1. K rüptoloogia, XIII E-valimine, selle põhimõtted ja algoritmid 7. november 2006 Valdo Praust mois @ mois .ee Loengukursus Tallinna Ülikoolis 2006. aasta sügissemestril
2. Valimised ja demokraatia Ajalooliselt, kui rahvahulk oli väike, sai rakendada rahvakoosolekut Kui rahvahulk kasvas, tuli rakendada esinduskogu ja keerukaid valimisprotseduure Kaasajal on sellised keeruka protseduuriga paberkandjal sedeliga valimised tavalised Valimised on demokraatliku riigikorralduse alustugi olnud juba aastasadu
3. Valimised digitaalseks? Vastavalt infoühiskonna alusprintsiibile peab igal pool, kus saab paberkandjal teabe asemel kasutada digitaalteavet, seda ka rakendama Erandiks ei ole ka valimised: praegused paberkandja-põhised valimised on kohmakad, kallid ja aeganõudvad Küsimus: milliseid probleeme lahendades saab valimisi korraldada üle Interneti nii, et paberkandjal valimissedelid saab asendada digitaalteabega ja iga valija saab hääletada kodunt?
4.
5. E-valimiste põhiprobleem Interneti teel toimivate ehk e-valimiste pearaskus seisneb tõsises konfliktis salastuse (privaatsuse) ja korrektsuse (kontrolli) tingimuste ühitamises Kui rõhuda valimistulemuste korrektsusele ja võltsimatusele, tuleb valimistulemused siduda valijaga (nt digitaalallkirja abil), mistõttu kannatab tulemuste privaatsus Kui rõhuda valimistulemuste privaatsusele, siis ei tohi valimissedeleid isikutega siduda, kuid see teeb tulemused kergesti võltsitavaks
6. Valijate autentimine Valijate autentimisel (valimistulemuste võltsimiskindluse saavutamisel) on ainuvõimalus siduda see avaliku võtme infrastruktuuriga ja autentida valijaid digitaalallkirja-põhiselt See võimaldab saavutada valimistulemuste võltsimiskindluse ja tervikluse Samas seob see hääle püsivalt hääle andnud isikuga Järeldus: digitaalallkirja tehnika võimaldab lihtsate vahenditega realiseerida vaid avalikke hääletamisi
7.
8.
9.
10.
11.
12. Pabersedelite-põhised valimised Puudused: valimised ei ole muudetavad, mugavad, mobiilsed ega efektiivsed Eelised: tagavad üldjuhul autentsuse, ainuhäälsuse, salastatuse ja kontrollitavuse On kaasajal masskasutuses, kuid sellest tahetakse loobuda eeltoodud nelja tõsise puuduse tõttu Põhimõte: on olemas valimissedelid, nende anonüümne täitmine ja lugemine
13. Meilipõhised valimised Puudused: ei ole tagatud ei privaatsus, sunnitamatus ega ka efektiivsus Eelised: tagavad üldjuhul autentsuse, hääleõiguse, kooskõla ja kontrollitavuse Saab hädapärast rakendada avalike hääletuste korral ja kasutatakse Internetis laialt. Ei sobi avalikeks valimisteks Põhimõte: igaüks annab meiliga vm netiteenusega oma eelistusest teada Interneti teel, kinnitades valiku vajadusel oma digitaalallkirjaga
14. Krüpteeritud kanal valija ja valimisjaoskonna vahel Puudused: lubamatult suur jaoskonna usaldamine: ei ole tagatud autentsus, ainuhäälsus, privaatsus, kooskõla, kontrollitamus ja sunnitamatus Eelised: tagavad üldjuhul mugavuse, paindlikkuse, mobiilsuse ja efektiivsuse Ei sobi avalikeks valimisteks tõsiste puuduste tõttu Põhimõte: sarnaneb igale teisele Interneti-põhisele äriteenusele (nt pangateenusele)
15. Usaldatava valimisjaoskonna põhised valimised Puudused: lubamatult suur jaoskonna usaldamine: ei taga privaatsust, kooskõla, kontrollitavust ega sunnitamatust: neid saab jaoskond jälgi jätmata muuta Eelised: tagavad üldjuhul mugavuse, paindlikkuse, mobiilsuse ja efektiivsuse Ei sobi samuti valimisteks tõsiste puuduste tõttu Põhimõte: sarnaneb näiteks pankadega, sertifitseerimisteenuse osutajatega, notaritega jm
16. Spetsiaalse krüptotehnika põhised valimised Puudused: vaid keerukas matemaatiline ja/või strukturaalne ülesehitus ja harjumatus Eelised: kaasajal tagab juba pea kõiki tingimusi Põhimõte: privaatsuse ja kontrollitavuse vaheline kompromiss saavutatakse keerukate krüptograafial põhinevate algoritmide kasutamisega On ainuvõimalik süsteem avalikel e-valimistel kasutamiseks
17.
18.
19. Esimene skeem: homomorfsed krüptosüsteemid Krüptosüsteem on homomorfne , kui š ifreerimist saab jagada eri osapoolte poolt sooritatavateks osadeks nii, et kindlatele matemaatilistele tehetele š ifreeritud tekstiga vastavad kindlad matemaatilised tehted avatekstiga (tulemusega) Võimaldab hääletamise realiseerida krüpteerimistehtena ja selle jagada valijate vahel osadeks nii, et valimisjaoskond saab pärast de š ifreerimisel arvutada küll üldise valimistulemuse, kuid ei tea, kes kuidas hääletas
20. Teine skeem: pimesignatuurid Pimesignatuur ( blinded signature ) on digitaalallkirja (digitaalsignatuuri) laadne tehe, kuid see on realiseeritud nii, et allkirja andja ei näe ise otseselt seda teabekogumit, millele ta allkirja (signatuuri) annab. Seda saab realiseerida tavalisele digitaalallkirja algoritmile lisadetailide lisamisega Võimaldab hääletamise realiseerida digitaalallkirja andmisena nii, et pärast saab tuvastada nii seda, kes hääletasid, kui ka seda, kelle poolt kui palju hääletati, kuid ei võimalda tuvastada, kes kelle poolt hääletas
21. Kolmas skeem: segavad võrgud Segavad võrgud ( mixed nets ) eeldavad, et ühe valimisjaoskonna asemel on terve võrk institutsioone (servereid), kes teevad valimissedelitega matemaatilisi tehteid ( š ifreerivad ja de š ifreerivad neid) ja vahetavad š ifreeritud valimissedeleid omavahel See võimaldab valimissedelid omavahel niiviisi ära segada, et hiljem ei ole võimalik enam tuvastada, milline sedel milliselt valijalt pärineb, kuid on võimalik tuvastada sedelite sisu ning seda, millistelt valijatelt sedelid pärinevad
22. Neljas skeem: ümbrikmeetod On algoritmide kasutamise osas lihtsaim võte, kuid eeldab mitmeid servereid ning serverites töötavate infosüsteemide kõrgetasemelist täpsust (er välistada turvarikked) Põhiidee: hääletustulemuse ja hääletaja isikuandmete mitmetasemeline eraldamine, nii et avalikult (avateksti) kujul ei ole kusagil mõlemad korraga saadaval. Hääl on krüpteeritud kujul ümbriku sees, isikuandmed on kantud ümbriku peale
23.
24.
25.
26. Teenusetõkestuse oht Teenusetõkestuse oht ( denial of service, DOS ) on kaasajal Internetis küllalt reaalne: arvuti või arvutigrupp ummistatakse nii, et tal ei ole teatud perioodiks võrguühendust Valimistel võimaldab see teatud arvuti või piirkonna jätta ilma võrguühenduseta ja seega ka ilma valimisõiguseta Kurb reaalsus: hajusa teenusetõkestuse ( distributed denial of service, DDOS ) vastu ei tunta kaasajal veel efektiivseid meetmeid Võimalik lahendus : pikk valimisperiood ja ranged sanktsioonid teenusetõkestuse ründe vastu koos efektiivsete avastusmeetmetega
27.
28. Ründetarkvara oht Ründetarkvara (nt viirus, trooja hobune vm) võib valida näiliselt valijale meelepärast isikut, kuid tegelikult ründetarkvara loojale sobivat Tõenäoline lahendus: korralik viirusetõrje (probleem on sama terav ka teiste digitaalallkirja rakenduste korral
29. Valijate mõjutamise oht Valijate mõjutamine ( social engineering ) on propaganda ja kampaania kindla kandidaadi toetuseks Vrd: füüsilises valimisjaoskonnas on valimisprotsessi ajal valimispropaganda keelatud, virtuaalses keskkonnas (netis) on seda väga raske keelata Arvatavasti ainus lahendus: lubada tehnilise süsteemi poolt ülehääletada
30.
31. E-valimised digitaaldemokraatia tööriistana E-valimised võimaldavad demokraatia (rahva otsustamise) mehhanismid kardinaalselt ümber korraldada Näiteks paljus võivad senised esinduskogud (mis tekkisid seepärast, et paljude inimeste osalustega koosolek ei olnud tehniliselt võimalik) ära kaduda E-valimised on tehniliseks vahendiks, kuidas (virtuaal)koosolekutel otsustatule anda mingi (õiguslik) tähendus.
