Vastustan netin kautta tehtävän sähköisen äänestämisen käyttöönottoa, syy tähän on että jos haluamme pitää vaalisalaisuuden voimassa, sähköisen äänestämisen luotettavuus kärsii suuresti suhteessa nykyiseen. Voimme saada sähköiseen äänestykseen luotettavuutta vaarantamalla vaalisalaisuuden, mutta se on iso hinta maksettavaksi.
Perimmäinen syy tähän ongelmaan tiivistyy kahteen kysymykseeen:
- Miten äänestäjä voi varmistua siitä, että hänen äänensä tallentuvat oikein?
- Miten äänestäjä voi varmistua että äänien kokonaismäärät lasketaan oikein?
Nykyisessä paperissa äänestysmallissa nämä ongelmat on ratkaistu:
- Äänestäjä kirjoittaa numeron lapulle itse, ja pudottaa sen itse sinetöityyn uurnaan
- Sinetöidyt uurnat avataan äänenlaskun yhteydessä, missä kattava määrä eri taustoista olevia ihmisiä varmistamassa että ääniä ei tuhota, muuteta tai muuten harrasteta vilppiä
- Nykymalli on äärimmäisen hajautettu. Vaikka yhdellä vaalipaikalla harrastettaisiinkin jonkintasoista vilppiä, niin vilppi jolla olisi mitään merkittävää vaikutusta valtakunnan tasolla vaatisi maanlaajuisen salaliiton jossa olisi osallisina vähintäänkin satoja ihmisiä.
- Äänestyslaput säilytetään. Jos epäillään vilppiä laskennassa, äänet lasketaan tarvittaessa uudelleen.
Sähköisessä äänestyksessä kaikki se äänten tallennus ja laskenta tapahtuu ”pimeässä”, tilassa johon ei ole mitään näkyvyyttä kuin kourallisia ihmisiä. Lähinnä järjestelmän kehittäjillä ja ylläpitäjillä.
Eritoten ääntenlaskenta on sähköisen äänestämisen mallissa erittäin riskialtis väärinkäytöksille, sillä se on automatisoitu ja keskitetty prosessi. Tähän on mahdollista kehittää jotain ratkaisuja, mutta kysymys vaalisalaisuudesta on monimutkaisempi. Äänenlaskun luottamuksen turvaamiseksi halutaan sitoa äänet tiettyyn äänestäjään, mutta samalla riskeerataan vaalisalaisuus. Vaalisalaisuus on muutenkin vaakalaudalla jos ja kun käyttäjät pitää tunnistaa äänestystapahtuman yhteydessä.
Ongelma ei ole tekninen, vaan kyse on yksinkertaisesti luottamuksesta. Luottamusta järjestelmään vaaditaan monissa eri vaiheissa, et voi tietää onko äänesi tallennettu oikein, etkä voi tietää onko äänestäsi laskettu oikein lopputulokseen, etkä voi tietää etteikö vaalisalaisuuttasi olisi rikottu osana prosessia. En ole itse keksinyt sähköisen äänestyksen prosessia joka ratkaisisi nämä kaikki ongelmakohdat yhtä luotettavasti kuin tämänhetkinen paperiäänestys.
Paperilapuilla äänestämisen mallissa tämä ongelma on ratkaistu tekemällä mallista erittäin hajautettu, ja niin että kaikki vaiheet tehdään avoimesti monien silmäparien valvonnan alla. Sähköisessä äänestyksessä taas näitä etuja ei ole. Kaikki tärkeimmät vaiheet tapahtuvat ”mustassa laatikossa”.
Vertaus sähköisestä äänestyksestä
Netin kautta tehtävä sähköinen äänestys vastaa tosimaailmaan tuotuna seuraavankaltaista prosessia:
Koko maassa on vain yksi huone jossa äänestetään. Huoneessa on yksi ovi. Huoneeseen tulee yksi äänestäjä kerrallaan, ja ovi suljetaan kun henkilö on äänestämässä. Huoneessa on virkailija (joka on aina sama) ja huoneessa on pöytä jossa on tyhjä lappu. Kirjoitat äänesi lapulle, ja poistut huoneesta.
Tällöin virkailija ottaa lappusi, katsoo antamasi äänen, tuhoaa lapun, ja päivittää muistivihkoonsa yhden lisä-äänen äänestämällesi henkilölle. Tämän jälkeen hän asettaa uuden tyhjän lapun pöydälle, ja seuraava äänestäjä astuu sisään.
Lopuksi äänestyksen lopputulos on se mitä virkailijan muistivihkossa lukee. Ei ole mitään keinoa järjestää uudellenlaskentaa, sillä mitään fyysistä tositetta yksittäisestä äänestä ei ole.
Huoneessa oleva virkailija vastaa tässä analogiassa sitä ohjelmistoa, ja sen ylläpitäjiä joilla on pääsy järjestelmään. Heiltä vaaditaankin siis täydellistä luotettavuutta, ja jos he ovat korruptuneita lopputulos on korruptoitunut ainakin joltain osin.
Vaalisalaisuuden vaarantamisella voidaan saada luotettavuutta
Ainut keksimäni tapa parantaa tätä perimmäistä ongelmaa luottamuksen suhteen osaltaan vaarantaa vaalisalaisuuden. Tällöin voimme kirjata järjestelmän tietokantaan: Jarkko Lauspalo äänesti henkilöä Jarkko Lauspalo. Tällöin henkilö voi kirjautua itse järjestelmään, ja katsoa että ääni todella on kirjautunut oikein ja nähdä oman ”salaisen tarkistenumeron”. Tällöin voidaan julkistaa listat tyyliin:
- 419208412809, Jarkko Lauspalo
- 432180943913, Paavo Väyrynen
- 123317418481, Paavo Väyrynen
Ja voin nähdä että minun ääneni 419208412809 on kirjautunut oikein Jarkko Lauspalolle, ja jokainen toisaalta voi itse laskea annetut äänet ja vaalien lopputulokset. Tämä kuitenkin jättää mahdollisuuden auki että ylläpitäjillä voi olla pääsy nähdä kuka äänesti ketä.
Vaikka voitaisiinkin tehdä jotain end-to-end salauksia tätä paikkaamaan, nekin toimivat vain niin kauan kuin järjestelmä todella toimii kuten on kerrottu ja suunniteltu. Jos järjestelmä kuitenkin toimii toisella tavalla, vaalisalaisuus voi murtua. Vaikkapa jos järjestelmä hakkeroidaan ennen vaaleja eikä sitä havaita ajoissa, tai ylläpitäjät itse toimivat epäeettisesti muuttaen sähköisen äänestysjärjestelmän toimimaan haluamallaan epäeettisellä tavalla.
Jos jollakulla on tiedossa tapoja millä tehdä sähköisestä äänestyksestä luotettavan tavalla millä vaalisalaisuus säilyy, kuulen niistä toki mielelläni. Jonkinlainen avoimeen lähdekoodiin, lohkoketjuihin ja salauksiin perustuva järjestelmä voisi teoriassa ehkä ratkaista joitain esittämiäni ongelmia, mutta niidenkin erittäin monimutkaiset toteutukset tekevät niistä erittäin teknokraattiset suhteessa nykyiseen malliin.
Teknokraattisuus aiheutta sen että järjestelmän ymmärtämiseksi vaaditaan erittäin pitkälle menevää osaamista kyseisistä tekniikoista. Nykymallin ymmärtää jokainen, ja jokainen voi myös hakeutua ääntenlaskijaksi halutessaan. Tämä antaa järjestelmälle paitsi todennettavaa luotettavuutta, myös legitimiteettiä kansalaisten silmissä.
Tämä on tärkeää, eritoten aikoina jolloin yhteiskunta on syvästi sisäisesti jakautunut. Meidän tuleekin suunnitella äänestysprosessi juuri tälläisiä aikoja silmälläpitäen. Järjestelmän luotettavuus ja legitimiteetti ovat elintärkeitä aikoina jolloin yhteiskunta on sisällissodan partaalla.
Näistä syistä vastustan vahvasti sähköisen äänestyksen käyttöönottoa. Nykymalli on hieman vaivalloinen, mutta luotettava, vaalisalaisuuden turvaava ja ymmärrettävä.
Tekstiä muutettu 04.05.2025 16:52, tarkennettu vaalisalaisuuden ongelmallisuutta, ei enää viitata että luotettavuuden nimissä kaikkien antamat äänet tulisi olla julkisia.
Piditkö kirjoituksesta?
Oliko kirjoitus hyvin tehty, ja oliko aihe mielestäsi mielenkiintoinen?
Vaalisalaisuus vaarantuu sähköisessä äänestyksessä jo ääntä annettaessa vakavasti. Mikään vahva tunnistautuminen ei takaa sitä että äänestäjä on oikea, antaa äänen vapaaehtoisesti ja muilta salassa. Nykyinen paperiäänestysmalli turvaa sen.