Естония от години се хвали с единствената система за електронно онлайн гласуване, използвана на всички избори. Но миналата година международен екип от независими експерти по компютърна сигурност и електронни избори публикуваха доклад, който посочва много ключови проблеми на естонската система. Те с лекота са пробили и проникнали в нея, в лабораторни условия, и то по метод, който не оставя никакви следи и може да се направи от разстояние. Управниците в Естония в голяма степен игнорираха доклада.

Във връзка с референдума тази есен, от Клуб Z решихме да се свържем с екипа и да открием повече детайли по темата. Откликна Джейсън Киткат, компютърен специалист, наблюдавал десетки електронни избори, включително местния вот в Естония през 2013 г. Киткат е британец, бил е общински съветник на Зелените, работи като независим консултант. Преди години разработва един от първите свободни софтуери за електронно гласуване, после обаче се отказва.

***

Господин Киткат, този октомври българите ще гласуват на референдум за прилагане на електронното гласуване. Вие сте част от международен екип, който разучава избирателната система на единствената държава, която използва електронния вот за всички свои избори. Вие дори сте писал софтуер за електронно гласуване. Какво смятате? Така ли ще гласуваме в бъдещето?

Не и в близкото бъдеще. Електронното гласуване, особено през интернет, не е добра идея с технологията, която е възможна в момента. Защото едни обвързващи избори трябва да бъдат сигурни, тайни и потвърдими. Това са всички изисквания за едни свободни и честни избори според Съвета на Европа и ООН.

Сигурни означава, че резултатите не могат да се променят, че гласуващите и кандидатите могат да са сигурни, че гласовете се съхраняват правилно и се броят без намеса. Тайни означава, че никой не може да разбере как да речем аз съм гласувал. Това е за да се избегне купуването на гласове, злоупотребата, продажата на гласове и нападенията над хора, гласували „погрешно“.

Затова и много държави, като Великобритания, Германия, Ирландия, Холандия, Италия, Финлания са опитвали електронното гласуване, но са се отказали. 

Както показахме в Естония, технологията създава реални рискове, че някой, разположен където и да е по света, може веднага и дистанционно да атакува вота и да го промени.

Значи Естония не е постигнала тези три изисквания? Въпреки че управляващите упорито твърдят обратното?

Не, не са постигнали и трите. Първо, ние демонстрирахме, че електронното гласуване там не е сигурно. Второ, не е тайно, тъй като като гласуваш от дома си или от офиса, други могат да видят какъв вот даваш, и трето, верификацията е много слаба, ако въобще я има. Невъзможно е за гласоподавателите да знаят какво става с гласа им, веднъж щом влезе в "черната кутия" на централната брояща система.

С хартиената система има различни техники (специална хартия, специални печати, номерирани бюлетини) които правят много трудно добавянето или променянето на гласове. Много хора наблюдават урните (кандидати, преса, НПО-та) и винаги можеш да преброиш отново хартията.

Четох много подробния доклад на вашия екип. Но в някои отношения е технологично и академично предизвикателство. Бихте ли обяснили по-просто основните недостатъци на естонската система?

Повече можете да прочетете на сайта ни тук. Но нека обясня накратко...

1. Открихме че начинът, по който се провеждат изборите и се използва системата е крайно невнимателен и води до по-лоша сигурност от тази, която би могла да бъде.

2. Открихме слабости в системите, които биха ни позволили да ги излъжем така, че да променят как някой е гласувал, без никой да забележи. Това означава, че можем да заобиколим сигурността, която те твърдят, че е гарантирана от електронните лични карти.

3. Открихме, че сървърите могат да бъдат компрометирани така, че да позволят нападател да повлияе на гласовете докато се запазват. Тоест, да контролира резултатите на изборите.

4. Има липса на прозрачност, което прави още по-трудно доверяването в системата. Тъй като онлайн гласуването е много сложно, е трудно да се разбере какво точно се случва. Как можем да сме сигурни, че хората не се опитват да манипулират резултата, когато не можем да видим какво се случва вътре в компютрите?

Трябва да се попитаме - каква е целта да се вкара онлайн гласуването? Скъпо е - и е допълнителен разход, защото не премахва старият метод, дори и в Естония. Така че струва повече, но във всяка държава, в която е прилагано, активността не се е покачила, но се е увеличил риска от атаки и грешки.

Естонската Комисия, отговорна за онлайн гласуването, е обърнала внимание на вашия доклад само с едно писмо към в. "Гардиън", след като изводите ви бяха публикувани там, нали?

Също така се изказаха в естонските медии, отхвърляйки тезите ни. Президентът и премиерът също се опитаха да подронят авторитета ни с разнообразни лични атаки.

Вие в наистина ли сте независим екип от изследователи?

Да, нямаме никакви политически, бизнес или академични връзки в Естония.

Тогава защо биха атакували позицията ви така? Дори да грешите, не е ли логично да изготвят контра-доклад, най-малкото за да успокоят притесненията на гражданите си?

Защото много в естонската политика и бюрокрация виждат е-гласуването като ключов елемент от е-Естонския бранд, който е важен за международни инвестиции и интереси. Много академици, политици и общественици посещават страната заради това и те не искат да го изгубят.

Не сме искали нещата да са така - ние искрено се възхищаваме на това, което Естония е постигнала, откакто е свободна, особено по отношение на е-здравето и е-правителството, но трябва да бъдат отворени към критики. С големите хакерски атаки към американското правителство, Джийп, Делта Еърлайнс, ТиДжи Макс видяхме, че да си открит е най-добрият начин да запушиш дупките и да подобриш нещата.

Вие присъствахте като наблюдател на изборите в Естония през 2013 г. Кой беше най-яркият пример на нарушение на сигурността, който видяхте?

Да, бях там. Най-яркият пример е може би държането на ключова парола към сървърите (root паролата) на парче хартия, което хората и камерите можеха да видят, докато наблюдаваха проверката на системата.

Какво може да направи човек с тази парола? Може ли просто да влезе в сървъра и да промени резултатите?

Потенциално, да. Те ще кажат, че има криптиране, но криптирането не е достатъчно. В някакъв момент гласовете се декриптират, и тогава възможностите (както показват нашите изследвания), стига да контролираш сървъра, са сериозни. Например, можеш да промениш как изглежда "бюлетината" на екрана, така че гласоподавателят да се излъже и да гласува за друга партия. Подобна атака може да промени резултатите от гласуването без да се докосне въобще до криптирането!

Вие сте провеждали тестове на системата. Възможно ли е някои мерки за сигурност да се пазят в пълна тайна?

В някои изявления те твърдят, че има такива, но не споменават нищо конкретно. Това е известно като "сигурност чрез неизвестност", и не работи. Специалистите по сигурност по цял свят, включително криптографите, знаят, че една система трябва да е сигурна дори всички детайли за нея да са известни. Така че всеки може да види как изглежда ключалката на вратата ти - но не значи, че могат да влязат вътре, все още им трябва правилният ключ или много специални умения на касоразбивач. Всички ключови алгоритми по безопасност на модерните системи са публични - и въпреки това сигурни.

Въпреки всичко това Естонската комисия по онлайн гласуване твърди, че е провела 6 големи вота без никакви проблеми?

Но, разбира се - ако атаките са добри, няма да оставят никакви следи! Там е целият проблем. Лесно можеш да видиш как някой мъкне 1 милион бюлетини нанякъде - но не и 1 милион електронни бюлетини! А това е възможно да стане, както сме доказали.

Често срещан аргумент - ако можем да пазаруваме спокойно онлайн, да плащаме големи суми и много рядко да имаме проблеми, защо онлайн гласуването да е по-различно?

Ако има проблем, можеш да си поискаш парите обратно. Банките не са тайни, нито анонимни. Има много измами, но системата позволява да си поискаш сумата обратно. Но не можеш да си върнеш вота обратно! След като някой е избран за президент, край! А истината е, че и банките имат големи проблеми с измамите, но не са длъжни да си публикуват данните за това.

В България имаме друг проблем - за разлика от Естония, нашето електронно правителство от години е само на "първа копка". А тяхната система зависи много от смарт личните карти. Можем ли да направим онлайн гласуване без това?

Макар че нашият анализ успя да пробие естонските карти, те все пак са най-вероятно най-добрите електронни идентификационни документи в употреба. Преди 15 години, когато бе създадена, това беше добра технология. Според мен, не е възможно без подобна система да се направи каквото и да е електронно гласуване.

Както казах по-рано, вие сте писал софтуер за електронно гласуване, и предполагам, че имате опит и с други системи освен естонската. Кога в бъдещето ще има сигурна система за е-гласуване?

Една от причините, поради която се отказах да разработвам софтуера, е че колкото и да съм умен, винаги ще има огромни рискове, а твърде много доверие отива в малка група хора, които да конфигурират системата и да поддържат сървърите. При хартиеното гласуване тази отговорност се разпределя сред много повече хора.

Брус Шнайер е един от топ-експертите в света по компютърна сигурност. Той казва, че ако интернет гласуването е възможно, ще стане първата сигурна мрежова апликация в историята на човечеството! Не смятам, че сегашната технология може да го постигне. Ще отнеме години, може би десетилетия.