Maciej Piętka
Uniwersytet w Białymstoku
Wydział Fizyki

Jak wyglądają e-wybory?

Sondaże opinii publicznej pokazują, że coraz więcej obywateli chciałoby głosować w wyborach przez Internet. Z doświadczeń innych państw wynika jednak, że internetowe głosowanie w niewielkim stopniu zwiększa frekwencję, a w dodatku trudno zapewnić jego tajność. Warto poznać techniczne szczegóły e-wyborów, bo nie pod każdym względem są one odpowiednikiem tradycyjnego głosowania przy urnie.

Wybory w Internecie, podobnie jak tradycyjne, powinny być zorganizowane w sposób maksymalnie utrudniający fałszerstwa. Uczciwie przeprowadzone głosowanie spełnia kilka warunków:

  1. Oddać głos mogą tylko uprawnieni wyborcy. Gdy głosujemy tradycyjnie, w lokalu wyborczym, komisja sprawdza dokument tożsamości i na tej podstawie wydaje kartę do głosowania. W przypadku wyborów internetowych każdy uprawniony obywatel musi przed głosowaniem otrzymać specjalną informację (na przykład unikalny, wielocyfrowy kod lub klucz kryptograficzny), dzięki której będzie mógł oddać głos.

    Otwarty charakter Internetu sprawia, że prawdopodobne są manipulacje przebiegiem głosowania. Osoby nie będące wyborcami (wyobraźmy sobie służby obcych państw, chcące wpłynąć na wynik wyborów) mogą próbować oddać głos, podszywając się pod uprawnionych wyborców. Dobry mechanizm głosowania powinien minimalizować szanse powodzenia takich prób.
  2. Każdy może głosować tylko raz. Wyborca głosujący przy urnie podpisuje listę i otrzymuje tylko jedną kartę. Również głos oddany w Internecie musi być zarejestrowany w taki sposób, aby ta sama osoba nie mogła głosować wielokrotnie.

  3. Wybory są tajne. Ten warunek jest podstawą demokratycznych wyborów - nikt nie może ustalić, na kogo głosowała konkretna osoba. W przypadku e-wyborów tajność jest możliwa, chociaż trudna do pogodzenia z dwoma wymienionymi wcześniej warunkami.

    Przeprowadzone dotąd na świecie internetowe wybory zwykle nie były tajne w pełnym znaczeniu tego słowa. W procesie głosowania wyborca najpierw musiał udowodnić swoją tożsamość, a następnie zaufać komisji wyborczej, że wszelkie identyfikujące go dane zostaną "odłączone" od głosu przed jego policzeniem. Jednak w praktyce można było sprawdzić, na kogo głosowała dowolna osoba, a obywatele musieli wierzyć zapewnieniom państwa, że z tego nie skorzysta i uszanuje ich prywatność. Jest to zupełnie inna sytuacja niż w tradycyjnym głosowaniu, gdzie wyborca sam może się upewnić, czy karty nie są znaczone, albo czy nikt go nie podgląda w czasie oddawania głosu.

Podpis cyfrowy, a może kod?

Wyborca głosujący przez Internet musi przekonać serwer komisji wyborczej, że jest uprawniony do głosowania. Istniejące i proponowane techniki e-wyborów wykorzystują jedną z dwóch metod: cyfrowy podpis, identyfikujący obywatela za pomocą pary kluczy kryptograficznych, lub unikalny kod, dostarczony mu przed wyborami.

Rozwiązanie z podpisem jest bezpieczniejsze, bo sfałszowanie podpisu cyfrowego, czyli podszycie się pod wybraną osobę, jest praktycznie niewykonalne. Jednak klucze podpisujące powinny być przechowywane na specjalnej, "inteligentnej" karcie chipowej, co zwiększa wymagania techniczne. W Estonii udało się sprawnie przeprowadzić internetowe wybory dzięki temu, że dowody osobiste zawierają mikroprocesor, umożliwiający złożenie podpisu cyfrowego. Karta chipowa może służyć tylko do głosowania (tak odbywały się już referenda w Szwajcarii), ale trzeba ją wyprodukować i przekazać wyborcom, najlepiej z odpowiednim czytnikiem.

Alternatywne rozwiązanie polega na dostarczeniu wyborcom unikalnych kodów, umożliwiających głosowanie. Można je przekazać nawet w formie papierowej; w momencie głosowania wyborca wpisze kod na klawiaturze.

Niestety kod powinien być odpowiednio długi, aby ewentualnym napastnikom nie opłacało się losowo wybierać cyfr w nadziei na odgadnięcie poprawnej kombinacji. Jeżeli zażądamy, aby przypadkowe natrafienie na poprawny kod było równie trudne jak podrobienie podpisu cyfrowego, kod musiałby mieć ponad 300 cyfr! Nawet 100-cyfrowe kody, uważane przez kryptografów za bezpieczne, byłyby z pewnością niepraktyczne. Wielu wyborców zdecyduje się na spacer do lokalu wyborczego, zamiast mozolnie przepisywać stucyfrową liczbę...

Gdzie już można e-głosować?

Wybory przez Internet dotąd się nie rozpowszechniły głównie ze względu na techniczne trudności w zapewnieniu bezpieczeństwa głosowania. W Stanach Zjednoczonych pierwszą próbę podjęto w czasie wyborów prezydenckich w 2000 roku. Przez Internet mogli wtedy głosować mieszkańcy czterech stanów, ale oddano tą drogą zaledwie kilkadziesiąt głosów.

Przed kolejnymi wyborami w 2004 roku eksperci próbowali opracować nowy mechanizm głosowania (projekt SERVE), ale wycofano się z niego z konkluzją, że bezpiecznie głosowanie przez Internet w ogóle nie jest możliwe! Pod wpływem tej decyzji również w Europie porzucono prace nad wspólnym systemem internetowych wyborów do Parlamentu Europejskiego, skupiając się nad techniką głosowania korespondencyjnego. Tylko Holendrzy, w dodatku wyłącznie mieszkający za granicą lub przebywający tam czasowo w dniu wyborów, mogli wybierać eurodeputowanych przez Internet.

W Szwajcarii od 2004 roku głosowania przez Internet są praktykowane w referendach, ale nie w wyborach powszechnych (tradycją szwajcarskiej demokracji są częste referenda, zwoływane nawet kilka razy w roku). W Wielkiej Brytanii w 2003 roku głosowano przez Internet w wyborach lokalnych w 30 miastach, przy dość dużym zainteresowaniu wyborców (ponad 1/4 głosów oddano drogą elektroniczną).

Estonia przoduje

Na największą skalę wybory internetowe udało się przeprowadzić w Estonii. Po burzliwej, wielomiesięcznej dyskusji dopuszczono możliwość internetowego głosowania w wyborach lokalnych jesienią 2005 roku, a następnie w parlamentarnych w 2007 roku. Mimo oczekiwań, nie zwiększyło to znacząco frekwencji wyborczej. Przez Internet głosowało tylko 3 proc. uprawnionych Estończyków.

Głosowanie internetowe w Estonii odbywa się kilka dni przed tradycyjnymi wyborami. Można zmienić zdanie i głosować kilkakrotnie, tylko ostatni głos jest brany pod uwagę. Jeśli ktoś zagłosuje przez Internet a następnie w lokalu wyborczym, to głos elektroniczny będzie anulowany.

Do głosowania przez Internet uprawnia elektroniczny dowód osobisty. Taki dokument, wyposażony w mikroprocesor i pamięć, ma obecnie ponad 80 proc. mieszkańców Estonii. Oprócz danych osobowych, dowód przechowuje również indywidualne klucze kryptograficzne obywatela, dzięki którym może on składać cyfrowy podpis, mający w Estonii moc prawną i używany podczas wyborów.

Do głosowania potrzebny jest czytnik połączony z komputerem (do czytnika wprowadza się dowód). Po stronie komisji wyborczej w głosowanie zaangażowane są dwa serwery: jeden do gromadzenia głosów, drugi do ich liczenia. Wyborca szyfruje swój głos przy pomocy specjalnego programu, a następnie składa na nim własny podpis cyfrowy. Taki zaszyfrowany i podpisany głos można bezpiecznie przesłać przez Internet bez ryzyka jego odczytania, podrobienia lub zmiany przez postronne osoby. Serwer gromadzący głosy potrafi zweryfikować podpis (a więc ustalić, czy głos pochodzi od uprawnionego wyborcy), nie zna natomiast klucza potrzebnego do odszyfrowania głosu.

Po zakończeniu wyborów głosy są kopiowane do serwera liczącego, który jako jedyny zna klucz deszyfrujący i potrafi odczytać głosy. Serwer liczący nie otrzymuje podpisów obywateli, które zostały wcześniej "oddzielone" od głosów. Teoretycznie zapewnia to tajność wyborów, chociaż wystarczyłoby porównać dane z obu serwerów aby ustalić, na kogo głosowały poszczególne osoby. Wyborca musi zaufać komisji i pracującym w niej informatykom, że tego nie zrobią.

Sprzeczne interesy

Istnieją protokoły wyborcze, zapewniające rzeczywistą tajność internetowego głosowania. Opierają się one na przykład na przyznaniu losowych, unikalnych kodów obywatelom (wyborca podaje kod w momencie głosowania, ale komisja nie wie, do kogo kod należy).

Inna, bezpieczniejsza metoda wprowadza elektroniczny odpowiednik karty do głosowania. Używane są tu kryptograficzne protokoły tzw. ślepych podpisów cyfrowych - komisja podpisuje "kartę" do głosowania łącznie z kodem wybranym przez wyborcę, ale nie ma możliwości poznania tego kodu. W tej metodzie wyborca musi dwukrotnie połączyć się z serwerem komisji, najpierw w celu otrzymania karty, a następnie, już anonimowo, aby oddać głos.

Wiele rozwiązań ma ciekawą cechę: wyborca może sprawdzić, czy jego głos został właściwie policzony. Po zakończeniu wyborów publikowane są wyniki, zawierające oprócz liczby głosów również kody obywateli, popierających danego kandydata. Ponieważ tylko obywatel zna własny kod (nie wie o tym nawet komisja wyborcza), można kontrolować wyniki wyborów bez narażania tajności.

Niestety protokoły gwarantujące tajność wyborów są bardziej podatne na masowy handel głosami. Do oddania głosu wystarcza bowiem wielocyfrowy kod lub inna, zapisana cyfrowo informacja, nie powiązana z żadnym konkretnym wyborcą (bo anonimowa). Osoby niezainteresowane wyborami mogą próbować sprzedać tę informację. Komisja wyborcza nie ma możliwości stwierdzenia, czy głos oddał uprawniony wyborca, czy też inna osoba, która weszła w posiadanie kodu.

Widać, że w niektórych sytuacjach interes wyborców (tajność głosowania) może być sprzeczny z interesem państwa (uniemożliwienie handlu głosami). Z całą pewnością obywatele zainteresowani wprowadzeniem e-wyborów powinni śledzić techniczne szczegóły proponowanych rozwiązań i wyrażać opinię na ich temat.

(C) M.P. 2007-2008 | amicke@alpha.uwb.edu.pl | Klucz publiczny PGP [DSA 1024/ELG 4096]