Valimispäeva õhtul e-häälte lugemisel

Häälte kokkulugemine toimus Riigikogu hoones. Kohale jõudsin umbes 15 minutit pärast ürituse algust. Serverite ühendamist ei näinud aga kahtlen, kas seal oleks midagi olnud vaadelda. Järgnevalt ülevaade õhtu jooksul toimunust ka piltidega. Rõhutan, et olin ainus, kes sai vanamoodsa fotokaga sisse, sest telefonid tuli jätta uksetaha ja teisi ajakirjanikke kohal ei olnud. Siiski kogesin ametnike poolset piirangut, sest pärast tulemuste sisestamist viidi minu kaamerad uksetaha ja väidetava ettekäändega, et 23.35 ajal võib veel midagi avalikuks tulla (ei tohtinud enne südaööd). Sellest polnud ka abi, et pakkusin kaamera keeramist ekraanidel eemale, et saaks heli salvestada. Tagantjärgi on see kõnekas käitumine, mida mullu oktoobris ei olnud. Ma arvan, et sellel oli tagamõte. Avalikuks on tulnud info, et valimiste süsteem kuvas protsente valesti aga seal olles nägid vaatlejad ka olukorda, kus kokku loetud häälte arv oli suurem kui avalikustatud tulemuste summa. See tähendas olukorda, kus pingereas toodud kandidaadid said väiksema summa kui süsteem kuvas loetud häälte arvuks. Tõestust sellele paraku ei ole, sest salvestajad olid ruumist eemaldatud ja ametnike endi videokaamera samuti välja lülitatud. Kahjuks ei tulnud mõttele ka ekraanipilti pärast südaööd teha. Kui see on kellelgi olemas, siis võiks jagada ja saame kontrollida, kas kokku loetud häälte number klappis kandidaatide tulemustega.

E-valimiste häälte kokkulugemise saal. Foto Virgo Kruve
E-valimiste häälte kokkulugemise saal. Fotod Virgo Kruve
Serveris häälte avamine ehk välise ümbriku seest häälte eraldamine.
Serveris häälte avamine ehk välise ümbriku seest häälte eraldamine.
Digitaalsetest allkirjadest vabastatud sisemised ümbrikud(häälega) kirjutatakse DVD plaadile.
Digitaalsetest allkirjadest vabastatud sisemised ümbrikud(häälega) kirjutatakse DVD plaadile.
Selline oli DVD plaadi sisukord
Selline oli DVD plaadi sisukord
Nimekiri e-häältest. List of i-votes
Nimekiri e-häältest. List of i-votes
Serverite ümber ühendamine, et eraldi serveris selgitada valimiste tulemus.
Serverite ümber ühendamine, et eraldi serveris selgitada valimiste tulemus. Selle juures võrguühendus internetiga puudub
Häälte talletamise serveri külge on ühendatud HSM, millega dekrüpteeritakse hääled.
Häälte talletamise serveri külge on ühendatud HSM, millega dekrüpteeritakse hääled.
HSM-i võtmetest osa oli jagatud erinevate inimeste vahel. Kohal pidi olema vähemalt 4 võtme omajat.
HSM-i võtmetest osa oli jagatud erinevate inimeste vahel. Kohal pidi olema vähemalt 4 võtme omajat.
Nimekiri e-häältest. List of i-votes
Nimekiri e-häältest. List of i-votes
e-häälte tulemuse kokkulugemine ja eksport
e-häälte tulemuse kokkulugemine ja eksport
Logifailide kontroll avalikustas kriitilise vea selles.
Logifailide kontroll avalikustas kriitilise vea selles. Esines erinevus talletatud häälte ja lugemisele saadetud häälte logi vahel. Tarvi Martens kopeeris veateate arvutisse “hilisemaks analüüsimiseks.”
Kriitiline viga logifailides. Critical error in log files.
Kriitiline viga logifailides. Critical error in log files.
Lugemine on toimunud ja seadmed pakitakse uuesti kokku.
Lugemine on toimunud ja seadmed pakitakse uuesti kokku. Pöörake tähelepanu lehmaketile, mille taha on laud seekord eraldatud. Ilmselgelt soovitakse, et saalist publik liiga lähedale ei tuleks.
Lugemist vaadelnud inimestest oli enim Venemaalt.
Lugemist vaadelnud inimestest oli enim(7) Venemaalt. Pildil paremal 4 inimest, 1 nende ees ja 2 tagumises reas(järgmisel pildil). Pange tähele, et ürituselt puudusid Alex Halderman, Jason Kitcat, Harri Hursti ja teised välismaalased, kes kirjutasid kriitilise raporti e-valimiste kohta.
Vaatlejad2
Vaatlejad2
Tulemuste avalikustamine ehk failide sisestamine interneti serverisse ehk infosüsteemi, mis kuvas tulemusi.
Tulemuste avalikustamine ehk failide sisestamine interneti serverisse ehk infosüsteemi, mis kuvas tulemusi.

.

Tulemus on sisestatud valimiste infosüsteemi.
Tulemus on sisestatud valimiste infosüsteemi. Pärast seda ei lubatud enam edasi pildistada ega filmida.

Kui küsin endalt, kas tulemuse selgumine oli vaba, salajane, aus ja vaadeldav, siis pean vastama eitavalt. Vaatlejana ei näinud ma ühtegi e-hääletajat, keegi ei tea häälte vabatahtlikku andmist, süsteemi ei avaldatud vaatlejale lõpuni ja kohati meenutas see mustkunstniku etendust torukübaraga, kus tulemus võeti lihtsalt välja. Selle juures veel selline tõsiasi, et 23:40 paiku oli süsteemi sisestatud häälte järgi Reformierakonnal 1 koht ja Keskerakonnal 2 kohta ning see muutus umbes 10 minuti jooksul. Sellega samal ajal pani kaamerat käsitlenud noormees tähele, et kokku loetud häälte summa ei klapi kandidaatidele näidatavate häältega ja on suurem. Justkui süsteemis oleks hääli olnud loetud varuga, mille arvelt siis kellelegi ümber jagada. See tuli osaliselt välja valesti kuvatud protsentidest. Samuti oli Vikerraadios ajakirjanikult lause, et “me ei saa usaldada hääletanute numbrit” aga seda tsitaati pean veel täpsustama.

Kokkuvõttes oli tulemuse selgitamine nagu mustkunstiku etteaste. Lähedale ei lastud(lehmakett eraldas) ja parimate trikkide ajaks eemaldati salvestustehnika ruumist. Olen väga rahul, et andsin hääle paberil, sest selle lugemisega susserdada ei olnud võimalik. Jätkan oma tegevust e-valimiste vaatlejana, et need saaksid sama usaldusväärseks ja läbipaistvaks kui jaoskonnas hääletamine.

Kui palju võib eksida e-valimiste välisvaatleja?

Elektrooniliste valimiste vaatlemine on avatud nii Eesti kui välismaa inimestele. Kahjuks on huvi olnud üliväike ja e-valimiste vastaste ekspertidena kujutatakse välismaalasi, kes vaatasid Youtube videosid ega ei olnud ise kohal.

Olen näinud e-valimiste serverite tarkvara paigaldamist mullu oktoobis ja nüüd 6., 7. ja 9. mail. Peale siinkirjutaja jälgis kogu tegevust nii sügisel kui praegu 1 Eesti e-vaatleja ning audiitor. Sügisel oli kuni 3 huvilist vaatlejat, kes käisid päeva või osa sellest. Välisvaatlejaid oktoobris ei olnud, nad saabusid alles viimastel valimispäevadel ja nägid häälte kokkulugemist.

Seda kummalisem oli nüüd vahetult serverite seadistamise järel näha välismaalasi pressikonverentsil väitmas, et nad on avastanud eelmistelt valimistelt turvariske ja kuulda neid soovitamas seekord hääletada paberil. Kogu nende kriitika süsteemi vastu põhineb Youtube videotest nähtud toimingute vaatlemisel ja osa tarkvara koodi meelevaldses käsitlemises laboris. Nad on jätnud kõrvale maailmas unikaalse ID-kaardi olemasolu, mille omamine on esimene turvatõke soovimatute häkkerite rünnakute tõrjumiseks.

Olen jälginud e-valimisi juba 2011. aastast ja liigitan sellise tegevuse dokumendis „E-hääletamise kontseptsiooni turve“ alusel usaldusväärsuse riskide alla käivaks (lk 43). Seal on toodud rünnaku võimalustena järgnevad süüdistused: sobimatus avalikuks hääletuseks, süsteemi mittekontrollitavus, avaliku komponendi ründamine (internetileht oli häkitud) ja ründe imiteerimine (pettused). „Avalikkust saab ka petta väitega, et rünne on toimunud ja esitada võltsitud tõendusmaterjali.“ Just selle viimasega ongi Jason Kitcat, Harri Hursti, Alex Halderman ja teised meedias tähelepanu otsinud.

Nad süüdistavad, et videost oli näha valimisametniku poolt PIN-koodi sisestamist aga tegelikult oli seal minu (e-vaatleja) käsi ja toimus valimisrakenduse proovimine. ID-kaardi PIN on ilma füüsilise kaardita samavõrd kasutu kui teada inimese passi või juhiloa numbrit. Kirjutasin neile 14. mail ja küsisin, et mis oli PIN-kood videol aga ootan siiani vastust. Kui see saabub, avaldan selle kokkulangevuse. Pealegi on selle äramuutmine Digidoc tarkvaraga ülilihtsaks tehtud.

Valimismasinatega harjunud ameeriklastele on muidugi raske selgitada, et meie süsteem ei põhine paroolide(teadmus) absoluutsel saladuses hoidmisele, vaid selle juurde on vaja ka füüsilist asja(kiipkaarti, PIN-kalkulaatorit). Samuti on vaja füüsilist ligipääsu serveritele, et saaks mööda minna ID-kaardist. Nad räägivad ühe inimese paroolide võimalikust lekkest ja võrdsustavad selle kogu süsteemile.

Saan öelda, et mina usaldan ID-kaardi turvalisust, selle kopeerimatust ja võin kinnitada, et füüsiline ligipääs serveritele on kaitstud nii paroolidega (teadmus), füüsiliste kiipkaartide ja USB-pulkadega ning serveriruum rauduste ja elektroonilise ning mehitatud valvega.

Kõigi valimiste järel on esitatud alusetuid kaebusi, millega poliitikud võidavad aega läbirääkimisteks. Praegu on ka üks erakond teatanud, et tuleb e-valimiste toimingud vaidlustada. Sügisel tõi Alajõe valla valimiskaebus kaasa selle, et valimiste tulemuse sai ametlikult vormistatud alles Riigikohtu 19. detsembri otsuse järel ja e-hääletuse hääled hävitatud (teadasaamise vältimiseks) 9. jaanuaril 2014. Seaduste järgi oleks see pidanud toimuma 30 päeva pärast valimispäeva. Ajalugu kordub ja ameeriklased ründavad Euroopa Parlamendi valimiste tulemuste selgumist?

Ma ei kutsu e-valimiste usaldusväärsuse ründajatele vastuseks just e-hääletama, sest see pole patriotismi või riigitruuduse avaldamise koht. Lõpuks pole ka sedeliga hääletajal 100% kindlust, et tema antud sedelil oli kandidaadi number loetavalt kirjutatud ega seda ei loetud kellegi teise numbriks või ei tühistatud. Jätan igaühe otsustada, kas uskuda Youtube videosid vaadanud välismaalasi või serveri toimingute juures viibinut, kes toetab valimisametnike sõnu, et e-valimised on turvaliselt korraldatud.

Virgo Kruve
e-vaatleja

Lisa 1: Jason Kitcat, Harri Hursti, Alex Halderman esinesid välisvaatlejatena aga teevad järeldusi youtube video nähtud kaadrite järgi, et said teada valimisametniku käe pealt tema PIN-koodi. Tegelikult oli seal minu käsi ja nad ei ole siiani vastanud, mis olid koodid.

eksitav info PIN-koodi sisestamisest
Välisvaatlejad süüdistavad, et valimisametniku koodid jäid kaamerasse aga tegelikult oli see valimisvaatleja testhääletuse jooksul.

Lisa 2: Koostatud raportis on sama pilt saanud umbmäärase kirjelduse, et “keegi sisestab” PIN-koodi.

Avaldatud raportis on esialgne väide muutunud
Välisvaatlejad on raportis loobunud väitest, et nägid valimiste ametniku PIN-koodi ja selle asemel väidavad umbmääraselt: During preelection setup, someone types the secret PINs for their national
ID card in full view of the official video camera.

Ma nägin kellegi passi numbrit. See ei tähenda, et saan selle teadmisega esineda kui passi omanik. Sama kehtib ID-kaardi ja PIN koodide kohta, mis käivad koos. Sul peab olema ID-kaart, et kasutada PIN koode ja vastupidi. Youtube videote vaatamine ei ole teadus e-valimistest.

If you see someones passport number, it will not allow you to impersonate this person. The same applies to PIN codes, as these are bundled with physical ID-card. You must have ID-card, to use PIN codes and vice versa. Watching youtube videos is not researching i-voting!

E-valimised algavad 15. mail kell 9

Tänaseks päevaks on serverid seadistatud ja täna pannakse need ka majutuskohta, et olla valmis neljapäeval 15. mail kell 9 avatavaks elektrooniliseks hääletamiseks.

Möödunud nädalal käisin kolmel päeval serverite seadistamist vaatlemas. Võrreldes sügisega ei ole e-valimistel põhimõttelisi muutusi. Lisandus 2 platvormi nutitelefoniga hääle sisu kontrollimiseks. Hiljuti paljastatud OpenSSL turvaauk Heartbleed on nüüd uue sertifikaadi hankimisega loodetavasti kinni pandud. Avalikuks tulnud info järgi teadis ameeriklaste nuhkimisasutus NSA sellest vähemalt 2 aastat aga kas seda ka kasutati Eesti serveri vastu mullu oktoobris, pole teada. Turvaauk seisnes selles, et turvalise ühenduse loomise käigus sai valimiste serveri mälust kätte kuni 500 sümbolit, mis võisid sisaldada varasemaid paroole serverisse ligipääsuks. Jaoskondades antud paberhääled on alati olnud salajased ega pole kunagi lekkimise ohus.

Huvi vaatlemise vastu on seekord väga väike. Koolitamist ja testhääletust ei toimunud. Seadistamise juures oli 2 kohalikku vaatlejat ning 2 valgevenelast, kellel on turvalisuse alane projekt, milles osaleb 5 endise NSV Liidu vabariiki. Täpne eesmärk vestlusest ei selgunud aga riiklike valimiste asemel huvitas neid selle kasutusvõimalus erasektoris, näiteks juriidiliste isikute juhtorganite valimisel(äriühingud, korteriühistud) üle interneti.

Hääletamise ajad 2014. aasta Euroopa Parlamendi valimistel

Neljapäeval 15. mail kell 9 avatakse e-valimised ja elektrooniliselt saab hääletada ööpäevaringselt www.valimised.ee aadressil kuni 21. maini. Jaoskondades toimub eelhääletamine igas maakonnas vähemalt 1 jaoskonnas(kell 12-20) kuni 18. maini ja selle järel avatakse kõik jaoskonnad samadeks kellaaegadeks kuni 21. maini. Valimispäev on 25. mai ja hääletada saab vaid jaoskondades kell 9 kuni 20. Elektrooniliselt hääletanu saab üle hääletada jaoskonnas kuni 21. maini.

Elektrooniline hääletamine on lisavõimalus valimiseks, mida üleriiklikuna interneti kaudu ei kasutata kusagil mujal maailmas. Täiesti mõjutusvabad, lõpuni salajased ja vaatlejatele vaadeldavad on pabersedeliga hääletamine jaoskondades nii Eestis kui kõikjal maailmas. E-asjadega võime alles hiljem avastada, millised olid riskid selle toimumise ajal ja loota, et kurja ei toimunud.

Virgo Kruve
e-vaatleja