Eesti e-votingu report ja virtual serverid väljas

Need researcherid, kes väitsid, et Eesti e-valimine on ebaturvaline on nüüd git-ist alla tõmmatud source code peale ehitatud VirtualBox-id oma lehele üles pannud.

https://estoniaevoting.org/downloads/

1. Kui kaardi lugejal on PIN pad (mitte ei sisesta PIN-i klaviatuuril) siis nende client side hack ei tööta. Muidu on see client said päris osavalt tehtud.

2. Kui kaardilugeja on tavaline aitab kas Google Authenticatori iPhone app või CAPTCHA. Sellest ma kirjutasin minutis juba 2007 aastal, et isegi minutisse sisselogimisel pead CAPTCHA lahendama, aga e-valida saad ilma. https://web.archive.org/web/20070612093013/http://www.minut.ee/article.pl?sid=07/02/19/075250&mode=nested

3. Eesti HSM-il peaks olema LCD screen mis näitab, et mittu häält ta kokku luges ja mis kandidaadile. See on kogu selle paberi kõige tähtsam osa. Et on küll Hardware Security Module, aga häälte lugemise arvuti näitab häälte kogusummat, mitte HSM enda LCD display. See tuleks küll korda teha.

4. Kõige suuremale probleemile, et käid nakatanud sõbra arvutist hansapanga lehel oma id kaardiga, ja siis sõbra arvuti kohe samal ajal hääletab ka sinu eest ära, ei ole need uurijad pihta saanud. Nad räägivad häälte muutmisest botnetiga, mis on lihtsalt statistikas tagantjärgi tuvastatav. Aga kui bot-id hääletavad inimeste eest kes muidu hääletada ei viitsi, on see statistikas nähtav kui “E-hääletuse aktiivsuse märgatav kasv” (Viimastel Riigikogu valimistel 2007. aastal kasvas ehääletamise aktiivsus kolm korda http://uudisvoog.postimees.ee/?DATE=20090521&ID=205689)

 

5 arvamust “Eesti e-votingu report ja virtual serverid väljas” kohta

  1. Aga mehaniseerimise ja arvutiseerimise eesmärgiks on ju algusest peale olnud tõhususe ja mugavuse kasv. Seega on e-valimised igati õige suund kui kord materjalismi usku olla.

    Mõtlemine ja eriti tõe poole pürgimine ei ole ei tõhus (võtab väga palju aega), veelgi vähem on see mugav ning kahjuks pole kuidagi automatiseeritav.

  2. Kõike saab võltsida va episoode. Nähes kedagi/mdiagi vilksamisi, on alati võimalus tünga saada. Viibides kellegiga, keda tunned või tead koos pikalt samas ruumis on juba väga keeruline petetud saada. Ehk teisipidi, mida kiirem või mugavam on tegevus, seda lihtsam on petta (reklaam, mustkunst, rahavahetuspettused, implulssostud jne). Ega turvalüüsid pole asjata. Füüsiline valimine on omamoodi turvalüüs, see on alati mitme inimesega episood.

  3. Võiks ehk veel tõmmata vahe valimisprotseduuri ja valmistulemuste vahele. Füüsilist protseduuri ei saa võltsida, seda võib eirata, aga see on vaatlemisega tuvastatav. E-valimise protseduuri saab võltsida ja seda Keith Siilats tõestabki.

Kommenteerimine on suletud