Előválasztás interneten is – Miért rossz?
Ha lesz Magyarországon előválasztás, 11 ezer szavazókört megközelítőleg sem tudnak majd felállítani a szervezők. Egy nyilvánvalónak tűnő megoldás az online szavazás. Vendégszerzőnk, NASZÓDI MÁRTON matematikus szerint azonban nem létezik az az internetes technológia, amely képes lenne megfelelni az anonimitás és az ellenőrizhetőség alapkövetelményeinek. Ezek hiányában az előválasztás fő értéke, a hitele veszne el. Vitaindító.
Az előválasztásról szóló gondolkodás fontos kérdése, hogy legyen-e lehetősége az előválasztóknak interneten keresztül, otthonról szavazni. Első ránézésre ez egy innovatív és hasznos ötlet, amely növelhetné az előválasztás sikerét. Szinte bizonyosan magasabb részvételt eredményezne minden társadalmi körben, és különösen vonzó lehetne az egyébként nehezen mozdítható fiatalok számára. Sőt, ez válasz lenne arra a kellemetlen kérdésre is, hogy mennyire reprezentálhatja az eredmény az ország véleményét, ha – ahogy attól sokan joggal tartanak – az előválasztás szervezői nem tudnak minden községben szavazatszámláló bizottságot felállítani. Mindenki nyerne tehát a netes szavazással: a fiatalok, a vidékiek és az újraindítani kívánt magyar demokrácia is. Az egész tehát csak megvalósítás (leginkább pénz) kérdése.
Vagy mégsem. Elsősorban azért nem, mert a megbízhatóan működő internetes szavazórendszer technológiailag éppen annyira valóságos ma, mint a teleportáció, vagy az az ötlet, hogy a halálos beteget hibernáljuk, és ha már megvan a gyógymód, majd kiolvasztjuk. A fagyasztás már megy.
Egy figyelmeztető jel, hogy az USA-ban, ahol az ötven államban a két párt akár különböző módon is szervezheti a saját előválasztását, interneten nem szavaznak. Pedig ott sem kevésbé fontos vagy könnyebb feladat a fiatalok, és általában, minél több szavazó mozgósítása. Az infrastruktúra (pénz) nyilván adott lenne.
Az ok a következő. Egy (elő)választási rendszerrel szemben van néhány alapkövetelmény, amelyek teljesülése nélkül a rendszer által szolgáltatott eredmény nem hiteles.
1. Anonimitás
A szavazás anonimitása azt jelenti, hogy ne lehessen követni, ki kire szavazott, továbbá hogy senki ne tudja a szavazás után sem igazolni, hogy bárki megadott módon szavazott (ezzel kerülhető el a szavazatvásárlás, illetve a fenyegetés alatti szavazás).
2. Ellenőrizhetőség
Az eredmény ellenőrizhető legyen; ne kelljen a rendszer üzemeltetőjében megbíznunk ahhoz, hogy elhiggyük, az eredmény ténylegesen a leadott szavazatok alapján állt össze.
Ezeknek a szempontoknak jelenleg semmilyen internetes technológia nem felel meg, sőt, a távszavazás mint informatikai probléma szakirodalma szerint elméleti szempontból kétséges, hogy valaha is sikerül olyan technológiát létrehozni, amely ezeknek megfelel.
Itt jegyezzük meg, hogy a hagyományos, fülkében leadott, kézzel összeszámolt szavazás módszere ezeken a szűrőkön átmegy. Persze a szavazatszámlálók ott is tudnak hibázni (lásd például a minapi osztrák példát), de a rendszer alapvetően stabil, egyszerű, mindenki számára érthető és átlátható, továbbá nem a bizalmon, hanem a kölcsönös ellenőrzésen alapul. Ezektől hiteles az eredménye.
De ne legyünk ilyen szigorúak, adjunk fel ezekből a követelményekből, mondván, hogy az előválasztás nem maga az éles választás, ezért sokkal fontosabb a magas részvétel, mint annak garantálása, hogy papa ne lássa, hogyan szavaz mama. Így már nyilván megoldható! Ha lehet biztonságosan interneten vásárolni, bankolni, miért ne lehetne szavazni? Azért nem, mert az internetes vásárlásnál az eladónak és a vevőnek is az az érdeke, hogy pontosan annyi pénz menjen, pontosan oda, amennyinek és ahova mennie kell. Az egyik meghatározó eleme a netes vásárlásnak, bankolásnak, hogy a technikai kereteket (szerver, szoftver, kommunikációs / titkosítási technológia) a bank nyújtja, márpedig neki alapvető érdeke a hibamentesség. Ha gond van, az szinte biztosan kiderül, és abból a banknak nagy kára lesz: fizet és reputációt veszít. A másik meghatározó elem az, hogy, ha hiba van, az kiderül. Valakinek a számláján kevesebb pénz lesz, mint kellene lennie, amit előbb-utóbb észrevesz, és szóvá tesz.
Egy (elő)választás egészen más: az szükségszerűen „black box” helyzet. Az ember szavaz, nem látja, hogy mi történik, majd közlik vele az eredményt. A netes bankolásnál látom, hogy az eredmény az én szempontomból helyes-e, így a netes bankolás hitelességét a közvetlen tapasztalatom adja, még ha nem is értem, mitől biztonságos a számítógépem és a banki szerver közötti kommunikáció (tegye fel a kezét, aki az RSA kódolást és a nagy számok prímtényezőkre bontásának nehézségét el tudja magyarázni).
Választási rendszer közvetlen tapasztalatból nem szerezhet hitelességet. Csak akkor bízhatok meg benne, ha értem, átlátom a rendszert, és tudom, hogy még akkor is a valódi eredmény jön ki, ha azok, akik számolnak, egyenként csalni akarnának. Pont ez a lényege a hagyományos, kézi számlálásnak: akkor is működik, ha senki sem demokrata a szavazatszámlálók között, és mindegyik csak a saját jelöltjének az érdekei szerint cselekszik. Ráadásul utólag ellenőrizhető az eredmény (újraszámlálás).
Ha azonban a számítógépen (vagy akár egy szavazófülkében az érintőképernyőn) megnyomok egy gombot, egyáltalán nem lehetek biztos abban, hogy a számítógép mit tesz – kizárólag a rendszer fejlesztőin és üzemeltetőin múlik, hogy az van-e a gomb mögött, amit a felirat állít. A banki átutalás esetében látom az eredményt; azt, hogy megérkezett-e a pénzem, a bank pedig követni tudja, ha a pénz egy nigériai számlára került a gázművek helyett. A szavazásnál azonban nem látjuk azt, hogy ezer X-re leadott szavazat Y-hoz lett könyvelve.
A hiteles netes szavazást két technikai probléma teszi lehetetlenné. Mindkettő a rendszer bonyolultságából és támadhatóságából adódik, amit alább kifejtek. Az első probléma, hogy a rendszer tervezője, üzemeltetője nem ellenőrizhető olyan módon, ahogyan a kézi számlálásnál egymást ellenőrzik a különböző jelöltek által delegált számlálók. A másik pedig az, hogy egy ilyen netes rendszer kívülről könnyen támadható, és egy sikeres támadás – akár észrevétlenül is – megváltoztathatja az eredményt, és/vagy teljesen hiteltelenné teheti azt.
Miért nem ellenőrizhető, miért támadható? Egy kellemetlen, de elkerülhetetlen technikai kitérő következik. A szavazatokat egy netes szavazásnál egy vagy több szerver gyűjti. A szervernek mind hardverben, mind szoftverben rengeteg eleme van. Egyrészt kapcsolódik az internethez valamilyen routeren, másik szerveren stb. keresztül. Másrészt fut rajta egy hardverszintű rendszer, amelyen fut egy operációs rendszer, amelyen pedig fut egy csomó program, amelyek a kommunikációért, az adatbázisért stb. felelnek. Ezen hardver- és szoftverelemekben lehetnek hibák, és lehetnek beépített hátsó ajtók (backdoor), amelyeken keresztül valaki, aki rendelkezik megfelelő eszközökkel, kívülről belenyúlhat a rendszerbe. Ismert, hogy a hátsó ajtókat a hardverekbe beépítik, és azok az eszközök, amelyekkel ezeket használni lehet, megvehetők a piacon. Mellesleg azt is tudjuk, hogy kormányunk ezeket az eszközöket meg is vette – hiszen a nemzetbiztonság országunkban (is) elsődleges prioritás.
Egy támadó, aki (egy hátsó ajtón keresztül, vagy belülről, vagy máshogy) hozzáfér a rendszer valamelyik eleméhez, különböző dolgokat érhet el attól függően, hogy mekkora mértékben kontrollál milyen elemet, és persze attól, hogy mi a célja. Enyhébb esetben csak követheti a kommunikációt, és információt szerezhet az egyéni szavazatokról. Rosszabb esetben megbéníthatja a szavazást, kihozhat egy képtelen eredményt (egymilliárd szavazat Chuck Norrisra), vagy csak kisebb mértékben manipulálja azt. Mindez előfordulhat anélkül, hogy a támadást menet közben a szerver jóhiszemű (most feltételezzük ezt) üzemeltetői észrevennék, vagy ha detektálják is, utólag megállapíthassák, hogy pontosan mi történt (melyik jelölt kapott ajándékszavazatokat, kinek a kárára?), és hogy a támadás kinek a részéről, honnan érte a szervert.
Aki figyeli az informatikai híreket, az tudja, hogy a globális IT-óriások fontos információkat (például hitelkártyaszámok, jelszavak stb.) tároló szervereit is érték (érik) nagyon sikeres támadások, pedig ezeknél a szakmai és anyagi háttér, illetve a rendszer fejlesztésére fordított idő összehasonlíthatatlanul több, mint amiről itt álmodni mernénk.
Röviden: a szervert képtelenül biztonságosra kellene építeni, amely biztonság ráadásul a jelöltek által ellenőrizhető is kellene hogy legyen, sőt, legyen a szavazók felé meggyőzően kommunikálható.
Legalább két további módon támadható még egy netes szavazás anélkül, hogy magához a rendszerhez lenne hozzáférése a behatolónak. Az egyik a DOS-támadás: amikor a szervert elárasztják olyan hulladék-üzenetekkel, amelyeknek a figyelmen kívül hagyása annyi erőforrást emészt fel, hogy a szerver nem tudja ellátni a rendes feladatát. Ez nagyon olcsó, egyszerű módszer, a netes támadások jelentős része ilyen. Egy másik támadás a hamis szavazatok leadása, illetve a más helyetti szavazás. A netes szavazásnál ugyanis a szavazó azonosítása nagyon komoly gondot okoz, amelynek megoldására szintén nincs jelenleg megbízható technológia.
A szerver elleni hackertámadások elvileg kivédhetők lennének – vannak okosabb rendszerek, ahol nagyon sok szerver, vagy lényegében bárki, aki számolni akar, számolhatja a szavazatokat. Ezek a rendszerek viszont informatikailag összehasonlíthatatlanul bonyolultabbak annál, mint amikor egy (vagy néhány) szerver számol. Ezek leginkább elméletben vagy laborokban létező kisérletek, ilyen méretű felhasználásuk nincs, mert a technológia nem érett rá. Egy ilyen rendszer megvalósítása a mostani netes előválasztásra nem elérhető. Ráadásul ahhoz, hogy egy ilyen rendszert valaki elfogadhasson hitelesnek, ki kell járnia néhány haladó szintű kriptográfiai kurzust.
A technikai részt összegezve: egyetértek azokkal, akik szerint az előválasztás lehetne Dávid és Góliát küzdelemében az ellenzék parittyája. Ha az előválasztás szervezői kimennek az információbiztonsági csatatérre, ott ők is Dávid szerepét kapják. De parittya nélkül.
Ezek után következzen a legegyszerűbb érv, és egyben a legolcsóbb is – az információbiztonságiak után a politikai érv. Képzeljük azt egy pillanatra, hogy vannak olyanok, akik erősen ellenérdekeltek az előválasztás sikerével szemben, és rendelkeznek pénzzel, informatikai erőforrásokkal, médiával. Az ő számukra ajándék az, ha az előválasztási rendszerbe beépítünk egy olyan elemet, amely bonyolult, nemzetközileg ki nem próbált, és ellenőrizhetetlen. A netes szavazás legkisebb hibájából (amelyhez akár külső segítség se kell, egy ekkora, megfelelő tesztelés nélkül élesben kipróbált rendszer könnyen produkálhat hibát) remek hír lesz, amely az egész előválasztás legfontosabb értékét semmisíti meg: a hitelességét. Aki az előválasztással hitelességet akar szerezni, annak azt átláthatóra kell terveznie. Azt pedig a neten nem lehet.
A cikkbeli problémák legjelentősebb része megoldható a blockchain technológiával, amiről úgy látszik sem a cikk írója, sem a megszólaltatott matematikus nem hallott még. Itt van példának egy ilyen kezdeményezés, tessék kicsit tájékozódni, mert ez a cikk így simán csak egy egyoldalú butaság.
https://followmyvote.com/
Valaki más pedig épp most mondja, hogy a homomorfikus kriptográfiával is megoldhatóak ezek a problémák. Kedves Political Capital, ezt a cikket inkább szedjétek le, mert totál ciki, illetve konkrét hazugság.
Bocsánat, de ez a cikk baromság, az első néhány bekezdés után, ami egyértelmű hazugság, nem is volt kedvem tovább olvasni. De azért második nekifutásra elolvastam, bár ne tettem volna.
1. Ha a szavazatok változtathatóak, akkor nem lehet megvásárolni őket, mert nem ülhet egyszerre 8 millió lakásban a szavazatvásárló, az utolsó pillanatban úgy is arra szavazol, akire akarsz.
2. Persze, hogy nem lehet minden abszolút biztonságos, de nem mindegy, mekkora meló bármit is feltörni. Ezt mindenki tudja. Sokkal könnyebb (olcsóbb) néhány szavazatszámlálót megzsarolni, mint egy komplex rendszert feltörni.
Sajnos a további állitások valóságtartalma még kevesebb.
A cikk totál félrevezetés, egy totális dezinformáció. Sötét középkor.
És még valami.
Észtországban már lassan egy évtizede van internetes szavazás. És hótziher, hogy az a nagy keleti szomszéd már rég megbuherálta volna, ha meg tudta volna, gyakorlatilag végtelen technikai és anyagi forrással rendelkezik hárombetűs szervezetük.
Ez az egyszerű tény valahogy elkerülte a szerző figyelmét???