Bezpečnost IT jako aspekt internetových voleb Seminář PS PČR Michal Hátle
Principy volebního práva & kompromisy všech přístupů všeobecnost, rovnost, tajnost, přímost, svoboda současná prezenční volba v kontrolovaném prostředí má řadu výhod, ale i některé ( navíc v současnosti narůstající) nevýhody i (residuální) rizika jiný mix výhod/nevýhod/rizik existuje i u internetových voleb - v teoretické (principiální) i praktické (technologické) rovině ? Principy: tajnost volby (nekontrolované prostředí), rovnost volby (DD/DUEQ) ? Technologie: řešitelné až do míry přijatelného residuálního rizika, zkušenosti ze světa neukazují zásadní problémy (pozor: nezaměňovat s teoretickými problémy DRE terminálů)
Technologická rizika a možnosti jejich řešení Tajnost volby (nemožnost odhalit individuální volbu) – využití bezpečné (SSL) komunikace, využití spolehlivé el. identity či obdobné služby, kryptografická ochrana, anti-malware, speciální applety Bezpečnost centrální aplikace (zajistit nemožnost rozsáhlé chybovosti/manipulace, zajištění dostupnosti) – – open/closed source, řádné testování, auditovatelnost, vlastnictví zdroj. kódu, logování, pilotní provoz a postupné (etapové) nasazení – redundantnost, Net&App firewalling, best practise provozní standardy IT infra i aplikace – ochrana přes DDoS – dohody s ISPs, NIX, NIC Omezit kupčení s hlasy – IP tracking, IP geo location, zvážit možnost opakované volby a kontroly započtení hlasu voličem Hlavně! – řádné vedení projektu, dostatek času a odbornosti na kvalitní zadání a implemetaci, využití mezinárodních zkušeností od návrhu až po implementační a provozní audit
Komentář k návrhu zákona z pohledu IT realizace Seminář PS PČR Richard Kaucký
Úvod IT realizace vždy reaguje na legislativu -> příklad řešení vychází ze stávající legislativy a návrhu zákona (za předpokladu, že správcem VOIS je MV ČR) Navržený příklad řešení distančního hlasování v elektronické podobě „kopíruje“ model v listinné podobě (korespondenční) Elektronizace hlasování ve volbách je pouze důsledkem politického rozhodnutí
Předpoklady pro voliče: fyzická osoba s aktivní datovou schránkou typu FO (podle § 3 zákona č 300/2008 Sb.) fyzická osoba je vedena v základním registru obyvatel s adresou pobytu v cizině je zřízena a zaktivněna datová schránka správce VOIS typu OVM podřízená (podle § 6 odst. 2 zákona č. 300/2008 Sb.) – dále Datová schránka VOIS funkční VOIS jako součást ISVS (podle 365/2000 Sb.), s napojením na ISZR a na autentizační rozhraní ISDS Předpoklady pro IS:
Krok 1: registrace k elektronické volbě Datová schránka správce VOIS VOIS – žadatel zasílá DZ č.1 do datové schránky VOIS (autorizovaným formulářem zveřejněným správcem VOIS na Portálu veřejné správy - PVS) 1.2 – Správce VOIS je permanentně připojen k datové schránce VOIS, zpracovává přijaté datové zprávy a následně VOIS ověří formálně žádost 1.3 – VOIS zasílá okamžitě DZ č.2 s potvrzením příjmu do DS žadatele Datová schránka voliče
Krok 2: zpracování žádosti o registraci VOIS 2.1 – VOIS v ROB ověří a ztotožní žadatele tj. získá AIFO(VOIS) 2.2 – VOIS zajistí záznam v příslušném seznamu voličů 2.3 – VOIS zasílá DZ č.3 s elektronickou hlasovací sadou do DS žadatele Základní registr obyvatel Evidence seznamu voličů Datová schránka voliče Datová schránka VOIS 1 2 3
Krok 3: elektronická volba Datová schránka VOIS VOIS – Elektronická volební schránka ve VOIS (zabezpečené šifrované úložiště) 3.1 – Volič se přihlašuje do VOIS přístupovými údaji ze své datové schránky a zadává přidělený unikátní kód a číslo dokladu 3.2 – VOIS zjistí identitu v ROB podle dokladu a ověří trojici [ID DS, kód, AIFO(VOIS)] 3.3 – po ověření umožní VOIS volit a uloží volební obálku v šifrované podobě 3.4 – po volbě VOIS zajistí vyznačení v seznamu voličů 3.5 – po odvolení VOIS zasílá DZ č.4 s potvrzením o hlasování do DS voliče Datová schránka voliče 2 ROB volba 1 volba 2 volba 3 … Evidence SV 4 3
Krok 4: zpracování výsledků VOIS 4.1 – VOIS na základě tajného klíče volební komise pro elektronické volby rozšifruje a sečte anonymizovaná data pro vyhotovení zápisu o průběhu a výsledku elektronického hlasování 4.2 – Předání stejnopisu zápisu o průběhu a výsledku hlasování předsedou komise pro elektronické volby ČSÚ Český statistický úřad 2 1 zpracování Elektronická volební schránka Správce VOIS
Úloha datových schránek (ISDS) : Zabezpečený kanál elektronického doporučeného doručení jednoznačně identifikované fyzické osobě Zprostředkovatel autentizačního rozhraní jednoznačně identifikovaným fyzickým osobám pro VOIS Zpracovat žádosti o registraci voličů, vydávat elektronickou hlasovací sadu s aktualizací voličského seznamu Přijmout a anonymizovat volbu voličů a držet jí až do vyhodnocení v šifrované podobě v bezpečném úložišti (Elektronická volební schránka) Na základě tajného klíče dešifrovat přijaté obálky, spočíst hlasy a vyhotovit autorizovaný protokol pro volební komisi pro elektronické volby Úloha Volebního informačního systému (VOIS):
Závěr Pokud bude v legislativě zakotvená a hlavně rutinně zprovozněná tzv. „Elektronická identita občana“ podle nařízení EU 910/2014 lze navrhnout alternativní řešení bez datových schránek, stejně tak jako pokračovat ve stávajícím (elektronickou identitou občana se přihlašuji do své datové schránky, kterou si aktivuji v jednom kroku spolu s elektronickou identitou) Díky dostupnosti komunikačních a informačních technologií lze elektronizací hlasování odstranit diskriminaci (princip rovnosti) zvyšujícího se počtu studentů a občanů pracujících v EU!