Hlavní navigace

Volby v ČR, volby přes Internet a SMS, Estonsko budiž vzorem

29. 12. 2008 23:00 Tomáš Kapler

Před pár dny psal Honza Handl glosu o tom, jak se v Estonsku bude volit do parlamentu přes mobil. Je to hodně povrchní, stejně jako všechny články, které se tomu ve světě věnují, jsme ale na technickém serveru, takže by to chtělo asi trochu technicky rozebrat.

Jenom pro vysvětlení – s volbami v Estonsku nemám nic společného, ale znám docela dobře technické detaily, neboť jsem před 3 lety spolupracoval s Internet pro Všechny na  jejich článku o Estonských volbách po internetu, komunikoval jsem tehdy dokonce s jejich realizačním týmem (před 12 lety jsem se navíc profesionálně zabýval analýzami českých voleb). Předpokládám, že připravované SMS řešení navazuje a rozšiřuje tento způsob, který se již osvědčil na jedněch parlamentních a několika místních volbách.

Nutné podmínky pro regulérní hlasování

Elektronické (nebo obecně jakékoliv dálkové) hlasování vypadá možná pro někoho velice jednoduše, ve skutečnosti je to ale věc značně ožehavá a některými aspekty složitější než např. zabezpečení bankovních operací.

Nezastupitelnost

Při volbách je důležité, aby za vás nemohl hlasovat někdo jiný. Zatímco se tedy můžete třebas i oženit v zastoupení, volit za vás žádný právník nemůže, i kdyby měl jakékoliv dobrozdání. Tato podmínka je klíčová pro to, aby nemohly být hlasy skupovány některými zájmovými skupinami.

Uvědomme si, že díky volebním principům, rozvržení sil, účasti voličů, počtu křesel, d´Hontově metodě sčítání hlasů stačí jen relativně málo hlasů k naprostému zvratu ve volbách – např. při minulých parlamentních volbách stačilo jen tuším 154 hlasů (jestli si to pamatuji přesně, jsou to 3 roky co jsem si to zkusmo počítal), které kdyby získala v jednom kraji navíc ČSSD, tak má o jednoho poslance navíc, a najednou by tu místo pravostředové vlády a 100 ku 100 byla rudooranžová vláda a 99:101 (naopak pro 101:99 tu tuším chybělo okolo 720 hlasů v jiném volebním obvodě).

Tento problém u tradičních voleb řeší kontrola občanského průkazu (případně i volebního průkazu) před samotným hlasováním (ve volební místnosti, případně též na ambasádě, plus specialitky typu nošení volební urny nemocným, důchodcům, vojákům a zločincům).

Ne zcela dokonalá, ale velmi důležitá pro další chápání článku, je možnost korespondenčního hlasování. To je již mnoho desítek let možné např. v USA, Kanadě či Austráli a teď pozor – na začátku prosince ji schválil i český ústavněprávní výbor senátu (tj. nyní to musí „jen“ schválit senát a parlament).

Volič při koresponenčním hlasování dostane od zastupitelského úřadu volební materiály včetně kandidátek a tři obálky kvůli zajištění tajnosti hlasování. Do první obálky volič vloží lístek s vybraným politickým seskupením. Pak by ji vsune do druhé obálky i s čestným prohlášením, že hlasoval v souladu s ústavou osobně. Ve třetí obálce ji pak pošle úřadu. Volební komisaři rozlepí první obálku, zkontrolují údaje na čestném prohlášení, odškrtnou si voliče ve volebních lístcích (nevolil-li osobně) a následně vhodí neotevřenou vnitřní obálku do urny k ostatním obálkám.

Jak tedy vyřešit, aby vám někdo nedal tisícovku za to, že před ním odešlete hlas z mobilu či internetu „jeho straně“?

Jeden hlas na osobu

Druhá podmínka je také jasná – jen jeden hlas na jednu osobu. U klasických voleb se to řeší tak, že si váš odškrtnou na volebních arších ve vašem obvodě. Chcete-li hlasovat jinde, zažádáte si dopředu o volební průkaz, oni vás pak předem vyškrtnou z volebních archů a vy pak můžete s průkazem hlasovat kdekoliv, po hlasování vám jej ale vezmou. U korespondenčního hlasování je to tak, že když volební komisař si po první obálce škrtne vaše jméno v seznamu, takže další obálky nepřijme, a když hlasoval i „fyzicky“, tak už jste na seznamu škrtnut při té osobní návštěvě.

Mimochodem tento bod je zajímavý zejména u států, kde neexistují něco jako občanské průkazy – řeší se to např. tak, že při volbě otisknete palec do nějaké barvící látky, která nejde několik dní smýt a s obarveným prstem váš hlas znovu nepřijmou.

Jak tedy zajistit, abyste nemohli hlasovat přes internet, sms i „fyzicky“?

 Jen oprávnění voliči, všichni oprávnění voliči

Volit dnes může každý svésprávný občan ČR starší osmnácti let, u komunálních voleb pak občan s trvalým bydlištěm v příslušném volebním obvodě. Naštěstí je v ČR jedna z nejdokonalejších evidencí obyvatel na světě (bez přehánění), takže tento bod je u nás relativně snadný. Každý volební okrsek získá předem seznam oprávněných voličů (včetně rodných čísel) v daném okrsku a prostě jen podle občanky odškrtává (výjimka viz volební průkazy popsány výše). Každý dostane předem obálku se svým jménem na svou adresu, volby jsou každé dva roky, každý se může kdykoliv informovat, je-li registrován u daného úřadu, trvalé bydliště má každý i v občanském průkazu, takže nehrozí ani, že by se na někoho zapomnělo.

Díky tomu je zajištění tohoto bodu dnes relativně snadné, data která ˇpro zajištění potřebujete, musíte mít, ať probíhají volby jakkoliv.

Tajnost hlasování

To že si nikdo nemůže koupit cizí hlas je zajištěno především tajností volby. I když vám někdo nakrásně dá tisícovku za váš hlas, nemá šanci zjistit, jaký lístek jste za plentou vložili do obálky (i kdyby vám všechny ostatní listky vzal, můžete si vzít jiný) a poté v obálce do urny. Na obálce není vaše jméno, nikdy v budoucnu žádný hlas s vámi nikdo nemůže spárovat (vyjma nepravděpodobných situací, kdy celý okrsek hlasuje stejně, což se tu a tam stane)

Zároveň je tak zajištěna i nemožnost ovlivňování ze strany státní moci, už nám díky bohu nestojí u plenty tajní a nehrozí, že např. vaše děti nepřijmou na střední či vysokou, tento problém ale stále přetrhává v mnoha zemích např. Afriky.

Opět je zde otázka – jak toto zajistit u online hlasování – jak zajistit, aby vaše hlasování někdo neviděl a nemohl si tak hlas koupit, nebo jej nemohl pod výhružkami vymáhat.

Kromě toho zde jsou další vhodné podmínky, jako zákaz ovlivňování v průběhu voleb, neznalost průběžných výsledků atp.

A jak to tedy dělají v Estonsku

Je načase si tedy říct, jak to tedy vlastně v tom Estonsku dělají. Jako obvykle, je to o relativně jednoduchém nápadu. Ten vychází a vlastně přesně kopíruje korespondenční hlasování a řeší tak všechny problémy vlastně stejným způsobem, ale milionkrát efektivněji.

Jak se tedy tyto problémy řeší v korespondenční metodě: 3 obálky řeší tajnost volby (nerozdělání vnitřní obálky hlídá volební komise, která je vždy složena ze členů různých uskupení a jakýkoliv prohřešek by znamenal znovukonání voleb). Oprávněnost voličů řeší občanky a běžné volební seznamy, jeden hlas na osobu řeší zaškrtávání ve volebních seznamech. Největší problém je nezastupitelnost a nemožnost ovlivnění – půlku problémů „řeší-neřeší“ čestné prohlášení, druhou pak to, že osobní hlasování má přednost, tedy jestliže vás někdo donutí odeslat korespoňďák s hlase, nebo jej od vás koupí, tak vy pak stejně můžete jít hlasovat osobně a bude se počítat jen váš osobní hlas (protože se při ní zaškrtne vaše návštěva na volebním archu a další korespoňďák(y) pak nebudou uznány.

A vlastně úplně stejně to řeší online volby v Estonsku, jenom občanky nahradily elektronické podpisy. Každý občan Estonska má čipovou kartu s elektronickým podpisem a zdarma též čtečku těchto karet do USB počítače. Veřejným klíčem voleb zašifruje volič svůj hlas (první obálka), následně jej zašifruje svým vlastním privátním klíčem (druhá obálka s čestným prohlášením) a elektronicky odešle (třetí – poštovní obálka).

U hlasování přes SMS se jen místo jeho čipové karty použije jeho čip v mobilu. Nutnost vlastnictví fyzického zařízení (v bezpečnostních systémech se tomu říká „fyzické vlastnictví tokenu“) – tedy čipové karty či mobilního čipu – je podmínkou pro bezpečnost takového hlasování, aby z vás někdo nemohl jen vymámit heslo. Ze stejného důvodu tak nestačí např. jen znalost kódu pro výběr z bankomatu (potřebujete token – platební kartu, v budoucnu možná nějaké dokonale ověřitelné biometrické údaje).

A stejným způsobem se u těchto elektronických voleb řeší i nezastupitelnost či nemožnost ovlivnění – Estonec může klidně před vámi vyplnit na internetu či v mobilu „vaši“ stranu a prodat vám to za pár šupů, ale nezabráníte tomu, aby o pár minut či hodin později nehlasoval opět a již dle svého mínění (počítá se zde poslední elektronický hlas) a i když mu zabavíte mobil či čipovou kartu, tak on pak může hlasovat buď tím druhým zařízením, a nebo pak může zajít a hlasovat fyzicky za plentou.

Po fyzickém odhlasování se odemknou veřejnými klíči poslední hlosy elektronicky hlasujících (ověří se správnost klíčů, časová známka …), zahodí elektronické/ko­respondenční hlasy voličů, co hlasovali i fyzicky, „vyjmou“ se z nich vnitřní obálky a ty se pak „smíchají“ s „fyzickými“ obálkami, takže nikdy nedokážete zpětně spárovat konkrétní hlas s konkrétní osobou.

Nakonec se pak elektronické „obálky“otevřou tajným privátním klíčem voleb a hlasy se připočítají k těm z papírových obálek. Podle typů voleb, států a zákonů se to řeší různě, někdy jsou korespondenční hlasy „samostatný okrsek“, jindy se připočítávají k okrsku do kterého spadá daná osoba (if applicable), někdy se tyto hlasy připočítávají k jednomu z okrsků (např. u nás se volby na ambasádě připočítávají do volebních výsledků brněnského volebního okrsku).

Estonsko budiž vzor

Jak vidno, elektronické volby jsou velmi dobře řešitelné a jejich bezpečnost je minimálně stejně vysoká jako zabezpeční u korespondenčních voleb. Jasně, můžeme vymýšlet obskurnosti, jako že někdo někoho unese, donutí jej odhlasovat podle něj a pak jej týden nechá pod zámkem, aby nemohl jít hlasovat fyzicky. Ale takový člověk by pak šel pravděpodobně na hodně dlouho sedět (zejména kdyby to udělal aspoň u těch 155 osob, aby to mělo smysl) a volby v takovém okrsku by se pak prostě konaly znovu. Stejný podvod by mohl udělat při korespondenčním hlasování a jak vidno, v mnoha státech včetně „kolébky demokracie“ to dělají už desítky let bez nějakých podobných skandálů.

Elektronické volby jsou navíc velmi levné – v naší republice by se i při běžném 50 % bakšišném do kapes úplatných úředníků  návratnost pohybovala okolo mezi 4–6 roky (resp. mezi 3 a 5 volbami – senát/kraje/ob­ce/parlament). Výroba čipové karty není výrazně dražší než výroba občanky (kterou by čipová karta mohla nahradit), cena USB čtečky se před těmi 3 lety pohybovala na úrovni 5 dolarů, dnes tedy jistě pod 100 Kč. Nejdražší je ten systém a samozřejmě zabezpečení veškerých údajů, to je ovšem věc, která by se měla řešit komplexně spolu se všemi veřejnými systémy a databázemi. I tak se bavíme o max. jednotkách miliard Kč, což jsou už i z krátko až střednědobého hlediska vlastně drobné.

Ovšem systém jako takové lze využít (a v Estonsku je tak i využíván) nejenom pro volby, občané se tak mohou vyjadřovat k mnoha jiným věcem, navrhovat změny zákonů, mohou dělat referendum třeba každý měsíc a náklady na takové referendum jsou pak rovné cca. nule. Čip lze použít i jako autentikační token pro platby čehokoliv, autorizaci k různým veřejným databázím atd.

Dokonalý informační systém státu jako mají v Estonsku pak dokáže zcela eliminovat mnohé byrokratické brzdy, různé fronty na úřadech kvůli razítkům, povolením … a dramaticky se tak snižuje počet nutných státních zaměstnanců, klesá výrazně úplatkářství (počítač neuplatíte, navíc např. nemusíte platit úředníkovi bakšiš za to, aby vám založil firmu do týdne místo do měsíce, když to sami zvládnete online za hodinu), stoupá spokojenost voličů i jejich zájem a zapojení na veřejném dění.

Se zhruba 100% penetrací mobilů a přístupu k internetu můžete dokonce zavést bez větších keců i povinnou účast ve volbách, tak jak mají např. v Austrálii, v Belgii, na Kypru, donedávna byla i v Řecku, a i u nás existovala za první republiky. Když bude moci každý hlasovat během minuty po cestě tramvají a bude moci odevzdat i „prázdnou obálku“ (tedy nevybral jsem si žádnou z nabízených možností, přesto jsem splnil svou občanskou povinnost), pak se nutně také zvýší zájem lidí o politiku a o to, jestli je jejich strana „správně“ zastupuje a plní své sliby (dnes prostě často jen zhnuseně nejdou k volbám).

Bylo mi jasné, že vzhledem k výrazně vyššímu počtu pravicových uživatelů mezi uživateli internetu jsou internetové volby krajně nemyslitelné pro levicové strany (a tedy fakticky neprůchodné), mobilní telefon dnes ale mají všichni zleva doprava a tak je myslím načase, aby se tím začal někdo odpovědný opravdu zabývat. Milerád v tom podám pomocnou ruku.

Sdílet

  • 28. 6. 2017 18:47

    Manfred (neregistrovaný)

    Kolik problémů vznikne z neschopnosti dopotácet se jednou za několik let do volební místnosti, nezapomenout si občanku a dokázat strčit lístek do obálky je neuvěřitelný. Když si vezmu že do hypermarketu je schopnej se dopotácet každej......

  • 25. 1. 2013 20:36

    sls (neregistrovaný)

    Tímto jste opravdu nic nevysvětlil. Píšete, že "rozbalíte všechny obálky v tom prvním koši, vyndáte z nich obálky a ty hodíte do druhého koše". No, dobrá a co když si v tomto momentu systém poznamená do nějaké databáze vazbu mezi první a druhou obálkou. Tj. např. id první obálky a k ní id druhé obálky. Pak když probíhá dešifrování "otevírání" obálek v druhém koši, mohu si do další databáze poznamenat id obálky a hlasování. Spojením těchto tvou databází získám úplný přehled kdo jak hlasoval. Vaše metoda tomu logicky nijak nebrání, musím se pouze spoláhat, že provozovatel systému, tedy stát tyto párová data nevytváří.
    Obecne zajistit tajnost hlasování je nevětší slabina e-voleb. Zatím jsem nikde neslyšel o algoritmu, který by tento problém vyřešil matematicko-logickou ochranou, tedy tak, aby to nešlo obejít, např. jako u elektronického podpisu. Všechny typy utajení e-volby spoléhají na kvalitu kódu a důvěru v provozovatele, což je chyba. Je to stejné jako když dříve stávali tajní u plenty a kontrolovali koho volíte.

  • 21. 11. 2012 22:24

    Brok1 (neregistrovaný)

    Několikrát za měsíc vstupuji v zemích západní Evropy do různých institucí, kde je v systému IRIS uložen obraz mé rohovky. Po oskenování oka mě systém 100% rozpozná, pozdraví, zopakuje kdy jsem tam byl a za kým naposled. Většina PC dnes má kameru, takže bych uvítal tento způsob volby po internetu. Mrzí mě, že díky svému cestování prošvihávám častokrát volby a pak jen koukám, jak moji drazí spoluobčané vrací socany a komunisty k veslu. URČITĚ by volby dopadali výrazně lépe, rozuměj pravicově !!!

  • 30. 12. 2008 14:02

    internet (neregistrovaný)

    [1] máš s tím nějaký konkrétní problém? kde vidíš nějaké možné zneužití? Zrovna tohle je myslím zcela snadno ohlídatelné.

  • 30. 12. 2008 14:50

    internet (neregistrovaný)

    [3] nevím přesně, ale myslím (a tipuji že to tak na 99 % bude), že se jedná o obdobu "našich" SIM karet se SIMTOOLKIT bankovnictvím. To totiž dělá přesně to samé, tedy šifrování komunikace párem klíčů. Navíc je možný i vzdálený update takové aplikace, takže je možné např. uživatelům takové karty pak před volbami nahrát volební lístky, kde si jej oni zmáčknutím nějaké tlačítka u příslušného kandidáta zvolí. Je to navíc stoprocentně kompatibilní prakticky se všemi dnešními typy mobilních telefonů.

  • 30. 12. 2008 22:33

    JD (neregistrovaný)

    Je mi líto, ale pořád vidím problém v tajnosti voleb. Systém "tří obálek" je popsán jen velice vágně a imho je založen na předpokladu, že jeden subjekt kontroluje duplicity (a tedy ví, čí hlas to je) a zcela jiný subjekt sčítá hlasy. A předpokládá se, že od kontrolora ke sčítateli proteče pouze holá a neuspořádaná množina zašifrovaných hlasů, tedy že se ty dva subjekty za zády voličstva nedomluví a nedají si svá data dohromady. Tento předpoklad pokládám za velikou slabinu. S unikáním dat jsou u nás bohaté zkušenosti...

    Obecně se snadno dá prokázat, že se nějaká data dostala neporušená na správné místo, ale velice těžko se dá prokázat opak, tedy to že se data nedostala kam nemají, a to žádným postranním kanálem.

  • 31. 12. 2008 0:42

    Roj (neregistrovaný)

    Jsem vysoky manazer ODS (CSSD).
    Zorganizuji akci, pri nic mi kazdy par minut pred koncem terminu hlasovani pujci mobil (za prachy jde vsechno) A na vsech takto koupenych mobilech ci cipovych kartach si pro sebe zahlasuju. Zabrante mi v tom.

  • 31. 12. 2008 10:39

    nezmar (neregistrovaný)

    Hezky je to zamluveno s tim osetrenim nutnosti hlasovat osobne. Ani v tomto ani v obycejnem korespondencim hlasovani tento problem neni nijak resen. Nemusite nikoho unaset a branitm mu v jiti k volbam -- obavam se ze spousta lidi by neco takoveho za par stovek udelala.

  • 31. 12. 2008 12:00

    internet (neregistrovaný)

    [5] je to jeden subjekt - počítač. Prostě mu přijde milion zpráv podepsaných privátními klíči uživatelů. On to rozbalí veřejnými klíči, tj. zkontroluje správnost klíčů a další náležitosti, vyhodí duplicity, spáruje s voličským seznamem a vyhodí duplicity s voličským seznamem. Následně zahodí veškeré záznamy o párování vnitřního obsahu a vnější obálky, což je samozřejmě proces, kterému nemusíte věřit, ale který se dá velmi dobře zkontrolovat a který kontroluje nějaká nezávislá důvěryhodná instituce. A najednou máte tisíc pytlů neoznačených obálek s hlasy plus jeden pytel neoznačených elektronických obálek, které teprve po dokončení předchozího kroku rozšifrujete privátním klíčem voleb (opět tajnost klíče lze zajistit nějakým zkontrolovatelným mechanismem, např. nějakým náhodným generátorem na tisíc míst, který se uloží pod dohledem volební komise do sejfu). Žádná možnost narušení pak prostě nemůže vzniknout (leda byste nevěřil volebním komisím, ale ty jsou zárukou i u běžných voleb)

    [6] díky za připomínku, zapomněl jsem říct, že elektronické volby v Estonsku probíhají týden před normálními. Tj. když si koupíte/půjčíte cizí mobily a odhlasujete, tak ten člověk pak klidně může váš hlas přebít jiným svým hlasem ve volební místnosti. Ten týden je tam pro možné řešení námitek a problémů viz níže, práce s hlasy viz výše ovšem probíhá až po tom týdnu.

    [7] ano, já bych to klidně za pár stovek udělal taky, klidně před vámi zahlasuji jak si přejete. Pak zajdu volit osobně a jestliže mě nemáte pod zámkem, tak mi v tom nezabráníte a já vydělal pár stovek. Ale ano, je pravda, že je to maximálně STEJNĚ NEBEZPEČNÉ jako korespondenční hlasování, které je ovšem zcela běžné v mnoha demokraciích. Naopak bych zas já mohl argumentovat tím, že u běžných voleb může někdo hlasovat s kradenými/pod­vrženými občankami. Tam se nekontroluje ani podoba, jen RČ, které získáte snadno z mnoha veřejných databází. U elektronických voleb je identita daná držením tokenu a znalostí hesla (které můžete kdykoliv měnit), takže ani krádež vám nepomůže; a navíc pak lze takový hlas přehlasovat osobně.
    A když byste nějaký takový podvod chtěl udělat opravdu masivně (tedy řekněme alespoň u sta lidí), tak je pravděpodobnost že to utajíte zcela minimální (jak se říká, dva udrží tajemství jen když je jeden mrtvý)

  • 2. 1. 2009 14:36

    JD (neregistrovaný)

    [8] Opravdu nevím, jak se dá "velmi dobře" zkontrolovat, že žádná data neunikla, tedy že nebyla např. zkopírována ze zálohy apod. Prosím o vysvětlení, jak to chcete dělat.
    Čekal jsem obhajobu toho, že ty dva subjekty se nedomluví, protože třeba nechtějí nebo tak něco, ale když má mít vše pod palcem jeden subjekt, ten pak může všechno, stačí navenek zachovat dekorum.

    Pokud bych s daty manipuloval jenom já a počítač by byl spolehlivě oddělen od "světa", tak bych sám sobě možná věřil, ale je otázka, kdo by věřil mně. Pokud se kolem toho bude motat ještě kdokoli jiný (celá volební komise a ještě nějaká další kontrolující a "nezávislá" instituce), pokud data bude třeba zálohovat na více místech, už ta důvěra je docela netriviální i jenom uvnitř té volební komise, natož pak ze strany běžného voliče.

    Volební komise elektronických voleb je jedna, je relativně velmi malá a pokud by byla zkorumpována, účinek by byl mnohem větší a prakticky neodhalitelný. Kontrola, kterou v klasické volební komisi, dokáže udělat i roztřesený důchodce, protože ta data a jejich nosiče (volební lístky) jsou hmatatelné a viditelné, tedy tato triviální kontrola je nahrazena kontrolou velice sofistikovanou, které vůbec není snadné uvěřit.

    Celý mýtus o tajnosti elektronických voleb je založen na tom, že se nějaká data nedají dohromady s jinými daty, že zůstanou navěky oddělena, popř. že se opravdu nenávratně nějaká data smažou. Jediný opravdu bezpečný způsob je, když ta data vůbec nevzniknou. U klasických papírových voleb to tak je, samzřejmě pokud nenechám na volebním lístku otisk palce, popř. pokud není za plentou kamera.

    Možná byste přesvědčil volební komisi složenou z odborníků na počítačovou bezpečnost, že data byla zpracována správně, nic nikam neuniklo atd. Jak ale přesvědčíte běžného voliče, který je denně strašen počítačovými viry a tvrzením, že absolutní počítačová bezpečnost neexistuje. Opravdu věříte, že by se novináři za nějaký peníz nedověděli, jak hlasoval někdo zajímavý (třeba Václav Klaus) o něčem politicky zajímavém (třeba o Lisabonské smlouvě, pokud by o ní bylo elektronické referendum)?

    Ale budiž, klidně volme elektronicky, ovšem s plným vědomím rizika, že volba není tak úplně tajná, že je to tajné jenom tak naoko, asi jako listovní nebo bankovní tajemství. Každý dnes ví, že to je tajemství hypotetické, že když na to přijde, najednou je tajemství venku.

    Ještě jedna "drobnost". Klasické papírové volby jsou přepočitatelné, tedy lze zkontrolovat, zda hlasy byly správně sečteny. Po smazání dat o párování a kontrole duplicit je kontrola nemožná.

  • 5. 1. 2009 12:17

    internet (neregistrovaný)

    [9] ale vždyť to co píšete je nesmysl od A do Z. Zabezpečení záloh - vždyť v každé fázi máte data šifrovaná nějakou "nerozlousknu­telnou" šifrou, ve fázi kdy jsou data spárovaná dokonce dvěma, takže by vám to bylo celé k ničemu.

    Že nedůvěřujete volební komisi atd. tak pak nemůžete důvěřovat volbám jako celku, protože volební komise se o ně stará i teď. A to včetně agregovaných dat z jednotlivých okrsků.

    A přepočet? I dnes můžete pouze vzít počet lidí, kteří vhodili nějakou obálku do urny a porovnat to s počtem hlasů+neplatných hlasů+prázdných obálek a pak můžete samozřejmě přepočítat hlasy jednotlivým stranám. To samé můžete udělat i s elektronickými hlasy, jestli chcete, můžete si je nechat třeba vytisknout a přepočítat ručně, jestli se domníváte, že počítač může při nejjednodušší matemické operaci "součet" udělat více chyb než fyzická osoby - sčítači. Navíc tak zpochybňujete i volby na online terminálech, které už dnes jsou v desítkách států.

    V celém procesu jsou samozřejmě různé kontrolní mechanismy, CRC atp. takže nevěříte-li hollywoodským trhákům tak je prostě fakt, že taková data jsou bezpečnější než klasická (kde vám opravdu stačí uplatit pár členů komise v nějakém početnějším okrsku, a nebo jen řidiče vozícího urny plus celkem triviální operace na telefonním vedení a získáte dost hlasů.

    Samozřejmě základní premisa bezpečnosti je, že neexistuje bezpečný systém, pouze systém, na jehož nabourání by muselo být vynaloženo více prostředků, než kolik přinese. A vzhledem k tomu, že je to systém bezpečnější a sledovanější než bezpečnostní systémy bankovních domů, tak by hacker, který to zvládne, mohl být multimiliardářem s neomezenou mocí i bez voleb

  • 8. 2. 2009 15:35

    JD (neregistrovaný)

    Připomínám, že moje hlavní námitka se týkala tajnosti voleb. Nevysvětlil jste, jak lze zkontrolovat, že data o párování opravdu zmizela, že opravdu nikde nejsou. Pouze jste napsal, že to dá "velmi dobře". Pokud párování i počítání dělá jeden subjekt, tak prostě tajnost voleb závisí na důvěryhodnosti tohoto subjektu a ty triky s šifrováním hlasů jsou v podstatě zbytečné. Pokud by párování a počítání dělaly různé subjekty, to by byla jiná, pak by volby mohly být opravdu pokládány za tajné, ovšem za předpokladu, že se ty dva subjekty nedomluví. Pro teoretické úvahy to je docela dobrý předpoklad. Jeho praktické splnění je již jiná otázka.

    Tedy opakuji: jak budete kontrolovat, že data o párování hlasů opravdu zmizela a nikde nejsou?

    S přepočitatelností to částečně beru zpět. Jedním z výsledků párování může být hash souboru hlasů, které se předávají ke sčítání. Tam tedy manipulace nehrozí a samotné sčítání hlasů lze opravdu přepočítat. Proces párování však nezkontrolujete, jakmile smažete (pokud ovšem smažete) data o tom, kdo dal který (byť zašifrovaný) hlas.

    Pokud jde o důvěru ve volební komisi: To není jednoduchá otázka typu ano--ne. Je třeba vzít v úvahu jednak pravděpodobnost narušení (ta je u klasických voleb vyšší), jednak míru výsledného efektu, kterého tak lze docílit (a to je u klasických voleb mnohem menší).

    Argumentace, že se již někde něco dělá, není pro mne důkazem, že se to dělá dobře.

  • 25. 7. 2010 14:17

    Admin (neregistrovaný)

    [11] nevím jak bych to ještě lépe vysvětlil. Představte si to jako dva koše. Do prvního koše dáváte obálku se jménem toho kdo ji tam hodil, uvnitř které je obálka s tím, co volil. V okamžiku, kdy se ví, že dotyčný nevolil jinak (tj. po skončení neelektronických voleb), rozbalíte všechny obálky v tom prvním koši, vyndáte z nich obálky a ty hodíte do druhého koše. V tomto druhém koši tedy máte volební hlasy bez určení voličů, když je rozbalíte z obálek, pak se nedají spárovat s těmi prvními obálkami.
    Samozřejmě systém musí být dokonale navržený, naprogramovaný, hlídaný a nezávisle kontrolovaný. Připomínám znovu úlohu volební komise. Inspirovat se můžeme třeba v tom Estonsku nebo v dalších státech.
    To že se to někde dělá není důkaz, že se to dělá dobře, tím důkazem je to, že tam kde se to dělá nedošlo k napadení a narušení důvěryhodnosti (a když znáte jak to funguje, tak víte, že to ani není možné, viz výše)

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).