Valimised.ee pealeht

Print

E-hääletamise faktikontroll: müüt ja tegelikkus

Kõigi valimiste eel hakkavad ringlema e-hääletamisega seotud kuulujutud, mil pole päriseluga mingit seost. Allpool on valik levinumaid müüte koos selgitusega, kuidas olukord tegelikult on.

Valimiste korraldajad ja nende järele valvavad asutused teevad iga päev tööd selle nimel, et Eesti valimised oleksid võimalikult turvalised ja usaldusväärsed. Rõhutame, et valimistulemusega manipuleerimine on kuritegu, mida karistatakse rahatrahvi või vangistusega. Seepärast - kui midagi näib olevat päriselt viltu, tuleks anda sellest võimalikult ruttu teada politseile.

 

✔️ TEGELIKULT: Elektroonilistel häältel on kehtivad digiallkirjad.

❌ MÜÜT: Elektroonilistel häältel on kehtetud digiallkirjad.

Pilt
Digidoc screenshot

Joonis 1 / Joonis 2

Elektroonilises valimiskastis asuvad valija krüpteeritud tahteavaldus koos digiallkirja sisaldava failiga, sertifikaadi kehtivuskinnitus ja ajatempel eraldi failidena. Neid faile hoitakse eraldi, et tagada valimiskasti terviklus. Kui tahta proovida krüpteeritud tahteavaldust ja allkirjafaili Digidoc4 programmiga avada, kuvatakse tekst „Allkiri ei ole kehtiv“ (joonis 1). See eksitav teade kuvatakse, sest Digidoc4 eeldab, et allkirja sertifikaadi info ja ajatempel asuvad allkirja sisaldava faili sees. Vajadusel kasutab Riigi valimisteenistus spetsiaalselt selleks loodud rakendust, mis lisab e-hääle e-valimiskastist väljavõtmisel sertifikaadi kehtivuskinnituse ja ajatempli digiallkirja sisaldavale failile. Kui nüüd tahta vaadata Digidoc4-ga krüpteeritud tahteavaldust koos allkirjafailiga, kuvataks teadet „Allkiri on kehtiv“ (joonis 2). Kõik e-hääled on allkirjastatud valija arvutis ID-kaardi või mobiil-IDga, omavad ajatemplit ja sertifikaatide kehtivuskinnitust. Töötlemisse mineva e-hääle konteineri kohta peab olema kõik andmed, mis on asice standardiga nõutud, aga see ei tähenda, et süsteemis peab eksisteerima igal sammul Digidoc rakendusega verifitseeruv konteiner. Seega väide „Kõigil elektroonilistel häältel on kehtetud allkirjad“ ei pea paika.

Ekslik arusaam, et kõigil elektroonilistel häältel on kehtetud digiallkirjad, võib tekkida, kui üritada vaadata krüpteeritud tahteavaldust koos digiallkirja sisaldavat faili programmiga Digidoc4, saades nö veateate (joonis 1). Kui uurida, miks tekib vastav tekst rakendusse, on kõige lihtsam esmalt nimetada .bdoc fail ümber .zip failiks (.bdoc ja .asice puhul on tegu tavalise ZIP formaadis arhiivifailiga), avada ja seejärel vaadata faili signatures0.xml sisu, millest selgub, et osad parameetrid on puudu. Näiteks puudub parameeter „UnsignedProperties“ (kehtivuskinnituse ja ajatempli info). Sellest võib ekslikult oletada, nagu sertifikaadi kehtivuskinnitus ja ajatempel oleks puudu. Kuid nagu eelnevalt selgitatud, elektroonilises valimiskastis asuvad valija krüpteeritud tahteavaldus koos digiallkirja sisaldava failiga, sertifikaadi kehtivuskinnitus ja ajatempel eraldi failidena ning töötlemisrakendusega hääle e-valimiskastist väljavõtmisel lisatakse kehtivuskinnituse info ja ajatempel allkirja sisaldavale failile ning lisatake signatures0.xml-i juurde ka parameeter „UnsignedProperties“, ning tekitatakse uus fail. Kui seejärel tahta Digidoc4-ga krüpteeritud tahteavaldust koos allkirjafailiga vaadata, kuvatakse teadet „Allkiri on kehtiv“ (joonis 2).

Näiteks lisatakse

<xades:UnsignedProperties xmlns:xades="http://uri.etsi.org/01903/v1.3.2#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<xades:UnsignedSignatureProperties>
<xades:SignatureTimeStamp Id="S0-T0">
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2006/12/xml-c14n11"/>
<xades:EncapsulatedTimeStamp> MIIJ4g……………………………………EHULfxYH/NwM= </xades:EncapsulatedTimeStamp>
</xades:SignatureTimeStamp>
<xades:RevocationValues>
<xades:OCSPValues>
<xades:EncapsulatedOCSPValue Id="N0"> MIIHlA………………………………4jHbP0iNl </xades:EncapsulatedOCSPValue>
</xades:OCSPValues>
</xades:RevocationValues>
</xades:UnsignedSignatureProperties>
</xades:UnsignedProperties>

Oluline on tähele panna, et samuti riigi valimisteenistuse kontrollrakendus laadib lisaks e-hääle digiallkirja failile ka sertifikaadi kehtivuskinnituse ja ajatempli.       

Temaatilised viited

Kontrollrakenduse lähtekood

 

✔️ TEGELIKULT: E-hääletamise kõiki toiminguid jälgivad reaalajas eksperdid ja süsteemi toimimise kohta on valminud mitu põhjalikku auditit.

❌ MÜÜT: E-hääletamise toiminguid pole kunagi ükski väline ekspert kontrollinud.

Faktid: Kõiki e-hääletamise toiminguid kontrollivad iga kord rahvusvahelise kutsetunnistusega infosüsteemide audiitorid. E-hääletamise süsteemi on korduvalt põhjalikult uuritud, viimatistest audititest on põhjalikum 2021. aastal valminud majandus- ja kommunikatsiooniministeeriumi tellitud protsessiaudit, mille viis läbi KPMG. Audit kinnitas, et Eesti e-valimistel on tagatud kõrgel tasemel hääletamise salajasus, infosüsteemide vastupidavus, turvaskeemide tugevus ning hääletaja sõltumatus. E-hääletamist on vaadelnud ja analüüsinud ka OSCE demokraatlike institutsioonide ja inimõiguste büroo (ODIHR) vaatlusmissioonid ja ekspertrühmad 2007., 2011., 2015. ja 2019. aasta valimistel. Iga kord enne valimisi tehakse nii e-hääletamise kui ka valimiste infosüsteemile põhjalikud turvatestid, millega kontrollitakse nende vastupidavust küberrünnetele.

E-hääletamise toiminguid saavad vaadelda ka kõik huvilised, kel on võimalik enne valimisi läbida tasuta koolitus. Samuti on igal e-hääletajal võimalik 15 minuti jooksul pärast hääletamist kontrollida nutiseadme abil, kas tema hääl jõudis õigesti e-valimiskasti kohale.

 

✔️ TEGELIKULT: Ükski erakond ei saa e-hääletamisega eelist. Valija otsust ei mõjuta see, kas ta käib valimas jaoskonnas või e-hääletab.

❌ MÜÜT: E-hääletamine soosib teatud erakondi, kes saavad teistest rohkem e-hääli.

Faktid: Tartu Ülikooli teadlased Kristjan Vassil ja Mihkel Solvak on analüüsinud e-hääletajate käitumist ning jõudnud järeldusele, et e-hääletamine ei soosi kindlaid erakondi. Valija hääletab endale oluliste küsimuste järgi ega muuda oma otsust hääletamisviisi pärast.

Küll aga näitab teadustöö, et e-häälte ja paberhäälte osakaalu erakonniti mõjutab konkreetse erakonna ja selle valijate suhtumine e-hääletamisse. Valimistulemust see aga ei mõjuta. Ehk inimesed annaks ka muud hääletusviisi kasutades oma hääle samale kandidaadile ja erakonnale.

 

✔️ TEGELIKULT: Valimistulemus selgub valimispäeva õhtul, mil loetakse üle kõik paber- ja e-hääled.

❌ MÜÜT: Teatud erakonna kandidaadile tekib müstiliselt üleöö mitu tuhat e-häält juurde.

Faktid: Valija e-hääl liigub e-hääletamiskasti krüpteeritult ehk salastatult. Valija valik ei ole loetav enne häälte avamist valimispäeva õhtul. Siis koguneb Vabariigi Valimiskomisjon, kelle liikmete kätte on jaotatud häälte avamise võtme osad. Võti pannakse vaatlejate silme all kokku ja seejärel on võimalik valimistulemus “lukust” lahti keerata. Alles siis selgub e-hääletamise tulemus, mis liidetakse valimisjaoskondade hääletamistulemusele. Ligi kolmandik valijaist e-hääletab ja seepärast ongi lisanduvate e-häälte hulk märkimisväärne.

Kellelgi pole võimalik e-hääletamise tulemusi manipuleerida. Selle tagab e-hääletamise protsessi ülesehitus:

  1. Fakt, et valija hääletas, on kirjas elektroonilises valijate nimekirjas. 
  2. Iga e-hääle registreerib ka kolmas osapool ehk registreerimisteenus. See tagab, et e-häälte omavoliline lisamine või vastuvõtmise blokeerimine on e-häälte arvestusest nähtav. 
  3. Ka pärast e-hääletamise lõppu ei saa e-valimiskasti hääli märkamatult lisada, sest e-valimiskast antakse valimisteenistusele üle digitaalselt allkirjastatult ning hääli lisades või eemaldades muutuks valimiskasti digikonteineri kontrollsumma. See tähendab, et andmete terviklikkust pole võimalik muuta ilma, et sellest ei jääks selget märki maha.

 

✔️ TEGELIKULT: Kõiki hääli (nii paber- kui ka e-hääli) hoitakse alles seni, kuni kõik valimiskaebused on lahenduse saanud ja lõplik valimistulemus välja kuulutatud.

❌ MÜÜT: E-hääli pole võimalik hiljem üle kontrollida, sest need kustutatakse kohe pärast valimisi ära. 

Faktid: Seaduse järgi säilitatakse kõik hääled ajani, mil kõik kaebused on läbi vaadatud ja lahenduse leidnud ning valimistulemused välja kuulutatud. Selleks võib pärast valimisi aega kuluda kuu või mitu. Alles siis hävitatakse nii e-hääled (täpsemalt e-häälte avamise võti) kui ka kõik pabersedelid. Valimistulemuste väljakuulutamine tähendab, et kõik osapooled on tulemusega nõus ja pärast seda vaidlusi uuesti ei avata.

 

✔️ TEGELIKULT: Ühtegi tõendatud juhtumit e-hääletamise massilisest väärkasutamisest ei ole.

❌ MÜÜT: Hoolekandeasutustes korjatakse kokku PIN-koodid ja ID-kaardid ning hääletatakse vanainimeste eest.

Faktid: Häälte ostmine ja muul moel valimisvabaduse rikkumine on kuritegu, mille karistuseks on rahaline trahv või vangistus. Kui on tekkinud kahtlus, tegeleb sellega politsei. Väiteid hooldekodudes toimuvast kollektiivsest e-hääletamisest on kontrollinud politsei, sellele on tähelepanu juhtinud valimiste korraldajad ja õiguskantsler. Siiani pole ükski selline väide faktilist tõestust leidnud. Teadlased uurisid 2017. aasta e-hääletamise logisid ja ei leidnud mustrit, mis kinnitaks, et korraga kasutatakse hääletamiseks paljude vanemaealiste ID-kaarte.

Valimiste korraldajad on andnud hoolekandeasutustele juhised, et elanike ID-kaarte ja PIN-koode koos hoiustada ei tohi. Koodid peavad jääma lähedase kätte. Kuulujuttudel on olnud aga vastupidine efekt: lähedased võtavad enda kätte ka hooldekodu elaniku ID-kaardi. Nii pole eakal enam isikut tõendavat dokumenti, ta ei saa end tuvastada ja pabersedeliga hääletada. Tema valimisõigus on sellega takistatud.

Kui valija tunneb, et tema e-hääletamise protsess ei olnud salajane, saab ta uuesti e-hääletada ja kehtima jääb viimasena antud hääl. Kui ka see pole piisavalt turvaline, on valijal võimalik minna jaoskonda ja hääletada paberil. Niisugusel juhul jääb kehtima paberhääl.

 

✔️ TEGELIKULT: Kõik e-hääletamise toimingud on matemaatiliselt kontrollitavad.

❌ MÜÜT: Piisab ühest ebaausast valimiste korraldajast ja e-hääletamise tulemus on ohus.

Faktid: Vabariigi Valimiskomisjoni, riigi valimisteenistuse ega RIA töötajal pole võimalik e-hääletamise tulemusi manipuleerida. Selle tagab e-hääletamise protsessi ülesehitus:

  1. Fakt, et valija hääletas, on kirjas elektroonilises valijate nimekirjas. 
  2. Iga e-hääle registreerib ka kolmas osapool ehk registreerimisteenus. See tagab, et e-häälte omavoliline lisamine või vastuvõtmise blokeerimine on e-häälte arvestusest nähtav. 
  3. Ka pärast e-hääletamise lõppu ei saa e-valimiskasti hääli märkamatult lisada, sest e-valimiskast antakse valimisteenistusele üle digitaalselt allkirjastatult ning hääli lisades või eemaldades muutuks valimiskasti digikonteineri kontrollsumma. See tähendab, et andmete terviklikkust pole võimalik muuta ilma, et sellest ei jääks selget märki maha.

 

✔️ TEGELIKULT: Võimalus e-häält muuta tagab hääletamise vabaduse. 

❌ MÜÜT: Võimalus korduvalt e-hääletada loob soodsa pinnase häältega kauplemiseks ja suurendab valimispettuse võimalust.

Faktid: E-hääle muutmise võimaluse eesmärk ei ole valimiseelistuse muutmine, vaid valimiste vabaduse tagamine. Valija, kes leiab, et ta ei saanud hääletada vabalt või ta ei usalda oma arvutit, saab uuesti hääletada. Viimasena antud hääl jääb kehtima. Pärast e-hääletamise lõppu on võimalik veel häält muuta, hääletades pabersedeliga valimisjaoskonnas.

 

✔️ TEGELIKULT: E-hääletamise korraldus tugineb Eesti digiriigi alustele, kus ID-kaardi põhised digiteenused on loomulik osa igapäevaelust.

❌ MÜÜT: Mitte üheski demokraatlikus riigis ei peeta e-hääletamist piisavalt usaldusväärseks, et see kasutusele võtta.

Faktid: Eesti digiriik tugineb põhimõttele, et igale kodanikule kohustuslik ID-kaart on võrdne isikutuvastusvahend nii digitaalses kui ka füüsilises maailmas. ID-kaardi põhised digiteenused nagu pangatehing, tuludeklaratsiooni esitamine, e-kooli kasutamine või patsiendiportaali külastamine on samuti maailmas üsna ainulaadsed. E-hääletamine on Eestis üks paljudest riiklikest e-teenustest. Seetõttu saame eeldada, et võimalikud tehnoloogilised vead tulevad välja juba igapäevases kasutuses.

E-hääletamise korraldus on praegu veel maailmas ainulaadne, sest teistel riikidel puudub Eestiga sarnane e-teenuste süsteem. Lisaks tehnilistele lahendustele peab riigil e-hääletamiseks olema ka seaduslik alus ja poliitiline tahe.

 

✔️ TEGELIKULT: Valijal on võimalik vahetult pärast e-hääletamist kontrollida, kas tema hääl jõudis korrektselt e-valimiskasti.

❌ MÜÜT: Valijal pole võimalik olla kindel, et tema e-hääl valitud kandidaadini jõudis.

Faktid: E-hääl on sisuliselt digiallkirjastatud fail, mis saadetakse valija arvutist e-valimiskasti. Seda häält ei saa keegi muuta ja ta läheb samal kujul ka valimispäeva õhtul lugemisse. Igal e-hääletajal on võimalik 15 minuti jooksul pärast hääletamist nutiseadme abil kontrollida, kas tema hääl jõudis turvaliselt kohale. Selleks tuleb kas Google Play või App Store’i rakenduste poest alla laadida või uuenda EH kontrollrakendus. Rakendusega tuleb skaneerida QR-kood, mis e-hääletamise järel arvuti ekraanile kuvati. Hääle kontrollimine on abinõu, mis võimaldab kindlaks teha, et valija arvuti käitub õigesti ning sinna ei ole paigaldatud e-hääletamist häirivat pahavara. 

Temaatilised viited

E-hääle kontrollimine

 

✔️ TEGELIKULT: Iga kord enne valimisi uuendatakse ja testitakse e-hääletamise süsteemi põhjalikult.

❌ MÜÜT: Eesti e-valimiste keskkond kasutab aegunud turvameetmeid, millest ei piisa tänapäevaste küberrünnete takistamiseks.

Faktid: Enne valimisi kaasajastatakse e-hääletamise süsteem kõige värskemate teadmiste ja tehnoloogiliste lahenduste järgi. Kogu süsteemile tehakse küberturbe teste ja auditeeritakse turvameetmeid. Iga kord enne valimisi tehakse nii e-hääletamise kui ka valimiste infosüsteemile põhjalikud turvatestid, millega kontrollitakse nende vastupidavust küberrünnetele.

 

✔️ TEGELIKULT: E-häälte kokkulugemine allub rangelt reguleeritud ja kontrollitavatele toimingutele.

❌ MÜÜT: Valimisjaoskondade komisjonid on vähemalt viieliikmelised ja poliitiliselt tasakaalus, mistõttu häälte lugemist saab usaldada. E-häälte lugemise juures viibivad ainult riigi valimisteenistuse juhi määratud isikud ja valimiskomisjoni liikmed, kelle poliitilised eelistused on teadmata. 

Faktid: E-valimiskast antakse valimisteenistusele üle digitaalselt allkirjastatult ning hääli lisades või eemaldades muutuks valimiskasti digikonteineri kontrollsumma. See tähendab, et andmete terviklikkust pole võimalik muuta ilma, et sellest ei jääks selget märki maha.

Häälte lugemist saab kontrollida matemaatiliselt. Ükski juures viibiv isik seda mõjutada ei saa. Iga kord kontrollib audiitor e-hääletamise süsteemi väljastatud lugemistõendi õigsust andmeauditiga. Auditi raportid avaldatakse valimised.ee veebilehel.
Nii nagu valimisjaoskonnas, on ka e-hääletamise tulemuste kindlaks tegemise juures vaatlejad. 

 

✔️ TEGELIKULT: E-hääletamine annab mugava võimaluse valimistel osaleda ka välisriigis viibijatel ning hoiab kokku valija aega.

❌ MÜÜT: E-hääletamine pole mõistlik, sest see ei hoia kokku kulusid ega tõsta hääletamisest osavõttu.

Faktid: E-hääletamine hoiab kokku nii kulusid kui ka aega. Tallinna Tehnikaülikooli teadlased võtsid aluseks 2017. aasta kohalike valimiste korralduse maksumuse ja leidsid, et  e-hääletamine säästab rohkem raha kui ükski teine hääletusviis. Tartu Ülikooli teadlased on aga kindlaks teinud, et kui valimisjaoskonnas käimiseks kulub valijal üle poole tunni, eelistavad nad e-hääletada. Lisaks selgus samas uuringus, et valijad, kes e-hääletavad, osalevad tõenäolisemalt ka järgmistel valimistel.

Keeruline on hinnata, kas e-hääletamine tõstab otseselt hääletamisest osavõttu. Kõige suurem mõju osavõtule on olnud välisriigis hääletamisel - valimistel saavad mugavalt osaleda inimesed, kes parasjagu reisivad või elavad välisriikides. Näiteks 2019. aasta Riigikogu valimistel anti e-hääli 143 riigist üle maailma.