Karel Zvára
oficiální osobní stránky

Elektronické volby – mohou být bezpečné?

středa, 8. červen 2011 8:00

V různých zemích světa se začíná hlasovat elektronicky. Elektronické volby mají určitá rizika. Lze se jim vyhnout? Pokusím se v tomto článku navrhnout jednoduchý a levný systém, který by umožnil volit bezpečně, elektronicky a bez nutnosti dojít do nějaké hlasovací místnosti. Těším se na diskusi – doufám totiž, že se někdo pokusí mnou navržený systém napadnout, a že následkem toho se podaří návrh dále vylepšit. Předem se omlouvám „netechnickým“ čtenářům. Pokud je budou nudit technické podrobnosti, mohou se podívat na konec článku, kde je ukázka jak by to mohlo vypadat.

Myslím si, že před elektronizací voleb je nutné především řešit jejich zásadnější problém a to zejména ve vztahu k protežování těch u moci státním systémem dotování politických stran. Obávám se, že v blízké budoucnosti některé z velkých stran přijde s návrhem zavést u nás elektronické volby (důvodem může být třeba „snaha uspořit náklady na volby“). Obávám se proto, že elektronické volební systémy používané v zahraničí provázejí (někdy oprávněné) pochybnosti o regulérnosti voleb (např. prezidentské volby v USA v roce 2004 – anglicky).

Důvěryhodnost tajných voleb je založena na několika předpokladech:

  1. všichni oprávnění voliči mají možnost uplatnit svůj hlas,
  2. všechny hlasy budou započteny tak jak je uplatnili voliči,
  3. není možné vložit „dodatečné hlasy“ nebo hlasovat vícekrát,
  4. volba je tajná a není možné efektivně dohledat jak který volič hlasoval. (např. kvůli vydírání či kupování hlasů)

Kromě toho je užitečné neumožnit nikomu, aby ani násilím nemohl donutit voliče ke zveřejnění jeho volby. Jde tedy o tvrdší požadavek na bod 4.

Čím požadavky splňují dnešní „osobní“ volby

Možnost uplatnění hlasu je zajištěna dohledem všech kandidujících subjektů a často i Policie u volebních místností. Každý, kdo přijde volit, je legitimován a volební komise u voliče poznačí, že již hlasoval. Volič navíc obdrží jedinou obálku se státním znakem, platné jsou jen hlasy, které jsou umístěny v oficiálních obálkách.

Započtení všech hlasů je zajištěno velmi podobně. Každá volební strana může nominovat „vlastní lidi“ do každé orskové volební komise pokud v místě postavila kandidátku. Její vlastní lidé tak mohou provést osobní kontrolu sečtení všech hlasů ve všech volební komisích a poznamenat si tyto údaje. Z těchto původních údajů lze spočítat volební výsledek – každá kandidující strana tedy může samostatně a nezávisle provést „sečtení voleb“ tam kde kandidovala (a tedy i na celostátní úrovni).

Nemožnost hlasovat vícekrát je zajištěna kombinací možnosti kontroly všemi volebními stranami a označováním hlasujících voličů ve volebních seznamech. Proto je nutné vyzvednout si včas volební průkaz. Vyzvednutím volebního průkazu totiž dochází k vyškrtnutí ze seznamu voličů v domovském okrsku (pro aktuální volby).

Tajnost voleb je zajištěna vkládáním předtištěných lístků do předpřipravených obálek. Pokud však k volbám u některé okrskové komise přijde jen velmi málo lidí, lze odhadnout jak hlasovali (pokud hlasoval jen jeden člověk, je jeho volba zřejmá). Každý si navíc u volební komise může vyzvednou náhradní hlasovací lístky, může tedy zkompletovat další sadu hlasovacích lístků a v případě, že by byl nucen třetí osobou k prokázání volby, stačí mu z takto předpřipravené sady vyjmout hlasovací lístek strany, kterou chce prezentovat, že ji volil (mohl však ve skutečnosti volit jinou).

Nebezpečí „americké cesty“

V USA se již několik let volby provádějí osobně-elektronicky, tedy podobně jako u nás, jen bez papírů. Volby s přístroji firmy Diebold však provázely skandály s podezřením na volební podvod. Celý problém považuji za problém „uzavřeného systému“. Tedy toho, že bezpečnost voleb je „zajištěna“ pomocí důvěry k „bezpečné černé krabičce“. Jakýkoliv problém s „černou krabičkou“ však zpochybní všechny výsledky. A v sázce toho je u parlamentních a prezidentských voleb (v USA) opravdu mnoho.

Některé státy používají elektronické volební systémy, vždy jsou však postaveny na certifikaci jako zdroji důvěry a nikoliv na otevřené a kýmkoliv (nebo alespoň volebními stranami) ověřitelné technologii. Jejich důvěryhodnost je tak z principu slabší než důvěryhodnost klasických „papírových“ voleb. A to se raději nezamýšlím nad použitelností technologie ISDS (informačního systému datových schránek).

Kryptografie jako řešení

Jak lze tedy splnit všechny (výše uvedené) požadavky? Požadavek podle bodu 1. a podle bodu 3. lze zajistit tím, že každý volič obdrží od organizátora voleb (Ministerstva vnitra) nějaký „klíč“ – tedy volební oprávnění, které voliči umožní hlasovat právě jednou. Klíč pro volby (dále jej budu nazývat token, abych rozlišil kryptografický klíč a token opravňující volit) musí být jedinečný a distribuovat jej musí někdo, kdo volby nekontroluje. Zároveň musí být možné ověřit, že klíč je platný, tedy že jej vystavila autorita s příslušným oprávněním.

V dnešní době, kdy máme zákon o elektronickém podpisu, a kdy kvalifikovaná certifikační autorita certifikuje za mírný poplatek veřejný klíč každému zájemci, a je přitom technicky možné zajistit, aby takto podepsanou žádost příslušný orgán spojil s identitou voliče, by bylo možné o token požádat Ministerstvo vnitra elektronicky. Kdo by nechtěl platit za kvalifikovaný certifikát, mohl by si token (nahráním na USB) vyzvednout třeba na CzechPOINTu (když už je máme).

Aby byly tokeny důvěryhodné, musely by být elektronicky podepsané vydavatelem – Ministerstvem vnitra. On-line ověřování platnosti u Ministerstva vnitra nepřipadá v úvahu proto, že potom by Ministerstvo vnitra mělo informaci, která mu nepřísluší – informaci o tom, kdo hlasoval (tj. jehož token byl ověřován) – pokud by ovšem znalo jeho identitu. Distribuce tokenů by tedy měla probíhat způsobem, který by znemožnil zpětné zjištění osoby, která token převzala. Potom by totiž nebylo možné porušit tajnost voleb ani v případě, že by od vydavatel token (Ministerstva vnitra) zneužil databázi a spojil ji se systémem. Takový postup si dokáži představit například při distribuování přes CzechPointy. Každý CzechPoint by měl zásobu „USB tokenů“ (identifikačních klíčenek) a po ověření identity osoby (a toho, že si token ještě nevyzvedla) by vydal jeden USB token – prostě jeden libovolný z krabice. Tento požadavek lze vypustit v případech, kdy není zapotřebí obávat se odkrytí identity hlasujících – nebude potom nutné tokeny fyzicky vydávat, postačí elektronické předání.

Kryptografie má v rukou zbraň s obrovským potenciálem. Jde o jednocestné – hašovací funkce. Ty totiž snadno dokáží vytvářet „otisk“ původního vstupu (např. data a času volby, identifikace voliče a provedené volby) a přitom je velmi obtížné (běžnými prostředky nemožné) z výstupu (tj. z kódu, který hašovací funkce vytvoří)  získat původní obsah. Takovou hašovací funkcí je například SHA.

Jak by to mohlo vypadat

Skutečná volba hlasujícího tak může být v systému volební komise (se zašifrovaným spojením) přímo vybrána s tím, že k volbě systém on-line vytvoří odpovídající otisk (pomocí hašovací funkce). Aby byla volba platná, musí volič „odevzdat“ platný token. Volební systém token ověří (token je totiž elektronicky podepsán vydavatelem, jeden token lze uplatnit jen jednou) a zapíše do databáze (a třeba i vytiskne na pevné médium – papír) kombinaci volba – otisk. Do jiné databáze volební systém zapíše token, který byl právě uplatněný spolu s časem uplatnění. I pokud by systém volební komise obě informace spojil (volbu a čas volby), mohlo by dojít jen k porušení volebního tajemství, nebyl by však ovlivněn ověřitelný výsledek hlasování.

Výsledek voleb bude vyhlášen tak, že k jednotlivým volbám (např. volebním stranám) bude uveden seznam všech otisků odpovídajícím dané volbě. Každý volič si tak bude moci ve volebních výsledcích osobně ověřit, že jeho hlas byl správně započítán – tím bude zajištěno splnění podmínky podle bodu 2.

Systém je dokonce možné navrhnout i tak, že volebních komisí bude více a hlas bude prostřednictvím software na počítači voliče (např. prohlížeče internetu) uplatněn vícekrát stejně v různých virtuálních volebních místnostech. Těmto duplicitním hlasováním mohou pochopitelně příslušet různé otisky (čas hlasování se může mírně lišit), to však není na závadu, neboť bude-li volič znát otisky z voleb ve všech volebních systémů, může svoji volbu ověřit u každého z nich jednotlivě.

S jistou malou pravděpodobností je možné, že dvěma různým hlasům bude odpovídat jeden otisk. To se stát může a je to v naprostém pořádku. Pokud by dva hlasující, kteří mají stejný otisk jejich hlasu, volili různé strany, bude tento otisk ve výsledku obou kandidátů či volebních stran (podle toho o jaké volby půjde). Oba hlasující si ten svůj mohou ověřit.

Každý volič tedy zná jen svůj otisk. To by však byl problém v případě, že by někomu (např. pod pohrůžkou fyzického násilí) byl nucen vyzradit jeho volbu vyzrazením otisku před zveřejněním výsledků. Proto by volební komise měla zveřejňovat určený počet otisků (řekněme jeden pro každý druh volby – např. volební stranu – a měnit je každých 30 minut). Tak de facto nezveřejění průběžné výsledky hlasování (od všech volebních stran stejný počet) a zároveň umožní každému získat otisk v souladu s požadavkem toho, kdo jej nutí zveřejnit jeho otisk. Oběť totiž bude schopna zveřejnit platný otisk kterékoliv strany, která obdržela aspoň jeden hlas.

Celkový počet hlasů musí odpovídat počtu evidovaných tokenů – tím bude zajištěno splnění podmínky dle bodu 4. Stejně tak součet jednotlivě (na CzechPOINTech) vydaných tokenů a tokenů nevydaných (tj. vrácených z CzechPOINTů vydavateli) musí být roven celkovému vyrobenému počtu tokenů. Tak bude zajištěno, že nikdo nehlasoval vícekrát než jednou.

Samotný volební systém by tak mohl být vcelku jednoduchý a otevřeně provozovatelný. Jeho dohled by, podobně jako dnes, mohla provádět volební komise, do které by každá volební strana nominovala své zástupce. Myslím si, že takto jednoduchý systém by mohl být opensource. Navíc znám alespoň 5 menších a středních firem vyvíjejících software, které by zvládly takový systém navrhnout a vytvořit za cenu řádově do 100 tisíc Kč. Žádné miliardy na nákup hlasovacích zařízení by neměly být zapotřebí.

Pokud by snad někdo nechtěl hlasovat elektronicky, mohl by hlasovat i běžným klasickým způsobem. Okrsků (hlasovacích místností) by však mohlo být relativně málo – třeba jeden v okresním městě. V takových místech by mohli hlasovat jen ti, kteří si nevyzvedli token pro elektronické hlasování.

Závěr

Myslím si, že elektronické volby zatím nepotřebujeme. Osobní kontrola volebních komisí spoléhá na lidský faktor. Každá volební strana má přitom možnost volby samostatně zkontrolovat a sečíst. Navíc je oproti elektronickým volbám téměř vyloučena možnost násilného odebrání hlasu (hlasovacího tokenu) voliči. V případě elektronické volby by to bylo možné pomocí předregistrace se zablokováním účtu dvěma hesly – jedním pro skutečné hlasování a druhým pro hlasování pod nátlakem. Pokud by se hlasující dostal pod nátlak, mohl by hlasovat neplatně a později by mohl svůj hlas skutečně uplatnit.

Pokud by někdo přeci jen prosadil „elektronické volby“, měli bychom žádat otevřenou ověřitelnost jejich férovosti. Spoléhat se na „certifikované“ výrobce a „důvěryhodnost“ se v oblastech, ve kterých jde o hodně, opravdu nevyplácí.

Strana svobodných občanů částečně používá tuto technologii i ve vlastním volebním systému. Obrázek ukazuje jak vypadá výsledek hlasování.

Karel Zvára, 2017 - RSS