„Wybory internetowe byłyby powszechne, być może równe, prawie na pewno bezpośrednie i chyba tajne. Konstytucyjne zapisy nie są jednak sformułowane w trybie przypuszczającym.
Co więcej, brak pewności co do tego, czy głosowanie będzie równe i tajne, przyczyniłoby się do rozpadu zaufania społecznego do procesu wyborczego i, szerzej, do państwa. Bez społecznego zaufania zaś wybory są tylko pustym rytuałem”.
O tym, że wybory przez internet to wyraz naiwnego technooptymizmu, ignorującego ograniczenia współczesnej informatyki pisze Filip Chudy, informatyk z Uniwersytetu Wrocławskiego i działacz Lewicy Razem*
Nieśmiertelny pomysł
W polskiej polityce jak bumerang wraca pomysł przeprowadzania wyborów drogą elektroniczną lub wręcz internetową.
Ostatnio jest o nich głośno ze względu na gorączkowe poszukiwanie rozwiązania kwestii wyborów prezydenckich wypadających podczas pandemii. Nad poprawką wprowadzającą wybory przez internet trwają prace w Senacie. Nad tym, jak zrobić wiarygodne wybory internetowe, nauka światowa głowi się od lat. Sugerowany przez Izabelę Leszczynę (PO) termin: za kilka miesięcy.
Postulat wyborów internetowych nie narodził się jednak wczoraj. W ostatnich latach proponowała je Koalicja Obywatelska (propozycja wchodziła również w skład Szóstki Schetyny przedstawionej przez Platformę Obywatelską) oraz Wiosna Biedronia (choć ta tylko w wyborach lokalnych). Na Twitterze Platformy Obywatelskiej napisano, że „to już standard w zachodnich demokracjach”, na czym suchej nitki nie zostawił Konkret24.
Czym się różnią wybory elektroniczne od internetowych?
Niezbędne będzie rozróżnienie dwóch pojęć: wyborów elektronicznych i wyborów internetowych. Z wyborami elektronicznymi mamy do czynienia, gdy któryś z etapów procedury wyborczej jest realizowany przy wspomaganiu elektronicznym. Przykładem mogą być wybory, w których oddaje się głosy papierowe, które następnie są zliczane maszynowo. Dalej idąca forma wyborów elektronicznych obejmowałaby oddawanie głosów na specjalnych urządzeniach, bez użycia papieru. Z wyborami przeprowadzanymi w ten sposób wiąże się wiele problemów. O części z nich, na przykładzie amerykańskim, mówił John Oliver w programie „Last Week Tonight” (HBO).
Wybory internetowe są szczególnym rodzajem wyborów elektronicznych. Wyróżniają się tym, że proces oddawania głosów zostaje przeniesiony z lokalu wyborczego do (prawie) dowolnego miejsca na świecie, które jest podłączone do internetu. Następnie głosy miałyby być zliczane przez system komputerowy, który wyznaczałby na ich podstawie wyniki.
Głosowanie internetowe nie zwiększa frekwencji
PO i Wiosna przedstawiają e-wybory jako rozwiązanie sprzyjające frekwencji. To często powtarzany argument przez osoby promujące głosowania drogą internetową. Tyle tylko, że jest to argument nieprawdziwy. Naukowo zajęli się problemem szwajcarscy badacze Micha Germann i Uwe Serdült. W 2017 roku w artykule w „Electoral Studies” piszą, że nie zaobserwowali wpływu tej formy głosowania na frekwencję.
Dokładnie to samo można zaobserwować w Estonii, która od 2005 roku stosuje mieszaną procedurę wyborczą.
Estończyk może wybrać między pójściem na wybory „papierowe” a oddaniem głosu wcześniej przez sieć.
W 2019 roku w wyborach parlamentarnych można było zagłosować przez internet między 21 a 27 lutego, zaś wybory papierowe odbyły się 3 marca. Dowolność sposobu na oddanie głosu nie przekłada się jednak w znaczący sposób na frekwencję.
Od upadku Związku Radzieckiego waha się ona cały czas w granicach 60-65 proc. Co więcej, mimo dowolności formy oddania głosu, tylko 43.8 proc. wszystkich głosów jest oddawanych online. Większość nadal woli tradycyjnie pójść do lokalu wyborczego.
Przyglądając się wyborom w Estonii warto pamiętać, że jest to państwo wiodące pod względem cyfryzacji w Unii Europejskiej i mające liczbę ludności niższą niż sama Warszawa.
Mimo to, w pierwszych wyborach z udziałem głosów internetowych formę cyfrową wybrało zaledwie 1.9 proc. osób. Ze względu na to należy zachować szczególną ostrożność przy próbach przenoszenia estońskich doświadczeń na grunt polski.
Zaufanie społeczne to podstawa wyborów
Proces wyborczy swojej wartości nie czerpie sam z siebie. Tę wartość nadaje mu dopiero powszechne zaufanie społeczne. W przypadku wyborów tradycyjnych zaufanie to wynika z istnienia jasnego i precyzyjnego opisu procedury wyborczej, ujętej w aktach prawnych, oraz z wielostronnego, również obywatelskiego, nadzoru nad kolejnymi jej etapami. Dzięki temu, że w komisje wyborcze obsadzane są przez osoby o zróżnicowanych poglądach, można mieć zaufanie, że wyniki zostaną przedstawione możliwie rzetelnie.
W całym procesie błędy ludzkie mogą się, oczywiście, wydarzyć. W razie jakiejś nieścisłości można dokonać ponownego przeliczenia głosów. W skrajnym przypadku konieczne może być powtórzenie wyborów. Wtedy wystarczy powtórzyć wybory w obszarze, w którym stwierdzono nieprawidłowości.
Wybory internetowe podważają obie podstawy zaufania społecznego.
Kodeksy i ustawy zastępuje się kodem źródłowym aplikacji zliczającej głosy. Taki kod jest zrozumiały wyłącznie dla niewielkiego grona osób znających się nie tylko na programowaniu, ale wręcz na konkretnym języku programowania.
Dodatkową kwestią jest to, czy taki kod będzie, na wzór ustaw, dostępny publicznie dla wszystkich zainteresowanych. W przypadku Estonii jawność jest jedynie częściowa. Co gorsza, nawet specjalistki i specjaliści, którzy będą w stanie przeczytać kod, nie mają w praktyce możliwości zweryfikowania, czy działa on w stu procentach zgodnie z opisem. Osobom bez specjalistycznej wiedzy pozostaje tylko wybór, czy uwierzyć w objawioną im czarną skrzynkę. W praktyce monitorowanie poprawnego przebiegu wyborów zostaje odebrane społeczeństwu i przekazane w ręce osób, które pisały kod systemu i nim administrują.
Niesprawdzalny kod
Wybory są jednym z kluczowych dla bezpieczeństwa państwowego procesów. Potrzebują więc szczególnie mocnych gwarancji poprawnego i bezpiecznego ich przebiegu. Nie jesteśmy w stanie tego zagwarantować, gdy oprzemy wybory na programie komputerowym, zwłaszcza komunikującym się przez internet.
Za poprawny przebieg odpowiadałoby poprawne napisanie kodu aplikacji wyborczej. Błędy programistyczne jednak się zdarzają, także w dużych projektach.
Nawet dokładne i długie testowanie oprogramowania nie daje pewności co do bezbłędności.
Każdy przeprowadzony test sprawdza jedynie, czy w danym scenariuszu program zadziałał zgodnie z oczekiwaniami. Nawet bardzo duża liczba pomyślnych testów pozwala wyłącznie stwierdzić, że w testowanych scenariuszach program zwracał poprawne wyniki. Nie uprawnia to jednak do stwierdzenia, że program zawsze daje poprawny wynik — do tego trzeba by faktycznie sprawdzić każdy możliwy scenariusz. Jest ich jednak zbyt dużo, by dało się to zrobić w praktyce. Nawet samych możliwych kombinacji głosów w drugiej turze wyborów prezydenckich byłoby, przy 30 milionach osób uprawnionych do głosowania i 4 możliwościach (kandydatka A, kandydat B, głos nieważny, głos nieoddany), 4³⁰⁰⁰⁰⁰⁰⁰. To wielokrotnie więcej niż mamy atomów we Wszechświecie (ok. 4¹⁵⁰). Nie mamy na Ziemi komputerów o wystarczającej mocy obliczeniowej.
Wykrycie błędnego działania oprogramowania wyborczego w trakcie wyborów i po nich jest trudniejsze niż przy wykonywaniu czynności przez ludzi.
Komputer nie jest istotą myślącą, zdolną wyłapywać takie błędy. Ludzie z kolei mają bardzo ograniczony wgląd w pośrednie stany programu. W razie usterki nie są dostępne papierowe karty do głosowania, które można by przeliczyć ponownie. Wybory musiałyby być powtórzone w każdym miejscu, w którym głosowano z użyciem wadliwego oprogramowania. Zwykle w praktyce oznaczałoby to ponowne wybory w całym kraju.
Łakomy kąsek dla hakerów
Zagrożenia techniczne związane z wyborami internetowymi nie ograniczają się wyłącznie do nieumyślnych błędów programisty. System służący do przeprowadzania wyborów może też stać się celem ataku osób, grup lub organizacji, którym zależeć może na zakłóceniu przebiegu wyborów lub zmianie ich wyniku. Takiemu systemowi można zaszkodzić na wiele sposobów.
Podobne do błędu programisty jest umieszczenie w aplikacji złośliwego kodu. Może tego dokonać ktoś z zespołu programistycznego, może to też być sprawka ataku hakerskiego. Przy odrobinie szczęścia atak może zostać wykryty. Jeżeli jednak nie zostanie on zauważony, to oddajemy władzę nad wynikami wyborów w ręce hakerów.
Tak naprawdę nigdy nie mamy pewności, czy doszło do ataku, co nakazuje wątpić w każde ogłoszone wyniki wyborów internetowych.
Na tym jednak zagrożenia się nie kończą. Samo podłączenie komputera zliczającego głosy do internetu tworzy ryzyko wtargnięcia i ingerencji w proces wyborczy. Celem ataku może też paść sieć internetowa. Jednym z najprostszych typów ataku (DoS lub DDoS) polega na wysyłaniu bardzo dużej liczby pakietów. Jeśli jest ich tyle, że komputer nie jest w stanie przetwarzać ich na bieżąco, to prawdziwi wyborcy nie mogą oddać głosu. Ten rodzaj ataku jest niezwykle prosty i bardzo tani do przeprowadzenia. W konsekwencji może zostać przeprowadzony nawet przez grupkę odpowiednio zdeterminowanych zwykłych ludzi, zgodnie z prostą instrukcją. Nie trzeba do tego służb specjalnych innych państw ani ekspertów od cyberbezpieczeństwa.
Ryzyko związane z cyberbezpieczeństwem da się zmniejszyć, ale nie można go wyeliminować w całości.
Należyta dbałość o ten aspekt aplikacji do głosowania oznaczałaby znacznie wyższe koszty i dłuższy czas wykonania takiego systemu. Nigdy jednak system nie byłby w pełni bezpieczny i zawsze znalazłby się jakiś podmiot zainteresowany zniekształceniem wyniku lub zakłóceniem przebiegu wyborów internetowych, nieważne, czy byłaby to partia polityczna, grupa ich sympatyków, służby naszego lub cudzego kraju, czy także wielkie korporacje.
Czy wybory internetowe są konstytucyjne?
Art. 127 ust. 1 Konstytucji RP określa, że prezydenta RP wybiera się „w wyborach powszechnych, równych, bezpośrednich i w głosowaniu tajnym”. Czy takie byłyby wybory internetowe?
Powszechność wydaje się być w naszym zasięgu. Aby wybory nie były powszechne, aplikacja do głosowania musiałaby nie pozwolić oddać głosu choć jednej osobie posiadającej czynne prawo wyborcze. W takiej sytuacji wyborca wiedziałby o odrzuconym głosie lub odmowie dostępu, w związku z czym mógłby, zgodnie z art. 129 ust. 2 Konstytucji RP składać skargę wyborczą do Sądu Najwyższego.
W przypadku bezpośredniości sprawa ma się nieco gorzej. Częściowo można by oprzeć się na Profilu Zaufanym, jednak, poza przypadkami kradzieży tożsamości, bylibyśmy zagrożeni ewentualnymi błędami w Profilu Zaufanym. W tym przypadku jednak osoba, za którą głos zostałby oddany przez kogoś innego, niekoniecznie wiedziałaby o tym fakcie, przez co złożenie stosownej skargi byłoby niemożliwe.
W wyborach internetowych mamy bardzo ograniczone możliwości upewnienia się, że komputer zliczający wyniki potraktował nasz głos prawidłowo jako jeden głos, czy może jako dwa lub piętnaście głosów. Nie wiemy, czy nasz głos zostanie policzony w ogóle, czy zostanie dodany do puli właściwego kandydata. Nie możemy z pełnym przekonaniem stwierdzić, że wybory internetowe są równe.
Podobnie sprawa ma się w przypadku tajności. W wyborach internetowych możemy mieć tylko nadzieję, że aplikacja faktycznie oddzieli tożsamość osoby głosującej (której weryfikacja jest potrzebna do stwierdzenia prawa wyborczego) od jej głosu. Wyborca jednak nie będzie wiedział na pewno.
Wybory internetowe byłyby więc powszechne, być może równe, prawie na pewno bezpośrednie i chyba tajne. Konstytucyjne zapisy nie są jednak sformułowane w trybie przypuszczającym.
Co więcej, brak pewności co do tego, czy głosowanie będzie równe i tajne, przyczyniłoby się do rozpadu zaufania społecznego do procesu wyborczego i, szerzej, do państwa. Bez społecznego zaufania zaś wybory są tylko pustym rytuałem.
Zbyt poważna sprawa
Wybory są sprawą niezwykłej wagi. Od tego, czy przeprowadzone zostaną dobrze, zależy zaufanie do ich wyniku. Z tego powodu każda zmiana w sposobie ich organizacji potrzebuje szerokiego poparcia społecznego. Zmiana powinna być przygotowana dobrze, z należytym wyprzedzeniem umożliwiającym przećwiczenie procedur i zapoznanie się wyborców z nowymi warunkami. Robienie tego byle jak, na ostatnią chwilę, skończyć się może jak na przełomie lutego i marca w prawyborach amerykańskiej Partii Demokratycznej w stanie Iowa – kompromitacją.
Filip Chudy – informatyk z Uniwersytetu Wrocławskiego, naukowo zajmuje się przyspieszaniem obliczeń w grafice. Radny krajowy Lewicy Razem, współautor jej programu polityki cyfrowej i programu klimatyczno-energetycznego.
![Prof. Zoll: Prawo w Polsce w ogóle przestało obowiązywać [WYWIAD]](https://oko.press/images/2016/12/MS160209_211-440x280.jpg "Prof. Zoll: Prawo w Polsce w ogóle przestało obowiązywać [WYWIAD]")
Głupota, ignorancja i arogancją nie jest przywilejem ani jednej partii ani jednej izby parlamentu. Przykładem PO, której posłowie nie potrafią odróżnić guzików do głosowania, w zamian za to obstają za wyborami internetowymi. Wiodącą jest tu nowa gwiazda – Leszczyna, sobowtór pisowskiej Szydło. Nie wierzę, aby w licznej PO nie było osób, mających pojęcie o internecie. Ponadto PO dysponuje potężnymi dotacjami z budżetu, m in na opłacenie ekspertyz. Nie wierze, aby nie było zdolnych je sporządzić nawet gratis. Ale to konkurencja lub demaskatorzy głupoty poselskiej. Mogą odepchnąć od koryta.
Dodam jeszcze jeden argument – nawet jeśli wszystko zostanie jakimś cudem przeprowadzone bezproblemowo (w co wątpię) to komputerowi czy telefonowi głosującego nie można ufać. Ot co, ktoś zainstaluje złośliwe oprogramowanie, może bo fałszywa faktura dała link do aktualizacji Acrobat Readera, może ktoś wykorzystał dziurę bezpieczeństwa w przeglądarce internetowej (co jest praktyczniejsze niż się wydaje, mówimy tutaj o wyborach, one mają niezwykłą wagę, ataki 0day są praktyczne, rząd innego kraju jak najbardziej może spróbować wpłynąć na wyniki wyborów), możliwości instalacji złośliwego oprogramowania jest sporo.
Po instalacji to złośliwe oprogramowanie może za użytkownika zagłosować inaczej niż on by chciał. Klika na kandydata A, ale złośliwe oprogramowanie klika za użytkownika na kandydata B i wyświetla że kandydat A został wybrany. Nie jest możliwe udowodnienie że użytkownik nie miał zainstalowanego złośliwego oprogramowania. Nie jest praktyczne sprawdzenie z ok. 20 milionów komputerów wyborców.
Może ty byś uniknął złośliwego oprogramowania (ale mam wątpliwości), ale przeciętny obywatel nie ma szans.
komentarz przeniesiony. Wstawiony tutaj omyłkowo
Zdalne nauczanie może cieszyć się ograniczonym sukcesem tylko dlatego, że wcześniej szkoły miały elektroniczne dzienniki a uczelnie systemy e-learningowe. Teraz w wielkich bólach dokłada się kolejne puzzle do tej układanki. A i tak pomimo wysiłków wielu zaangażowanych w to osób efekty często są niezadowalające.
W przypadku wyborów przez internet nie odbył się żaden pilotaż, więc klapa jest pewna.
To wszystko już nie ma znaczenia. Platforma dogadała się z PiS. Wystarczyło kilka sondaży, żeby PO-PiS trzymał sztamę.
Obecnie wybory przez internet to pomysł bardziej poroniony niż wybory korespondencyjne. Senat daje ciała.
Pozwolę sobie nie zgodzić z autorem, bo w paru sprawach minął się z prawdą, a conajmniej pominął nie pasujące mu do tezy fakty.
Pisząc o niewielkiej frekwencji "elektronicznej" w pierwszych wyborach, w Estonii, z taką możliwością pominął fakt, że miały miejsce w 15 lat temu i od tamtej pory technologia poszła ostro do przodu, a poza tym ludzie bardziej już ufają technologii, więc częściej z niej korzystają. Nikt nie każe odkrywać Ameryki – wystarczy wykorzystać gotowy wzór.
I najważniejszy aspekt co do bezpieczeństwa – każdy kto zagłosuje przez internet może, w razie wątpliwości co do bezpieczeństwa swojego komputera, zagłosować tradycyjnie, "papierowo" i to ten głos się wtedy liczy, bez względu czy się różnił czy nie od elektronicznego.
W Polsce ten system też jest możliwy do zastosowania, bo skoro wiele rzeczy urzędowych możemy załatwić przez internet to czemu nie wybory. Oczywiście z zastrzeżeniem, że nie będzie to wyłączna opcja tylko jedna z trzech oprócz papierowej w lokalu wyborczym i korespondencyjnej. Jest to o tyle rozsądne, że nie tworzy niebezpiecznej kumulacji w jednej z metod.
Co do innych zastrzeżeń autora proponuję tekst artykułu https://www.cyberdefence24.pl/glosowanie-przez-internet-to-ukoronowanie-systemu-e-administracji-wywiad z 14 stycznia br, a więc aktualnego omawiającego system głosowania w Estonii. Z wywiadu z estońskim dziennikarzem dowiadujemy się, że wiele aspektów wyborów w kwestii ich bezpieczeństwa przestawia się zupełnie inaczej wygląda niż to przedstawia pan Filip Chudy.
Odniosłem też wrażenie, że wiele zastrzeżeń autora jest po prostu wydumanych jak np te o wątpliwej tajności wyborów:
"Podobnie sprawa ma się w przypadku tajności. W wyborach internetowych możemy mieć tylko nadzieję, że aplikacja faktycznie oddzieli tożsamość osoby głosującej (której weryfikacja jest potrzebna do stwierdzenia prawa wyborczego) od jej głosu. Wyborca jednak nie będzie wiedział na pewno."
Jeśli tak dywagować to przecież nawet w formie papierowej może się zdarzyć, że ktoś podejrzy jak ktoś inny zagłosował. Jeśli mi ktoś nie wierzy to proszę zapytać osób, które uczestniczyły w pracach komisji wyborczych. One nie jeden raz zauważały jak ktoś niedokładnie składając kartę wyborczą to ujawnił.
Reasumując ja np. bardzo chętnie bym skorzystał z tej formy głosowania i nie uważam by niosło to jakieś zagrożenia. Z zastrzeżeniem oczywiście, że system byłby dobrze przygotowany podobnie jak to ma miejsce w Estonii.
I jeszcze jedno estońska konstytucja mówi, że wybory są wolne, powszechne, równe i bezpośrednie, odbywają się w głosowaniu tajnym czyli identycznie jak nasza konstytucja. Wystarczy tylko chcieć.
Co za banialuki Pan pisze, 30 mln. rekordów to dużo? No proszę. Na codzień administruje bazami, które mają tabele po 60 ,80 a nawet 200 mln. rekordów i nie są to tabelki z 5 kolumnami. Taka ilość danych to naprawdę żaden problem. Powiedziałbym wręcz pryszcz.
Dalej pisze Pan o skomplikowanym kodzie i jego niezrozumiałości dla zwykłego człowieka, naszpikowanym niezliczonymi błędami i dziurami niemożliwymi do wychwycenia, jakby to był program obsługi promu kosmicznego, a nie prosty formularz. Nie ma tu Panie Filipie żadnego przetwarzania. Wynikiem wyborczym jest prosty select a oddanie głosu to jeden max dwa inserty i jeden update do bazy. Kod programu powinien być jawny i gwarantuje Panu, ze w każdym sztabie wyborczym znajdzie się człowiek który go sprawdzi, a że całość zapewne zmieści się na kilkunastu, może kilkudziesięciu kartkach, to gdzie tam programista coś ukry,je? Gdzie narobi błędów?
Ostatnia sprawa – tajność i sprawdzalność. To naprawdę w dzisiejszych czasach nie problem, by głos w tabeli był zanonimizowany a jednocześnie całkowicie i zawsze (nawet po latach) weryfikowalny przez Wyborcę. Wpis w tabeli opatrzony może być kluczem, który jest złożony z 2 połówek – pesela i kodu, który wprowadzi Wyborca podczas oddawania głosu. Bez tego kodu nie da się odkodowac z klucza pesela, ani z pesela nie da się zrobić klucza, dopóki nie doda się do niego kodu który wprowadził Wyborca. Proste nie?
Trzeba zaufać technice. Gdyby było tak jak Pan opisuje, nie obracalibysmy milionami przelewów dziennie. A jestem całkowicie przekonany, że dla większości wyborców, dużo ważniejsze jest bezpieczeństwo jego konta bankowego niż wybory.
Także jak pisałem – pora zaufać technice. Ale do tego trzeba się urodzić w epoce gdzie ta technika jest wszędzie wokół nas, a nie dorastać z kartką i długopisem, bo potem naszą Perspektywą jest tylko ta kartka i długopis…
Akurat autor ma 28 lat, ale jego doświadczenie zawodowe ogranicza się do 2, razem trzymiesięcznych praktyk w firmach informatycznych. Poza tym jest doktorantem od tworzenia algorytmów. Z całym szacunkiem, ale uważam, że pan Filip nie ma kompetencji do bycia ekspertem w temacie, w którym się wypowiada. Jego argumenty są wymyślane na siłę, a o wiele poważniejsze programy w tej chwili działają i to działają dobrze (choćby systemy kontrolujące ruch pociągów czy samolotów), a pisane są przez jego rówieśników.
Oczywiście stworzenie takiego systemu na miesiąc przed wyborami, jakkolwiek całkiem możliwe i to w o wiele krótszym czasie, uważam za lekkie przegięcie.
Natomiast jeśli już coś takiego już powstanie, to nie wyobrażam sobie innej licencji niż otwartoźródłowa.
Kod źródłowy programu do wyborów nie może być udostępniony open source z wiadomych względów. Nie wszystkie nowoczesne rozwiązania są lepsze od starych, więc po co je zmieniać?
"Kod źródłowy programu do wyborów nie może być udostępniony open source z wiadomych względów."
Mnie nie są znane wiadome względy. Proszę je podać.
"Nie wszystkie nowoczesne rozwiązania są lepsze od starych, więc po co je zmieniać?"
A te które są szybsze, tańsze, powszechniejsze, bardziej użyteczne, łatwiejsze do utrzymania (dziś przeczytałem że dobre stare systemy do obsługi bezrobotnych w USA sprawiają problemy bo nie ma specjalistów do niszowego obecnie języka oprogramowania Cobol) i łatwiejsze do używania, dostosowane do aktualnych standardów ergonomii?
Wiadome względy to działalność rosyjskich hakerów. O złośliwym kodzie, błędach programistów, ingerencji w wynik wyborów i cyberbezpieczeństwie pisze autor artykułu. Moje poważne wątpliwści dotyczą dostępu, przechowywania i póżniejszego przetwarzania danych zgromadzonych o użytkownikach w trakcie głosowania. Dlatego “nie wszystkie nowoczesne rozwiązania są lepsze od starych” i warto zadać pytanie: po co je zmieniać?
na kilka razy będę musiał to napisać chyba.
Na wysokim poziomie abstrakcji,
"Niesprawdzalny kod", no tak, oczywiście, ale ja bym nie powiedział, że to co ja rozumiem z systemu komisji wyborczych, mężów zaufania, w ogóle nieznanego backoffice'a (ktoś gdzieś jakieś worki wozi, sprawozdania przekazuje ręcznie wypisywane) który działa między komisjami a PKW; zapewnia transparentność i budzi zaufanie.
Naprawdę w tym systemie jest bardzo dużo wątpliwości i wad, więc nie ma co go stawiać na piedestale.
Więc tu są niezrozumiałe mechanizmy działania, tam "niezrozumiały" kod (do wyborów po opublikowaniu kodu powinno być kilka miesięcy i każdy chętny może się do tego czasu trochę "informatyki" nauczyć, jeśli innym nie wierzy, tylko osobiście skorzysta, rozwinie się).
Tylko, że otwarty niezrozumiały kod może badać bardzo wielu różnych ludzi, a różnym doświadczeniu, wyznaniach, światopoglądzie, agendzie, pochodzeniu – każda grupa może mieć swoich badaczy kodu, którzy się na tym znają, i każdy z nich może wykryć błąd, opublikować go i ponieważ kod jest otwarty każdy ten błąd może u siebie zobaczyć, i każdy może zaproponować poprawkę która musi zostać zaaprobowana przez innych. Bardzo dobry system, najlepszy dla sytuacji gdy wzajemne zaufanie jest potrzebne, albo inaczej, kiedy ludzie nie mają do siebie zaufania.
Oczywiste jest, że każdy człowiek nie zna się na biurokracji, prawie, polityce, medycynie, piłce nożnej, jeżdżeniu samochodem, nie wykonuje skoków narciarskich i "zna się na kodzie". Ale takie podejście obali każdy system, i każdy argument.
……
…..
"Nie jesteśmy w stanie tego zagwarantować, gdy oprzemy wybory na programie komputerowym, zwłaszcza komunikującym się przez internet."
To jest hipoteza. Nie do udowodnienia. Za to można udowodnić, że się da. Należy spróbować, a nie wymyślać powody żeby nie próbować.
"Nawet dokładne i długie testowanie oprogramowania nie daje pewności co do bezbłędności."
Tak, jednak z czasem te błędy przestają być istotne.
A systemie wyborczym też za każdym razem następuje wiele błędów (protesty wyborcze) i to go nie wyklucza z działania. Samochody zabiją tysiące ludzi i jeżdżą dalej. Nie ma nic idealnego.
"Nawet samych możliwych kombinacji głosów w drugiej turze wyborów prezydenckich byłoby, przy 30 milionach osób"
Straszny bełkot który nie ma żadnego sensu. Wykrywanie błędu systemu który ma błąd tylko gdy jest 14 999 999 głosów na tak i 15 000 001 głosów na nie?
"Nie mamy na Ziemi komputerów o wystarczającej mocy obliczeniowej."
wypocony problem. A w każdym razie to nie jest definicja idealnego testowania oprogramowania.
A'propos "obliczeń w grafice", chciałbym się zapytać czy jak Pan optymalizuje program przetwarzania grafiki, no nie wiem tworzącego film 4k, to sprawdza Pan dla każdej klatki czy optymalizacje działają dla wszystkich możliwych atrybutów pixeli z kodowaniem kolorów 32 bitowym i kanałem alfa? Starcza Panu mocy obliczeniowej wszystkich komputerów na świecie? 128 bitów na pixel x 3840 x 2160 na klatkę to wyszło mi bitowa liczba o długości 1 061 683 200 cyfr. A po drodze można obejrzeć wszystkie dzieła mistrzów malarstwa i architektury, portrety pięknych albo mądrych ludzi, numery które padną w piątek w Euro Jackpot i mnóstwo bezużytecznego szumu…..
…….
……
"Wykrycie błędnego działania oprogramowania wyborczego w trakcie wyborów i po nich jest trudniejsze niż przy wykonywaniu czynności przez ludzi."
Ja mogę powiedzieć coś odwrotnego, przykładowo mając (zanonimizowane) logi głosowania i wynik każdy może sprawdzić wynik, a w normalnym głosowaniu wyborca wie tylko jaki sam oddał głos i jaki jest wynik wyborów: ŻADNEJ możliwości weryfikacji w tym nie widzę, i mi się to nie podoba, dobrze zrobiony system może zapewnić możliwość weryfikacji każdego głosu.
"Ludzie z kolei mają bardzo ograniczony wgląd w pośrednie stany programu"
to są ogólnie argumenty które można postawić każdemu oprogramowaniu, czy są istotne? Jeśli tak to elektroniczny proces wyborczy będzie miał te same ryzyka co trzymanie pieniędzy w banku, jeżdżenie nowoczesnym samochodem, poleganie na telefonii, zaufanie że prądu i wody nie zabraknie, ciężko mi znaleźć dziedzinę życia w której nie darzymy zaufaniem oprogramowania w których nie mamy absolutnie pojęcia o "pośrednich stanach programu", Panie Informatyku. Jednak zgadzamy się na korzystanie z nich, dlaczego nie możemy "wgrać" następnej aplikacji?
A z drugiej strony historia jest pełna sfałszowanych "fizycznych" wyborów.
"W razie usterki nie są dostępne papierowe karty do głosowania, które można by przeliczyć ponownie." – nie zawsze, czasem zgodnie z procedurami karty są niszczone i nici z weryfikacji – proces głosowania też można na wiele sposobów jeszcze usprawnić, nie jest idealny.
"Wybory musiałyby być powtórzone w każdym miejscu, w którym głosowano z użyciem wadliwego oprogramowania. Zwykle w praktyce oznaczałoby to ponowne wybory w całym kraju."
To zależy od architektury rozwiązania. Skoro padł argument, że to o czym myśli autor ma taką wadę należy znaleźć rozwiązanie które tej wady nie ma.
……..
……..
"Jednym z najprostszych typów ataku (DoS lub DDoS) polega na wysyłaniu bardzo dużej liczby pakietów. "
To budujące, że taka edukacyjna wiedza jest propagowana. I jest mnóstwo rozwiązań żeby to ryzyko zminimalizować. Bo inaczej przecież nic by nie działało.
"Ryzyko związane z cyberbezpieczeństwem da się zmniejszyć, ale nie można go wyeliminować w całości."
No właśnie. Ale ryzyk związanych z innymi dziedzinami tak samo. Więc należy z nimi żyć, po tym jak już się je zmniejszy.
…………
………
"Powszechność" – trzeba zapewnić inne formy głosowania równolegle ponieważ nie wszyscy będą w stanie wziąć w elektronicznych udział, ze względu na wykluczenie komputerowe, internetowe, lub jakieś inne osobiste.
"W przypadku bezpośredniości sprawa ma się nieco gorzej.", nie wiem co autor przed oczami widział jak to pisał, jakieś konkretne oprogramowanie? Bo ja mogę sobie wyobrazić coś działającego. Swoją drogą przykładu z jak rozumiem przejęcia Progilu Zaufanego to też go nie rozumiem, bo gdyby głosowanie odbywało się za pomocą PZ, to on albo system powinien zapamiętać, że głos został oddany, żeby uniemożliwić ponowne głosowanie. Wiec zainteresowana osoba mogłaby sprawdzić czy jej Profil "głosował", gdy zagłosował bez jej wiedzy, składa skargę.
I tu znowu, podkopywanie, żeby jakiś argument przeciw jeszcze mieć, zaufania do PZ, czy autor ma konkretne zarzuty do cyberbezpieczeństwa PZ? Bo jeżeli tak to jest to bardzo ważne dla społeczeństwa jeżeli PZ tworzy ryzyka dla procesu głosowania to o wiele większe ryzyko jest w każdym innym momencie gdy za jego pośrednictwem obywatele załatwiają ważne życiowe sprawy! Nie może tak być żeby takie elektroniczne oprogramowania zagrażało prawom obywateli!
Albo PZ jest dobry do autentykacji, autoryzacji i "naliczania", albo nie. Pan mówi, że nie. I nie widzę tu argumentów poza opowiadaniem hipotetycznych scenariuszy na skalę godną wyjaśniania katastrofy smoleńskiej przez komisję Macierewicza.
……..
……..
"W wyborach internetowych mamy bardzo ograniczone możliwości upewnienia się, że komputer zliczający wyniki potraktował nasz głos prawidłowo jako jeden głos"
Wcale nie. Ja teoretycznie widzę dwa sposoby żeby taką weryfikację w pełni zapewnić. Jeden z nich to użycie profilu zaufanego – to chyba jasne. Oczywiście takie rozwiązanie nie zapewni "tajności", ale moim zdaniem od PZ, zapewniającego autentykację i autoryzację, do tajności jest tylko jeden mały kroczek, na pewno można wymyśleć sposób żeby na podstawie PZ utworzyć zanonimizowany identyfikator znany tylko wyborcy. Wtedy w każdym momencie może on sprawdzić na liście głosowania ile i jakich głosów on oddał, w razie wykrycia niezgodności ujawniając swój anonimowy identyfikator zgłosić skargę.
W każdym razie biorąc pod uwagę w sugerowany przez autora sposób te niebezpieczeństwa (nie da się), to nie mielibyśmy Profilu Zaufanego, banków internetowych, kart kredytowych, przelewów online, samolotów, komputerów pokładowych w samochodach, systemów wspomagających pracę przedsiębiorstw, a jednak we wszystkich tych przypadkach problemy udało się pokonać. A dodatkowo głosowanie w porównaniu do większości z tych przykładów wydaje się dość proste w samej swojej istocie.
Uważam, że z wielu powodów to jest bardzo dobry kierunek, ale oczywistym jest, że to projekt na lata przygotowań, a nie na miesiąc prac w terminie kiedy zmiany w systemie wyborczym nie powinny zachodzić.
……..
……..
"Filip Chudy – informatyk z Uniwersytetu Wrocławskiego, naukowo zajmuje się przyspieszaniem obliczeń w grafice.", mgr
"Przyśpieszanie obliczeń w grafice" nie brzmi dla mnie na "expertise" lub doświadczenie w dziedzinie rozproszonych po Internecie systemów klient-serwer i kwestiach cyberbezpieczeństwa. Może niech się eksperci z wymaganych dziedzin zbiorą i zanalizują zagrożenia i możliwe do zastosowania rozwiązani informatyczne, organizacyjnych i prawnych które mogłyby zmitygować ryzyka, bo to "zbyt poważna sprawa" żeby o niej wyrokować bazując na jednej negatywnej opinii, skomentowanej przez przypadkowych Internautów.
Zgłaszam sprzeciw na wybory internetowe. Nie jest możliwe zapewnienie anonimowości (zawsze będzie się dało po IP dojść kto głosował (która rodzina), a za to umożliwiając anonimowe oddanie głosu nie będzie równości.
Jedynie papier umożliwia wszystkie 4 atrybuty wymienione w Konstytucji RP.
Nikt nikomu nie nakazuje korzystać z tej formy głosowania.
Nie ma nawet jednej literki kodu, a już wszyscy wiedzą, że jest zły, ma wszelkie możliwe wady.
Pani nie chce żeby było możliwe śledzenie adresów IP. Zapisujemy jako punkt do uwzględnienia w analizie. (obecnie w powszechnym użyciu są technologie dostępne dla każdego umożliwiające ukrycie adresu IP)
Pytanie do prawników, jaka najmniejsza musi być pomieszana grupa żeby był spełniony warunek anonimowości? Czy rodzina, lokal mieszkalny spełnia warunek anonimowości, hipotetycznie. Przecież teraz też nie jest tak, że wybory to jest "jeden wielki wór". Komisje wyborcze są w więzieniach, szpitalach, oddziałach zamkniętych, jednostkach wojska itdp. A każda komisja upublicznia swój raport liczenia głosów. Kilka komisji w mieście, jedna komisja na wsi, więc mamy ograniczoną liczbę głosujących i wyniki – to anonimowość jest niespełniona? W szpitalu głosowały 4 osoby – wybory nie spełniają zasad konstytucyjnych?
"Nie jest możliwe zapewnienie anonimowości (zawsze będzie się dało po IP dojść kto głosował (która rodzina), a za to umożliwiając anonimowe oddanie głosu nie będzie równości. "
dziwna logika.; nie ma anonimowości – źle, będzie anonimowość – będzie źle.
"Jedynie papier umożliwia wszystkie 4 atrybuty wymienione w Konstytucji RP."
nie ma jeszcze kodu który będzie dziełem nieudacznych nikczemników, a są wybory hołubione papierowe. One przecież tylko deklaratywnie spełniają te warunki. Są różne obostrzenia ale one nie są stuprocentowo spełnione. O tajności już ktoś pisał, sami wyborcy jej nie dotrzymują, anonimowość mamy trochę omówioną, równość może poniekąd, ale jeszcze powinna zostać spełniona rzetelność obliczeń. Mając same karty nie wiadomo czy każda z nich na pewno została wypełniona przez odpowiedniego wyborcę, wyborca wrzuca głos a potem widzi wyniki.
……..
…….
Jedyne co wyborca wie to swój głos (ale nigdy potem nie wie czy został dobrze policzony, może trzysta osób zagłosowało na opcję X, na wynikach jest jeden głos za X, więc każdy z nich myśli że jest ok, a oszuści czasem nawet tego nie zapewniają, jak wyszukuję w google "sposoby fałszowania wyborów" pierwszy link to TomaszCukiernik opisujący dwa przypadki, kolejne linki też wzbudzają wiele wątpliwości), komisja dobrze wie ile było głosujących, ale po drodze kart mogą zostać podmienione, można oszukać sprawozdanie komisji, a "papier" "zgubić", oczywiście poza niecną zmianą jest tu też do bardzo wielu przekłamań omyłkowych które nie są w żaden sposób możliwe do weryfikacji. Z powszechnością też jest nienadzwyczajnie, niektórzy muszą jeździć kilkaset kilometrów, może im się nie chcieć, mają prawo, mogą je zrealizować, ale wymaga to zbyt wiele wysiłku. Wiele z tych wad da się wyeliminować głosowaniem elektronicznym, dobrze zaplanowanym i wykonanym.
Gdy przejściowo PiS stracił władzę, nie pamiętam jak ta organizacja się nazywała społeczna, była masa zarzutów, że komisje nie działają tak jak wyobrażali sobie wyborcy, teraz o nich nie słychać jak wygrywa PiS, ale to nie znaczy, że praca komisji się poprawiła.
Z takim głosowaniem papierowym jest podobnie jak z demokracją, która ma swoje wady, ale nikt nie wymyślił lepszego ustroju, jednak głosowanie usprawnić da się.
……..
…….
"papier umożliwia wszystkie 4 atrybuty wymienione w Konstytucji RP"
bo zdanie jest strasznym uogólnieniem, Jak było tak dobrze to dlaczego wprowadzono głosowanie korespondencyjne dla niepełnosprawnych? To chyba dowód, że "papier" to nie jest rozwiązanie dobre dla wszystkich? Bo tych grup których dotyczy powszechność może być więcej, podobnie jak powodów dlaczego niektórzy nie głosują. Np teraz, będą ludzi którzy będą się obawiać wyjść z domu, papier obiecuje, ale nie zawsze się sprawdza. Dodanie elektronicznego głosowania poprawi sytuację chociaż dalej jakieś wady będą.