בחירות אלקטרוניות, האם הגיע הזמן?

0.
[לפני שמונה שנים כתבתי פוסט שמסביר למה אני נגד בחירות אלקטרוניות, קראו אותו קודם]. לפני שמדברים על בחירות אלקטרוניות צריך לזכור שבישראל כל פיתוח ממשלתי טכנולוגי משמעותי מוביל לכשלון. המדינה אינה יודעת לנהל מערכות אלקטרוניות בצורה טובה ומעבירה את האחריות בדרך כלל לאותם קבלני משנה שעושים את אותן שגיאות שוב ושוב. כל פרויקט מחשוב נמרח מבחינת זמנים, מתייקר, נכשל ואז לא מפיקים ממנו את המסקנות. לכן, עד להודעה חדשה, ישראל לא צריכה לעבור לבחירות אלקטרוניות.

1.
מבקר המדינה הכריז אמש כי יש להנהיג בחירות ממוחשבות. הצורך בבחירות ממוחשבות, לפחות על פניו, נובע הן מהזיופים שקיימים בבחירות . את זיוף תעודת הזהות המדינה "רוצה" לפתור על ידי הכנת מאגר ביומטרי ומעבר לתעודות זהות חכמות, שכרוכות אחת בשניה; אבל הבעיה הממשית היא זיופים בקלפי. לפחות אני ראיתי עדויות של אנשים שטוענים שהצביעו למפלגה מסוימת והקול שלהם לא הופיע בקלפי. כלומר, על פניו באמת ראוי לעבור למערכת אלקטרונית ראויה ומאובטחת שתאפשר את ההצבעה בצורה מהירה, עם תוצאות אמת מיידיות, ובלי יכולת למניפולציה אנושית.

2.
הבעיה היא בסייפא של הדרישה שלי: בלי יכולת למניפולציה אנושית. אם נלמד מכשלי העבר, נראה שבחירות אלקטרוניות בפריימריז של הליכוד והעבודה ב2008 הביאו לכשלים מרובים, ואפילו בפריימריס של הליכוד ב2012 היתה פרצת אבטחה משמעותית. הכשלונות האלו לא ייחודיים לחלם שבציון, כמובן. מערכות ההצבעה של חברת Diebold כשלו והביאו אותה לשלם קנסות על טעויות במערך ההצבעה. בחירות אלקטרוניות בברזיל גם עמדו תחת חשדות כבדים, ואפילו יש מדריך אינטרנטי פשוט על איך לזייף בחירות.

3.
גם בחירות אלקטרוניות וגם בחירות אמיתיות מלאות באפשרויות זיוף. אין מערך שחסין לזיוף אף פעם, יש רק הקטנת מרחקים. בין 2007 להיום היו שינויים רבים, והתקדמויות טכנולוגיות, אבל ישראל עדיין אינה בשלה למערך הצבעה אלקטרוני מלא. לצורך בחירות אלקטרוניות מאובטחות יש לעמוד בכמה קריטריונים משמעותיים:

3.1 אימות: הקריטריון הראשון הוא אימות זהות המצביע. את אימות זהות המצביע היה אפשר לעשות עם תעודות חכמות (הגם שהדבר פריץ כבר היום). לצורך אימות איכותי יש צורך גם במערך הנפקה אמין (לא מאגר ביומטרי, אלא מערך הנפקה אמין) וגם במערכת אימות אמינה. נכון להיום, מערכת האימות שלנו מבוססת הרבה יותר מדי על אמון שאף אחד לא מנסה לזייף את המערכת. גם במעברים ביומטריים ניתן לזייף את האישור מנייר בסופו של דבר (תפ 59194-01-14 פרקליטות מחוז מרכז נ' אטקין) ולכן צריך לוודא שלא רק שהתיעוד אינו ניתן לזיוף, אלא שמערך הבדיקה עד הקלפי לא ניתן לזיוף.

ההצעה שלי לאימות היא פשוטה, אך קצת יקרה: החל משלושה חודשים לפני הבחירות, ישלחו בדואר רשום  כרטיסי הצבעה אלקטרוניים לכל אזרחי המדינה. האיסוף של הכרטיסים יבוצע בדואר, כך שפקידי הדואר יבצעו את האימות. כרטיס ההצבעה אינו תעודת זהות: הוא כרטיס חד פעמי שמשמש רק למטרת ההצבעה והאימות שלו הוא יחד עם תעודת הזהות. לאחר ההצבעה, ועדת הקלפי לוקחת את הכרטיס ומשמידה אותו.

3.2 מניעת קבלני קולות: אם אנחנו מדברים על הצבעה מרחוק (מהבית), צריך לוודא שאף קבלן קולות לא יכול לקחת את הכרטיסים החכמים של המצביעים ולהצביע בשמם. את זה אפשר לעשות רק על ידי מערך הצבעה מרכזי על מכונות הצבעה, ולא באמצעות הצבעה מהבית. הצבעה מהבית תאפשר יותר מדי זיופים נכון להיום.

3.3 וידוא: הדבר החשוב ביותר במערכת הצבעה אלקטרונית היא שהיא תאפשר לכל אחד לוודא שהקול שלו נספר. מערכות כמו Helios מאפשרות לכל מצביע לאמת את ההצבעה שלו למרות שהיא לא יכולה לאפשר חזרה אחורה של לדעת מי הצביע (חשאיות).

3.4 חשאיות: אחד היתרונות המשמעותיים בהטלת פתקים לקלפי היא שאי אפשר (בהעדר טכנולוגיה טובה מספיק) לדעת מי הצביע לאיזו רשימה. מערכת טכנולוגית חייבת להיות חשאית.

3.5 קוד פתוח: מערכת טכנולוגית שמאפשרת דמוקרטיה חייבת לבוא בקוד פתוח. פתיחת הקוד לציבור היא הדרך היחידה לוודא שאין דלתות אחוריות, מעקף אבטחה, או פרצות.

3.6 אבטחה: המערכות צריכות להיות מאובטחות דיו כדי למנוע פרצות אקראיות ופרצות מכוונות.

4.
הבעיה היא שנכון להיום המערכות פשוט לא עומדות בצורה טובה מספיק (לפחות בישראל) בבדיקות אבטחה. כדי להגיע למצב של בחירות אלקטרוניות צריך לערוך לא מעט שינויים קודם במערך המדינתי. השינויים האלו לא יחסכו כסף ולא יחסכו את מערך הבחירות היקר אלא רק יטילו עוד עלויות. כדי לקיים בחירות אלקטרוניות מאובטחות נצטרך לייצר מאגרי מידע לא נחוצים (נניח, ביומטריים) ולאבטח אותם לאורך כל התקופה בין בחירות. העלויות של אבטחת המידע הזה יחד עם עלויות נוספות של פיתוח מערכת ייעודית לישראל, יביאו את הבחירות האלקטרוניות לכשלון חרוץ. לכן, הפתרון היחיד הנראה לעין הוא לאמץ מערך יעיל יותר של הצבעה ידנית.

5.
ומה היתרון בהצבעה ידנית? ובכן, בהצבעה ידנית יש אינספור נקודות כשל, אבל הן אטומיות: בכל קלפי יכול להיות פקיד מושחת אחד, אבל כמות הנזק של פקיד מושחת אחד נמוכה משמעותית מאשר מערכת מרכזית שיכולה להכשל. כלומר, זיוף יהיה נקודתי בקלפי של 150 – 600 אנשים, ולא יכול לגנוב בחירות.

9 תגובות ל-“בחירות אלקטרוניות, האם הגיע הזמן?

  1. כמו שאני רואה את זה, הפתרון צריך להיות חצי-טכנולוגי: ההצבעה תתבצע רק בקלפיות מוסדרות וזיהוי המצביע יעשה ע"י תעודת הזהות, כמו היום, כשהמערכת המרכזית משמשת לניטור הצבעות כך שאדם לא יוכל להצביע פעמיים. ההצבעה עצמה, מצד שני, תיעשה דרך מחשב, בקלפי, אבל כל אדם יוכל להצביע מהיכן שהוא רוצה – מה שיאפשר לאנשים להצביע בסמוך למקום עבודתם – ולחסוך למשק את יום החופש המיותר.

  2. בתגובה לעופר –

    הבעיה ברעיון שאתה מתאר הוא איך מבטיחים שלא יהיה וירוס על המחשב. למשל, במקרה של המכונות המפורסמות של Diebold, חוקרים אקדמאים פיתחו וירוס שגורם למכונה לספור את הקולות באופן מעותת, אבל חוץ מזה להתנהג אותו דבר ולהדפיס לאנשים פתקים שנראים אמינים. ולא היה כונן USB או חיבור לאינטרנט, פשוט איש מיומן עם מברג יכול להחליף את כרטיס הזכרון תוך פחות מדקה. מנסיוני בבחירות ממוחשבות בארץ, משתמשים ב-PC רגיל.

  3. תודה על הפוסט יונתן . ברור שנושא כזה סבוך אימים . מה שאני תוהה ,זה כך :

    1 ) הרי פקיד הדואר יצטרך לאמת הזהות על מנת לתת כרטיס אלקטרוני כפי הצעתך . ואיך יאמת ? תעודת זהות ? כי אז הקושיה חזרה לסוגיה !! זה מעגל שוטה !!

    2) אתה מניח שכולם כשירים להצביע אלקטרונית ? מאיפה בדיוק ? אני לא דן בכשירות טבועה , כשירות דעת כללית משמע , אלא – כשירות להתעסק עם בלגן אלקטרוני . ההדרכה , הפיקוח , הבקרה לה יזדקקו לקבוצות גדולות מאוד של אוכלוסיה לא " כשירות אלקטרונית " , עושה זאת ענין בעייתי מאוד .

    אתה עשוי לגלות ענין רב בלינק :

    http://blogs.wsj.com/law/2015/03/18/u-k-to-regulate-bitcoin-exchanges/?mod=WSJBlog

    תודה

  4. כמה קיטורים:
    0. הרשומה הקודמת מכילה שגיאת כתיב מביכה בראשיתה – אתה כותב adapters אך מתכוון adopters.
    1. אזור התגובות בבלוג שלך מוצג לא טוב גם ב-Chrome וגם ב-FF, הכיתוב "שם", "אימייל" וכו' עולים על תיבת הטקסט (QA לגמרי חינם!!)
    2. ברמה הטכנולוגית-אינטלקטואלית יש הרבה מחקרים (וחלקם אפילו תוצרת אוניברסיטת מדינת ת"א) בנושא. חוקרים ובונים סכמות להצבעה אלקטרונית כבר למעלה מ-20 שנה. עיין בכתביו של פרופ' אמנון תא-שמע למשל כאן:

    שים לב שהאתגר האמיתי נובע מכפל תתי-האתגרים – אתה נדרש לשמור על מערכת בה ניתן לזהות כל בוחר אך לאחר שהצביע נדרש לשמור על אנונימיות מסויימת (כיצד ניתן למשל לבצע ספירה חוזרת של קולות ולראות שכל אדם הצביע פעם אחת בלבד?)
    ישנם פתרונות בחיה המרתקת הקרויה fully homomorphic encryption אבל קצרה היריעה מלהסביר את זה אם לא הכרת את הרעיון קודם לכן.

  5. הצעה מעניינת
    אבל (1) היא לא מתמודדת עם תופעה שחזרה גם בבחירות האחרונות – אנשים שלא מקבלים בדואר את כרטיס המצביע שלהם (אם כך קוראים ל"הודעה לבוחר" שמספרת לך איפה להצביע) ומניחים מתוך בלבל שזה אומר שהם לא רשאים להצביע. כלומר – מי שלא יקבל את הודעה להגיע לדואר לאסוף את כרטיס הבוחר לא יוכל להצביע. אתה רוצה שבשכונה מסויימת לא יצביעו? פשוט מנע מתעודות ההצבעה שלהן להגיע ליעדן…
    (2) בנוסף מה עם כל אלו שמגיעים לארץ בסמיכות למועד הצבעה (חוזרים מטיול ארוך או עובדים הנמצאים רבות בחו"ל) האם הדואר יהיה פתוח ביום הבחירות כדי שיוכלו לאסוף את כרטיסי ההצבעה שלהם?
    (3) ומה עם אותם כרטיסים שלא נאספו מהדואר? לא אפשר פשוט לקנות אותם מהפקיד ולהצביע במקומם?

  6. נקודה מאוד חשובה שלדתי נשתכחה-מראית העין של האמינות. פסיכולוגית, עצם זה שאנשים יכולים לראות ולגעת באלמנטים השונים (פתקים, פרגוד, קלפי, מעטפות) גורמת להם לחשוב שהם מבינים איך זה עובד ולכן הם סומכים על השיטה.
    במעבר להצבעה ממוחשבת ועוד מרחוק, אי הידיעה עצומה אפילו לאנשים סופר טכנולוגיים (למשל: מי יבטיח שמערכת שהוצגה בקוד פתוח לציבור אכן לא שונתה?) ולכן, קשה יותר לסמוך על זה.

  7. לגבי עניין הוירוסים וכו' – ברגע שההצבעה ממוחשבת, אין צורך בפתקים, מעטפות וכו' – ולכן אין צורך להסתתר מאחורי פרגוד. יש מחשב שהמסך שלו מופנה כך שאף אחד פרט למצביע אינו יכול לראות מה קורה, וזהו – ואף אחד לא יכול להתעסק עם המחשב, עם כוננים נשלפים או מה שלא יהיה.

    לגבי עניין הפסיכולוגיה וכו' – גם אם זה נכון היום (ולדעתי רוב האוכלוסיה כבר מזמן לא סומכת על נייר יותר מאשר על המחשב) – בכל מקרה בשנים הקרובות זה כבר לא יהיה נכון, ובהתחשב בזיופים המסיביים שזה נשמע שיש בקלפיות שונות – אני מעדיף הצבעה מאובטחת ע"פ תחושות בלתי מוצדקות של מאותגרים-טכנולוגית.

  8. למיטב ידיעתי יש קונצנזוס בקרב מומחי מחשב שבחירות ממוחשבות זה רעיון רע.
    מספר הדרכים בהן ניתן לרמות בבחירות ממחוחשבות היא גדולה מאוד וכל הזמן מוצאים דרכים חדשות.

    לגבי קוד פתוח – זה לא מבטיח הרבה. גם אם הקוד מושלם, עדיין אתה לא יכול לדעת אם הקומפיילר הכניס קוד זדוני לתוכנית.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *