(toiminnot)

hwechtla-tl: Sähköisestä äänestämisestä

Kierre.png

Mikä on WikiWiki?
nettipäiväkirja
koko wiki (etsi)
viime muutokset

Minulla on erittäin paljon ystäviä, joiden mielestä sähköinen äänestäminen on lähes toivoton projekti. Ymmärrän heidän perustelujaan jonkin verran, sillä olen samaa mieltä siitä, että sähköistä äänestämistä on jotakuinkin mahdotonta järjestää siten, ettei järjestelmän turvallisuus huonontuisi. Lisäksi on selvää, että tähän mennessä toteutetut sähköisen äänestämisen kokeilut ovat olleet katastrofeja (ne eivät ole vastanneet edes puoliin tuonnempana esitellyistä tavoitteista ja niissä on silti ollut ongelmia järjestelyissä), ja että asiasta päättävät henkilöt eivät ymmärrä asiasta paljon paskaakaan. Mutta nyt en kirjoita vain sähköisen äänestämisen ongelmista, koska se on tehty paremmin muualla, esim. osoitteessa http://www.effi.org/sahkoaanestys-faq.html .

Tosiasiassa olen sitä mieltä, että sähköinen äänestys tulee toteutumaan joka tapauksessa. Tämänhetkinen äänestysjärjestelmä on valtava resurssisyöppö, ja kun helppoihin foorumi- ja GPG-äänestyksiin tottunut sukupolvi kasvaa isoksi, paperilappuäänestystä tulee olemaan aina vain vaikeampaa ja vaikeampaa perustella. Se, mitä voidaan saada aikaan, on että ihmiset ehtisivät tulla tietoisiksi hyvistä ja huonoista tavoista järjestää sähköisiä äänestyksiä, ennen kuin niistä alkaa riippua oikeudenmukaisuus ja valtion toiminta. Huonoista onkin jo paljon esimerkkejä, hyvistä lähinnä hyvin teknokraattisten projektien (kuten Debianin, Debian-kehittäjäksi pyrkiminen) sisäisessä hallinnossa.

Sähköinen äänestys on tavattoman vaikea järjestettävä, koska äänestysjärjestelmän luotettavuuden takaamiseksi pitää varmistaa, että:

  1. äänestää saavat juuri ne henkilöt, joilla on äänioikeus
  2. kukaan ei saa äänestetyksi kahta kertaa
  3. kukaan ei saa tuhotuksi ääniä
  4. ketään ei voi jälkikäteen yhdistää ääneen, jonka hän on antanut
  5. äänet voidaan laskea
  6. kansalaiset pystyvät tarkistamaan, että järjestelmä todella toimii.

Sähköinen vaaliuurna -kokeilussa eivät näistä toteutuneet tavoitteet 3, 4 ja 6. Miten ne sitten voisi toteuttaa?

Ongelma on se, että toisaalta äänestysjärjestelmän pitää pitää hyvin tarkkaa kirjaa tietyistä tiedoista, toisaalta tahallaan hukata toisia (kuten äänestäjien ja äänten välinen yhteys). Silti järjestelmän pitää olla niin yksinkertainen, että sen toiminnan voi käsittää.

Toiminnan käsittäminen on vaikein ehto, koska sen toteutuminen riippuu siitä, millaisia kansalaiset keskimäärin ovat. Tietotekniselle vapaaehtoisprojekteille GPG-allekirjoitettu Condorcet-menetelmä on hyväksyttävissä, koska toimiakseen projektissa pitää jäsenten muutenkin osata käyttää äänestämiseen tarvittuja välineitä ja hyväksyä äänten julkisuus. Kansalaisyhteiskunnan tarpeisiin äänestysjärjestelmän tulee olla yksinkertaisempi. Kuitenkin aina, kun ääniä lasketaan sähköisesti, ääntenlaskumenetelmien pitää vähintään olla avointa lähdekoodia. Muuten tarkistusmahdollisuus ei ole edes periaatteessa toteutuva. Olen kuitenkin sitä mieltä, että jos äänestysjärjestelmä on mahdollisimman yksinkertainen ja kaikki käytetyt ohjelmistokomponentit ovat lähdekoodiltaan avoimia, tarkistusmahdollisuus toteutuu.

Ehdottamani sähköinen äänestystapa on tällainen (media voi olla vaikkapa www, mutta se ei ole olennaista):

  1. Kuka tahansa voi rekisteröidä vaalijärjestelmään "kahdentavan tietojärjestelmän", so. järjestelmän joka saa reaaliaikaisesti kopiot äänestystiedoista alla olevan mukaisesti. Kuka tahansa saa tarkistaa vaalijärjestelmän lähdekoodin, ja kaikkien puolueiden vaalivirkailijat saavat tarkistaa, että primääriseen vaalijärjestelmään on asennettu tämä julkisesti tarkasteltavissa oleva ohjelmisto.
  2. Äänestäjä todistaa henkilöllisyytensä sähköisesti. Tämä voidaan toteuttaa erilaisilla vahvoilla tunnistusmenetelmillä, esim. VRK:n sirukortilla. (Tämä vastaa henkilöllisyystodistuksen esittämistä äänestyspaikalla.)
  3. Äänestäjä saa "äänestyslipukkeen", joka on niin pitkä satunnaistunniste, ettei sen arvaaminen ole käytännössä mahdollista. Äänestysjärjestelmä merkitsee muistiin annetun lipukkeen sekä sen, milloin se on annettu, muttei sitä, kenelle se annettiin. Järjestelmä merkitsee, että äänestäjä on saanut lipukkeensa, jottei tämä voi hakea toista. Nämä tiedot lähetetään kahdentaviin tietojärjestelmiin. (Tämä vastaa äänestyslipun antamista äänestyspaikalla. Äänestäjä luottaa nykyjärjestelmässä siihen, ettei lipukkeessa ole tunnisteita, joiden perusteella se voitaisiin yhdistää takaisin häneen.)
  4. Äänestäjä lähettää äänensä yhdessä lipukkeen kanssa. Järjestelmä tarkistaa, että lipuke on annettu, että sen antamisesta ei ole liian pitkä aika (esim. yli 10 minuuttia), ja lisää äänen lipukkeineen uurnaan (siis talteen). Nämä tiedot lähetetään edelleen kahdentaviin tietojärjestelmiin.
  5. Jälkikäteen äänestäjä voi siis tarkistaa, että on merkitty äänestäneeksi. Äänestämätön voi puolestaan tarkistaa, ettei häntä ole merkitty äänestäneeksi. Äänestyslipukkeen numerolla äänestäjä voi tarkistaa, että hänen antamansa ääni oli sisällöltään sellainen, kuin hän halusi. Vertailemalla äänestäneitä ihmisiä ja jaettuja lipukkeita (lähinnä siis määriä) voi tarkistaa, ettei ääniä ole taiottu tyhjästä. Jos äänestäjät näkevät oman lipukkeensa vastaanotetuksi, he tietävät, ettei ääniä ole myöskään tuhottu.
  6. Jos näissä on joitain epäselvyyksiä, äänestäjä voi kyseenalaistaa äänensä tai vaalituloksen. Jos epäselvyyksiä on paljon tai jos on ilmeistä, että vaalitulos vaarantuu niiden perusteella, äänestys on järjestettävä uudestaan. Uudelleenjärjestäminen ei ole tavaton vaiva, jos äänestys on kokonaan sähköinen.

Tässä on joitain heikkouksia, kuten se, että äänestäjä pystyy tässä järjestelmässä todistamaan äänestäneensä tietyllä tavalla. Itse asiassa nykyjärjestelmässä on mm. kännykkäkameroiden myötä sama heikkous: vaalikopissa pystyy ottamaan valokuvia omasta äänestä. Samoin äänestäneiden listat ovat julkisempia kuin ennen. Aikaisemmin kuitenkin niiden ei-julkisuus on perustunut siihen, että vaalitoimitsijat ovat luotettuja, mikä ei ole mielestäni olennaisesti parempi tilanne. Edelleen pitää huolehtia siitä, että äänestäjät ja lipukkeet eivät ole jälkikäteen yhdistettävissä käyttöajan perusteella.

kategoria: politiikka

Elakim: Minua huolestuttaa yhä se hellan ja nyrkin välistä äänestäminen. Mikä tahansa menetelmä, jossa äänestäminen ei tapahdu 1) salassa ja 2) julkisella paikalla, sisältää tämän riskin.

atehwa: Pakotusongelmaan vastaa lähinnä mahdollisuus jälkikäteen kyseenalaistaa antamansa ääni. Lisäksi sähköisessä äänestyksessä ihminen pystyy todennäköisemmin äänestämään jo ennen kuin häntä ehditään pakottaa tietynlaiseen äänestyskäyttäytymiseen. Uhkaan siitä, että joku on pysyvästi vankina tms., ei nykyinenkään järjestelmä vastaa kunnolla. Silloin pystyy vähintään estämään ihmistä äänestämästä ollenkaan ja todennäköisesti myös pakottamaan tämän hankkimaan salaa todisteet siitä, miten on äänestänyt.

kommentoi (viimeksi muutettu 21.11.2012 11:10)