Balsavimo internetu įstatymas

00-istatymo-projektas-2014.rst

Ištrauka paimta iš šio įstatymo dokumento:

http://www3.lrs.lt/pls/inter2/dokpaieska.showdoc_l?p_id=471406

Dokumento svarstymas seimo posėdyje:

http://www3.lrs.lt/pls/inter/w5_sale.klaus_stadija?p_svarst_kl_stad_id=-18981

http://manoseimas.lt/0011f4/seimo-pozicija/

Komentuoju įstatymo tekstą tarp eilučių.

Papildyti Įstatymą 66¹ straipsniu:

„66¹ straipsnis. Balsavimas internetu

1. Internetu balsuojama Vyriausiosios rinkimų komisijos interneto svetainėje. Balsavimo internetu duomenys kaupiami, saugomi ir apdorojami Vyriausiosios rinkimų komisijos valdomoje informacinėje sistemoje, kuri steigiama Lietuvos Respublikos valstybės informacinių išteklių įstatymo nustatyta tvarka. Informacinės sistemos valdytojas privalo užtikrinti, kad būtų įgyvendinti Vyriausybės nustatyti elektroninės informacijos saugos reikalavimai.

Tam, kad būtų galima pasitikėti tokia balsavimo sistema, būtina žinoti visas technines sistemos realizavimo detales. Būtinai turi būti pateikiami sistemos išeities tekstai, turi būti paviešinti visi algoritmai. Turi būti galimybė pasileisti sistema savo kompiuteryje, kiekvienam, kuris pageidauja testuoti tokios sistemos funkcionalumą.

Tik tuo atveju, jei sistema yra visiškai atvira, galima įsitikinti ar ji veikia ir ar ji yra saugi.

Tokie reikalavimai turėtų būti įtraukti ir į patį įstatymą.

Vien teiginys Internetu balsuojama Vyriausiosios rinkimų komisijos interneto svetainėje kelia abejonių tokia balsavimo sistema. Norint užtikrinti skaidrų balsavimą internetu, VRK geriausiu atveju turi paviešinti balsavimo internetu algoritmą, kurį įgyvendinti galėtų visi norintys ir balsavimas internetu turi būti organizuojamas decentralizuotai užtikrinant skaidrų balsų skaičiavimą.

Balsavimo internetu eigos ir balsavimo internetu informacinės sistemos veikimo priežiūra vykdoma Vyriausiosios rinkimų komisijos balsavimo internetu tvarkos aprašo nustatyta tvarka.

Įdomu, kur yra tas aprašas?

2. Balsuoti internetu pradedama likus ne daugiau kaip 144 valandoms ir baigiama likus ne mažiau kaip 79 valandoms iki balsavimo rinkimų dieną pradžios. Pasibaigus balsavimo internetu laikui, draudžiama atlikti veiksmus, kuriais papildomi, panaikinami arba pakeičiami duomenys, išskyrus veiksmus, būtinus įgyvendinant šio įstatymo 811 straipsnio 2 dalies reikalavimą.
3. Šio straipsnio 2 dalyje nurodytu laikotarpiu internetu balsuoti rinkėjas gali pakartotinai.
4. Daryti poveikį rinkėjui, jo apsisprendimui ar skubinti jį balsuoti internetu, draudžiama.
5. Balsuoti internetu gali visi rinkėjai, įstatymų nustatyta tvarka identifikavę save elektroninėje erdvėje. Balsavimas internetu neriboja rinkėjo teisės šio įstatymo nustatyta tvarka balsuoti kitais šiame įstatyme nustatytais būdais.

Jei rinkėjas privalo save identifikuoti, tai kaip bus užtikrinimas anonimiškumas?

6. Internetu balsuojama Vyriausiosios rinkimų komisijos balsavimo internetu tvarkos aprašo nustatyta tvarka. Balsavimo internetu tvarką kariniuose vienetuose, bausmių vykdymo įstaigose atitinkamai krašto apsaugos ministro arba teisingumo ministro teikimu nustato Vyriausioji rinkimų komisija.
7. Jei Vyriausioji rinkimų komisija per 12 valandų nuo šio straipsnio 2 dalyje nurodyto balsavimo internetu laiko pabaigos priima sprendimą laikyti balsavimą internetu įvykusiu, ji pagal rinkimų apylinkes ir Lietuvos Respublikos diplomatines atstovybes ar konsulines įstaigas, į kurių rinkėjų sąrašus įtraukti balsavę internetu rinkėjai, sudaro balsavusių internetu rinkėjų sąrašus ir ne vėliau kaip iki balsavimo rinkimų dieną pradžios juos perduoda atitinkamoms apylinkių rinkimų komisijoms ir Lietuvos Respublikos diplomatinėms atstovybėms ar konsulinėms įstaigoms.
8. Jei Vyriausioji rinkimų komisija pagal Vyriausiosios rinkimų komisijos patvirtintą balsavimo internetu tvarkos aprašą nustato šiurkščių rinkimų tvarkos pažeidimų balsuojant internetu, ji per 12 valandų nuo šio straipsnio 2 dalyje nurodyto balsavimo internetu laiko pabaigos priima sprendimą laikyti balsavimą internetu neįvykusiu.
9. Vyriausiosios rinkimų komisijos sprendimas laikyti balsavimą internetu neįvykusiu per 24 valandas nuo jo priėmimo gali būti apskųstas Lietuvos vyriausiajam administraciniam teismui. Skundas turi būti išnagrinėtas ne vėliau kaip per 48 valandas nuo jo padavimo. Į šį terminą įskaitomos ir poilsio bei švenčių dienos. Teismo sprendimas įsiteisėja nuo paskelbimo.“

[ ... ]

14 straipsnis. Įstatymo papildymas 811 straipsniu

Papildyti Įstatymą 811 straipsniu:

„811 straipsnis. Balsavusių internetu rinkėjų balsų skaičiavimas

1. Balsavusių internetu rinkėjų balsavimo kiekvienoje rinkimų apygardoje rezultatai pagal informacinės sistemos duomenis nustatomi Vyriausiosios rinkimų komisijos nustatyta tvarka. Siekiant nustatyti balsavusių internetu rinkėjų balsavimo rezultatus, duomenys pradedami apdoroti tik pasibaigus balsavimo rinkimų apylinkėse laikui. Apdorojant informacinės sistemos duomenis, kai nustatomi balsavusių internetu rinkėjų balsavimo rezultatai, Vyriausioji rinkimų komisija užtikrina balsavusių internetu rinkėjų balsavimo slaptumą.

Balsų skaičiavimas yra labai svarbi vieta, kaip sakoma „Sprendžia ne tie, kurie balsuoja, o tie, kurie skaičiuoja balsus“¹ . Dabartiniame seimo rinkimų 77 straipsnyje labai aiškiai apibrėžtos visos balsų skaičiavimo detalės, tuo tarpu čia nurodyta tik tiek, kad balsai skaičiuojami VRK nustatyta tvarka. Tačiau nepateiktos jokios nuorodos į tvarkos aprašymą.

2. Skaičiuojant balsavusių internetu rinkėjų balsus, įskaičiuojamas tik vėliausiai gautas rinkėjo balsas. Rinkėjo balsas, gautas jam balsavus internetu, neskaičiuojamas, jeigu rinkėjas balsavo rinkimų apylinkės balsavimo patalpoje, Lietuvos Respublikos diplomatinėje atstovybėje, konsulinėje įstaigoje ar laive.
3. Nustačiusi balsavusių internetu rinkėjų balsavimo rezultatus, Vyriausioji rinkimų komisija apygardų rinkimų komisijoms perduoda tų apygardų rinkėjų sąrašuose esančių balsavusių internetu rinkėjų balsų skaičiavimo protokolus. Juose nurodoma:
   1. rinkimų apygardoje balsavusių internetu rinkėjų skaičius;
   2. už kiekvieną kandidatą į Seimo narius balsuojant internetu paduotų balsų skaičius;
   3. už kiekvieną kandidatų sąrašą balsuojant internetu paduotų balsų skaičius;
   4. už kiekvieną rinkimų apygardoje iškeltą kandidatą balsuojant internetu paduotų pirmumo balsų skaičius.“

---

1. http://quotes.liberty-tree.ca/quote_blog/Josef.Stalin.Quote.0DE9↩

05-norvegijos-ataskaita.rst

Norvegija taip pat išsibandė balsavimą internetu 2013-ais metais ir štai jų ataskaita:

http://www.cartercenter.org/resources/pdfs/peace/democracy/Carter-Center-Norway-2013-study-mission-report2.pdf

Peržvelgiau ataskaitą ir dalinuosi tuo ką ten radau.

Norvegai naudoja Verificatum Mix-Net Verifier (VMNV) sistemą, kuri yra El Gamal pagrindu veikiantis maišų tinklo protokolas (El Gamal-based mix-net). El Gamal algoritmas manau visiems gerai žinomas, o kas yra maišų tinklas (mix-net), galima pasiskaityti Ran Canetti ir Ronald L. Rivest paskaitų medžiagą, konkrečiai 17 ir 18 paskaitų medžiagą.

Labai šaunu, kad Norvegai pateikia savo sistemos išeities kodą.

Tam, kad tiksliai suprasti, kaip veikia minėti algoritmai, reikia laiko įsigilinti į protokolo veikimą ir išbandyti sistemos veikimą.

Kol kas trumpai peržvelgus surastą medžiagą iškilo tokie klausimai:

• Maišų tinkle (mix-net) labai svarbus vaidmuo tenka pirmam ir paskutiniam serveriams. Šie serveriai gali manipuliuoti balsavimo rezultatais.
• Ne iki galo supratau, kas ir kaip sukuria pirmąją C₀ maišą. Būtent šiuo momentu, galimas balso klastojimas.
• Kitas klausimas kam priklausys maišų tinkle esantys serveriai.
• Ne iki galo aišku, kas skaičiuos balus. Vis dalyviai gali patikrinti savo balsą, bet esminis momentas -- balsų skaičiavimas kaip supratau atliekamas centrinėje sistemoje, kurios kiekvienas patikrinti negali.

Na žodžiu yra daug klausimų, būtų labai gerai, jei balsavimo internetu šalininkai suorganizuotų konferenciją ir detaliai paaiškintų, kaip tai veikia.

10-irubikas-balsavimas-internetu.rst

Šiame straipsnyje:

http://www.delfi.lt/verslas/verslas/i-rubikas-balsavimas-internetu-ar-tikrai-nepasiruose.d?id=66350476

Rašoma:

Visa tai leidžia manyti, kad jau dabar Lietuva gali pradėti bandytis balsavimą internetu, ir tuo ji nebus išskirtinė Europos šalių kontekste. Jei tai darydami nuosekliai vadovausimės Europos Tarybos rekomendacijomis ir gerosiomis kitų šalių praktikomis, iki 2019 m. galėsime sukurti saugią ir patikimą sistemą. Tačiau pirmus žingsnius žengti reikėtų jau dabar.

Tai paskaičius, nusprendžiau panagrinėti Europos Tarybos rekomendacijas. Štai nuoroda į dokumentą:

http://www.coe.int/t/DEMOCRACY/ELECTORAL-ASSISTANCE/themes/evoting/Rec-2004-11_en.pdf

Jei trumpai, tai rekomendacijos yra tokio pobūdžio: „turi būti užtikrinamas saugumas“, „naudotojo sąsaja turi būti patogi ir pritaikyta neįgaliesiems“, „serverio programinė įranga turi būti atnaujinta“, „kad būtų užtikrintas skaidrumas, viseims norintiems, turi būti prieinamas sąrašas serveryje naudojamos programinės įrangos, tačiau dėl saugumo priežasčių, tam tikros naudojamos programinės įrangos galima ir neatskleisti“.

Na, čia tokios geriausiu atveju projektų vadovo lygio rekomendacijos.

Technine prasme, šitos rekomendacijos yra visiškai nieko vertos.

Rekomendacijose siūloma naudoti centralizuotą sistemą, prie kurios niekas negali prieiti ir niekas negali iš esmės, matematiškai ir algoritmų patikimumo prasme įsitikinti, kad balsai tikrai skaičiuojami teisingai ir nėra jokių techninių ar be tokių kitų teorinių galimybių sukčiauti. Žodžiu, siūlo katę maiše.

Plačiau cituoju ir komentuoju tarp eilučių.

1. The voter interface of an e-voting system shall be understandable and eas-ily usable.

Dokumento pradžia neatrodo labai daug žadanti... :)

20. Member states shall take steps to ensure that voters understand and have confidence in the e-voting system in use.

Labai įdomu, kaip visiems žmonės paaiškinti, kaip veikia balsavimas internetu?

28. The member state’s authorities shall ensure the reliability and security of the e-voting system.

Kaip?

29. All possible steps shall be taken to avoid the possibility of fraud or un-authorised intervention affecting the system during the whole voting process.

Kokie žingsniai?

69. The competent electoral authorities shall publish an official list of the soft- ware used in an e-election or e-referendum. Member states may exclude from this list data protection software for security reasons. At the very least it shall indicate the software used, the versions, its date of installation and a brief description. A procedure shall be established for regularly installing updated ver- sions and corrections of the relevant protection software. It shall be possible to check the state of protection of the voting equipment at any time.

Nieko sau. Taip išeina, kad apie balsavimo internetu geriausiu atveju, žinosime tik naudojamų programų pavadinimas, bet ir tai ne visų. Kaip galima pasitikėti programa, kurios žinomas tik pavadinimas?

O kartu su atnaujinimais, bus atsisiunčiami ir backdoor'ai? Reikia atsiminti, kad balsavimo internetu sistema, tai ne sekretorės kompiuteris, kuriame reikia nepamiršti įsidiegti atnaujinimus..

44. The message confirms to the voter that his or her vote is deposited in the ballot box and thus will be counted. The voter then knows that he or she has cast his or her vote, which is important from the point of view of trusting the sys- tem and because of the principle that every vote cast has to be taken into account. Furthermore, the voter must be able to know at what moment the whole voting procedure is completed successfully and he or she can safely end the connection. Both messages (the successful casting of the ballot and the com- pletion of the procedure) could be combined in one, if both events coincide.

Vienintelis būdas įsitikinti, kad mano balsas buvo sėkmingai įskaitytas yra pranešimas ekrane...

Manau ties šiuo punktu, galutinai įsitikinau, kad šias rekomendacijas surašė sekretorė. Neturinti jokio supratimo, apie IT saugumą ir apie tai, kaip veikia kompiuteriai po dangčiu.

56. Traditional voting methods are simple and well tried and tested in member states. Voters are familiar with voting systems using ballot papers and ballot boxes and understand the general rules that govern how they should vote and how their vote is collected and counted unaltered. The introduction of e-voting produces a new situation in which voters will be less familiar with the electoral process and perhaps less able to understand the safeguards built into the e- voting system. Accordingly, as e-voting systems are introduced, it is likely that, in order to maintain voter understanding and confidence, steps will have to be taken to introduce the system to voters. Over time, it may be necessary to continue to take such steps in order to secure the understanding and confidence of voters who are unfamiliar with e-voting.

Sprendžiant iš bendro konteksto, matyt čia kalbama apie tai, kaip išmokyti balsavimo internetu sistemos naudotojus naudotis pačia sistema. T.y. parodyti, kokį mygtuką spausti ir pan.

58. A new e-voting system may cause voters anxieties of different kinds. In order to promote understanding and confidence in any new e-voting system, including in its transparency, opportunities to try out the system should be pro- vided before, and separately from, the moment of casting an electronic vote. Special attention should be paid to any voters who are not familiar with the new e-voting method, for example the elderly.

Pamiršo, kad programuotojai, norėtų ne tik išbandyti sistemą, bet ir pamatyti jos kodą.

60. Observers should be able to verify that the e-voting system itself is designed and operated in a way which respects the fundamental principles of democratic elections and referendums. Therefore, member states should have clear legal provisions on observers’ access to the e-voting system documentation and audit data.

Vis dėl to, programuotojams bus leista paskaityti dokomentaciją.

61. E-elections/e-referendums pose special challenges to observers, inherent in the electronic method of the election or referendum. Observers will thus have to be provided with an opportunity, in particular, to have access to relevant soft- ware information, to see physical and electronic safety measures for servers, to inspect and test certified devices, to have access to and test sites and informa- tion provided for remote e-voting, and to observe cast electronic votes entering the electronic ballot box and that votes are being counted. Security measures for telephone or Internet voting may, however, make it necessary not to allow the presence of observers in the computer room itself. In that case measures should be taken in order to give the observers the opportunity to monitor the activities.

Vis dėl to, dėl „saugumo“, balsavimo internetu sistemos, taip niekas ir nepamatys. T.y. visi turėsime aklai pasitikėti, kad kožkokie „dėdės“, tikrai nesukčiauja.

128. It is essential that electronic voting systems remain as transparent as pos- sible for authorities and citizens alike. Exact, full, up-to-date descriptions of the hardware and software components should be published, thus enabling inter- ested groups to verify for themselves that the systems in use correspond to the ones certified by the competent authorities. The results of certification should be made available to the authorities, political parties and, depending on legal pro- visions, citizens.

Taip tikrai, geriausiu atveju, apie balsavimo internetu sistemą žinosime tik sąrašą naudojamų programų ir kokio gamintojo serveryje tai veikia.