* Äänestyslaitteiden lähdekoodin pitäisi olla avointa
* Sähköinen äänestysmenetelmä X olisi hyvä
* Tekniikan kehitystä ei saa estää
+* Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin
* Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen
-* Onko sähköinen äänestys aina huono juttu?
+* Onko sähköinen äänestys aina huono juttu keskeisissä valtiollisissa vaaleissa?
* Lähteistä
* Muita viitteitä
[Paperivarmistuksessa (VVPR, Voter Verified Paper Record, tai VVPB, Voter Verified Paper Ballot)][30] äänestäjä saa äänestään paperitositteen. Tosite ei jää äänestäjälle, vaan hän laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen. Näin kerätyillä tositteilla voidaan suorittaa tarkastuslaskenta. Vaikka kaikkia tositteita ei aina laskettaisikaan, voidaan esimerkiksi laskea satunnaisotannalla valittujen äänestyspaikkojen äänet ja verrata näin saatuja äänimääriä sähköiseen tulokseen. Jos sähkö- ja paperitulokset eroavat toisistaan, lasketaan kaikki paperiäänet ja hylätään sähköinen tulos kokonaan. Samaten jos kisa menee tiukoille tai jokin osapuoli syyttää sähköisestä vaalivilpistä, voidaan laskea paperitositteet. Paperivarmistus on hyvä ratkaisu, koska paperitositteiden avulla voidaan suorittaa äänistysohjelmistoista ja -laitteista riippumaton, avoin ja ymmärrettävä tarkastuslaskenta.
-Yhdysvalloissa on kokemuksien perusteella luovuttu laajalti puhtaasti sähköisestä äänestyksestä ja siirrytty paperivarmistuksen käyttöön, jotta äänestyslaitteista ja -ohjelmistoista riippumaton tarkastuslaskenta olisi mahdollinen.
+Yhdysvalloissa on kokemuksien perusteella [luovuttu][30] laajalti puhtaasti sähköisestä äänestyksestä ja siirrytty paperivarmistuksen käyttöön, jotta äänestyslaitteista ja -ohjelmistoista riippumaton tarkastuslaskenta olisi mahdollinen.
+
+ETYJ:n [vaalitarkkailijan käsikirjassa](http://www.osce.org/publications/odihr/2005/04/14004_240_en.pdf) sanotaan (s. 44, oma suomennos):
+
+> "Potentiaalisia ongelmia, joista tulisi olla tietoinen - - sähköiset äänestysjärjestelmät ilman äänestäjän tarkastamaa auditoitavaa paperijälkeä tai muuta manuaalista paperiauditointitapaa"
+
+Euroopan komission [oppaassa](http://ec.europa.eu/europeaid/multimedia/publications/documents/thematic/ec_methodological_guide_on_electoral_assistance_en.pdf) todetaan samansuuntaisesti (s. 65, oma suomennos):
+
+> "Nykyään pidetään tarpeellisena - läpinäkyvyyden ja turvallisuuden vuoksi - sisällyttää kaikkiin sähköisiin äänestysprosesseihin auditoitava paperijälki. - - Näiden ominaisuuksien mukana oloa tulee pitää tarpeellisena - -"
Effi vaati [lausunnossaa oikeusministeriölle][31] paperivarmistusta ministeriön suunnittelemaan sähköiseen äänestysjärjestelmään, huonolla menestyksellä. Suomeen ehdotetussa järjestelmässä ei siis ole paperivarmistusta, täällä luotetaan sähköisen järjestelmän erehtymättömyyteen.
Akatamiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään".
-Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - äänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen. Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus.
+Siis kenenkään intresseissä ei ole vaikuttaa siihen, kuka Suomessa on vallassa?
+Pääasia, että pankkitilien saldot ovat oikein?
+
+
+Samassa Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus. Ketään ei myöskään tunnu kiinnostavan,
+että vaalijärjestelmän pitäisi toimia luotettavasti myös kiristyneessä sisä- tai ulkopoliittisessa tilanteessa,
+jossa kaikkiin viranomaisiin ei voi luottaa, ja jossa mahdollinen nettivaalijärjestelmä
+voi joutua verkkohyökkäyksen kohteeksi.
+
+
+Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - verkon kautta
+nettiäänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen.
+
+On hyvä muistaa, että nykyajan konflikteissa tietoverkot
+[ovat myös taistelutantereita](http://www.tietokone.fi/uutta/uutinen.asp?news_id=34557)
+([Helsingin Sanomat 16.8.2008 kybersodankäynnistä](http://www.hs.fi/ulkomaat/artikkeli/Viro+ja+Puola+puolustavat+Georgiaa+ven%C3%A4l%C3%A4isi%C3%A4+verkkohy%C3%B6kk%C3%A4yksi%C3%A4+vastaan/1135238684787),
+[Digitoday 19.8.2008](http://www.digitoday.fi/mielipide/2008/08/19/euroopan-tulivoimaisin-botnet/200821453/66)).
+
+
+
### "Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita"
* Vuonna 2001 Kaliforniassa, äänet oli pakko laskea käsin ohjelmointivirheen vuoksi.
* Vuonna 2000 Floridassa, Al Gore sai eräässä piirikunnassa presidentinvaaleissa -16.022 ääntä, siis negatiivisen äänimäärän.
* Vuonna 2003 Indianassa, Boonen piirikunnasta, jossa oli noin 20.000 äänioikeutettua, oli annettu yhteensä yli 140.000 ääntä.
+* Vuonna 2008 amerikkalainen äänestyslaitevalmistaja [varoitti](http://seattletimes.nwsource.com/html/nationworld/2008131168_voting22.html), että heidän 34 osavaltiossa käytössä oleva äänestysjärjestelmä hukkaa ääniä ([Sähköisen äänestysjärjestelmän myyjä myönsi virheet USA:ssa](http://www.digitoday.fi/p/200821993), Digitoday 26.8.2008; [Kansanedustaja Kasvi: Sähköisessä äänestyksessä tietoturvaongelmia](http://www.hs.fi/politiikka/artikkeli/Kansanedustaja+Kasvi+S%C3%A4hk%C3%B6isess%C3%A4+%C3%A4%C3%A4nestyksess%C3%A4+tietoturvaongelmia/1135239103437), HS 1.9.2008). Hupsista.
Samanlaisia tarinoita on satoja lisää, [Effinkin lausunnossa][31] on lisää viitteitä. Voi vain arvailla, kuinka usein ongelmia ei ole huomattu ja vaalin tulos on ollut virheellinen. Huomattavaa on myös, että ongelmat eivät ole yleensä koskeneet yhtäläisesti kaikkia ehdokkaita, vaan ne ovat lisänneet tai vähentäneet tietyn ehdokkaan äänimääriä.
*Mitä tulee nykyisen vaalilain valmisteluun, niin verrattuna siihen, miten esimerkiksi tietoliikennejärjestelmien standardeja luodaan standardiorganisaatioiden laajoilla kuulemismenettelyillä, sähköisen äänestyksen valmistelu on Suomessa ollut hyvin suljettua. Kuvaavaa on, että esimerkiksi äskettäisessä sähköistä äänestystä koskevassa vaalilain uudistuksessa oikeusministeriö ei edes katsonut tarpeelliseksi pyytää lausuntoa tekniikan asiantuntijoilta ([2006:3 Sähköinen äänestys][39], ks. lausuntopyyntökirje). Effi antoi pyytämättä [lausuntonsa][31], jonka ministeriö jätti oleellisilta osiltaan [huomioon ottamatta][40]. Myöskään oikeusministeriön aikaisemmin (ks. kohta ["Suomalainen järjestelmä on täydellinen"][10]) mainitut kommentit "täydellisesti tietomurroilta suojatusta" ([HE 14/2006 vp][18]) vaalitietojärjestelmästä eivät ole omiaan herättämään luottamusta (on mahdollista tehdä hyvin turvallisia järjestelmiä, mutta tietoturvassa on käytännössä mahdotonta päästä täydellisyyteen).]*
+### "Yritetään sähköäänestystä ja otetaan käyttöön, jos se toimii hyvin"
+
+Joidenkin mielestä sähköistä äänestystä voi hyvin kokeilla rajoitetusti. Sähköäänestys voitaisiin ottaa laajempaan käyttöön, jos kokemukset olisivat hyviä.
+
+Sähköisen äänestyksen kokeilussa havaitaan vain tietyntyyppiset puutteet (esim. äänestyslaite jumiutuu), kun vakavampia ovat ne puutteet, joita <em>ei</em> huomata. Täyssähköisessä äänestyksessä, jollaista Suomeen ollaan puuhaamassa, ei esimerkiksi voida mitenkään tietää, onko äänet laskettu oikein (pitää vain luottaa kokeiltavaan äänestysjärjestelmään).
+
+Toisaalta jos kokeilu sujuu hyvin, se ei tarkoita, että järjestelmässä ei voisi olla sellaisia heikkouksia, joita kukaan vain ei kokeilun aikana viitsinyt hyödyntää. Kolmanneksi, tietotekniset järjestelmät vanhenevat nopeasti ja viimeistään parin vaalin jälkeen merkittävä osa äänestystekniikasta on luultavasti jo täysin uutta - tästä syystä vanhat kokeilut ja auditoinnit ovat muuttuneet merkittäviltä osiltaan merkityksettömiksi.
+
### "Tekniikan kehitystä ei saa estää"
Joidenkin mielestä tekniikan kehitys ja "nykyaikaisiin" järjestelmiin siirtyminen on jo sinällään hyvä asia. "Vanhanaikaista" paperijärjestelmää hyvänä pitäviä pidetään kehityksen jarruina.
Konservatiivisuus takaa tässä asiassa demokratian säilymisen. Miksi seikkailla, kun nykyinen paperiäänestysjärjestelmä toimii hyvin?
-### "Onko sähköinen äänestys aina huono juttu?"
+### "Onko sähköinen äänestys aina huono juttu keskeisissä valtiollisissa vaaleissa?"
Kuten yllä kohdassa "tekniikan kehitystä ei saa estää" on kerrottu,
nykyinen paperijärjestelmämme on toimiva,
tehokas, edullinen ja
ymmärrettävä vaihtoehto. Ei ole mitään järkeä korvata nykyistä järjestelmää,
joka koostuu yhden numeron
-kirjoittamisesta parin vuoden välein paperilappuun, kalliimmalla ja epäluotettavammalla
+kirjoittamisesta parin vuoden välein paperilappuun, epäluotettavammalla ja mitä luultavammin kalliimmalla
sähköisellä nappijärjestelmällä.
Sähköinen äänestys *voisi* olla perusteltu, jos esimerkiksi äänestysjärjestelmä olisi erilainen
(esim. [STV](http://en.wikipedia.org/wiki/Single_transferable_vote)) tai jos äänestyksiä olisi samalla
useampia,
-jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa
-(tässäkin tapauksessa olisi hyvä miettiä tarkkaan, kuinka tärkeää *oikeasti* olisi saada
+jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa.
+Silloinkin olisi hyvä miettiä tarkkaan, kuinka tärkeää *oikeasti* olisi saada
tulokset nopeasti äänestyksen päättymisen jälkeen verrattuna sähköisen järjestelmän
-implementoinnista aiheutuviin tietoturvauhkiin ja kustannuksiin). Käytännössä
-edellytyksenä olisi
-kuitenkin paperivarmistuksen käyttö (ks. kohtia "Mikä on paperivarmistus?" ja
+implementoinnista aiheutuviin tietoturvauhkiin ja kustannuksiin - vai olisiko parempi
+ratkaisu esimerkiksi käyttää optisia lukijoita vaalilippujen laskentaan. Käytännössä
+edellytyksenä turvalliselle sähköiselle äänestykselle olisi
+joka tapauksessa paperivarmistuksen käyttö (järjestelmä tulostaa äänestä tositteen äänestäjälle,
+joka laittaa sen vaalipaikalla normaaliin uurnaan tarkastettuaan sen; ks. kohtia "Mikä on paperivarmistus?" ja
"Sähköinen äänestysmenetelmä X olisi hyvä").
-Maailmalta löytyy nimittäin useita esimerkkejä siitä, että täyssähköiseen järjestelmään ei
+Maailmalta löytyy useita esimerkkejä siitä, että täyssähköiseen järjestelmään ei
luoteta: esimerkiksi [Yhdysvalloissa puolet osavaltioista on jo kieltänyt täyssähköisen äänestyksen][30]
ja Alankomaissa äänestyksen luotettavuutta arvioinut komissio [suositti paperivarmennusta sähköiseen äänestykseen][55].
-Sähköisen äänestyksen funktio olisi tuloksen nopea laskenta ja
+Sähköisen äänestyksen ensisijainen funktio olisi siis tuloksen nopea laskenta ja
paperivarmistuksen avulla voitaisiin varmistua tuloksen oikeellisuudesta
(esim. laskemalla satunnaisotannalla valittujen ja/tai
kilpailevien puolueiden nimeämien äänestyspaikkojen äänet ja
-vertaamalla vastaaviin sähköisiin tuloksiin). Koska paperivarmistusta
+vertaamalla vastaaviin sähköisiin tuloksiin). Koska ensisijaisesti paperivarmistusta
(ei sähköistä järjestelmää) käytetään tuloksen
oikeellisuuden varmistamiseen, olisi
sähköinen osa äänestysjärjestelmästä helpompaa (vaikkei vieläkään yksinkertaista)
projects / .git / blobdiff