranarayana 2002)

Myös laitteistovikoihin täytyy varautua. Tähän on olemassa kahdennettujen
toimintojen ja vikasietoisten levyjärjestelmien kaltaisia menetelmiä.

3.9 Ohjelmistovirheet

Mitä monimutkaisempi ja laajempi jokin järjestelmä on, sitä
todennäköisemmin siinä on virheitä. Testaaminen ei paljasta niistä
kaikkia. Toisaalta lentokoneiden ohjausjärjestelmien kaltaisia luotettavia
järjestelmiä on olemassa, joten Wu ja Sankaranarayana esittävät, että myös
luotettavien Internet-äänestysjärjestelmien kehittäminen olisi
mahdollista. Keinoina he esittävät tiukkojen kehitysstandardien
noudattamista ja läpikotaista testaamista. (Wu ja Sankaranarayana 2002)

Järjestelmän osien lähdekoodin julkaiseminen mahdollistaa katselmoinnin
kenen tahansa riittävät taidot omaavan henkilön toimesta. Haittana olisi,
että olemassa olevien tietoturva-aukkojen hyödyntäminen helpottuisi,
vaikka se on mahdollista jo muutenkin. Lähdekoodin julkaisemisen edut
painavat silti selvästi haittoja enemmän. (Internet Policy Institute 2001)

3.10 Tahallinen vaalituloksia vääristävä toiminnallisuus

Jos äänestysohjelmistojen lähdekoodi ei ole yleisesti saatavilla ja
katselmoitavissa, niihin saattaa olla mahdollista piilottaa
toiminnallisuutta, joka salaa muuttaa ääniä. Vähintäänkin olisi
välttämätöntä, että järjestelmät ovat luotettujen kolmansien tahojen
katselmoitavissa. Edelleen on varmistettava, että katselmoituja
ohjelmaversioita todella käytetään. Ohjelmatiedostojen sähköinen
allekirjoittaminen ja allekirjoitusten tarkastaminen tarjoaa tähän
teknisiä keinoja.

Äänestyspaikalla käytettävissä sähköisissä äänestyslaitteistoissa
piilotettu toiminnallisuus on havaittavissa tulostamalla sekä ihmiselle
että koneellisesti optisesti luettavassa muodossa oleva lipuke, josta käy
ilmi äänestäjän tekemät valinnat. Nämä lipukkeet kerätään äänestäjän
tekemän tarkistuksen jälkeen perinteisten äänestyslipukkeiden tapaan.
Viralliset äänestystulokset ja tarkistuslaskenta suoritettaisiin näiden
lipukkeiden pohjalta. Muualla kuin varsinaisella äänestyspaikalla
tapahtuvassa Internet-äänestämisessä näin ei voida toimia.

3.11 Palvelunestohyökkäykset

Vaalijärjestelmä saattaa joutua palvelunestohyökkäyksen kohteeksi.
Keskitettyä palvelinta tai sen tietoliikenneyhteyksiä voidaan yrittää
ylikuormittaa niin, että äänestys estyy tai siinä on toimintahäiriöitä,
joiden seurauksena äänestäjät eivät ole varmoja, rekisteröityivätkö heidän
äänensä. Myös äänestäjien tietokoneiden toimintaa voidaan häiritä.

Internetissä on saatavilla haittaohjelmia, joiden avulla kenen tahansa on
helppoa tehdä hajautettu palvelunestohyökkäys. Jos vaalitulos on riittävän
tasainen, jo pienikin hyökkäyksen aiheuttama muutos voi ratkaista
voittajan. (Rubin 2002) Tietoliikenneyhteyksiä voidaan yrittää häiritä
tietyn puolueen kannatusalueilla. Tällainen valikoiva hyökkäys saatetaan
havaita, mutta vastatoimien toteuttamiseen on käytettävissä vain
rajallisesti aikaa. Äänestysajan päätyttyä hyviä keinoja ei välttämättä
ole. (Jefferson et al. 2004)

On epätodennäköistä, että äänestysajan puitteissa ilmenisi kokonaan uusia
hyökkäystapoja (Wu ja Sankaranarayana 2002). Toisaalta äänestyspäivät ovat
ennakkoon tiedossa, joten haittaohjelmien levitys ja aktivoituminen
voidaan ajoittaa mahdollisimman suuren vaikutuksen aikaansaamiseksi.
(Schryen 2004).

4. Johtopäätökset ja jatkotutkimus

Internet-äänestämiseen kohdistuu useita uhkia. Väärinkäytöksiä voi
tapahtua niin äänestäjän käyttämällä tietokoneella, tiedonsiirrossa kuin
vaalitietojärjestelmässä. Hyökkäykset voivat olla maantieteellisesti
lähtöisin mistä tahansa. Vastatoimina on sekä teknisiä, hallinnollisia
että lainsäädännöllisiä keinoja. Jos Suomessa tulevaisuudessa lähdetään
tekemään kokeiluja Internet-äänestämisestä, on syytä edetä pienin askelin.
Jos ja kun ongelmia ilmenee, ne on parempi tunnistaa ja korjata pienen
mittakaavan tasolla ennen järjestelyn yleistymistä.

Kotimaisia käytännön kokemuksia sähköisestä äänestämisestä
äänestyspaikoilla saadaan, kun järjestelyä kokeillaan vuoden 2008
kunnallisvaaleissa kolmessa kunnassa: Karkkilassa, Kauniaisissa ja
Vihdissä. Tuolloin äänestäjät tunnistetaan samalla tavalla kuin
lippuäänestyksessä ja he saavat valita haluamansa äänestysmenetelmän.
Sähköisessä vaihtoehdossa on yksi oikeusministeriön alainen keskitetty
sähköinen vaaliuurna, johon äänet siirtyvät PC-pohjaisilta
äänestyspäätteiltä tietoliikenneyhteyden kautta. Vain todellisia
ehdokkaita ja tyhjää voi äänestää. Sovellusten eheys varmistetaan
sähköisillä allekirjoituksilla. Salausavainten luonti, annettujen äänten
purkaminen sekä muut keskeiset tietoturvatoimenpiteet tapahtuvat
tietoverkoista irrallisessa tietokoneessa. Salattujen äänten purkaminen
vaatii neljän eri virkailijan läsnäoloa, mikä on varmistettu sekä
hallinnollisin että teknisin keinoin. Samalla äänestäjien henkilöllisyydet
ja heidän antamansa äänet erotetaan toisistaan ja sekoitetaan.
Palvelinpuolen laitevikoihin varaudutaan laitteiston kahdentamisella.
Vaaleja edeltävänä keväänä järjestelmä auditoidaan Turun yliopiston
matematiikan laitoksen tutkijaryhmän toimesta. Vaikka tämä sähköinen
äänestysjärjestelmä onkin suunniteltu äänestyspaikalla käytettäväksi, on
sitä tulevaisuudessa mahdollista jatkokehittää tukemaan myös
etä-äänestämistä. Seuraavan kerran uusia äänestyskäytäntöjä voidaan
kokeilla vuoden 2011 eduskuntavaaleissa. (Jääskeläinen 2008)

Viro on ensimmäinen maa, jossa Internet-äänestäminen on otettu
valtakunnalliseen käyttöön. Paikallisvaaleissa sitä sovellettiin vuonna
2005 ja parlamenttivaaleissa vuonna 2007 (Breuer et al. 2006; Trechsel
2007). Jatkotutkimuksessa voitaisiin perehtyä Virossa toteutettuun
järjestelmään teknisemmällä tasolla.

Internet-äänestäminen voisi periaatteessa tulevaisuudessa tarjota keinon
suoran demokratian toteuttamiseen. Teknisen näkökulman sijasta on
yhteiskuntatieteiden ja politiikan tutkimuksen kysymys, millaisissa
asioissa sen soveltaminen olisi järkevää. Joka tapauksessa kaikilla
äänioikeutetuilla ei ole aikaa eikä mielenkiintoa perehtyä päätettäviin
asioihin samalla tavalla kuin kansanedustajilla.

Lähteet

Breuer, F., and Trechsel, A. H. Report for the Council of Europe: E-Voting
in the 2005 Local Elections in Estonia, European University Institute,
Florence, 2006

California Secretary of State. California Internet Voting Task Force
Report, 2000

Hoffman, L. J., and Cranor, L. "Internet Voting for Public Officials",
Communications of the ACM, volume 44, number 1, 2001, s. 69-71

Internet Policy Institute. Report of the National Workshop on Internet
Voting: Issues and Research Agenda, 2001

Jefferson, D. et al. "Analyzing Internet Voting Security", Communications
of the ACM, volume 47, number 10, 2004, s. 59-64

Jääskeläinen, A. Sähköinen äänestys kunnallisvaaleissa 2008,
Oikeusministeriö, 2008,

Oppliger, R. "How to Address the Secure Platform Problem for Remote
Internet Voting", Proceedings of the 5th Conference on "Sicherheit in
Informationssystemen" (SIS 2002), Vienna, 2002, s. 153-173

Phillips, D. M., and von Spakovsky, H. A. "Gauging the Risks of Internet
Elections", Communications of the ACM, volume 44, number 1, 2001, s. 73-85

Rivest, R. L. "Electronic Voting", Financial Cryptography '01, Lecture
Notes in Computer Science 2339, 2002, s. 243-268

Rubin, A. "Security Considerations for Remote Electronic Voting",
Communications of the ACM, volume 45, number 12, 2002, s. 39-44

Schryen, G. "E-Democracy: Internet Voting", Proceedings of the IADIS
International Conference WWW/Internet 2003, Algarve, 2003, s. 1017-1022

Schryen, G. "How Security Problems Can Compromise Remote Internet Voting
Systems", Electronic Voting in Europe, Bregenz, 2004, s. 121-131

Trechsel, A. H. Report for the Council of Europe: Internet Voting in the
March 2007 Parliamentary Elections in Estonia, European University
Institute, Florence, 2007

Weinstein, L. "Risks of Internet Voting", Communications of the ACM,
volume 43, number 6, 2000, s. 128

Wu, C-K., and Sankaranarayana, R. "Internet Voting: Concerns and
Solutions", Proceedings of the First International Symposium on Cyber
Worlds 2002, Tokyo, 2002, s. 261-266
Antti Mäkelä (27.08.2008, 14:43)
Ville Muikkula <vmuikkul> wrote:
> 3.3 Äänten myyminen ja pakottaminen


> Internet-äänestämisessä on mahdotonta estää tilanne, jossa äänestäminen
> tietyllä tavalla tapahtuu väkivallalla uhkaamalla tai muuten painostamalla


Paitsi juurikin myöhemmin mainitussa Virossa, jossa homma toimii niin
että äänestää voi niin monta kertaa kuin haluaa ennen vaalipäivää,
myöhemmin annettu ääni merkitsee, ja lisäksi voi käydä vielä vaalipäivänä
antamassa perinteisen paperiäänen.
Ville Muikkula (27.08.2008, 15:16)
Antti Mäkelä <zarhan> wrote:

> Paitsi juurikin myöhemmin mainitussa Virossa, jossa homma toimii niin
> että äänestää voi niin monta kertaa kuin haluaa ennen vaalipäivää,
> myöhemmin annettu ääni merkitsee, ja lisäksi voi käydä vielä
> vaalipäivänä antamassa perinteisen paperiäänen.


Tämä järjestely toki lieventää mainittua painostusongelmaa. Sen
toteuttaminen toisaalta edellyttää, että annettu sähköinen ääni on
yhdistettävissä sen antaneeseen henkilöön.
Antti Mäkelä (27.08.2008, 15:36)
Ville Muikkula <vmuikkul> wrote:
> Tämä järjestely toki lieventää mainittua painostusongelmaa. Sen
> toteuttaminen toisaalta edellyttää, että annettu sähköinen ääni on
> yhdistettävissä sen antaneeseen henkilöön.


Eip. Kryptograafisin keinoin on mahdollista ratkaista tämäkin ongelma.



Sivun 8 paikkeilla.
Ville Muikkula (27.08.2008, 16:10)
Antti M?kel? <zarhan> wrote:

> Ville Muikkula <vmuikkul> wrote:
>> annettu sähköinen ääni on yhdistettävissä sen antaneeseen henkilöön.

> Eip. Kryptograafisin keinoin on mahdollista ratkaista tämäkin ongelma.
>


Tämä toimii, jos salattujen äänten avaamiseen tarvittava yksityinen
avain ei ole saman tahon hallussa kuin ne "äänikuoret", joihin äänestäjän
identiteetti on liitettävissä.
Kim Fallström (27.08.2008, 19:40)
Antti Mäkelä wrote:
> Ville Muikkula <vmuikkul> wrote:
> Paitsi juurikin myöhemmin mainitussa Virossa, jossa homma toimii niin
> että äänestää voi niin monta kertaa kuin haluaa ennen vaalipäivää,
> myöhemmin annettu ääni merkitsee, ja lisäksi voi käydä vielä vaalipäivänä
> antamassa perinteisen paperiäänen.


Siispä perheenjäsenen painostaminen on tehtävä juuri
ennen aikarajan sulkeutumista ja perheenjäsen pidettävä
kotona tai muuten valvottuna vaalipäivän ajan.

Kim
Juhapekka Tolvanen (27.08.2008, 23:01)
Kim Fallström <kfa+news> writes:

> Antti Mäkelä wrote:


>> Ville Muikkula <vmuikkul> wrote:
>>> 3.3 Äänten myyminen ja pakottaminen


>>> Internet-äänestämisessä on mahdotonta estää tilanne, jossa
>>> äänestäminen tietyllä tavalla tapahtuu väkivallalla uhkaamalla tai
>>> muuten painostamalla


>> Paitsi juurikin myöhemmin mainitussa Virossa, jossa homma toimii
>> niin että äänestää voi niin monta kertaa kuin haluaa ennen
>> vaalipäivää, myöhemmin annettu ääni merkitsee, ja lisäksi voi käydä
>> vielä vaalipäivänä antamassa perinteisen paperiäänen.


> Siispä perheenjäsenen painostaminen on tehtävä juuri
> ennen aikarajan sulkeutumista ja perheenjäsen pidettävä
> kotona tai muuten valvottuna vaalipäivän ajan.


Viettäkääpä muutama tunti tällä kuumalla sosiaalipornosaitilla:



Tuohon ongelmakenttään perehdyttyä jokaiselle luulisi olevan aivan
päivänselvää, että narsistin eli "narskun" ikeen alla elävä saattaa
joutua painostetuksi äänestämään sen narskun mielen mukaista ehdokasta.
Ja sähköisen äänestyksen ollessa käytössä se painostaminen käy
huomattavasti helpommaksi.
Aki Tuomi (31.08.2008, 20:59)
Juhapekka Tolvanen kirjoitti:
> Kim Fallström <kfa+news> writes:
> Viettäkääpä muutama tunti tällä kuumalla sosiaalipornosaitilla:
>
> Tuohon ongelmakenttään perehdyttyä jokaiselle luulisi olevan aivan
> päivänselvää, että narsistin eli "narskun" ikeen alla elävä saattaa
> joutua painostetuksi äänestämään sen narskun mielen mukaista ehdokasta.
> Ja sähköisen äänestyksen ollessa käytössä se painostaminen käy
> huomattavasti helpommaksi.


Meinaat että paperiäänestyksessä sen huomaa jotenkin helpommin?

Aki
Pekka Pessi (31.08.2008, 21:51)
Aki Tuomi <cmouse> writes:
>Meinaat että paperiäänestyksessä sen huomaa jotenkin helpommin?


Kyllähän sen huomaa jos sinne koppiin tunkee useampi yhtäaikaa.
Tai sitä lippua näytetään jollakin kopista tulon jälkeen.

--Pekka
Soortgelijke onderwerpen