W wyroku orzeka się, iż zastosowanie maszyn wyborczych produkcji firmy N.V. Nederlandsche Apparatenfabriek (Nedap) [typu ESD1 wersji 01.02, 01.03 i 01.04 oraz typu ESD2 wersji 01.01] było sprzeczne z Konstytucją. Stwierdzono też, iż już samo rozporządzenie regulujące wymagania wobec maszyn do głosowania jest sprzeczne z Konstytucją, gdyż nie gwarantuje implementacji zasad wyborczych wymienionych w Konstytucji.

Jednocześnie, Trybunał Konstytucyjny nie podważa wyniku wyborczego do Bundestagu. Wskazuje jednak, iż w przypadku stosowania maszyn do głosowania zapewniona być musi możliwość sprawdzenia poprawności funkcjonowania maszyn do głosowania. Co więcej, wskazuje on, że nie powinno to wymagać szczególnej wiedzy fachowej.

To właśnie stosowanie takich maszyn do głosowania zostało uznane
w Niemczech za niezgodne z konstytucją.

Ech, te maszyny…

Zacznijmy od tego, że pojęcie wyborów elektronicznych wcale nie oznacza wyborów przez Internet. Mówiąc o wyborach elektronicznych, bądź o wyborach z użyciem maszyn do głosowania, należy myśleć o wyborach przeprowadzanych za pomocą maszyn w lokalach wyborczych.

Wyrok niemieckiego Trybunału Konstytucyjnego nie jest pierwszym przypadkiem, w którym okazało się, że wykorzystane maszyny do głosowania nie spełniały podstawowych wymogów dotyczących bezpieczeństwa. Poprzednio takie przypadki miały miejsce w Kalifornii (w 2007 roku wycofano certyfikację dla wszystkich typów wykorzystywanych tam maszyn wyborczych firm: Diebold Electronic Systems (producent m. in. bankomatów), Hart InterCivic, Sequoia Voting Systems, Election Systems and Software), czy w Holandii w 2006 roku.

Główny problem z elektronicznymi maszynami wyborczymi polega na tym, że w wielu krajach są one stosowane od co najmniej kilkunastu lat (Francja, Holandia), częstokroć w niezmienionej formie (przecież żaden rząd nie będzie co 2-3 lata wydawać pieniędzy na nowy sprzęt). Na przykład holenderskie maszyny zostały zaprojektowane w czasach, gdy o bezpieczeństwie nikt poważnie nie myślał. Ich sercem jest znany z Atari ST procesor taktowany 8 MHz. Taki sprzęt miałby problem ze zrobieniem 1024 bitowego podpisu RSA. Miałby, ale w praktyce nie ma, gdyż nie przewidziano żadnych zabezpieczeń. 

Błędy w architekturze

W wielu dziedzinach życia stosuje się rozwiązania, które nie są dobre. O tym, że dane rozwiązanie nie spełnia obecnych wymagań (czytaj: staje się nieakceptowalne) orientujemy się dopiero, gdy zaczyna dziać się coś na prawdę złego. Dowodem takiego stanu rzeczy jest fakt, że nie od zawsze używano programów antywirusowych, dopiero od niedawna „wszędzie” trzeba podawać hasło, aby wysłać e-maila (SMTP), cyfrowe podpisywanie plików nadal nie jest regułą, a na podpisane odpowiedzi z serwerów DNS przyjdzie nam jeszcze trochę poczekać.

Podobnie ma się sprawa z wyborami elektronicznymi. Producenci maszyn wyborczych spartaczyli robotę, tworząc rozwiązania, które w żaden sposób nie przystają do dzisiejszych wymogów bezpieczeństwa. Tak na prawdę problem nie tkwi w sprzęcie, ale w projekcie systemu. Chcąc wykorzystywać maszyny elektroniczne w procesie wyborczym, musimy pamiętać o kilku wymogach, które odróżniają systemy wyborcze od choćby tych znanych z bankowości.

Po pierwsze, nie można dopuścić do sytuacji, w której maszyna pozna głos wyborcy (tajność wyborów). Po drugie, nie można dopuścić do sytuacji, w której głos wyborcy ulegnie późniejszemu, niemożliwemu do wykrycia zmodyfikowaniu (w tradycyjnych, papierowych wyborach, członkowie komisji mogą stosunkowo łatwo unieważnić nasz głos). Lista wymagań jest oczywiście o wiele dłuższa, ale wykorzystywane na świecie rozwiązania nie spełniają nawet naraz obu z wyżej wymienionych. 

E2E – End-to-end auditable

Naukowcy stosunkowo późno zajęli się problematyką wyborów elektronicznych na poważnie. Choć prace na ten temat pojawiały się już od początku lat 80-tych, to przez ponad 20 lat żadna z nich nie wnosiła poprawy jakościowej. Dopiero po aferze związanej z liczeniem głosów na Florydzie w 2000 roku tematyką wyborów elektronicznych zainteresowała się czołówka kryptografów.

Jednak dopiero w 2004 roku David Chaum zaprezentował pierwszy schemat, w którym wyborca otrzymuje potwierdzenie, które:

• nie zdradza osobom postronnym, w jaki sposób zagłosował,
• umożliwia sprawdzenie, że jego głos został poprawnie policzony.

Pomimo że schemat ten jest niepraktyczny do wdrożenia – wymaga bowiem drukowania półprzezroczystych potwierdzeń na specjalnych foliach plastykowych – to stanowił on przełom. Oto pojawił się pierwszy weryfikowalny schemat wyborów (voter verifiable election scheme). Pokazał on, w jaki sposób należy tworzyć systemy wyborów elektronicznych, w których maszyny nie mogą oszukiwać wyborców. Odpowiednio przygotowane potwierdzenia uniemożliwiają modyfikację woli wyborców. Po pierwsze, otrzymane przez wyborców potwierdzenia mogą stanowić dowód ewentualnych nadużyć. Po drugie, w wielu tego typu schematach, generowane są papierowe wersje głosów, które mogą być użyte do ręcznego obliczenia wyników wyborów w razie jakichkolwiek wątpliwości co do ich poprawności.

W ciągu ostatnich kilku lat pojawiły się nowe rozwiązania, m. in. Rona Rivesta: ThreeBallot, VAV, TWIN, Davida Chauma: Pret a Voter, Punchscan, Scantegrity, czy ich wspólne Scantegrity II. Systemy te są coraz prostsze w użyciu, a jednocześnie zachowują bezwarunkową integralność wyników. Pozostaje pytanie: dlaczego weryfikowalne systemy wyborcze nie są używane? 

Zamiast odpowiedzi na powyższe pytanie

W wypadku maszyn Sequoia i Diebold (obecnie Premier Election Solutions) eksperci (m. in. ze Standford University, Princeton University, University of California w Berkeley), pod przewodnictwem Davida Wagnera, wykryli w kodzie źródłowym ukryte furtki umożliwiające wyborczym oficjelom na modyfikację wyników wyborów. Co więcej, wykazali oni, że ze względu na niską jakość zabezpieczeń, tak na prawdę niemal każdy mógł wpłynąć na wyniki (maszyny były podłączone do Sieci!).

Niektórzy politycy chcą wprowadzić w Polsce głosowanie listowne. Rozwiązanie takie nie zapewnia tego, że wysłany przez nas głos dotarł do Komisji Wyborczej (w 2000 roku 58 000 głosów listowych „zniknęło” w Broward County na Florydzie). Jeżeli głos dotrze, to nie mamy pewności, że zostanie właściwie policzony. Z drugiej strony, można bardzo łatwo sprzedawać głosy na masową skalę – wystarczy przecież odstąpić kartę wyborczą kupującemu głos.

Oczywiście, argumentem za wprowadzeniem takiego rozwiązania jest to, że jest ono stosowane w innych krajach. Przypomnijmy, że w innych krajach korzystają np. z maszyn wyborczych. Nie wszystko jest więc warte naśladowania.