E-hääletamise ja paberhääletamise toimingute võrdlus

I Ettevalmistus

Paberhääletamine E-hääletamine

Jaoskonnakomisjon valmistab ette hääletamisruumi.

Jaoskonnakomisjon saab valijate nimekirjad, hääletamissedelid, jaoskonnakomisjoni pitsatid ja turvaplommid hääletamiskastidele. Jaoskonnakomisjon ja RVT peavad nende üle arvestust.

Riigi valimisteenistus (RVT) seadistab e-hääletamise süsteemi. 

RVT loob võtmepaari häälte salastamiseks (avalik võti) ja avamiseks (privaatvõti). Privaatvõtme osakud jaotatakse VVK liikmete ja RVT esindajate vahel.

Valijarakendus ja kontrollrakendus seadistatakse.

Seadistatud süsteemi kontrollitakse prooviläbimisel. Antakse proovihääled ja hääletajate valikud protokollitakse, Prooviläbimise hääled töödeldakse ja loetakse tulemused kokku ning võrreldakse protokolliga.

 

II Hääletamine valimisjaoskonnas ja hääletamine elektrooniliselt

Paberhääletamine E-hääletamine

Valija esitab hääletamissedeli saamiseks isikut tõendava dokumendi.

Valija tuvastab end e-hääletamise süsteemis, kasutades mobiil-ID-d, ID-kaarti või digitaalset isikutunnistust.

Hääletamissedel on VVK kehtestatud vormi kohane ja jaoskonnakomisjoni pitsati jäljendiga.

Valija saab kontrollida rakenduse autentsust. Kontrollsummad ja juhised autentsuse kontrolliks on valimised.ee veebilehel.

Hääletamissedeli saamise kohta annab valija allkirja valijate nimekirja.

Valija kinnitab valijarakenduse abil oma valiku digitaalallkirjaga (pärast hääle salastamist).

Valija saab hääletamissedeli ja täidab sedeli, tehes valiku kandidaatide nimekirjast.

Valijarakendus kuvab valijale valiku tegemiseks kandidaatide nimekirja. Valija teeb valiku.

Valija paneb hääletamissedeli hääletamiskasti.

Valijarakendus salastab valija hääle avaliku võtmega ja valija kinnitab valikut digitaalallkirjaga. Seejärel saadab valijarakendus hääle Kogujale. Koguja on serverisüsteem, mis võtab vastu e-hääli. Kogujat haldab valimistel Riigi Infosüsteemi Amet.

Hääletamissedelile pannakse jaoskonnakomisjoni pitsati jäljend.

Jaoskonnakomisjon peab välja antud hääletamissedelite ja hääletanute üle arvestust.

Iga Koguja vastuvõetud hääl saab ajatempli kolmanda osapoole registreerimisteenuselt. See võimaldab e-hääletamise lõpus kontrollida, et RVT üle antud e-urn on terviklik.

Valija saab kontrollida hääletamist valijate nimekirja allkirja või märke järgi. Valija ei saa kontrollida, et tema hääletamissedel on läinud lugemisele.

Valija saab nutitelefoni kontrollrakenduse abil kontrollida, et tema hääl jõudis kogujasse ja veenduda oma valikus.  Hääletamise fakti saab valija kontrollida ka uuesti e-hääletades (kuvatakse märge, et olete juba e-hääletanud), samuti valimisjaoskonnas valijate nimekirja märke järgi.

 

III Hääletamissedelite ja e-häälte arvestamine

Paberhääletamine E-hääletamine

Jaoskonnakomisjon kontrollib, et valija pole hääletanud mitu korda (hääletamissedeliga elukohajärgses jaoskonnas, väljaspool elukohajärgset valimisjaoskonda, elektrooniliselt). 

Valija ei saa pabersedeliga antud häält muuta. Kui valija hääletab väljaspool elukohajärgset valimisjaoskonda mitu korda, jäetakse kõik tema ümbrikus hääletamissedelid arvestamata. Kui valija hääletas elukohajärgses valimisjaoskonnas otse hääletamiskasti, kuid samuti väljaspool kodujaoskonda ümbrikusse, arvestatakse valija valimisjaoskonnas antud häält.  

Juhul kui valija ei saanud hääletada vabalt ja/või salaja või valija ei usalda kasutatud arvutit, saab valija elektroonilise hääletamise perioodil oma häält muuta hääletades uuesti elektrooniliselt või pabersedeliga. 

Arvestatakse kas viimast e-häält või kui valija hääletas ka valimisjaoskonnas, siis pabersedelit.

Ümbrikes hääletamissedelid pakitakse turvakottidesse ja edastatakse elukohajärgsetele valimisjaoskondadele. 

Pärast e-hääletamise lõppu annab Koguja üle riigi valimisteenistusele välisele andmekandjale kirjutatud e-urni, mille sõnumilühend on allkirjastatud Koguja esindaja poolt.

Hääletamise lõppedes teeb jaoskonnakomisjon kindlaks välja antud ja järgi jäänud hääletamissedelite arvu, samuti valijate nimekirja allkirjade ja märgete alusel hääletamisest osavõtu.

Pärast e-hääletamise lõppu kontrollib riigi valimisteenistus Kogujas salvestatud e-häälte vastavust registreerimisteenuses fikseeritud häältega ning häälte digitaalallkirjade terviklust, samuti e-hääletajate kuuluvust valijate nimekirja.

E-urni tervikluse kontroll
Joonis 1: e-urni tervikluse kontroll

Paberhääletamine E-hääletamine

Jaoskonnakomisjon jätab arvestamata mitmekordselt hääletanud valijate ümbrikes hääletamissedelid (toiming toimub kohe ümbrikes sedelite kättesaamisel).

Pärast e-hääletamise perioodi tühistab RVT korduvad hääled ning enne e-häälte lugemist (valimispäeva õhtul) tühistab RVT  pabersedeliga hääletanute e-hääled.

E-häälte tühistamine
Joonis 2: e-häälte tühistamine

 

IV Häälte lugemine ja hääletamistulemuste kontroll

Paberhääletamine E-hääletamine

Valimiskastis on sedelid juba anonüümsed.

Väljaspool elukohta hääletanute ümbrikes hääletamisedelitega toimitakse järgmiselt.  Kõigepealt eraldatakse välimised ümbrikud,millel on valija nimi ja isikukood, sisemistest ümbrikest (anonüümistamine). Järgnevalt lastakse sisemised märgistamata ümbrikud valimiskasti.

Enne häältelugemise algust avatakse sisemised ümbrikud ja sedelid pannakse teiste hääletamissedelite hulka (segamine).

E-häälte lugemisel on vajalik säilitada valija hääle salajasus. Selleks eraldatakse töötlemise käigus e-häälest valija isikuandmed (digitaalallkiri).

Enne e-häälte avamist krüpteeritud e-hääled miksitakse, et et lugemisele minevaid krüptogramme ei oleks võimalik vastavusse viia valijate e-häältes sisalduvate krüptogrammidega.

E-häälte miksimisest lähemalt 

E-häälte miksimine enne lugemist

Joonis 3: e-häälte miksimine 

Miksimine toimub kahes etapis.

1. Toimub häälte ümberkrüpteerimine. Selleks kasutatakse eraldi Verificatumi miksimisrakendust. 

Iga krüpteeritud hääle kohta luuakse uus krüptogramm. Sellega kaob side esialgse e-hääle ja ümberkrüpteeritud krüptogrammi vahel (nende krüptogrammid on nüüd erinevad).

2. Ümberkrüpteeritud hääled segatakse ning kaob side esialgsete häälte ja ümberkrüpteeritud häälte järjekorra vahel.

Lõpuks väljastatakse miksimise korrektsuse kohta miksimistõend, mida saab kontrollida auditirakendusega. Kuna miksitud hääli võrreldakse sisendiga, milleks on miksimata krüptogrammid, tehakse seda kontrollitud (suletud) keskkonnas.

Pärast miksimist ei ole häälte avamisel võimalik tõendada, et valijarakenduse poolt krüpteeritud hääl on mõni avamisel dekrüpteeritud hääl, sest krüptogrammid on erinevad, samuti on krüptogrammid segatud. Sellega on tagatud hääle salajasuse säilimine ning tulemused saab kindlaks teha, samuti tulemusi kontrollida, avalikult.

Paberhääletamine E-hääletamine

Loetav paberhääl on anonüümne, kuid teoreetiliselt on võimalik valijal oma hääletamissedel märgistada ja lugemisel on võimalik sel juhul sedel identifitseerida.

Loetav valik on anonüümne ja ei ole tagasi viidav valijani.

Jaoskonnakomisjon avab pitseeritud hääletamiskastid. Kohal peab olema vähemalt pool jaoskonnakomisjoni koosseisust. Kastide sisu kontrollitakse hääletamissedelite arvestuse ja valijate nimekirjade abil.

Hääled dekrüpteeritakse privaatvõtmega, millele ligipääs on jaotatud VVK liikmete (7) ja RVT esindajate (2) vahel. Häälte avamiseks peab olema vähemalt 5 võtmeosaku hoidjat.

Jaoskonnakomisjon loeb hääletamiskastides olnud hääled ja teeb kindlaks hääletamistulemuse.

Tulemust kontrollitakse häälte teistkordse ülelugemise teel. Samuti võrreldakse jaoskonnakomisjonile antud sedelite, valijatele väljastatud sedelite ning hääletamiskastis olevate sedelite arvu.

Pärast miksimist avatakse miksitud hääled ja loetakse tulemused kokku.

Häälte kokkulugemise lõpus väljastatakse lugemise korrektsuse kohta lugemistõend e-häälte korrektse avamise kohta, mida saab kontrollida auditirakendusega. Lugemistõend võimaldab kontrollida, et avakujul hääl ja krüptogramm on omavahel seoses lähtudes avalikust võtmest. 

Tõestuste kontrollimiseks on audiitoril vaja tulemust, miksitud hääli ja avalikku võtit.

Kuna lugemise sisendiks olnud häälte krüptogrammid on miksitud ja väljund (ehk hääletamistulemus) on avalik, saab kontrolli läbi viia ilma piiranguteta, ilma, et oleks vaja karta privaatsuskadu. Auditirakenduse lähtekood on vabalt allalaetav ja kompileeritav, nii et kõik vaatlejad saavad lugemist kontrollida.

E-häälte lugemin
Joonis 4: e-häälte lugemine

Paberhääletamine E-hääletamine

Jaoskonnakomisjon koostab hääletamistulemuste protokolli ning jaoskonnakomisjoni esimees allkirjastab selle. 

Riigi valimisteenistuse juht allkirjastab e-häälte tulemuse pärast tervikluse kontrolli. Valimistulemuse autentsust ja terviklust on võimalik kontrollida häälte lugemise käigus loodud signatuurifaili abil, kasutades avalikku võtit.

Vaatlejad kontrollivad häälte lugemise käiku ja veenduvad lugemise õigsuses ning protseduuride vastavuses seadusele ja juhenditele.

Vaatlejad ja audiitor saavad juhendite abil jälgida e-hääletamise protseduuride käiku. Audiitorid fikseerivad kõik kasutatud kleebiste numbrid.

Audiitor ja soovi korral vaatlejad saavad auditirakenduse abil lugemistõendit kasutades veenduda häälte lugemise korrektsuses. Sisendiks kasutatavad krüptogrammid on miksitud ja väljund on avalik, seetõttu võib selle läbi viia kartmata privaatsuskadu.

Auditirakendus on avaliku lähtekoodiga ja igaüks saab selle kompileerida (või ka kirjutada oma rakenduse).

Kõik jaoskonnakomisjonide toimingud, sh häälte lugemise toimingud on avalikud.

Kõik e-hääletamise toimingud on avalikud, piiratud on turvakaalutlustel elektrooniline ligipääs hääletamise serverisüsteemile (Kogujale). Siinkohal toetutakse andmete tervikluse tõestatavusele (e-urni tervikluse ja e-hääletamise tervikluse kontroll).

Jaoskonnakomisjoni saadud hääletamistulemust kontrollitakse järgmisel päeval teistkordse häälte lugemise käigus.

Saadud hääletamistulemust kontrollitakse järgmisel päeval teistkordse e-häälte tervikluse kontrolli käigus.

Hääletamissedeleid säilitab valla- või linnasekretär ühe kuu jooksul valimispäevast arvates. Pärast seda, kuid mitte enne kui valimiskaebused on saanud lõpliku lahenduse, korraldab valla- või linnasekretär sedelite hävitamise.

E-hääli säilitab riigi valimisteenistus ühe kuu jooksul valimispäevast arvates. Pärast seda, kuid mitte enne kui valimiskaebused on saanud lõpliku lahenduse, hävitab RVT e-hääled,  e-hääletamise süsteemis sisalduvad valijate isikuandmed ja e-häälte avamise võtme.