Lõpetage e-valimiste kulud

Reageerin 26. juuli 2016 teatele ERR-is ja Postimehes, mille järgi elektroonilise hääletamise tarkvara läheb täielikult ümberkirjutamisele. See on halvasti varjatud katse anda erafirmale tööd ehk raha e-valimiste süsteemiga.

Panen siia katked oma kommentaaridest, et neid mitte uuesti kirjutama hakata.

Kõiki hankeid ma ei pruugi teada aga 2005-2007 oli internetipanga sarnane tarkvara (maksis 10 miljonit krooni), siis alates 2009 EP ja KOV valimistest tuli valimisrakendus. See kirjutati täiesti uuesti 2011. RK valimisteks(räägiti koolitusel). Tarkvara kirjutati uuesti 2013. KOV valimisteks, sest oli lisandunud verifitseerimine. Selles sisaldus “turvalahendus,” et programm kuvas punast raami kui selle peal oli mõni teine aken. See maksis 37 472 eurot, mida on 3 korda rohkem kui VVK maksis uute plastikust hääletusurnide eest igasse jaoskonda.

Tegelik probleem on valimisjaoskonnast loobumine, mis liberaliseeris valimispettuse (häälte ost kodudest). Pabersedelite urniga ei lasta poliitikuid tänavatele ja kodudesse, et nad korjaksid endale poolthääli. Ma olen näinud lähedalt 3 viimast e-valimist ja minul on siiani teadmata kõik, mis puudutab valimistulemust koostavat tarkvara. Mitte segamini ajada elektroonilise valimise tarkvaraga, mille uuesti kirjutamisest praegu räägitakse. Olen ka varem toonud selle võrdluse, et mustkunstniku trikk laval on läbipaistvam kui Eestis valimistulemuse selgumine. Sisuliselt pole kordagi avaldatud jaoskondade tulemuste algandmeid, küll on järjepidevalt seiskunud valimistulemust kokkulugevad serverid(2009 EP, 2011 RK, 2014 EP, 2015 RK) ja nende ärkamine on toonud suuri muutusi. Olin ise tunnistajaks, kus 10 minutiga muutus EP valimiste tulemus: KE oli 2 kohta ja REF 1 aga siis oli järsku vastupidi.

Ühegi matemaatilise valemiga ei saa korvata valimisjaoskonda kui häälte ostu välistavat ja valija mõjutamist takistavat vahendit. Ega asendada hääletuskasti ja sedeleid, mida võib vaadata ilma turvaleket põhjustamata. Näiteks Hursti vaatas 2013. videot ja väitis, et nägi parooli aga nad ei vastanud mulle kunagi, mis oli parool. Samasuur risk kui teada isikukoodi ja sellest kirjutasin pikemalt 14.05.2014 arvamus.postimees.ee/2794324/virgo-kruve-valismaa-mainerunnak-e-valimiste-vastu .
Ma ei ole tehnoloogilise arengu vastu aga olen vabade, salajaste ning vaadeldavate valimiste poolt. Kahjuks e-valimised neid nõudeid ei täida. Isegi tarkvara uuendamisega. Tsiteeritud teksti lõpp.

Sattusin lugema Sven Sildniku teksti (Kivisildnik), kus oli sees fraas „miljoni vaese riik.“ Me ei saa loobuda jaoskondades valimisest, sest kõigil ei ole arvutit majanduslikel või muudel põhjustel (neil puudub vajadus ja oskus seda kasutada) ning järelikult on elektrooniline valimisviis lisa. See on sama kui pankadega, mis tänapäeval hoiavad pangakontoreid lahti väga väikse osa klientide tarbeks, sest valdav enamus toimetab arvutiga või maksab kaardiga. Samamoodi trükib Maksu- ja Tolliamet jätkuval maksudeklaratsioonide vorme paberil ja võtab neid ka vastu, kuigi suurusjärgus 97 protsenti tuludeklaratsioonidest esitatakse elektrooniliselt. Praegusel juhul on valimistega sedasi, et vaid 1/3 hääletab arvutiga, seejuures käib valimispäeval jaoskonnas selgelt rohkem inimesi kui eelneva 7 ööpäeva jooksul toimetab arvutis. Need näitajad leiab ülevalt statistika lehelt.

Tarkvara uuendamisest ei ole pääsu. Näiteks 2013. KOV valimisteks soetati sertifikaadid, mis pidid vastu pidama 4 aastat ja olema veel 2017 KOV jaoks kõlbulikud aga siis tuli välja, et NSA oli häkkinud sertifikaatide tootjat ning nii tuli 2014 EP valimisteks sertifikaadid uuendada.

Jaoskonnas filmimine ja pildistamine ei ole turvarisk, mis rikuks hääletaja vabadust või sedeli salajasust. Valimiskasti võib enne, valimiste ajal ja tulemuse kokkulugemisel kuitahes palju pildistada ja ikkagi ei ole turvariski. Tarvi Martens kindlasti on sellega päri aga tal on mingi oma agenda, mispärast ta hoiab seda hääbuvat tehnoloogiat stepslist välja tõmbamast ja maksab üha uusi summasid selle ümbertegemise eest. Muidugi võib olla eesmärk hoida e-valimiste idee autoreid Reformierakonnast võimul, sest nagu kirjutasin vahepeal, siis valimistulemuse kokkulugemine on üks must kast, mida ma pole kunagi näinud. Ma tean, et selleks on eraldi server või serverid aga neid pole ma kunagi näinud, mitte ühelgi valimisel. Sisuliselt läheb kaabel seina, elektrooniliselt antud häälte tulemusega (mida inimesed samuti ei kontrolli ja usaldavad programme) ning siis hüppab internetis teise kaabli kaudu välja valimistulemus, et Reformierakond võitis jälle valimised. Kui idee autorid jääksid 2. või 3. kohale, tunduksid tulemused kuidagi ausamad. Praegu on selline seis, et nad alustasid nende läbiviimist ja üha võidavad. Isegi olukorras, kus internetis kasvanud 18. aastaseid oli arvuliselt vähem kui 91. aastaseid. Jah, ma olen jõudnud järeldusele, et selline tulemus tuli liberaliseeritud häälteostu sisseviimisega, sest korraldajad ei ole tõestanud valimiste tarkvara ausust, valimiste tulemuse läbipaistvat kujunemist ega näidanud ennast seaduses toodud toimingute ja tähtaegade täitjana. Neil pole isegi julgust vastu vaielda, vaid VVK jättis kaebuse läbi vaatamata. Seejuures oli põhjendus ka Riigikohtu poolt ebaseaduslik, sest valimistoimingu vaidlustamiseks ei pea olema kodanik(hääleõigust omavad ka mittekodanikud ja teiste EL-i riikide kodanikud).

Viited:

Vabariigi valimiskomisjon soovib e-hääletamise süsteemi uuesti üles ehitada
uudised.err.ee/v/eesti/fe86efd4-9811-48cc-ae2b-234acd4e6c60/vabariigi-valimiskomisjon-soovib-e-haaletamise-susteemi-uuesti-ules-ehitada
Eesti e-hääletamise süsteem saab kõigile kättesaadavaks – kasvõi erakondadele

http://tehnika.postimees.ee/3778301/eesti-e-haaletamise-susteem-saab-koigile-kattesaadavaks-kasvoi-erakondadele?-kasvoi-erakondadele

Kiirmarsil 2017. a. e-valimiste võidu poole

Riigikogus käib kiirmarsil valimisseaduste muutmine, et praegused erakonnad võidaksid ka 2017. aasta valimised.

Seaduseelnõu 160 SE pöörab peapeale senise valimiste korraldamise. Võtab ära Vabariigi Valimiskomisjoni töö, annab valimiste võimu bürokraatidele Riigikogu valimiste osakonnast, mille põhjal moodustatakse Riigi Valimisteenistus ega muuda ühtegi e-valimiste puudust, mis ilmnesid 2015. aastal. Kui siiani valitses jaoskondades toimuvat Vabariigi Valimiskomisjon ja piirkondlikud komisjonid(linnas, maakonnas, vallas), siis nüüd võetakse palgale valimisjuhid, kes palkavad endale personali. Valimiste äraostmine muutus juht lihtsamaks.

Ära likvideeritakse varasem Elektroonilise Hääletamise Komisjon, mis ilmselgelt ei olnud oma töö kõrgusel 2015. aasta valimistel. Nad muutuvad nüüd ilma otsustusõiguseta bürokraatideks selle sama Riigi Valimisteenistuse juures. Propaganda mõttes kaob pildilt Tarvi Martens ja poodiumile tõuseb Priit Vinkel, kelle huvi 3 viimase elektroonilise valimise kohta oli ainult selline, et mis kell on vaja krüptovõtmed saavad inimesed kohale ajada.

Eelnõu esimene lugemine oli 17. veebruaril, muudatused tuli esitada 2. märtsiks. Komisjoni istung oli 8. märtsil (teisipäev), mitte ühtegi opositsiooni poolt tulnud parandust ei arvestatud ja läbi läksid ainult justiitsministeeriumi parandused. Reformierakonnal, IRL-il ja SDE-l ei olnud parandusi, mis tähendab nende rahulolu eelnõuga ja veendumust, et nad juba ongi valimiste võitjad. Dokument komisjoni otsustest avaldati reedel 11. märtsil. Saalis toimub II lugemine järgmisel teisipäeval 15. märtsil. See jätab sisuliselt esmaspäeva rohkem kui 90 Riigikogu saadiku jaoks, et tutvuda komisjoni otsusega(47 lehekülge)

Sisse jäävad puudused, et elektrooniliste häälte lugemist alustatakse valimispäeval kell 19. Kui see algaks koos jaoskondade sulgemisega kell 20, siis saaks kasutada foto ja videotehnikat elektrooniliste valimiste aususes veendumiseks. Praegu on just see argument, et jaoskonnad on veel lahti, mispärast ahistatakse vaatlemist hullemini kui mustkunstniku trikkidele jälilesaamist.

Elektroonilist hääletamist ei hakata jätkuvalt korraldama valimispäeval, nagu Põhiseaduses on kirjas – pühapäeval.

Kuigi nüüd on seaduses kirjas, et kaebuse saab esitada ka ametnike poolt seaduse täitmata jätmise peale, siis jätkuvalt toimub elektrooniliste häälte lugeminine Riigi Valimisteenistuse ja Vabariigi Valimiskomisjoni ühisel tööl ning selle kohta esitatavat kaebust peab lahendama Vabariigi Valimiskomisjon. Mina näen siin huvide konflikti, täpselt 2015. aasta sündmuste kordumist.

Eelnõu ei nõua valimiste tarkvara (valimisrakendus) auditeerimist ehk veendumist “valimiskasti” ausas töös.

Eelnõu ei näe ette võimalust elektroonilisi hääli korduslugeda kui esimesel korral ametnike poolt rikuti seadust või saadi tahtlikult vale tulemus(valimiste võitja). Näiteks paberil antud häältele on ette nähtud korduslugemise võimalus ja tulemuse kontroll.

Eelnõus säilib senine viga, et elektrooniliste valimiste tulemus sisestatakse serverisse ja pärast seda toimub valimiste süsteemi andmete tervikluse kontroll ja tulemuse allkirjastamine. Sellele vastab olukord, kus jaoskonnakomisjon teatab paberipakkide põhjal, et võitis Reformierakond ja järgmisel päeval nad kontrollivad, et seal pakis olid sedelid 2 pitseriga ehk keegi polnud lihtsalt tühje paberilehti nende hulka poetanud.

Kõige enam häirib mind uue bürokraatliku struktuuri rajamine(Riigi Valimisteenistus), mis hakkab pugema andmete varjamiseks igasuguste ametkondlike reeglite taha ja infot varjama. Kui Kaitseministeerium kasutab salastamist sõjaliste rajatiste kaitseks, siis Riigi Valimisteenistus saab samu ettekäändeid kasutada mille varjamiseks? Ainult oma äraostetud töö varjamiseks või töövigade varjamiseks. Kui varem olid juriidiliselt sõltumatud kohapealsed komisjonid ringkonnas või maakonnas, siis nüüd on alluvuslikud suhted Riigikogu ametnikelt üle kogu riigi ja see tähendab, et valimiste äraostmine muutus lihtsamaks. Vähem inimesi, suurema võimuga ja tulemuse ausus peidetakse ametkondlike tõkete taha.

Mis on valesti e-valimistega 2015?

Tarkvara on valmis, serverid seadistatud ja neljapäevast saabki e-valida. Vaatlemisega saadud info oli minule piisavalt oluline, et seda jagada võimalike e-valijatega. Teadmistel põhinev valik on parem kui pimesi uskumine.

Minule oli see kolmas kord näha valimistel kasutatavate serverite seadistamist. Vaatlejaid oli vaid 3, mis on üllatavalt vähe võrreldes nende arvuga, kes eelnevatel aastatel on teemast midagi arvanud. Puudusid kõik need, kes räägivad telekaamera ees ja kirjutavad kui ebaturvalised need on ja miks peaksime lõpetama. Konkreetselt viitan välismaalastele, kes mullu mais korraldasid mainerünnaku e-valimiste usaldusväärsusele ja opositsiooni poliitikutele, kes kasutavad sõna „ebaturvalised“ alati koos e-valimistega, ilma seda lahti seletamata. Seekord ei ole välismaist rünnakut oodata, sest nende teadmised põhinesid 2013. aasta videote vaatamisel ja hilisemat materjali neil pole. Nad on justkui astronoomid, kes vaatavad teleskoobiga kaugel asuvaid objekte ja teevad oletusi nende kohta. Erinevalt astronoomidest oli kahtlejatel võimalus isiklikult kohale tulla ja oma silmaga näha ning kasvõi sõrm vastu serverit panna. Ainus saavutus oligi kahtluse tekitamine ja debati diskrediteerimine, sest nende välismaiste valimismasinate uurijate ainus ettepanek oli Eesti e-valimistest loobuda aga seda ei ole võimalik teha. Kasvõi selleks, et mitte alluda välismaisele survele. See oli võrreldav ähvardusega valimisjaoskonda rünnata.

Erinevalt teistest riikidest on meil ID-kaart, mis muudab ründamise keeruliseks, sest paroolide teadmisest ei piisa ja on vaja unikaalset füüsilist asja – kiipkaarti. Mujal Euroopas ja maailmas puudub kiipkaart ning neid inimesi saabki eksitada paroolide lekkimise ohust rääkimisega. Näiteks Norras puudub kiipkaart, oli paroolidega tuvastamine aga nende otsust e-valimiste katsetused lõpetada seostati Eestis jällegi sõnaga ebaturvalised.

Süsteemi seadistamist näinuna võin öelda, et turvalisusega on korras. Nii tarkvara, valijate nimekirjad, infosüsteemi valikud kui serverile ligipääsud kasutavad digitaalseid allkirju ja sertifikaate ning füüsilisi tõkkeid. See muidugi ei välista võimalust, et kusagil tarkvara ahelas on viga, mida pole veel avalikuks tehtud, sest näiteks NSA kasutab seda praegu ära. Kindlasti ei lähe ma selleni, et vastan kahtlejatele RIA kombel „E-valimised on (liiga) turvalised“ (14.05.2014).

Minu jaoks on küsimuse koht tarkvara ja sellega ümberkäimine. Oluline osa sellest on endiselt salajane: valimisrakendus, süsteemi seadistamiseks tarnitud ja serveri ning kerneli konfigureerimiseks kasutatud failid. See paneb suure usalduse ametnikele, kes ei näidanud neid faile ka vaatlejatele. Jaoskonnas vastaks sellele olukord, kus ainult korraldajad teavad, mis on valimiskasti põhja all.

Korraldajate eelnev käitumine ei ole minu silmis nende pimesi usaldamist ära teeninud. Esiteks rääkisid nad 2013. aastal koodi avalikuks tegemisest, mis on muundatud tõde, sest hääle andmise tarkvaraga seda ei tehtud.

Teiseks räägitakse valimiste auditeerimisest aga see hõlmab vaid tegevuste jälgimist, kuid mitte tarkvara. Korraldajatel oli 4 aastat ja 2 valimist aega tellida valimisrakenduse audit aga seda ei ole tehtud. Ideaalis peaks olema auditeeritud nii e-hääletamiseks tellitud tarkvara kui serverite tarkvara(Debian, Apache, MySQL, jne), sest isegi avaliku lähtekoodiga tarkvaras võib olla vigu, mida kasutatakse ära näiteks NSA poolt. See dokument annab salastatud koodi puhul valijale garantii, et tarkvara laseb valijal anda hääle soovitud kandidaadile ja see ka loetakse samale kandidaadile. Valimised ei saa põhineda usaldusel tundmatu programmeerija vastu, vaid see peab olema faktidega kontrollitav. Valimiste võitjate meelest on e-valimistega kõik korras aga kaotajad peavad olema veendunud reeglite võrdsuses ja valijad tulemuse aususes.

Kolmandaks leidis Euroopa Parlamendi valimiste päeval aset juhtum, mis vaikiti korraldajate ja audiitori poolt maha. Elektrooniliste häälte kohta peetakse logifaile ja nende kontrollimisel tuli ekraanile tekst „kriitiline viga.“ Seda ei selgitatud kohapeal ega audiitori aruannetes. Viimasel seadistamise päeval küsisin eraldi selle kohta ja sain suuliselt võimaliku selgituse juhtunule. Logifailid on minu jaoks tarkvara järel tähtsuselt teisel kohal, isegi enne e-hääli, sest nendes on info tarkvara töötamise kohta. Täpsemalt vastuvõetud hääled(LOG1), tühistatud hääled(LOG2, korduvad või jaoskonnas hääletamised), lugemisele läinud hääled(LOG3), kehtetud hääled(LOG4) ja arvestatud hääled(LOG5). Need peavad omavahel klappima, et keegi ei saaks mitut häält anda või lugemisele minna teadmata päritoluga hääli või kellegi e-hääl jääda lugemata. Jaoskonnas vastab sellele valija allkirja andmine sedeli kättesaamise kohta ning hiljem peavad klappima protokollis nii väljastatud sedelit arv, hääletuskastis olnud sedelite arv, kehtetute sedelite ja kokkuloetud sedelite arv. Samuti ei saa kandidaatidele antud hääli olla rohkem kui sedeleid.

Seekord tahetakse teha logifailide kontroll pärast valimistulemuse sisestamist valimispäeval ehk 2. märtsil. Püüdsin korduvalt väita, et valimispäeval lugemise juures viibivate kümnete välisvaatlejate nähes on põhjendatud kontrollida logifailide terviklust ja kooskõla aga ametnikud olid oma reeglid juba kehtestanud. Isegi väide, et „eksisteerib tõenäosus logifailide korrasolekuks,“ ei aidanud. Jaoskonnas vastab sellele olukord, kus valimispäeval loetakse kokku „hunnik“ hääli ja päev hiljem hakatakse kontrollima kastis olnud sedelite arvu, kehtivate ja kehtetute sedelite arvu, valimistest osavõtnud valijate arvu. Minule on vastuvõetav lugemisvea tõenäosus jaoskonnas, sest see parandatakse korduval lugemisel aga mitte lõdvemad reeglid e-häälte lugemisele. Mitte kunagi varem ei ole e-hääli teist korda üle loetud ja alati on usaldatud esimest tulemust, mis tähendab esimese lugemise jõussejäämist. Isegi olukorras, kus 2. märtsil leitakse probleem logifailidega. Mis tähendab võimalikku õiguslikku probleemi, sest e-häälte protokoll koostatakse juba valimispäeval 1. märtsil.

Neljandaks on e-valimistega seotud eraldiseisev valimiste infosüsteem(VIS), mis eelnevatel kordadel on korduvalt probleeme tekitanud, näiteks tulemuste selgumise viibimise või mullu kevadel protsentide valesti arvutamisega. Pärast e-hääletamise kasutuselevõttu on probleemivabalt kulgenud vaid kohalike volikogude valimiste tulemuse lugemine. Eriti suur prohmakas oli 2009. aastal kui „süsteemi kokkujooksmiseni“ oli opositsioonilisel erakonnal 3 kohta Euroopa Parlamendis ja pärast vaid 2. Tulemuse selgumine viibis ka 2011. aasta parlamendi valimistel ja ametnikud kasutasid USA erafirmasid Twitter ja Facebook mingisugusegi info avaldamiseks üle tunni aja jooksul. Viimastel Euroopa Parlamendi valimistel arvutas infosüsteem valesti protsente aga mitte ainult. Lugemispäeval tohtis tulemusi avaldada alles südaööl ja e-valimiste vaatlejad nägid häälte ülekandmist VIS-i ja ka esialgseid tulemusi. Kui varem sai pildistada ning töötas ka ametnike videokaamera, siis kella 23:35 paiku seda enam teha ei lastud ja ametlik kaamera lülitati ka välja. Meil pole selle järel enam objektiivset tõendusmaterjali. Järgneva 10 minuti jooksul muutus kohtade jaotus, Reformierakond sai 2. koha ja Keskerakonnale jäi 1 koht. Seda ikka juhtub, et jaoskondadest tuleb lühikese ajaga eriti palju hääli ühele erakonnale. Sama erakond võib saada ka kolmandiku võrra rohkem hääli kui oleks võinud prognoosida uuringufirma küsitlusest erakondade toetusprotsentide kohta. Erakordne aga kas ka usutav? Kui vaid oleks lastud seda jäädvustada.

Selle nimekirjade ja tulemuste vaatamise ajal ütles ametlikku kaamerat käsitsenud mees, et loetud häälte arv ei klapi. Nüüd märkasin ka mina, et kandidaatide häälte summa oli selgelt väiksem kui see number, mida näidati loetud häältena. Justkui süsteemis oleks olnud reservhääli. Ametnike poolt ei tulnud reageeringut ja vaatasime lihtsalt vaikuses ringkondade tulemusi uuesti üle. Ainus kommentaar oli, et „meie VIS-i ei halda, vaid ainult kasutame seda.“ Kui küsisin nüüd juhtunu kohta, siis sain vastuseks, et ametlikku tulemust valimispäeva õhtul me internetist ei saa ja see tekkib alles hiljem protokolli kinnitamisega. VIS sai reguleeritud korra alles 14.06.2013 VVK määrusega nr. 13 ja seal on öeldud, et „Infosüsteemi kantud andmetel on informatiivne tähendus.“(§ 4) Me teeme siis kollektiivse vea kui usume valimispäeva õhtul näidatavaid numbreid, mis pealegi on eelnevatel kordade ootamatul muutunud või kinni kiilunud.

Mullu mais anti Euroopa Parlamendi valimistel kolmandik häältest elektrooniliselt. Kuigi elektroonilist hääletamist proovitakse näidata jaoskonnas paberil valimise sarnasena, siis tegemist ei ole võrreldavate süsteemidega. Kui tarkvarast osa on salajane või vigade avalikukstulekut proovitakse peita, siis see paneb põhjuse üle mõtlema. Vaatlejana ei ole mul võimalik avastada valimispettust(valija mõjutamist, identiteedivahetust või häälteostu) ega garanteerida ametnike ausust. Olen seda varem võrrelnud mustkunstniku esinemisega, kus laval esineja ei näita publikule kõiki oma vahendeid. Kas see on põhjus, et toimuvat nimetada ebaturvaliseks või ebaausaks?

Minu arvates peavad korraldajad pakkuma võimalikult suurt läbipaistvust ehk tõestama enda ausust ja varjatud eesmärkide puudumist. Siiani nähtu ja kuuldu põhjal ei ole minu ootus täitunud. Need polnud siiski asjaolud, mida edaspidi ei saaks parandada(avalikustamise või auditeerimisega) aga piisav, et seekord ise valida jaoskonnas. Nii ID-kaart kui mobiil-ID on eelnevate aastate jooksul hoidnud kokku tohutult aega riigiga suhtlemiselt, et kord aastas võiksin astuda üle valimisjaoskonna ukseläve, tuvastada ennast ametnikele ja oma vaba tahtega kirjutada sedelile kandidaadi number. Üldlevinud seisukoha järgi on tubakas ja alkohol negatiivse mõjuga inimese tervisele aga seda teadmist eiravad nende ainete tarbijad, kes on märkimisväärne osa ühiskonnast. Ka elektroonilisel hääletamisel on oma kasutajaskond, keda me ei saa teenusest ilma jätta nelja väljatoodud puuduse tõttu aga me saame pürgida selle poole, et e-valimised oleksid rohkem teadmise ja vähem uskumise valdkond. Mina e-vaatlejana vähemalt usun, et see on võimalik ja saavutatav.

Valimispäeva õhtul e-häälte lugemisel

Häälte kokkulugemine toimus Riigikogu hoones. Kohale jõudsin umbes 15 minutit pärast ürituse algust. Serverite ühendamist ei näinud aga kahtlen, kas seal oleks midagi olnud vaadelda. Järgnevalt ülevaade õhtu jooksul toimunust ka piltidega. Rõhutan, et olin ainus, kes sai vanamoodsa fotokaga sisse, sest telefonid tuli jätta uksetaha ja teisi ajakirjanikke kohal ei olnud. Siiski kogesin ametnike poolset piirangut, sest pärast tulemuste sisestamist viidi minu kaamerad uksetaha ja väidetava ettekäändega, et 23.35 ajal võib veel midagi avalikuks tulla (ei tohtinud enne südaööd). Sellest polnud ka abi, et pakkusin kaamera keeramist ekraanidel eemale, et saaks heli salvestada. Tagantjärgi on see kõnekas käitumine, mida mullu oktoobris ei olnud. Ma arvan, et sellel oli tagamõte. Avalikuks on tulnud info, et valimiste süsteem kuvas protsente valesti aga seal olles nägid vaatlejad ka olukorda, kus kokku loetud häälte arv oli suurem kui avalikustatud tulemuste summa. See tähendas olukorda, kus pingereas toodud kandidaadid said väiksema summa kui süsteem kuvas loetud häälte arvuks. Tõestust sellele paraku ei ole, sest salvestajad olid ruumist eemaldatud ja ametnike endi videokaamera samuti välja lülitatud. Kahjuks ei tulnud mõttele ka ekraanipilti pärast südaööd teha. Kui see on kellelgi olemas, siis võiks jagada ja saame kontrollida, kas kokku loetud häälte number klappis kandidaatide tulemustega.

E-valimiste häälte kokkulugemise saal. Foto Virgo Kruve

E-valimiste häälte kokkulugemise saal. Fotod Virgo Kruve

Serveris häälte avamine ehk välise ümbriku seest häälte eraldamine.

Serveris häälte avamine ehk välise ümbriku seest häälte eraldamine.

Digitaalsetest allkirjadest vabastatud sisemised ümbrikud(häälega) kirjutatakse DVD plaadile.

Digitaalsetest allkirjadest vabastatud sisemised ümbrikud(häälega) kirjutatakse DVD plaadile.

Selline oli DVD plaadi sisukord

Selline oli DVD plaadi sisukord

Nimekiri e-häältest. List of i-votes

Nimekiri e-häältest. List of i-votes

Serverite ümber ühendamine, et eraldi serveris selgitada valimiste tulemus.

Serverite ümber ühendamine, et eraldi serveris selgitada valimiste tulemus. Selle juures võrguühendus internetiga puudub

Häälte talletamise serveri külge on ühendatud HSM, millega dekrüpteeritakse hääled.

Häälte talletamise serveri külge on ühendatud HSM, millega dekrüpteeritakse hääled.

HSM-i võtmetest osa oli jagatud erinevate inimeste vahel. Kohal pidi olema vähemalt 4 võtme omajat.

HSM-i võtmetest osa oli jagatud erinevate inimeste vahel. Kohal pidi olema vähemalt 4 võtme omajat.

Nimekiri e-häältest. List of i-votes

Nimekiri e-häältest. List of i-votes

e-häälte tulemuse kokkulugemine ja eksport

e-häälte tulemuse kokkulugemine ja eksport

Logifailide kontroll avalikustas kriitilise vea selles.

Logifailide kontroll avalikustas kriitilise vea selles. Esines erinevus talletatud häälte ja lugemisele saadetud häälte logi vahel. Tarvi Martens kopeeris veateate arvutisse “hilisemaks analüüsimiseks.”

Kriitiline viga logifailides. Critical error in log files.

Kriitiline viga logifailides. Critical error in log files.

Lugemine on toimunud ja seadmed pakitakse uuesti kokku.

Lugemine on toimunud ja seadmed pakitakse uuesti kokku. Pöörake tähelepanu lehmaketile, mille taha on laud seekord eraldatud. Ilmselgelt soovitakse, et saalist publik liiga lähedale ei tuleks.

Lugemist vaadelnud inimestest oli enim Venemaalt.

Lugemist vaadelnud inimestest oli enim(7) Venemaalt. Pildil paremal 4 inimest, 1 nende ees ja 2 tagumises reas(järgmisel pildil). Pange tähele, et ürituselt puudusid Alex Halderman, Jason Kitcat, Harri Hursti ja teised välismaalased, kes kirjutasid kriitilise raporti e-valimiste kohta.

Vaatlejad2

Vaatlejad2

Tulemuste avalikustamine ehk failide sisestamine interneti serverisse ehk infosüsteemi, mis kuvas tulemusi.

Tulemuste avalikustamine ehk failide sisestamine interneti serverisse ehk infosüsteemi, mis kuvas tulemusi.

.

Tulemus on sisestatud valimiste infosüsteemi.

Tulemus on sisestatud valimiste infosüsteemi. Pärast seda ei lubatud enam edasi pildistada ega filmida.

Kui küsin endalt, kas tulemuse selgumine oli vaba, salajane, aus ja vaadeldav, siis pean vastama eitavalt. Vaatlejana ei näinud ma ühtegi e-hääletajat, keegi ei tea häälte vabatahtlikku andmist, süsteemi ei avaldatud vaatlejale lõpuni ja kohati meenutas see mustkunstniku etendust torukübaraga, kus tulemus võeti lihtsalt välja. Selle juures veel selline tõsiasi, et 23:40 paiku oli süsteemi sisestatud häälte järgi Reformierakonnal 1 koht ja Keskerakonnal 2 kohta ning see muutus umbes 10 minuti jooksul. Sellega samal ajal pani kaamerat käsitlenud noormees tähele, et kokku loetud häälte summa ei klapi kandidaatidele näidatavate häältega ja on suurem. Justkui süsteemis oleks hääli olnud loetud varuga, mille arvelt siis kellelegi ümber jagada. See tuli osaliselt välja valesti kuvatud protsentidest. Samuti oli Vikerraadios ajakirjanikult lause, et “me ei saa usaldada hääletanute numbrit” aga seda tsitaati pean veel täpsustama.

Kokkuvõttes oli tulemuse selgitamine nagu mustkunstiku etteaste. Lähedale ei lastud(lehmakett eraldas) ja parimate trikkide ajaks eemaldati salvestustehnika ruumist. Olen väga rahul, et andsin hääle paberil, sest selle lugemisega susserdada ei olnud võimalik. Jätkan oma tegevust e-valimiste vaatlejana, et need saaksid sama usaldusväärseks ja läbipaistvaks kui jaoskonnas hääletamine.

Kui palju võib eksida e-valimiste välisvaatleja?

Elektrooniliste valimiste vaatlemine on avatud nii Eesti kui välismaa inimestele. Kahjuks on huvi olnud üliväike ja e-valimiste vastaste ekspertidena kujutatakse välismaalasi, kes vaatasid Youtube videosid ega ei olnud ise kohal.

Olen näinud e-valimiste serverite tarkvara paigaldamist mullu oktoobis ja nüüd 6., 7. ja 9. mail. Peale siinkirjutaja jälgis kogu tegevust nii sügisel kui praegu 1 Eesti e-vaatleja ning audiitor. Sügisel oli kuni 3 huvilist vaatlejat, kes käisid päeva või osa sellest. Välisvaatlejaid oktoobris ei olnud, nad saabusid alles viimastel valimispäevadel ja nägid häälte kokkulugemist.

Seda kummalisem oli nüüd vahetult serverite seadistamise järel näha välismaalasi pressikonverentsil väitmas, et nad on avastanud eelmistelt valimistelt turvariske ja kuulda neid soovitamas seekord hääletada paberil. Kogu nende kriitika süsteemi vastu põhineb Youtube videotest nähtud toimingute vaatlemisel ja osa tarkvara koodi meelevaldses käsitlemises laboris. Nad on jätnud kõrvale maailmas unikaalse ID-kaardi olemasolu, mille omamine on esimene turvatõke soovimatute häkkerite rünnakute tõrjumiseks.

Olen jälginud e-valimisi juba 2011. aastast ja liigitan sellise tegevuse dokumendis „E-hääletamise kontseptsiooni turve“ alusel usaldusväärsuse riskide alla käivaks (lk 43). Seal on toodud rünnaku võimalustena järgnevad süüdistused: sobimatus avalikuks hääletuseks, süsteemi mittekontrollitavus, avaliku komponendi ründamine (internetileht oli häkitud) ja ründe imiteerimine (pettused). „Avalikkust saab ka petta väitega, et rünne on toimunud ja esitada võltsitud tõendusmaterjali.“ Just selle viimasega ongi Jason Kitcat, Harri Hursti, Alex Halderman ja teised meedias tähelepanu otsinud.

Nad süüdistavad, et videost oli näha valimisametniku poolt PIN-koodi sisestamist aga tegelikult oli seal minu (e-vaatleja) käsi ja toimus valimisrakenduse proovimine. ID-kaardi PIN on ilma füüsilise kaardita samavõrd kasutu kui teada inimese passi või juhiloa numbrit. Kirjutasin neile 14. mail ja küsisin, et mis oli PIN-kood videol aga ootan siiani vastust. Kui see saabub, avaldan selle kokkulangevuse. Pealegi on selle äramuutmine Digidoc tarkvaraga ülilihtsaks tehtud.

Valimismasinatega harjunud ameeriklastele on muidugi raske selgitada, et meie süsteem ei põhine paroolide(teadmus) absoluutsel saladuses hoidmisele, vaid selle juurde on vaja ka füüsilist asja(kiipkaarti, PIN-kalkulaatorit). Samuti on vaja füüsilist ligipääsu serveritele, et saaks mööda minna ID-kaardist. Nad räägivad ühe inimese paroolide võimalikust lekkest ja võrdsustavad selle kogu süsteemile.

Saan öelda, et mina usaldan ID-kaardi turvalisust, selle kopeerimatust ja võin kinnitada, et füüsiline ligipääs serveritele on kaitstud nii paroolidega (teadmus), füüsiliste kiipkaartide ja USB-pulkadega ning serveriruum rauduste ja elektroonilise ning mehitatud valvega.

Kõigi valimiste järel on esitatud alusetuid kaebusi, millega poliitikud võidavad aega läbirääkimisteks. Praegu on ka üks erakond teatanud, et tuleb e-valimiste toimingud vaidlustada. Sügisel tõi Alajõe valla valimiskaebus kaasa selle, et valimiste tulemuse sai ametlikult vormistatud alles Riigikohtu 19. detsembri otsuse järel ja e-hääletuse hääled hävitatud (teadasaamise vältimiseks) 9. jaanuaril 2014. Seaduste järgi oleks see pidanud toimuma 30 päeva pärast valimispäeva. Ajalugu kordub ja ameeriklased ründavad Euroopa Parlamendi valimiste tulemuste selgumist?

Ma ei kutsu e-valimiste usaldusväärsuse ründajatele vastuseks just e-hääletama, sest see pole patriotismi või riigitruuduse avaldamise koht. Lõpuks pole ka sedeliga hääletajal 100% kindlust, et tema antud sedelil oli kandidaadi number loetavalt kirjutatud ega seda ei loetud kellegi teise numbriks või ei tühistatud. Jätan igaühe otsustada, kas uskuda Youtube videosid vaadanud välismaalasi või serveri toimingute juures viibinut, kes toetab valimisametnike sõnu, et e-valimised on turvaliselt korraldatud.

Virgo Kruve
e-vaatleja

Lisa 1: Jason Kitcat, Harri Hursti, Alex Halderman esinesid välisvaatlejatena aga teevad järeldusi youtube video nähtud kaadrite järgi, et said teada valimisametniku käe pealt tema PIN-koodi. Tegelikult oli seal minu käsi ja nad ei ole siiani vastanud, mis olid koodid.

eksitav info PIN-koodi sisestamisest

Välisvaatlejad süüdistavad, et valimisametniku koodid jäid kaamerasse aga tegelikult oli see valimisvaatleja testhääletuse jooksul.

Lisa 2: Koostatud raportis on sama pilt saanud umbmäärase kirjelduse, et “keegi sisestab” PIN-koodi.

Avaldatud raportis on esialgne väide muutunud

Välisvaatlejad on raportis loobunud väitest, et nägid valimiste ametniku PIN-koodi ja selle asemel väidavad umbmääraselt: During preelection setup, someone types the secret PINs for their national
ID card in full view of the official video camera.

.

E-valimised algavad 15. mail kell 9

Tänaseks päevaks on serverid seadistatud ja täna pannakse need ka majutuskohta, et olla valmis neljapäeval 15. mail kell 9 avatavaks elektrooniliseks hääletamiseks.

Möödunud nädalal käisin kolmel päeval serverite seadistamist vaatlemas. Võrreldes sügisega ei ole e-valimistel põhimõttelisi muutusi. Lisandus 2 platvormi nutitelefoniga hääle sisu kontrollimiseks. Hiljuti paljastatud OpenSSL turvaauk Heartbleed on nüüd uue sertifikaadi hankimisega loodetavasti kinni pandud. Avalikuks tulnud info järgi teadis ameeriklaste nuhkimisasutus NSA sellest vähemalt 2 aastat aga kas seda ka kasutati Eesti serveri vastu mullu oktoobris, pole teada. Turvaauk seisnes selles, et turvalise ühenduse loomise käigus sai valimiste serveri mälust kätte kuni 500 sümbolit, mis võisid sisaldada varasemaid paroole serverisse ligipääsuks. Jaoskondades antud paberhääled on alati olnud salajased ega pole kunagi lekkimise ohus.

Huvi vaatlemise vastu on seekord väga väike. Koolitamist ja testhääletust ei toimunud. Seadistamise juures oli 2 kohalikku vaatlejat ning 2 valgevenelast, kellel on turvalisuse alane projekt, milles osaleb 5 endise NSV Liidu vabariiki. Täpne eesmärk vestlusest ei selgunud aga riiklike valimiste asemel huvitas neid selle kasutusvõimalus erasektoris, näiteks juriidiliste isikute juhtorganite valimisel(äriühingud, korteriühistud) üle interneti.

Hääletamise ajad 2014. aasta Euroopa Parlamendi valimistel

Neljapäeval 15. mail kell 9 avatakse e-valimised ja elektrooniliselt saab hääletada ööpäevaringselt www.valimised.ee aadressil kuni 21. maini. Jaoskondades toimub eelhääletamine igas maakonnas vähemalt 1 jaoskonnas(kell 12-20) kuni 18. maini ja selle järel avatakse kõik jaoskonnad samadeks kellaaegadeks kuni 21. maini. Valimispäev on 25. mai ja hääletada saab vaid jaoskondades kell 9 kuni 20. Elektrooniliselt hääletanu saab üle hääletada jaoskonnas kuni 21. maini.

Elektrooniline hääletamine on lisavõimalus valimiseks, mida üleriiklikuna interneti kaudu ei kasutata kusagil mujal maailmas. Täiesti mõjutusvabad, lõpuni salajased ja vaatlejatele vaadeldavad on pabersedeliga hääletamine jaoskondades nii Eestis kui kõikjal maailmas. E-asjadega võime alles hiljem avastada, millised olid riskid selle toimumise ajal ja loota, et kurja ei toimunud.

Virgo Kruve
e-vaatleja

Mõeldes 15. mai e-valimistele

Kuidagi vaikselt on toimunud valmistumine Euroopa Parlamendi e-valimisteks. Oleme nendega ju ainsad Euroopas ja tegelikult terves maailmas. Täna leidsin siis teate uute koolituste algamisest järgmisel esmaspäeval. Mulle tundub, et sügisel oli see pikem ja nüüd tuleb lühem. Samuti tundub mulle, et sügisel oli väiksem vahe süsteemi paikapaneku ja valimisteks kättesaadavaks tegemise vahel.

Täpsustus pealkirjale: tegelikult toimuvad valimised 15.-21. mai aga tulemuste lugemine on valimispäeval 25. mail.

37472 eurot valijarakenduse punase raami eest

Pärast 2011. aasta valimisi on nüüd eraldi mõeldud kasutaja ekraani kaudu toimuvate petmise rünnakute vastu. Mäletatavasti väitis Paavo Pihelgas, et ta sai ekraanile kuvatud valimisrakendust täita nii, et valijale jäi ekslik mulje toimunud hääletusest ning selle tulemusel jäi tema hääl andmata. See rünnak ei muutnud valija häält vaid jättis mulje valimise lõpetamisest ja oleks seeläbi võimaldanud teatud kandidaatide poolt hääletamata jätmist.

Lisaks oli probleem teatud tüüpi seadmetega, kus ekraanile ei mahtunud kogu valijarakendus ja see muutis võimatuks nimekirja lõpus oleva kandidaadi nägemise ja tema poolt hääletamise.

2013. aastaks tuldi välja 37472 eurot maksnud lahendusega, mis üldjoontest tähendab seda, et kui 1) valijarakendus ei mahu tervenisti ekraanile ära või 2) tema peal on mingi teine programm/kiht, siis tuleb valimisrakendusele punane raam. See toimub ainult Windowsiga arvutitel, teised (Mac, Linux) pole toetatud.

2013. aasta valijarakenduse turvalisus punase raamiga

Nendel valimistel on uus lahendus kasutajaliidese kaudu toimunud rünnakute vastu punane raam, mis tekkib valimisrakenduse sisse kui mõni teine programm on tema peal või osa jääb “ekraani taha.” Foto Virgo Kruve

Nagupildilt näha, siis kalkulaatori programmi asetamine valijarakenduse peale toob kaasa punase raami. Selle kohal on toodud välja ka rahaline kulu 37472 eurot ja 3 teenust, mis sellele kulus.

Valimiskomisjon teeb e-valimiste vaatlejatele näitemängu

VIRGO KRUVE, e-valimiste vaatleja      09. oktoober 2013

Alates 16. septembrist korraldas Vabariigi Valimiskomisjon elektrooniliste valimiste vaatlejatele neli kohtumist, et anda ülevaade e-hääletussüsteemist. Registreerus 16 inimest, aga kõigile kohtumistele ilmus kohale napilt kolmandik neist.

Serverite seadistamise ajaks 1., 2. ja 4. oktoobril oli huvi veelgi raugenud ning lisaks siinkirjutajale oli pidevalt kohal üks vaatleja ja väikese osa ajast lisaks kaks vaatlejat. Isegi valimiskomisjoni ametnikud tulid nende rolli, võtmete kasutamise ajaks, ja lahkusid varsti pärast seda. Kohal olid tasu väljateenimiseks audiitor erafirmast ja kaameramees toimuva jäädvustamiseks. Üldsuse huvi ja kontroll oli seega sümboolne.

Kulutused e-valimistele kasvavad

Suurim muutus võrreldes 2011. aastaga on välisvaatlejate puudumine ning täiesti uute serverite soetamine. Elektroonilise hääletuse kehtestamisel oli üheks argumendiks, et tarkvara ja riistvara saab korduvalt kasutada – see vähendab kulusid. Tegelikult on igal valimisel kulutused ainult kasvanud, sest tarkvara eest makstakse nagu uuestitegemisel. Seekord lisandus häälte kontrollimine Androidi kasutavates mobiiltelefonides, kuid sellest ei tulene õiguslikke tagajärgi enne 2015. aastat.

Võrreldes varasemate aastatega on nüüd avaldatud suur osa serveri tarkvara koodist ja varem üldsuse eest kaitstud dokumentatsioonist. Ametnike väljaütlemistes olen häirivalt sageli kohanud väidet, et nüüd on kogu kood avalik. See on muundatud tõde (loe: vale), sest tähtsaim osa valijarakendusena on endiselt salajane. See moodustab elektroonilise hääle, mille valija allkirjastab digitaalselt ja mida loetakse tema valikuna kandidaadile. Samuti tarkvara tarnija poolt valmistatud serveri seadistamise utiliidid.

Praegust olukorda ei saa pidada paremaks Reformierakonna e-valimistest, sest tähtis osa tarkvarast on salajane ning usaldus süsteemi vastu tuleb ainult ametnike uskumisest. Elektroonilise hääletamise komisjoni esimees Tarvi Martens ei ole minu jaoks ausalt läbi viidud valimiste garant. Ta on rääkinud korduvalt (muinas)juttu valimiste auditeerimisest, avalikustatud tarkvarast ja Eestiga samaväärselt e-hääletusel valivatest Norrast ja Šveitsist. Tegelikult oleme ainsad maailmas, sest Šveits ja Norra tegid testvalimisi kümnendikus omavalitsustes.

Tarvi Martens puikleb vastustest kõrvale

Kui 2011. aastal telliti valimisrakenduse audit ja see ei valminud, siis seekord isegi ei üritatud seda teha. Tegin 19. septembril ettepaneku valimisrakendust auditeerida, aga sain vastuseks Elektroonilise Hääletamise Komisjoni juhi Tarvi Martensi täieliku mõistmatuse. See olevat 8 korda kallim tarkvara kirjutamisest, ja lisaks: „Mis see sulle annab?” Minule annaks see veendumuse, et valitsuses olevate parteide e-häälte suur hulk ei tulene tarkvara anomaaliast ehk võltsimisest. Siiani olid auditid ametkondlikud ja neid sai näha alles teostanud erafirma loal. Nüüd avaldatakse audit ilma tarkvara auditeerimiseta, mis tähendab, et see pole usaldusväärsem, kui näiteks kaasreisija väited roolis olnud autojuhi kainusest.

Kohtumisel saime kuulda ka seda, et probleemide ilmnemisel pandi kaamera kinni, ja siis Tarvi Martens helistas kuhu vaja. Või seda, et serveriruumis pole siiani vaatlejad käinud, sest „see on nii väike” ja et isegi kaameramees mahub sinna vaevu. Seega toimuvad 10.-16. oktoobrini e-valimised ilma vaatlejateta, kelle jaoks tehakse uus näitemäng 20. oktoobril häälte kokkulugemisel.

Olles saanud infot otse korraldajatelt, olen otsustanud seekord jälle valida jaoskonnas, sest mul on nende inimeste vastu suurem usaldus kui muundatud tõe rääkijate vastu. E-valimised on justkui mustkunstniku trikid, kus kasutatavaid asju publik katsuda ega uurida ei saa.

[pildiallkiri:] ETTEVALMISTUS: Elektroonilise hääletamise serveritele (5 tk) paigaldasid tarkvara 1. oktoobril Toompeal Tarvi Martens ja serverite operaatorid. Tegevuse juures viibis audiitor.