mikkonummelin

Bitcoin-protokolla ei ole hyvä äänestysmenetelmä valtiollisiin vaaleihin

  • Bitcoin on hyvä pankkitiliprotokolla, mutta kuitenkin riittämätön valtiollisiin vaaleihin.
    Bitcoin on hyvä pankkitiliprotokolla, mutta kuitenkin riittämätön valtiollisiin vaaleihin.

Sähköisestä äänestyksestä ja verkkoäänestyksistä käydään jatkuvasti keskustelua siitä huolimatta, että näihin liittyy monia korjaamattomissa olevia vikoja äänestyssalaisuuden kannalta ja erittäin vaikeasti korjattavissa olevia vikoja verifioitavuuden kannalta. Perusteluista kiinnostuneille paras suomenkielinen lähde lienee tällä hetkellä edelleen EFFI:n Sähköäänestys-FAQ, enkä toista kaikkia sen perusteluja tässä.

Tämän kirjoituksen aiheena sen sijaan on uusi ilmiö, jossa sähköisten äänestysten kannattajakunta on saanut laajennusta kun on tuotu esiin Bitcoin-kryptovaluutan algoritmien olevan käytettävissä myös äänestysprotokolliin. Osoitan kuitenkin, mitä heikkouksia tällä algoritmilla on, jos sitä oltaisiin käyttämässä valtiollisesti merkittävissä vaaleissa, kuten eurovaaleissa, valtionpäämiesten vaaleissa, parlamenttivaaleissa tai kunnallisvaaleissa. Äänestyksissä, jotka ovat vähämerkityksisempiä ja joissa vaalisalaisuus ei ole niin tärkeä, sähköiset äänestykset ovat mahdollisia ja niitä jopa kannattaakin kehittää.

Bitcoin on pohjimmiltaan pankkitiliprotokolla, jonka on tarkoitettu täyttävän pankkitoimintaa ja tilisiirtoja koskevia ehtoja turvallisesti. Bitcoinin anonymiteetilla ei tarkoiteta yhtä vahvaa anonymiteettia kuin käteismaksujen anonymiteetti on, vaan ensinmainittu perustuu siihen, että maksut suoritetaan Bitcoin-lompakoista toisiin ja niiden tunnuksia ei muuten kuin erikoistapauksissa pystytä yhdistämään henkilöihin. Kukin henkilö voi halutessaan luoda yhden tai useampia tyhjiä Bitcoin-lompakoita käyttöönsä ilman asiointia viranomaisissa tai tekemättä pankin kanssa sopimusta tilin avaamisesta. Kun bitcoineilla maksetaan, allekirjoittaa bitcoinien aikaisempi omistaja sähköisen siirtoilmoituksen, joka sisältää tiedon uuden omistajan lompakon tunnuksesta, salaisella avaimellaan ja tieto välitetään Bitcoin-lohkoketjua ylläpitävään verkkoon tarkastettavaksi niin, että tieto maksusta välittyy koko Internettiin. Lohkoketjussa on aina tiedossa kaikki maailmassa koskaan tehdyt bitcoin-transaktiot lompakoista toisiin, joten näinollen bitcoin-maksut jättävät jälkeensä huomattavan määrän aivan julkistakin tietoa.

Pankkitoiminnalle tiedot tilisiirroista ja niiden verifioitavuus on elintärkeää. Sen sijaan äänestyksissä tiedot siitä kuka on äänestänyt mitäkin vaihtoehtoa, ovat liikaa ja tällaista tietoa ei saisi äänestyksen tulosta laskettaessa tai edes yksittäisten äänten jättämisen jälkeen olla johdettavissa kenenkään toimesta millään tavalla. Tiedossa tulee olla ainoastaan annettujen äänten määrät eri vaihtoehdoille, jotta niistä voidaan toimeenpanna äänestystuloksen seuraamukset laillisesti.

Bitcoin-protokollissa sähköinen äänestys on tavalla tai toisella tarkoitus toteuttaa niin, että äänestäjille on annettu lompakkoihinsa yksi tyhjä vaalilippu, jonka voi täyttää, allekirjoittaa salaisella avaimellaan ja toimittaa vaalitoimitsijalle vaaleja varten laadittuun lohkoketjuun. Tällöin lohkoketjuun tallentuu tieto siitä, mikä bitcoin-lompakko äänesti mitäkin vaihtoehtoa ja tämä on ääntenlaskennan kuluessa selvitettävissä. Jos ei olisi, ei voitaisi myöskään verifioida, ettei samasta bitcoin-lompakosta mennä antamaan useampia ääniä.

Joidenkin mielestä äänten yhdistettävyys bitcoin-lompakoihin ei ole haitta, koska lompakot eivät ole suoraan yhdistettävissä henkilöllisyyksiin, mutta valtiollisten vaalien kohdalla tässä kohden on heikkous. Ei ole suuri ongelma, jos rahansiirtotarkoituksia varten henkilöt kykenevät luomaan itselleen bitcoin-lompakoita tyhjästä ja operoimaan niillä, mutta valtiollisissa vaaleissa äänioikeuksia ei luoda tyhjästä, vaan ne perustuvat ainakin länsimaisissa demokratioissa tiettyihin väestörekisteristä johdettaviin edellytyksiin, joilla luodaan äänestysrekisteri erikseen. Tyypillisesti vaaditaan esim. kansalaisuutta, asuinpaikkaa siinä vaalipiirissä, jonka ehdokkaita äänestää ja täysi-ikäisyyttä tai muuta sitä alempaa äänestyskelpoisuusikäisyyttä. On myös tärkeää varmistaa, ettei kukaan pääse äänestämään moneen kertaan. Käytännössä bitcoin-muotoisessa äänestyksessä tieto, joka yhdistää lompakot henkilötietoihin, joutuu tavalla tai toisella vaaliviranomaisten haltuun joko suoraan tai edes hajautettuna datana, jonka voi tarvittaessa yhdistää.

Kaikissa verkkoäänestyksissä on myös sellainen korjaamattomissa oleva vaalisalaisuusongelma, että kotona neljän seinän sisällä samaan ruokakuntaan kuuluvat voivat urkkia toisten äänestysprosessia olan takaa tai jopa painostaa tai pakottaa antamaan ääniä tietyllä tavalla. Vaalipaikalla tällaisia ongelmia voidaan ehkäistä, kun äänioikeutettuja lasketaan vaalikoppiin vain yksitellen ja tarvittaessa estetään heitä esittelemästä vaalilippuaan muille tai valokuvaamasta vaalikopissa. Tämä on myös hyvä lisäpointti bitcoin-protokollaakin ajatellen.

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (1 kommentti)

Käyttäjän Tronic kuva
Lasse Kärkkäinen

Esittämäsi huoli lompakoiden luonnista ja anonymiteetistä on vältettävissä samoin kuin muissakin sähköisissä äänestysmenetelmissä:

1. Luodaan riittävä määrä äänestämiseen oikeuttavia avainpareja
- Julkinen ja salainen avain (lompakko)
2. Julkaistaan lista kaikista julkisista avaimista
3. Tulostetaan avainparit sinetöidyille paperilapuille
4. Sekoitetaan laput huolellisesti suuressa kulhossa
5. Kukin äänioikeutettu saa äänioikeuden tarkastamisen jälkeen itselleen yhden lapun
6. Kun kaikki halukkaat ovat lappunsa hakeneet, avataan mahdollisesti jäljelle jääneet laput ja yliviivataan ne kohdassa 2 tehdyltä listalta
7. Varmistetaan, että jaettujen lappujen määrä täsmää yliviivaamatta jääneiden määrään
8. Äänioikeutettu antaa myöhemmin äänensä tunnusta käyttäen
9. Julkaistaan lista annetuista äänistä ja niiden antajien julkisista avaimista
- Jokainen äänestäjä voi varmistaa äänensä oikean kirjaamisen
- Kohdan 2 listan avulla kuka tahansa voi varmistaa, ettei ylimääräisiä ääniä ole annettu
- Kuka tahansa voi laskea miten monta ääntä millekin vaihtoehdolle on annettu

Kohdat 4-7 on suoritettava valvotusti vaalivilpin estämiseksi.

Kohdassa 8 äänen antamiseen käytettävä laite ei saisi paljastaa käyttäjän henkilöllisyyttä. Mikäli laite sijaitsee äänestyskopissa, ei paikalla saa olla kameravalvontaa tai muuta aikaleimojen yhdistämistä mahdollistavaa sähköistä seurantaa. Kotona äänestäessä taas tulee käyttää tor-verkkoa tai muuta soveltuvaa ratkaisua mm. IP-osoitteen salaamiseen.

Näin toteutetussa äänestyksessä äänensä voi antaa anonyymisti, mutta silti valvotusti. Järjestelmä kuitenkin mahdollistaa äänten myymisen ja sitä koskevat Nummelinin edellä esittämät etä-äänestykseen liittyvät ongelmat, joista johtuen en itsekään kannata etä-äänestyksen käyttöönottoa merkittävissä vaaleissa.

Kopissa tehtävä sähköinen äänestys olisi tarpeen lähinnä, jos ottaisimme käyttöön STV-vaalitavan, jossa äänten laskenta ja kirjaaminen olisi nykyistä huomattavasti hankalampaa. Muutoin perinteinen järjestely on tehokas, hyvin toimiva ja ennen kaikkea turvallinen.

Huomionarvoista on, että jo käytössä olevassa ennakkoäänestysjärjestelmässä on äänestysturvallisuus huomattavan heikko, ja järjestelmä tulisi pikimmiten päivittää sellaiseksi, ettei äänestäjän henkilöllisyyttä ja annettua ääntä voida yhdistää, ja toisaalta sellaiseksi ettei ääniä voi "vahingossa" hukkua tai korvautua toisilla. Kirjekuoriin sinetteinä - ilman jatkuvaa valvontaa - perustuva järjestelmä on lähinnä huono vitsi.

Toimituksen poiminnat