Ali je spodobno, da dvomim?

Pobude za elektronske volitve oz. elektronsko glasovanje se pojavljajo v valovih, ki jih pogojujejo bližina volitev (največkrat s strani opozicije), želja po promociji (v tistem trenutku aktualna vlada), občasno pa tudi zavist (ob prihodu novic dobre prakse npr. iz Estonije). Marsikateremu vsakodnevnemu uporabniku interneta ni jasno, zakaj država še ne omogoča e-glasovanja, saj to je zgolj še ena spletna storitev, ki bi jo ob ustrezni zaščiti lahko udobno uporabljali iz svojega naslanjača od koderkoli in kadarkoli. Zakaj sem osebno kar zoprno zadržan na tem področju, bom poskušal razložiti v nadaljevanju. Ta blog pišem tudi v upanju, da bo kdo od bralcev ali bralk pripomogel k idejnemu preboju na področju e-glasovanja.

Dejstva so naslednja: tehnologija je na voljo, sistem digitalnih potrdil, ki zagotavljajo istovetnost uporabnika storitve, deluje zanesljivo, elektronski volilni imenik, ki je preslikan iz centralnega registra prebivalcev, je zlahka na voljo, (skoraj) vsako volišče in velika večina domov ima dostop do interneta.

Kljub velikemu prodoru uporabe interneta in tehnološkim izboljšavam pri identifikaciji (npr. biometrične metode) dilema ostaja še vedno enaka: postopek e-glasovanja zaradi zaupnosti zahteva ločitev identitete volivca in njegovega glasu, pri tem pa rekonstrukcija ne sme biti dovoljena. Preverjanje celotnega poteka glasovanja je tako onemogočeno, programskemu sistemu pa moramo v celoti zaupati. Zagata zaradi prepovedi rekonstrukcije glasu pride do izraza tudi pri preverjanju delovanja sistema – testiranje tovrstnega programja zahteva vpogled v algoritem (razkritje pomeni ogroženost), tako imenovano testiranje črne škatle (brez vpogleda v kodo, presoja zgolj na podlagi zunanje funkcionalnosti) pa se je izkazalo kot nezadostno (primer negativnega štetja glasov v ZDA; poljudni namig: dokumentarni film Hacking Democracy, poglobljene razprave o ranljivosti Dieboldovih volilnih naprav in še marsikje drugje).

Primerjava e-glasovanja z drugimi e-storitvami, ki jim dnevno zaupamo (npr. e-bančništvo in podobno), ni primerna, saj je pri teh storitvah identiteta uporabnika storitve zaradi zaupnosti zgolj zakrita, nikoli pa ni ločena od vsebinskih podatkov. S tem je omogočena rekonstrukcija stanj poteka transakcije.

Zagovorniki e-volitev pogosto uporabljajo analogijo »zaupanje v papir se prenaša v zaupanje v e-stroj«, vendar ta primerjavo ne zdrži, saj gre za povsem različna medija. Kompleksnost, ki je potrebna za njuno zanesljivo »delovanje«, je povsem drugačna in pri e-mediju zahteva mnogo širši krog zaupanja vrednih dejavnikov (osebnih, omrežnih, programskih in strojnih).

Kako to, da kot velik uporabnik, pristaš in zagovornik vsega, kar je »e«, dvomim? Še tako perfektni tehnološki sistem ob stiku z realnim družbenim okoljem naleti na ovire, ki so bile ob razvoju pozabljene, spregledane ali zgolj ne dovolj ozaveščene. Zahtevan pogoj pri e-glasovanju, da možnost rekonstrukcije glasu (zaradi zaupnosti) do posameznika ne sme obstajati, je izjemno omejujoč in glede na naravo volitev, ki vedno in povsod potekajo v naelektrenem ozračju, je lahko tudi usoden.

Seveda bi problem lahko rešili tako, da bi vsakemu, ki bi glasoval od doma, poslali domov komisijo, ki bi odkljukala njegovo identiteto (v zagotovilo, da na primer ni glasoval z dedkovo identiteto). Si predstavljate potujoče e-volilne komisije? Seveda se šalim. Glede morebitne napake v programski opremi ali napačno delovanje katerekoli naprave (tudi te, ki je bila testno v uporabi na voliščih) pa je tako, da lahko povzroči veliko zadrego: v trenutku, ko bi bila razlika med številom oddanih glasov in prejetih glasov različna od nič, bi morali volitve razveljaviti.

Kako naprej? Rešitev vidim v več korakih: (1) v uvajanju e-volilnega imenika, ki bi uvodoma omogočil oddajo glasu na kateremkoli volišču in ne zgolj v domačem kraju, (2) v uvajanju naprednejših biometričnih metod identifikacije in (3) v odprtosti programske kode, ki ločuje glas od identitete volivca. Slednja naloga je najtežja, vendar je ključni element zaupanja – omogočena mora biti namreč javna presoja algoritma.