„A szavazás miért nem megy az interneten, ha az adóbevallás igen?” – tette fel a kérdést Somody Evelin az Eurologuson, de az érdemi válasszal adós maradt. Matematikus vendégszerzőnk, Naszódi Márton viszont azt állítja, hogy egyelőre elméleti matematikai megoldás sincs arra, hogy az internetes szavazás biztonságos legyen, egyszerűen azért, mert nem összeegyeztethető az ellenőrizhetőség és az anonimitás követelménye.

Az internetes szavazást (I-szavazás) támogatók kedvenc példája Észtország, ahol a 2005-ös próbaüzem után 2007 óta lehet a parlamenti választáson interneten szavazni. Nálunk és más országban miért nem vezetik be ezt a kényelmes, a részvételt várhatóan növelő, a fiatalokat is jobban megmozgató rendszert? Hiszen úgy tűnik, a kiépítése csak pénzt és megfelelő jogi környezetet igényelne, nem?

Sajnos nem. Azért nincs I-szavazás nálunk és más országban, mert megbízhatóan működő internetes szavazórendszer technológiailag jelenleg nem létezik. Ennek elméleti és gyakorlati oka is van.

A gyakorlati ok az, hogy az online rendszerek feltörhetők, még az egészen nagy és biztonságosnak hitt rendszerek is, ahogy az mostanában minden héten legalább egy nagyvállalati vagy kormányzati rendszerről kiderül. Egy szavazószoftvernek viszont mindennél biztonságosabbnak kell lennie, mert rendkívül érzékeny adatokkal dolgozik, és bármilyen véletlen hiba vagy szándékos manipuláció végzetes lehet. Ráadásul egy választást manipulálni sok mindenkinek érdekében állhat. Az I-szavazás már csak azért is sérülékeny, mert rengeteg összevetőből áll össze: több szerver, a választók tökéletlenül karbantartott otthoni számítógépei, közöttük routerek és egyéb telekommunikációs eszközök ezrei. Ezeken a hardverelemeken több szinten futnak különböző szoftverek. Képtelenség mindennek a biztonságát garantálni, azaz kizárni, hogy akár egyetlen alkotóelemét is bárki manipulálhassa.

Az elméleti ok valamivel összetettebb. A szavazást lebonyolító rendszernek ugyanis egyszerre két ellentétes kritériumnak, az ellenőrizhetőségnek és az anonimitásnak kellene megfelelnie. Ellenőrizhetőnek kell lennie, hogy a dobozban valóban azok a szavazatok vannak, amelyeket a választópolgárok leadtak, a voksok és a választók közötti kapcsolatot ugyanakkor el kell vágni az anonimitás, azaz a választás titkosságának jegyében. A probléma az, hogy ha a számlálás során a szavazatot már nem tudjuk összekötni a szavazóval, akkor abban sem lehetünk biztosak, hogy valóban azokat a szavazatokat adták le, amelyeket a folyamat végén összesítve látunk. Ez az az ellentmondás, amire egyelőre még elméleti (matematikai) megoldás sincs, ahogy azt a modern kriptográfia (titkosítás-tudomány) egyik atyja, Ron Rivest is többször elmondta. Remek összefoglalást nyújt az ACM neves folyóiratában megjelent cikk, amely számos példán bemutatva állítja, hogy „az internetes szavazás alapvetően nem biztonságos”. Vagyis nem azon múlik a biztonságos I-szavazás megoldása, hogy mérnökök meg tudjak-e építeni a kidolgozott algoritmust gondosan végrehajtó rendszert. A baj az, hogy nincs is megfelelő algoritmus.

Miért nem gond mindez az e-adóbevallásnál, vagy az e-bankolásnál? Ott is fontos a biztonság, és azt is sokan szeretnék feltörni, de van egy lényeges különbség az I-szavazáshoz képest: azok ellenőrizhető, de nem anonim rendszerek. Ha Frédi elektronikusan utal Béninek 100 Ft-ot, akkor mindketten látják az összeget, továbbá tudja a bank is, Frédi is, Béni is, hogy ki utalt kinek. Senkinek nem érdeke csalni, és külső szereplőnek sem érdemes belerondítania a tranzakcióba, mert kiderül. Frédi ellenőrizheti, hogy 100 forintot vontak-e le tőle, és meggyőződhet arról is, hogy a pénz megérkezett-e (meg tudja kérdezni Bénit). Azért bízunk meg a bank rendszerében, mert magunk ellenőrizhetjük, nem pedig azért, mert szeretjük a bankot, vagy tudjuk, hogy a bank rendszerét független szakemberek ellenőrizték. Képzeljünk el egy olyan bankot, ahol az utalásainkat nem ellenőrizhetnénk, csak időnként tételes felsorolás nélkül közlik, hogy éppen mennyi az egyenlegünk. Egy szavazó rendszer ma lényegében így működik.

Lehallgatni talán érdemes a bankolást, de a két fél közötti biztonságos kommunikációra létezik algoritmus (nincs elméleti akadály), és sikerült is többé-kevésbé jól megvalósítani. Frédi nem várja el az e-bankolás rendszerétől, hogy sem a bank, sem Béni ne tudja, hogy ő utalta a pénzt. Ezzel szemben a szavazási rendszertől elvárjuk, hogy senki ne tudja visszakeresni, hogyan ikszeltünk.

Akkor miért használnak I-szavazást mégis Észtországban? Ha kicsit utánanézünk, kiderül, hogy ott is több ellenzője van ennek az elektronikus rendszernek. Az észt szisztéma még csak ki sem tűzi célként, hogy a végeredmény utólag ellenőrizhető legyen, ehelyett elvárja, hogy megbízzunk a választást lebonyolító állami szervben, valamint abban, hogy olyan biztonságos a rendszer, hogy külső szereplő sem tudja sem feltörni, sem módosítani, sem kibogarászni, hogy ki hogyan szavazott. Sajnos eddig azok a független szakemberek, akik megvizsgálták – köztük az EBESZ egy bizottsága is – azt találták, hogy nem biztonságos. Az eddigi talán legalaposabb vizsgálat konklúziója: „Mindezek alapján javasoljuk, hogy Észtország számolja fel az I-szavazás rendszerét.”

De Észtországban 2011 óta nem történt semmilyen incidens, akkor mi a gond? Az, hogy nem tudhatjuk, hogy történt-e csalás vagy betekintés a szavazatokba. Ez önmagában veszélyes, még akkor is, ha nem történt semmi. Az I-szavazás jelenleg nagyjából annyira biztos, mint a használt autó vásárlásakor a kilométeróra állása. Néhány szakembertől eltekintve senki sem tudja, hogyan működik, ha meg visszatekerték, azt nem tudjuk ellenőrizni, legfeljebb gyanakodhatunk. De a szavazás hitelességét, és vele a politikai rendszer legitimitását mindenképpen aláássa, mert ott a teljesen jogos kétely, hogy akár csalás is történhetett.

Nem véletlen, hogy ha ki is próbálták néhány európai demokráciában, végül elvetették (Norvégiában, Franciaországban) az I-szavazást.

Korábbi cikkek a témában a Választásirendszer.hu-n.

Címlapkép: VoteSite