Dlaczego elektroniczne wybory to fatalny pomysł?

Wybory mają bardzo nietypowe wymagania. Istnieją dwie kluczowe cechy, które są prawie przeciwstawne: anonimowość i zaufanie.

Tak więc po pierwsze, Twój głos powinien być całkowicie anonimowy. Nie powinno być możliwości, aby ktokolwiek mógł się dowiedzieć, na kogo głosowałeś, nawet po podliczeniu głosów. W ten sposób nikt nie będzie mógł Cię przekupić lub zastraszyć, abyś zagłosował w określony sposób. W Polsce, jeśli zaznaczysz swoją kartę do głosowania w sposób, który mógłby Cię zidentyfikować, na przykład podpiszesz ją, to ta karta nie zostanie zaliczona. Dlatego ludzie pracujący przy wyborach martwią się o ludzi robiących sobie zdjęcia z wypełnionymi kartami do głosowania: ponieważ nie powinno się być w stanie udowodnić, jak się głosowało. W przeciwnym razie, możesz zostać ofiarą ataków, czy reklam w rodzaju “Wstęp na tę imprezę tylko dla głosujących na partię 1!” lub “głosuj na partię 2, bo pożałujesz” albo “15% rabatu dla głosujących na partię 3”. Głosy muszą być anonimowe.

Drugim wymogiem jest absolutne zaufanie. System musi zapewnić bezpieczne i dokładne liczenie głosów, to pewne. Musi być jednak również oczywiste dla każdego, bez względu na jego wiedzę techniczną, że systemowi można zaufać. Tak więc, jeśli używasz papieru, wrzucasz swoją kartę do głosowania do zapieczętowanej urny, która nie zostanie odpieczętowana, dopóki każdy, kto ma interes w wyborach, nie będzie miał w pomieszczeniu kogoś, kto go reprezentuje. Zawsze powinni być tam ludzie z więcej niż jednej strony, którzy będą jej pilnować, lub przynajmniej świadkowie tego, że do transportu użyto plomby zabezpieczającej przed manipulacją.

Wyborcy muszą być w stanie zaufać, że ich głos zostanie policzony, nawet jeśli nigdy więcej go nie zobaczą i nie będzie można go zidentyfikować. I w żadnym momencie nie można powierzyć tego zaufania jednej osobie. Ludzie mogą być skorumpowani, zastraszeni lub niekompetentni, albo wszystkie trzy naraz. Fizyczne głosowanie nie jest doskonałe. Może zostać zaatakowane, a nawet już zostało zaatakowane. Polski system papierowych wyborów nie spełnia obu tych wymogów idealnie, możliwe jest zidentyfikowanie wyborców na podstawie ich kart do głosowania, jeśli sąd to nakazuje, a są historie, że odbywa się to również poza prawem.

Ale kluczową kwestią nie jest to, że głosowanie na papierze jest idealne. Chodzi głównie o to, że ataki przeciwko niemu nie są dobrze skalowalne. Fizyczne głosowanie liczy sobie wieki. I w tym czasie prawie każde możliwe oszustwa na tym systemie zostały wypróbowane i znaleziono na nie sposoby obrony. Im więcej fizycznych głosów trzeba zmienić, im więcej ludzi trzeba zmienić, tym więcej czasu i pieniędzy to zajmuje, i tym mniej prawdopodobne jest, że twój mały spisek pozostanie tajny. W polskich wyborach są setki lokali wyborczych w całym kraju, z personelem składającym się z kilkudziesięciu pracowników i tysięcy wolontariuszy. Praca polegająca na zmianie znaczącej liczby głosów, wystarczającej do wpłynięcia na wybory, staje się bardzo, bardzo trudna. Ludzie próbowali tego, niektórzy zostali skazani, kilku osobom prawdopodobnie udało się to na pewną skalę. “Granny farming” to termin, którego przestępcy używają w odniesieniu do chodzenia po domach spokojnej starości i nakłaniania bezbronnych starszych ludzi do podpisania pełnomocnictwa do głosowania, czyli dokumentu stwierdzającego, że ktoś inny może głosować w ich imieniu. I tak, na małą skalę to działa. Ale kiedy zaczynasz skalować ten atak, staje się on niezwykle trudny i czasochłonny, a szanse na to, że zostaniesz odkryty, są ogromne.

W przypadku głosowania elektronicznego, tak nie jest. Porozmawiajmy więc najpierw o elektronicznych maszynach do głosowania. W takim przypadku w lokalu wyborczym znajduje się komputer: wyborcy nadal idą do kabiny, tylko że naciskają przyciski lub stukają w ekran dotykowy, a nie piszą na papierze.

Problem numer jeden: zaufanie do oprogramowania i sprzętu.

W teorii, nasz komputer do głosowania mógłby działać na oprogramowaniu o otwartym kodzie źródłowym, gdzie każdy może zobaczyć i sprawdzić kod źródłowy. W praktyce tak się nie dzieje. Prawdopodobnie będzie to oprogramowanie o zamkniętym kodzie źródłowym, prawdopodobnie też zostanie załadowane z łatwej do skompromitowania pamięci USB, na komputerze, który siedzi niestrzeżony, a czasami po prostu bezczynnie i niewytłumaczalnie podłączony do Internetu od lat. A te systemy są testowane na pełną skalę tylko wtedy, gdy odbywają się wybory. To samo w sobie powinno wystarczyć, aby uniemożliwić elektroniczne głosowanie.

Ale powiedzmy, że w magiczny sposób mamy najbardziej stabilne, bezpieczne, otwarte oprogramowanie. Skąd wyborca ma wiedzieć i ufać, że właściwe oprogramowanie jest rzeczywiście zainstalowane na maszynie, której używa? Może moglibyśmy użyć jakiejś sumy kontrolnej lub lub innego systemu, aby upewnić się, że głosowanie przebiega prawidłowo. Ale wtedy tylko przesuwasz problem, teraz musisz ufać, że suma kontrolna nie została sfałszowana. I prawie żaden wyborca nie będzie rozumiał, co ta suma kontrolna oznacza, ani dlaczego powinien jej ufać.

W Stanach Zjednoczonych maszyny do głosowania są regularnie testowane co roku… w Wiosce Głosowania na DEFCON-ie, jednym z największych na świecie konwentów hakerów. To nie jest oficjalna sprawa. Hakerom udało się tam zmienić zapisane wyniki głosowania, zmienić karty do głosowania wyświetlane wyborcom, a w jednym przypadku, udało się uruchomić grę wideo Doom.

Wyobraźmy sobie, że zamiast maszyny w kabinie do głosowania jest tylko człowiek, któremu trzeba wyszeptać swój głos, a on obiecuje, że “tak, tak, można mu absolutnie zaufać”, że dokładnie zapisze twój głos i przekaże go ludziom, którzy go liczą. Nie, nie możesz zobaczyć, jak i gdzie to zapisują, nie możesz zadzwonić i dowiedzieć się, gdzie są i co robią, ale absolutnie obiecują. To właśnie dzieje się z elektroniczną maszyną do głosowania. Masz po prostu coś, co mówi: zaufaj mi. Policzyłem twój głos i absolutnie nie zostałem skorumpowany. Uczciwe.

Problem numer dwa: transport głosów.

Jak przenieść głosy z tej maszyny do centralnego miejsca liczenia? Są trzy możliwe sposoby. Po pierwsze, można zabrać wszystkie maszyny do głosowania do miejsca liczenia. Można by je zapieczętować i fizycznie przetransportować z miejsca, w którym odbywało się głosowanie, do miejsca, w którym odbywa się liczenie. Nikt tego nie robi. Więc, mógłbyś ściągnąć wszystkie wyniki z każdej maszyny na pendrive’a i zabrać to. Jedna drobna sztuczka i masz zupełnie inny zestaw wyników. Jeśli masz zamiar zaproponować jakiś system, w którym wyniki są sumami kontrolnymi i są zaufane: proszę wyjaśnij to przeciętnemu wyborcy w sposób, który może zrozumieć i któremu może zaufać. Ok, więc, może moglibyśmy przesyłać głosy elektronicznie przez internet. Co jest… optymistyczne. Ataki typu man-in-the-middle są teraz trudniejsze, ale nie są niemożliwe, szczególnie jeśli nie można ufać oprogramowaniu po obu stronach. A teraz podłączasz maszyny do głosowania bezpośrednio do internetu. Celowo. Co prowadzi nas do…

Problem numer trzy: centralny serwer zliczający.

Na samym końcu procesu znajduje się serwer, który zlicza głosy i podaje ostateczne zliczenie. Ma on wszystkie te same problemy z zaufaniem i weryfikacją, co poszczególne maszyny do głosowania, ale teraz tylko kilka osób może zobaczyć ten komputer. To samo dotyczy elektronicznych maszyn liczących: takich, które biorą stosy papierowych kart do głosowania i zwracają sumy. Jak można ufać, że nie zmieniają one po cichu niektórych głosów? Żyjemy w świecie, w którym Volkswagenowi uszło na sucho, że przez lata projektował swoje samochody tak, by oszukiwały w testach emisji spalin. I to jeszcze zanim uwzględnimy błędy użytkowników. W szkockich wyborach, w których próbowano głosować elektronicznie, wynik został skorygowany po tym, jak jeden z obserwatorów zauważył, że nie ma on sensu, i w ostatniej chwili przerwał ogłaszanie wyników. Okazało się, że ktoś zapomniał przewinąć do końca w prawo, żeby przeczytać kolumny w arkuszu kalkulacyjnym Excel z wynikami.

A nawet jeśli nie da się skompromitować wyborów, to i tak można naruszyć zaufanie. Wciąż możesz poddać w wątpliwość maszynę do głosowania lub cały system liczenia głosów, po prostu zostawiając w niej nieznany dysk USB, robiąc zdjęcie i umieszczając je w sieci. Albo po prostu podrabiając zdjęcie. Aby złamać elektroniczne wybory, tak naprawdę nie musisz ich łamać: wystarczy, że poddasz w wątpliwość wynik. O wiele trudniej jest to zrobić w przypadku papieru i fizycznych urn wyborczych.

Wyobraźmy sobie rodzaj ataku, który mógłby zostać przeprowadzony przez mały, dobrze finansowany zespół wspierany przez rząd krajowy. Taki rodzaj ataku byłby bardzo, bardzo dobrze skalowalny. Znajdźcie jedną dziurę w systemie i nagle zmiana jednego głosu kosztuje mniej więcej tyle samo, co zmiana milionów: a wasz spisek pozostaje bardzo, bardzo mały. Może nawet nie musisz stawiać stopy w kraju, którego wybory chcesz zhakować.

Teraz jest kilka zwykłych zastrzeżeń, które do mnie docierają. Po pierwsze: co z Estonią? Tak, w 2005 roku Estonia stała się pierwszym krajem na świecie, który zaoferował głosowanie przez Internet, najpierw w wyborach lokalnych, potem w krajowych, a następnie w europejskich. W 2019 roku ponad 40% głosów zostało tam oddanych online, czyli niewiele mniej niż ćwierć miliona osób. Na pozór system wydaje się solidny. Wyborcy mogą się legitymować za pomocą dostarczonej przez rząd karty elektronicznej lub karty SIM w telefonie. Ale są też problemy.

Niezależny raport wykazał luki w zabezpieczeniach proceduralnych i operacyjnych. Architektura systemu ma już dziesięć lat i obecnie jest niebezpiecznie przestarzała, a ponadto jest otwarta na ataki cybernetyczne obcych sił poprzez wykorzystanie poszczególnych telefonów lub złamanie zaufania do serwera, który liczy głosy.

Inny powszechny zarzut brzmi: a co z nowymi technologiami? Co z blockchainem? Pomijając próby wytłumaczenia ludziom blockchaina i poproszenia ich o zaufanie, że ta dziwna technologia jest warta użycia, to w zasadzie tylko baza danych z możliwością zapisu. Nie rozwiązuje to problemu zaufania do oprogramowania czy sprzętu: nie zmienia sposobu działania maszyny do głosowania, interfejs między intencją wyborcy a tym, co faktycznie jest zapisane w bazie danych, nadal musi działać. Jeśli urządzenie drukuje potwierdzenie oddania głosu, które można później sprawdzić, to łamie anonimowość. Jeśli wydrukuje pokwitowanie z pozornie losowymi liczbami, które można sprawdzić później, łamie zaufanie, ponieważ mało kto zrozumie, co się tam właściwie dzieje.

Nie twierdzę, że nie ma zalet głosowania elektronicznego. Owszem, są.

Główną z nich jest dostępność, a to jest naprawdę ważne. W wyborach o niskiej stawce, dla małych grup, dla drobiazgów, jasne, proszę bardzo. Ale gdy od wyniku zależy przyszłość narodów: głosowanie elektroniczne to wciąż zły pomysł i wciąż powinieneś głosować przeciwko niemu. Póki możesz.

Zdjęcie dzięki uprzejmości Element5 Digital