“Iga algtasemel programmeerija oskaks valija ekraanile kuvada: “Erakond X: 102 mandaati”,” räägib meie e-valimiste turvalisusest ja hääletustulemuste sobivaks kujundamisest Tallinna tehnikaülikooli küberneetika instituudi juhtivteadur Ago Samoson. “Vihakõne seaduse asemel peaks mõtlema nn infooperatsiooni seadusele, mis keelaks ühiskonna võimaliku mõjutamise valimiste eelsel ajal. Ka korduvhääletusest tuleks loobuda.”

Lisaks e-hääletustele arvutis käib juba arutelu selle üle, et lubada tuleks ehk ka valimisi mobiiltelefoni abil. Samas ei ole seni selge, mis tegelikult e-häältest saab ja kuivõrd peab kartma e-hääletamise eest vastutajate ja tarkvara sekkumist valimistulemustesse. Kuidas muuta e-valimised usaldusväärsemaks?

Näeme praegu patiseisu riigikogus, sest opositsioon ei taha tunnistada valimiste tulemusi, kuna e-valimised pole kontrollitavad. Kuidas olukorda lahendada?

Paberhääletamise korral käib kõik põhimõtteliselt ühes kohas – tuvastamine, kabiinid, kast, häältelugemise laud.  See on väga ülevaatlik ja kontrollitav. E-valimised nihutasid aga tuvastamise ja hääle andmise kogu rituaalist välja, valija koju. Hääle salvestamine ja lugemine jäid kuhugi mujale ja ülevaade kadus. Selle ülevaatlikkuse võib ja peab taastama ka valija kodus, kui e-valimistega edasi minna. E-valimised on siiani seisnud ainult valijate usaldusel ja see tekitabki probleeme, mis võivad päädida ka patiseisuga parlamendis, ning ainult opositsiooni selles süüdistada ei ole õiglane.

Ehk siis paberil hääletamine ja e-hääletamine pole ühetaolised. Kas üldse on võimalik muuta paberhääletus ja e-hääletus ühetaolisteks?

Tädi Maali ja riigikohus mõistavad sõna “ühetaoline” erinevalt. Õigus on kohtul, aga tõde tädi Maalil. Rahva kõnepruuk on see, mis määrab sõnade tähenduse ja keele, mille säilimise nõue on otseselt kirjas põhiseaduse preambulas ja mida riigikohus peaks kaitsma, mitte moonutama. Õigusmaailmas on veel see printsiip, et kaheldavuse korral jääb õigus nõrgemale osapoolele.  Antud juhul siis tädi Maalile ja onu Arnoldile. E-valimiste ja pabervalimiste ühetaoliseks muutmine on täiesti võimalik, aga lähtuda tuleb digimaalima loogikast. E-häälte lugemine ja kontroll on praegu palju keerukam kui paberhäälte puhul, aga seda saab lihtsustada.

Olete öelnud, et praegused e-valimised on oma kontrollimatu tsentraliseeritusega igasugustele terroristidele ning autokraatidele paras laboriharjutus. See pole enam isegi usalduse küsimus, vaid demokraatlikus riigis täiesti kohatu. Miks nii?

Me paneme valimiskomisjoni liikmed väga pingelisse seisu lausa seadusega. Valimiste rünnet võib teha näiteks nende pereliikmete kaudu või muul moel ähvardades, või siis ka meelitades. Isegi kui seda ei juhtu, võivad üllatuslikud valimistulemused tekitada komisjoni liikmete suhtes kahtlusi, mida nad ei saa usutavalt ümber lükata, ka see on õigustamatu ning demokraatlikku riiki sobimatu stressifaktor.

Te olete optimist ja usute, et e-valimised on võimalik muuta algusest lõpuni kontrollitavaks. Kuidas see võimalik oleks?

Eelkõige on vaja vettpidavaid valijate nimekirju. Need peavad vastama tegelikkusele. Ja igale valijale tuleb anda varjunimi. Eelvalimiste aega võikski kasutada valijanimekirjade kontrolliks ja varjunimede jagamiseks. Häälte sisestamine toimuks valimispäeval. Antud häälte salvestamiseks tuleks minna üle näiteks samale tehnoloogiale, mida kasutatakse bitcoini tehingute fikseerimisel. Mõte on selles, et iga hääletamise toimingu andmed krüpteeritakse ja sellest tehakse ka unikaalne kontrollsumma, mis lisatakse järgmise toimingu andmetele, ja nii edasi kuni viimase valijani välja. Tulemuseks saab igas valmisjaoskonnas häälte nn räsiahela, kuhu ei saa midagi lisada ega ära võtta. Hääled on nööristatud nagu Münchhauseni pardid. Neid räsiahelaid võib jagada häälte lugemiseks peale valimiste lõppu kasvõi Putinile, kui ta veel elus on. Häälte jaotuse informatsiooni saab kätte võtmega, mille tarkavara genereerib iseseisvalt ja avalikustab kella kukkudes. Iga valija saab varjunime all veenduda oma hääle õigesti lugemises privaatvõtmega. Märgiksin, et kuigi mulle oleks selline kondikava sobilik, ei pruugi ta olla kaugeltki parim, tegemist on ikkagi miljoneid maksva tööga, mida leheserval ära ei rehkenda.

Juba 2001. aastal soovitasid Tanel Tammet ja Hannu Krosing riigile järelkontrolli, mis tähendab juhusliku valimi võtmist e-hääletanutest, nendega kontakti võtmist ja teatud küsimuste esitamist hääletamise kohta. Kõigile hääletajatele antakse kontrollsumma, mis sisaldab krüpteerituna tema hääle sisu. Kas see oleks õigustatud ja tehtav ka tänapäeval?

Jah, ka minu tagasihoidlikku arvamust mööda on see õigustatud, vähemalt poole rehkendusena. See resoneerub  ka valijale varjunime andmisega. Aga ikkagi tekib küsimus, kui palju zombisid on veel lubatud avastada, enne kui valimised tühistada. Seega peaks mõtlema hoopis valimisnimekirjade eelkontrollile.

Kas tõesti kogu valimistulemuste analüütika on siis e-valimiste tulekust peale olnud vaid hüpoteetiline meelelahutus, nagu te ühes artiklis väitsite?

Paraku jah. Tõestatult usaldusväärseid andmeid ju ei ole. Tagantjärgi tarkus on suuresti meelelahutus isegi siis, kui need andmed oleksid. USA valimised võideti palju väiksema häälte enamusega, kui oli häälte jaotuse statistiline standardhälve osariikide lõikes. Olin ise USA Ülemkohtu õue peal, kui loeti uuesti ja uuesti üle Bushi ja Gore’i valimissedeleid, vahe oli ju imepisike. Reportereid oli rohkem kui piketeerijaid või muidu huvilisi. Seega võib öelda, et tulemused olid küll juhuslikud, aga meedia vajab teemat. Muidugi peaks vihakõne seaduse asemel mõtlema nn infooperatsiooni seadusele, mis keelaks ühiskonna võimaliku mõjutamise valimiste eelsel ajal.

Vabariigi valimiskomisjoni ja riigi valimisteenistuse koosseisus on IT-kompetentsiga vast ainult üks liige. Ülejäänud 15 vastutaja jaoks on e-valimiste tehnoloogia üks must kast. Samuti tavalise valija jaoks. Ühtpidi võib öelda, et autojuht ei peagi olema tänapäeval mehaanik ja teadma sõiduki kõiki peensusi, et autoga turvaliselt sõita. Samas võib asjatundmatus tuua kaasa häälte varastamist, lisamist, häkkerite salajasi rünnakuid, ilma et keegi komisjonist või veel vähem valijatest seda taipaks.

Auto on siiski juhi täieliku kontrolli all, keerates rooli paremale ei lähe ta kunagi vasakule. Samasugune kontroll on võimalik saavutada ka e-valimiste üle. Aga kes tahab tõesti teada, miks auto ilma hobuseta üldse liigub, saab  uurida ka tehnilisi jooniseid ehk kogu tarkvara koodi, mis valimistel on kasutuses. See ei kompromiteeri kuidagi valimiste salajasust. Natuke lihtsustatult seletades on tarkvara üks käskude rida, näiteks: liida kaksteist arvu kokku. Me ei tea, mis need arvud konkreetselt on, aga me teame, mida nad peavad tähendama. Näiteks  valimisringkondades partei X poolt antud hääled, ja me teame, et nad liidetakse alati, ja summasse ei tule midagi muud juurde. Veelgi enam, seda autojuhtimist võiks saada igaüks ise proovida, installeerides tarkvara oma arvutisse.

Usalduse saavutamiseks e-valimiste suhtes on Holger Lippmaa sõnul oluline kogu süsteemi avatus ja verifitseeritavus. Nii e-valimiste süsteemi teoreetilised alused kui ka kasutatava tarkvara lähtekood peavad olema kõigile soovijatele nii Eestis kui ka välismaal  kättesaadavad. Miks seda seni ei ole tehtud?

Minu teada pole kättesaadav ainult valijarakenduse lähtekood. Aga ka ülejäänu on vidinate ja kulinate ning konkreetse tehnilise kontseptsiooni tõttu eemaletõukavalt mahukas ja keeruline. Isegi kui audiitorid üle kullata, ei oleks nad eriti entusiastlikud selle tüütu ja tegelikult välditava töö tegemisel, kui võtta kogu paketi lähtekohaks kontrollitavus.

Valijarakenduse salastamine on üldse kahe otsaga asi, igasugune salastamine antud juhul tekitab rohkem probleeme kui lahendusi. Ka salajase koodi koostajad satuvad võimaliku ründe märklauaks nagu valimiskomisjoni liikmed. See ei sobi demokraatiasse.  Võimalikest riskidest saaks üle igale valijale varjunime andmisega.

IT-asjatundja Märt Põder on lausunud, et turvalisuse tõstmiseks peaks uurima, mismoodi on tarkvara ehitatud, sest hiljem ei ole süsteemis midagi näha ja tavaliselt tekivad probleemid juba tarkvara ehitamise ajal. “Tagauksed ja deemonid ehitatakse ju süsteemi sisse,” on rõhutanud ka IT-asjatundja Tarmo Kaldma. Kui suur oht see kõik on?

Tõesti, tarkvara reverse engineering on praktiliselt võimatu. Töötamise ajal kasutavad arvutiprotsessorid masinkeelt ja selle tagurpidi lugemine käib üle jõu isegi tehistaibule, kui tahta kontrollida ka operatsioonisüsteemi. Tuleb panustada tarkvara installeerimisele. Kasutatava tarkvara lähtekoodi saab avalikustada, selle saab panna mitmekordselt eri arvutitesse ja võrrelda tulemusi. Kui asju õieti teha, siis jääb oht sama suureks kui arvutamine Exceli tabelis.

Ehk siis sisuliselt olematuks. Samas me ei tea praegu üldse, mida e-valimissüsteemi haldajad teevad. Neil on ilmselt päris lihtne vastavalt vajadusele hääli muuta?

Jah, see on vahva väljakutse IT sektorile. Kahjuks on süsteemi arendajad takerdunud paari detaili nagu häälte saladuse kaitse ja jätnud suure pildi, kus kõik need võimalused varitsevad, valimiskomisjoni hooleks. Iga “Hello world” tasemel programmeerija oskaks selle viimase tõe arvuti ekraanile kuvada: “Erakond X: 102 mandaati.”

Te olete selle poolt, et pabervalimised tuleks teha ühetaolisteks e-valimistega, mitte üritada tulutult vastupidist. Kabiinis antakse hääl nii, et see siseneb kohe ühtsesse (e-häälte) registrisse, samas asuv printer trükib välja ka hääletussedeli, mille valija saab lasta valimiskasti. Sel moel muutub ühetaoliseks ka häälte lugemine ja pole enam võimalik kahtlustada mitu tundi hiljem saabuvat “järeleaitamist” e-häältega. Sedelite ülelugemist võib siis kasutada (pisteliseks või vajaduspõhiseks) järelkontrolliks. Kui teostatav see oleks ja miks võib sellele kohata riigi vastuseisu?

See nõuaks igasse valimiskabiini umbes sellist aparatuuri nagu iseteenindav kassa, mis võib olla tehtud ka väga tagasihoidliku arvuti baasil. E-valimiste peamine argument on esindusdemokraatia (osaline) asendamine otsedemokraatiaga, mis tõstab rahva kaasatust ning vähendab ka infooperatsioonide ja juhuslikkuse mõju. Autokraatlikus suunas liikuv riik seda ei soovi. Võib-olla kellelegi meeldib ka kangesti vaadata, kuidas talle niiske näpuga sedelikesi kokku loetakse.

Kas siis eelvalimisi ei olekski ja kõik peaksid ikkagi valmispäeval valimisjaoskonda minema? Või on see ainult esialgu nii?

Kuigi ma olen üsna palju programmeerimisega tegelenud, isegi masinkoodis, millest praegune IT-põlvkond pole võib-olla kuulnudki (kuigi see just toimetab igas arvutis), ei söanda ma siiski väita, et kohe kõik õigesti satub. Lisaks veel seaduste jälgimine, millega, nagu näeme, on isegi riigikohtul raskusi. Seega peaks alustama üsna konservatiivselt, jälgides tavalist pabervalimiste protokolli ja dubleerides hääled digikeskkonda.

Korduvhääletamine rikub samuti valimiste ühetaolisust. Pealegi – see ei täida eesmärki ega likvideeri häälte müümist. Selleks piisab dokumentide “hoiule” andmisest. Kas hääle muutmise võimalus tuleks kaotada või mida muud sellega tuleks ette võtta?

Häälte muutmise põhjusena olen näinud ainult ostmise välistamist, mida aga sellega ei tagata. Aga kindlasti on see suur tehniline komplikatsioon, eriti kui tahta veel valimisi kergesti kontrollitavaks teha. Korduvhääletamisest tuleb loobuda.

Miks e-hääled alati ülikiiresti hävitatakse, kui need loetud on? Mis kahju saab enam teha, kui hääletustulemused on nagunii juba ametlikult kinnitatud?

See imelik hävitamine tuleneb vist tahtmisest tagada “ühetaolisus”, kuna seaduse kohaselt hävitatakse ka paberhääled. Aga kuna praeguse tehnoloogia igal tasemel on e-valimiste kontroll palju keerulisem ja aeganõudvam kui paberhääletusel, siis jooksevadki suusad risti.

Miks e-hääled tulevad hiljem kui paberhääled, kuigi loogiline oleks vastupidi? Nii jääb alati mulje, et e- häältega saab “vale” tulemust korrigeerida.

Jah, neid kahtlust süvendavaid muljeid on ridamisi. Aga kordan veel: meil ei ole avalikke tõendeid ei “korrigeerimise”, ei korrektsuse kohta. Meie hääled on Schrödingeri kassi kastis*.

Miks teised riigid pole siiski e-valimisi rakendanud – kas seetõttu, et neil pole ID-kaarti, nagu mõned väidavad?

Pigem selle tõttu, et e-valimisi lihtsalt pole nii väga vaja. Pabervalimised ajavad asja ära. Teaduskirjandusest paistab siiski silma et agaramalt tegeldakse teemaga arenguriikides, kus just pabervalimiste logistika on problemaatiline.

• Schrödingeri kass on mõtteline eksperiment, mis illustreerib superpositsiooniprintsiipi, ehk seda kuidas objekt saab olla korraga mitmes teineteist välistavas olekus. Mõttelises eksperimendis tekitatakse süsteem, kus hüpoteetiline kass on suletud kasti sees korraga nii surnud kui ka elus. Selle mõttelise eksperimendi pakkus välja Austria füüsikateoreetik Erwin Schrödinger 1935. aastal eesmärgiga näidata kvantmehaanika ebatäiuslikkust üleminekul mikromaailmast makromaailma.

Programmeerimise ja materjalide ekspert

• Ago Samoson on Tallinna tehnikaülikooli küberneetika instituudi juhtivteadur.
• Samoson omandas doktorikraadi 1984. aastal Tartu ülikooli füüsika instituudis. Tema peamised uurimisvaldkonnad on olnud raadiospektroskoopia arendamine ja sellega seotud füüsikaliste printsiipide mõistmine, programmeerimine, aparaadiehitus ja materjaliuuringud.
• Samoson on pälvinud 2006. aastal riigi teaduspreemia innovaatilise tooteni viinud väljapaistva teadus- ja arendustöö eest, 2001. aastal Valgetähe ordeni III klassi ja 1997. aastal riigi teaduspreemia täppisteadustes.