Skammhlaup í rafmagnslýðræði

Georgíumaður nokkur, J. V. Djugashvili að nafni, lagði stund á tilraunastjórnskipun á fyrri helmingi tuttugustu aldar. Eftir honum eru höfð fleyg orð: „Það er ekki fjöldi atkvæða sem telur, heldur hver telur atkvæðin.“

Georgíumaður nokkur, J. V. Djugashvili að nafni, lagði stund á tilraunastjórnskipun á fyrri helmingi tuttugustu aldar. Eftir honum eru höfð fleyg orð: „Það er ekki fjöldi atkvæða sem telur, heldur hver telur atkvæðin.“ Þessi speki var rifjuð upp í janúar/febrúar hefti IEEE Security and Privacy tímaritsins. Þema blaðsins var rafrænar kosningar og endurspeglar valið umræðuna í tölvuöryggisgeiranum undarfarna mánuði. Hér verður stiklað á stóru í umfjöllun blaðsins.

Kveikjan að líflegri umræðu tölvuöryggissérfræðinga um rafrænar kosningar var grein T. Kohno o.fl. fræðimanna við John Hopkins háskóla, sem birt var í júlí árið 2003. Í greininni voru afhjúpaðir alvarlegir öryggisgallar í útbreiddri gerð rafrænna kjörvéla framleiddri af Diebold Inc., Ohio, Bandaríkjunum.

Sala á Diebold kjörvélum hafði vaxið gríðarlega eftir forsetakosningarnar árið 2000. Gataspjaldakjörseðlar reyndust hafa valdið misskilningi kjósenda og að kosningunum loknum voru sett lög: „the Help America Vote Act“, sem kváðu á um að 3,86 milljörðum dollara skyldi varið til þess að uppfæra úreltar kjörvélar í landinu. Kohno og félagar bentu í grein sinni á alvarlega tæknilega galla í forritun Diebold kjörvélanna en vöktu um leið grundvallarspurningar um rafrænar kosningar.

Við fyrstu sýn gætu kosningar virst einföld aðgerð en með því að taka lítið dæmi má átta sig betur á því flókna samspili tækni og mannlegs eðlis sem einkennir nútímalegar atkvæðagreiðslur: Lítill hópur manna þarf að leysa ágreiningsefni og ákveðið er að kjósa um málið. Framkvæmdin er eftirfarandi:

1. Allir safnast saman í herbergi. Kjósendur staðfesta með kunningsskap að hinir hafa kosningarétt.

2. Einsleitir kjörseðlar eru búnir til, jafn margir og kjósendurnir. Leið til þess að merkja á þá, t.d. með ákveðnum blýanti, er ákveðin. Tómur kjörkassi er sýndur öllum kjósendum og honum svo lokað í allra augsýn.

3. Hverjum kjósanda er úthlutað einum kjörseðli. Úthlutun kjörseðla er gerð í allra augsýn til þess að enginn fái fleiri en einn kjörseðil og komið sé í veg fyrir tengsl milli kjörseðla og kjósenda.

4. Hver kjósandi skráir sitt val á kjörseðilinn með skýrum hætti. Kosning fer fram bak við tjald og kjósendur fela kjörseðil sinn eftir að þeir koma út. Allir fylgjast með svo enginn kjósandi geri atkvæði sitt opinbert.

5. Kjósendur stinga atkvæði sínu í kjörkassann í allra augsýn, svo ekki sé hætta á því að þeir eigi við önnur atkvæði í kassanum og tryggt sé að enginn setji fleiri en eitt atkvæði í hann.

6. Atkvæðunum í kassanum er blandað til þess að tryggja að röð þeirra sé handahófskennd.

7. Í allra augsýn er hvert atkvæði fjarlægt úr kassanum, sýnt og talið. Atkvæðum, sem ekki eru merkt með samþykktri aðferð, er hafnað.

Lýsingin hér að ofan hljómar líklega kunnuglega en gefum okkur samt tíma til þess að skoða nánar rökin fyrir aðferðinni. Meginmarkmiðið er að skapa traust meðal kjósenda á framkvæmd atkvæðagreiðslunnar. Lýðræðið byggir á því að þeir sem verða undir í atkvæðagreiðslunni sætti sig við niðurstöðuna. Ef svo er ekki skapast hætta á átökum. Því þarf að lágmarka hættuna á svindli og tryggja að allir kjósendur skilji kosningaferlið. Með fyrstu grein er tryggt að allir kjósendur vita hverjir greiða atkvæði. Önnur grein gætir þess að allir hafi jafnan möguleika á að kjósa rétt og leyfir kjósendum að staðfesta að aukaatkvæðum sé ekki laumað í kassann. Þriðja, fjórða, sjötta og sjöunda grein miða að því að koma í veg fyrir að hægt sé að ógna kjósendum eða múta þeim til þess að kjósa á ákveðinn veg. Slíkt svindl byggir á því að tengsl séu milli kjósenda og atkvæða. Sjöunda grein gerir einnig öllum kleift að staðfesta talningu atkvæða. Að atkvæðagreiðslu lokinni eru atkvæðin sjálf áþreifanleg sönnun fyrir vilja hópsins og hægt er að endurtelja ef þess er óskað.

Þegar kosið er í stærri hópum verður sífelt erfiðara fyrir sérhvern kjósenda að fylgjast með öllum þáttum atkvæðagreiðslunnar. Kjósendur verða því í auknum mæli að treysta fulltrúum og óháðum sérfræðingum fyrir framkvæmd kosninganna. Augljóst er að vanda þarf til verka svo traust kjósenda á kosningunum þverri ekki. Í þessu mistókst hönnuðum Diebold kjörvélanna hrapalega.

Í fyrsta lagi er hugbúnaður Diebold vélanna lokaður (e. „closed source software“). Það þýðir að óháðir sérfræðingar (t.d. háskólamenn) geta ekki lesið yfir skipanir þær sem tölvunum í Diebold vélunum eru gefnar. Framleiðendum sjálfum og sérvöldum, opinberum eftirlitsmönnum er einum treyst fyrir því að staðfesta að vélarnar virki rétt. Framleiðendur fullyrða að þessi aðferð auki öryggi hugbúnaðarins, því erfiðara sé fyrir tölvuþrjóta að finna öryggisholur ef þeir sjá ekki skipanir kerfisins. Þessi hugmynd er vel þekkt í tölvuöryggisgeiranum undir nafninu „Security Through Obscurity“ og hefur verið beitt við framleiðslu Windows stýrikerfisins með slökum árangri. Reynslan hefur sýnt að tölvuþrjótar finna holur bæði í lokuðum og opnum kerfum en hins er mun erfiðara fyrir óháða sérfræðinga að benda á holur og koma með tillögur um endurbætur á lokuðum kerfum. Þar fyrir utan hafa skipanir bæði Windows og Diebold kerfanna lekið út og eru nú aðgengileg á Internetinu. Það var einmitt leki Diebold skipananna sem gerði greiningu Kohno og félaga mögulega.

Önnur mistök Diebold hönnuðanna liggja í því að ekki verða ekki til nein áþreifanleg gögn þegar kjósendur greiða atkvæði. Kjörseðlar eru eingöngu rafrænir og því er ómögulegt að framkvæma handvirka endurtalningu þegar galli kemur í ljós á kerfinu. Kohno og félagar leggja til að vélarnar prenti út kjörseðil á pappír, sem kjósendur geti lesið yfir, áður en hann fellur sjálfvirkt í lokaðan kjörkassa.

Að síðustu kom í ljós, þegar Kohno og félagar lásu yfir skipanir Diebold kerfisins, að vinnubrögðum við forritunina var mjög ábótavant. Starfsmenn Diebold höfðu ekki fylgt grundvallarvinnureglum sem þróaðar hafa verið við forritun kerfa í öðrum geirum sem krefjast mikil öryggis, t.d. flugi.

Allir þessir gallar eru til þess fallnir að draga verulega úr trausti kjósenda á kosningum og svo meingallaðar rafrænar kjörvélar grafa því beinlínis undan lýðræðinu í stað þess að styrkja það.

Eftir að forseti Íslands neitaði að staðfesta lög um fjölmiðla nýlega hafa heyrst raddir sem krefjast aukins beins lýðræðis og fjölgun þjóðaratkvæðagreiðsla. Í heimi þar sem stöðugt er leitast við að draga úr kostnaði er hætt við að krafan um rafrænar kosningar fylgi fast á eftir. Reyndar hafa Reykvíkingar nú þegar fengið smjörþefinn af rafrænum kosningum í skoðanakönnun um staðsetningu Reykjavíkurflugvallar í Vatnsmýri. Ástæða er til þess að reyna að læra af mistökum annarra í þessu efni sem öðrum, t.d. hafa tilraunir Joseph Vissarionovich Djugashvili Stalin í stjórnskipun mátt þola vaxandi gagnrýni á síðari árum, þótt ályktun hans um kosningar, hér efst á síðunni, virðist standast tímans tönn.

Frekari fróðleikur:

Heimasíða Diebold fyrirtækisins

„Analysis of an Electronic Voting System“ eftir Kohno et al.