* Yhdysvaltain huonoilla kokemuksilla ei ole merkitystä Suomessa
* Mikä on paperivarmistus?
* Nettipankkikin on olemassa, miksi ei siis myös nettiäänestys
+* Kenelläkään ei ole intressiä murtautua äänestysjärjestelmään
* Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita
* Tietokone ei tee virheitä
* Suomalainen järjestelmä on täydellinen
* Sähköinen äänestysmenetelmä X olisi hyvä
* Tekniikan kehitystä ei saa estää
* Sähköäänestyksen vastustaminen estää demokratian toteutumisen tai laajentumisen
-* Lähteenä käytettyjä keskusteluja
+* Lähteistä
* Muita viitteitä
### Effi sähköisestä äänestämisestä
* Järjestelmän pitää valvoa, että kukin äänioikeutettu voi äänestää vain kerran.
* Äänestäjää lukuunottamatta kukaan ei saa tietää, ketä kukin on äänestänyt.
-* Äänestäjän pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei ilmesty tyhjästä.
+* Äänestäjän pitää voida luottaa, että äänet on laskettu tuloksessa oikein ja että ääniä ei katoa tai ilmesty tyhjästä.
* Äänestäjä ei saa pystyä todistamaan muille äänestäneensä tietyillä tavoilla. Näin estetään äänten ostaminen tai äänestäjien painostus. Samasta syystä äänestämisen on tapahduttava henkilökohtaisesti.
Järjestelmän on toimittava luetettavasti myös epävakaissa yhteiskunnallisissa oloissa, siis sellaisissa, joissa tyypillisesti YK lähettäisi vaalitarkkailijoita.
Viron viime aikoina kokemien nettihyökkäyksen valossa ei olisi yllättävää, jos vaalien heikoin lenkki eli nettiäänestys joutuisi koetukselle seuraavissa vaaleissa. Ei ole mahdotonta, että joku tekisi haittaohjelman, joka käyttäjän huomaamatta muuttaisi annettua ääntä; vastaavanlaisia haittaohjelmia käytetään tekemään nettipankeissa tilisiirtoja käyttäjän huomaamatta. Nettiäänestys on altis myös nimipalvelu- ja palvelunestohyökkäyksille ja niin edelleen; "liikuvia osia" ja siten potentiaalisia vikapisteitä on perinteiseen paperiäänestysjärjestelmään verrattuna todella paljon. Ylipäätään nettiäänestysprosessi sisältää niin paljon vaikeasti hallittavia ja suojattavia tekijöitä, että jos joku haluaa tehdä maata vastaan kyberhyökkäyksen ja aiheuttaa yhteiskunnallista epävakautta väärentämällä vaalituloksen, olisi nettiäänestys varteenotettava kohde.
-Bruce Schneierin sanoin: "A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
+Bruce Schneierin [sanoin](http://www.schneier.com/crypto-gram-0012.html#1):
+"A secure Internet voting system is theoretically possible, but it would be the first secure networked application ever created in the history of computers."
*Nettiäänestys ja äänestäjän painostus.* Viron nettiäänestyksessä äänensä saattoi myöhemmin muuttaa. Tämän oli tarkoitus ehkäistä äänestäjän painostusta ja äänten ostamista: vaikka ääni olisikin annettu valvonnan alaisena, olisi äänestäjä voinut periaatteessa painostajan tietämättä vielä myöhemmin muuttaa ääntään. Äänestäjä saattoi myös antaa paperiäänen nettiäänestyksen sulkeuduttua; tällaisessa tapauksessa nettiääni jätettiin huomiotta. Näin esimerkiksi äänten ostaja ei olisi voinut olla varma, ketä äänestäjä oikeasti lopulta äänesti. Äänestysjärjestelmä kuitenkin tallensi ajan, jona ääni oli annettu; poliittiset puolueet ja vaalitarkkailijat näkivät tämän ajan, jonka avulla ne olisivat periaatteessa voineet selvittää korjasiko äänestäjä myöhemmin ääntään.
Jos sen sijaan äänestysjärjestelmässä on vikoja tai tietoturvassa on puutteita, on riskinä, että väärä henkilö tai puolue pääsee valtaan - tätä ei voi korvata rahalla.
-Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen?
+Suuri osa kotitietokoneista on lisäksi tälläkin hetkellä käyttäjien tietämättä haittaohjelmien saastuttama. Tähän saakka näitä koneita on käytetty muun muassa huijauksiin, roskapostittamiseen ja palvelunestohyökkäyksiin. On myös tiettyihin nettipankkeihin erikoistuneita haittaohjelmia: kun käyttäjä kirjautuu nettipankkiin, voi haittaohjelma tehdä käyttäjän huomaamatta suurehkon tilisiirron. Onko viisasta sallia sitä mahdollisuutta, että tulevaisuudessa näitä koneita käytetään myös nettiäänestämiseen? (Käyttäjä huomaa lopulta haittaohjelman tekemän tilisiirron, koska tilin saldo pienenee,
+mutta haittaohjelman tekemää äänestystä ei samalla tavalla voi huomata - kuten sanottua, nettiäänestyksen
+toteuttaminen turvallisesti on huomattavasti nettipankin turvaamista vaikeampaa.)
-[Akatamiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään". Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - äänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen. Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus.]
+### "Kenelläkään ei ole intressiä murtautua äänestysjärjestelmään"
+
+Akatamiaprofessori Hannu Nurmi on sitä mieltä, että nettiäänestys olisi varmaan ihan turvallista (Helsingin Sanomat 31.1.2008). Helsingin Sanomien mukaan "hän muistuttaa, että intressi murtautua äänestysjärjestelmään on pienempi kuin murtautua esimerkiksi pankkijärjestelmään".
+
+Samalla tavalla voisi kai sanoa, että kenenkään intressi marssia Suomen rajojen yli on pienempi kuin murtautua esimerkiksi Nordean pankkiholviin, joten puolustusvoimat voi lakkauttaa. Toivottavasti Suomessa ei suhtauduta samalla asenteella muihin yhteiskunnan kannalta kriittisiin toimintoihin - äänestysjärjestelmän murtaminen ja pelkästään uskottava epäily vaalituloksen oikeellisuudesta kun voisi pahimmillaan johtaa yhteiskuntajärjestyksen kaatumiseen. Helsingin Sanomien artikkelissa muidenkin antamista kommenteista paistaa asenne, jonka mukaan äänestäjiä ei kiinnosta tai ainakaan pitäisi kiinnostaa äänestyksen luotettavuus.
### "Käytetäänhän ääntenlaskussa nykyäänkin apuna tietokoneita"
Konservatiivisuus takaa tässä asiassa demokratian säilymisen. Miksi seikkailla, kun nykyinen paperiäänestysjärjestelmä toimii hyvin?
-Sähköinen äänestys voisi toki olla hyvä vaihtoehto esimerkiksi neuvoa-antaviin äänestyksiin tai uusien äänestystapojen kokeiluun.
+### "Onko sähköinen äänestys aina huono juttu?"
+
+Kuten yllä kohdassa "tekniikan kehitystä ei saa estää" on kerrottu,
+nykyinen paperijärjestelmämme on toimiva,
+tehokas, edullinen ja
+ymmärrettävä vaihtoehto. Ei ole mitään järkeä korvata nykyistä järjestelmää,
+joka koostuu yhden numeron
+kirjoittamisesta parin vuoden välein paperilappuun, kalliimmalla ja epäluotettavammalla
+sähköisellä nappijärjestelmällä.
+
+Sähköinen äänestys *voisi* olla perusteltu, jos esimerkiksi äänestysjärjestelmä olisi erilainen
+(esim. [STV](http://en.wikipedia.org/wiki/Single_transferable_vote)) tai jos äänestyksiä olisi samalla
+useampia,
+jolloin käsin suoritettava ääntenlasku olisi hitaampaa ja virhealttiimpaa. Edellytyksenä on
+kuitenkin paperivarmistuksen käyttö (ks. kohta "Mikä on paperivarmistus?").
+Maailmalta löytyy nimittäin useita esimerkkejä siitä, että täyssähköiseen järjestelmään ei
+luoteta: esimerkiksi [Yhdysvalloissa puolet osavaltioista on jo kieltänyt täyssähköisen äänestyksen][30]
+ja Alankomaissa äänestyksen luotettavuutta arvioinut komissio [suositti paperivarmennusta sähköiseen äänestykseen][55].
+Sähköisen äänestyksen funktio olisi tuloksen nopea laskenta ja
+paperivarmistuksen avulla voitaisiin varmistua tuloksen oikeellisuudesta
+(esim. laskemalla satunnaisotannalla valittujen ja/tai
+kilpailevien puolueiden nimeämien äänestyspaikkojen äänet ja
+vertaamalla vastaaviin sähköisiin tuloksiin). Koska paperivarmistusta käytetään tuloksen
+oikeellisuuden varmistamiseen, olis
+sähköinen osa äänestysjärjestelmästä helpompi (vaikkei vieläkään yksinkertaista)
+rakentaa siten, että
+anonymiteetti säilyy.
+
+Verkon kautta tapahtuva *nettiäänestys* sen sijaan sisältää kaikki äänestyspaikalla tapahtuvan täyssähköisen
+äänestämisen riskit ja sen lisäksi vielä useita muita riskejä, jotka äänestyspaikalla voitaisiin eliminoida.
+Nettiäänestystä ei siis voida ottaa käyttöön keskeisissä valtiollisissa vaaleissa,
+ellei täyssähköiseen äänestyspaikalla (ilman paperivarimistusta)
+tapahtuvaan äänestykseen voida täysin luottaa.
### Lähteistä
-Tämän dokumentin kirjoittamisessa on käytetty apuna erityisesti [tekniikan tohtori Antti Honkelan kirjoittamaa Effin lausuntoa oikeusministeriölle][31], sekä yllä mainittuja nettikeskusteluja.
-
+Tämän dokumentin kirjoittamisessa on käytetty apuna erityisesti [tekniikan tohtori Antti Honkelan kirjoittamaa Effin lausuntoa oikeusministeriölle][31].
Tyypillisiä argumentteja on etsitty esimerkiksi seuraavista keskusteluista:
* [Effi muistuttaa e-äänestämisen vaaroista][41] (ITViikko 22.8.2007, uutiskeskustelu)
projects / .git / commitdiff