0:00:09.000,0:00:12.000
Tänan teid, ja tänan eriti selle eest, et

0:00:12.000,0:00:15.500
olete siin nii varajasel hommikusel ajal.

0:00:15.500,0:00:18.000
Tean, et CCC standardi järgi on veel

0:00:18.000,0:00:19.500
varane koiduaeg.

0:00:19.500,0:00:23.500
(aplaus)

0:00:24.000,0:00:26.000
Niisiis, mina olen Alex Halderman.

0:00:26.000,0:00:28.000
Ma olen arvutiteaduste professor

0:00:28.000,0:00:30.000
Michigani ülikoolis, USA-s.

0:00:30.000,0:00:34.000
Töö, millest hakkan teile täna rääkima,

0:00:34.000,0:00:38.000
on olnud eelkõige koostöö teistega.

0:00:38.000,0:00:41.000
Ma pean eriti tänama minu tudengeid -

0:00:41.000,0:00:46.000
Drew Springall, Travis Finkenauer ja[br]Zakir Durumeric,

0:00:46.000,0:00:47.500
ning meie kaastöötajaid -

0:00:47.500,0:00:50.000
Jason Kitcat, Harri Hursti ja[br]Margaret MacAlpine.

0:00:50.000,0:00:52.000
See töö poleks valminud ilma nendeta!

0:00:52.000,0:00:54.000
Tegelikult on kolm minu tudengit,

0:00:54.000,0:00:56.000
kellega ma e-valimiste uuringut tegin,

0:00:56.000,0:00:57.500
täna koos minuga siin.

0:00:57.500,0:01:00.500
Eric Wustrow, Zakir Durumeric,[br]Drew Springall,

0:01:00.500,0:01:03.000
kas te tõuseksite, palun, püsti!

0:01:04.000,0:01:05.500
Hästi! Aplaus tudengitele!

0:01:05.500,0:01:07.000
Nemad tegidki seda tööd!

0:01:07.500,0:01:12.500
(aplaus)

0:01:13.500,0:01:16.000
Hüva! Niisiis on e-valimised midagi,

0:01:16.000,0:01:20.000
mis on mind huvitanud viimased 10 aastat.

0:01:20.000,0:01:22.500
Ja see pakub mulle huvi eriti seetõttu,

0:01:22.500,0:01:25.500
et see kõlab justkui midagi imelist,

0:01:25.500,0:01:28.000
mis võimaldaks kasutada arvuteid

0:01:28.000,0:01:30.000
häälte turvaliseks kokkulugemiseks,

0:01:30.000,0:01:32.000
laseks valida üle interneti,

0:01:32.000,0:01:34.000
koos kõigi mugavustega,

0:01:34.000,0:01:35.500
mida see tehnoloogia kaasa toob.

0:01:35.500,0:01:37.500
Võib-olla saaksime vähendada kulusid,

0:01:37.500,0:01:40.000
võib-olla saaksime suurendada osavõttu.

0:01:40.000,0:01:43.000
Samal ajal esitavad e-valimised

0:01:43.000,0:01:46.000
mõned kõige raskemad väljakutsed

0:01:46.000,0:01:48.000
andmeturbe vallas.

0:01:48.000,0:01:51.000
Ja ma näen selles motiveerivat näidet

0:01:51.000,0:01:53.000
ja motiveerivat probleemi

0:01:53.000,0:01:56.000
kõiksugu edasiarenguteks krüptograafias,

0:01:56.000,0:01:59.000
süsteemiehituses ja kasutatavuses.

0:01:59.000,0:02:01.000
E-valimised on väga keeruline

0:02:01.000,0:02:04.000
turbeprobleem ebaharilike nõuete tõttu.

0:02:04.000,0:02:06.000
Turvalisteks e-valimisteks on

0:02:06.000,0:02:09.000
ennekõike vaja kaht asja.

0:02:09.000,0:02:11.000
Üks neist on terviklus,

0:02:11.000,0:02:13.000
ja selle all pean silmas seda,

0:02:13.000,0:02:16.000
et valimistulemus vastaks valija tahtele.

0:02:16.000,0:02:19.000
See on üsna nõrk tervikluse definitsioon.

0:02:19.000,0:02:22.500
Lihtsustatult: et õige kandidaat võidaks.

0:02:22.500,0:02:24.000
See tähendab loomulikult,

0:02:24.000,0:02:25.000
et hääled on antud

0:02:25.000,0:02:26.500
vastavalt valija tahtele,

0:02:26.500,0:02:28.500
ja et valimistulemus on kokku loetud

0:02:28.500,0:02:30.500
vastavalt sellele, kuidas hääled anti.

0:02:30.500,0:02:32.500
Kuid teine nõue, ja põhjus,

0:02:32.500,0:02:34.500
miks see on palju keerulisem

0:02:34.500,0:02:36.000
kui teised probleemid,

0:02:36.000,0:02:38.000
millega me igapäevaselt tegeleme,

0:02:38.000,0:02:42.000
nagu netipangad ja ostmine e-kaubanduses,

0:02:42.000,0:02:44.500
seisneb selles, et meil on vaja tagada

0:02:44.500,0:02:46.000
ka valimissaladuse nõue.

0:02:46.000,0:02:49.000
Valimissaladus, mis on üheks tähtsaimaks

0:02:49.000,0:02:51.000
tehnoloogiliseks edusammuks

0:02:51.000,0:02:53.000
valimistehnoloogia ajaloos.

0:02:53.000,0:02:56.000
Valimissaladus, mis kaitseb sind sunni

0:02:56.000,0:02:58.000
eest anda oma hääl nõutud moel.

0:02:58.000,0:03:01.500
Ja kaitseb meid sinu hääle müümise eest.

0:03:02.000,0:03:04.500
Valimissaladuse nõude järgi ei tohi keegi

0:03:04.500,0:03:07.000
teada saada, kuidas sa valisid, isegi,

0:03:07.000,0:03:09.500
kui sa püüad talle oma valikut tõestada.

0:03:09.500,0:03:12.000
Sellega tahame vältida valimiste

0:03:12.000,0:03:14.500
survestamist ja takistada häälte müüki.

0:03:15.000,0:03:17.500
Põhjus, mis teeb e-valimised keeruliseks,

0:03:17.500,0:03:20.000
on suuresti selles, et need kaks omadust,

0:03:20.000,0:03:22.000
terviklus ja valimissaladus,

0:03:22.000,0:03:24.000
on vastandlikud.

0:03:24.000,0:03:27.000
Paljud kaitsemeetmed, mida me tavaliselt

0:03:27.000,0:03:30.000
püüaksime kasutada tervikluse tagamiseks,

0:03:30.000,0:03:33.000
meetmed, mida me kasutame e-kaubanduses -

0:03:33.000,0:03:36.000
saata kviitung või pangaväljavõte,

0:03:36.000,0:03:39.000
või tehes arvepidamist suure tabeliga,

0:03:39.000,0:03:42.000
kus kogu raha sisse ja välja liikumine

0:03:42.000,0:03:44.000
on kokku võetud, ja me veendume,

0:03:44.000,0:03:46.000
et kõik klapib.

0:03:46.000,0:03:48.000
Selliseid asju on väga-väga keeruline

0:03:48.000,0:03:50.500
või võimatu rakendada, kui me tahame

0:03:50.500,0:03:53.000
hoida ranget valimissaladust,

0:03:53.000,0:03:56.000
samal ajal kui püüame tagada terviklust.

0:03:56.000,0:03:59.000
Seega vajame väga erinevaid mehhanisme,

0:03:59.000,0:04:01.000
saavutamaks e-valimiste süsteemi,

0:04:01.000,0:04:03.000
mis tagaks need kriitilised nõuded.

0:04:03.500,0:04:06.000
Loomulikult pole see takistanud inimesi

0:04:06.000,0:04:08.000
elektroonilisi valimissüsteeme ehitamast.

0:04:08.000,0:04:10.000
Paljud riigid üle kogu maailma kasutavad

0:04:10.000,0:04:12.000
elektroonilisi valimisi või on hakanud

0:04:12.000,0:04:14.000
proovima internetivalimisi.

0:04:14.000,0:04:18.000
Mul on viimastel aastatel olnud õnne

0:04:18.000,0:04:20.500
osaleda mõnedes esimestes erinevate

0:04:20.500,0:04:23.000
süsteemide praktilistes uuringutes.

0:04:23.000,0:04:25.500
Näiteks 2007. aastal osalesin Princetonis

0:04:25.500,0:04:28.000
meeskonnas, mis tegi esimest praktilist

0:04:28.000,0:04:31.000
sõltumatu osapoole turvaanalüüsi USA

0:04:31.000,0:04:33.000
valimistel kasutatud valimismasinale.

0:04:33.000,0:04:36.000
See asjandus, Diebold AccuVote-TS, oli

0:04:36.000,0:04:40.500
toona USA-s levinuim e-valimismasin.

0:04:41.000,0:04:45.500
Selle tootja oli tehnoloogia osas[br]väga salatsev.

0:04:45.500,0:04:48.000
Nad veensid rahvast, et loomulikult on

0:04:48.000,0:04:50.000
see täiesti turvaline, kuid seda,

0:04:50.000,0:04:53.000
kuidas see töötab, hoiti saladuses.

0:04:54.000,0:04:57.000
Loomulikult on see väga harva hea märk.

0:04:57.000,0:05:00.000
Alles pärast mitmeid aastaid ilma fakte

0:05:00.000,0:05:04.000
teadmata peetud arutelu, andis lõpuks

0:05:04.000,0:05:07.000
keegi vilepuhuja ühe neist masinatest

0:05:07.000,0:05:10.000
meie uurimisrühmale Princetonis.

0:05:10.000,0:05:12.500
Ja mõned neist lugudest on sellised,

0:05:12.500,0:05:15.000
et ise välja mõelda ei oskakski.

0:05:15.000,0:05:17.500
Pärast eilset filmi Citizenfour,

0:05:17.500,0:05:20.000
näib see pärinevat otse sellest filmist.

0:05:20.000,0:05:22.000
Ma pidin minema sellele masinale järgi

0:05:22.000,0:05:24.000
ja selle kätte saama otse allika käest.

0:05:24.000,0:05:25.700
See kiskus naeruväärseks -

0:05:25.700,0:05:27.500
pidin sõitma New Yorki,

0:05:27.500,0:05:29.500
kus parkisin auto Times Square hotelli

0:05:29.500,0:05:32.000
juures tänaval teise sõiduritta

0:05:32.000,0:05:34.500
ja läksin hotelli taha teenindusteele,

0:05:34.500,0:05:37.000
kus vihmamantlis mees andis mulle

0:05:37.000,0:05:40.000
musta nahast kohvri valimismasinaga.

0:05:40.000,0:05:45.000
(aplaus)

0:05:45.000,0:05:47.500
Igatahes veetsime suve, töötades salaja

0:05:47.500,0:05:49.500
masinat pöördkodeerides, ja ma ei tea,

0:05:49.500,0:05:51.000
mis seal nii salajast oli -

0:05:51.000,0:05:53.000
see oli olemuselt imelikus korpuses ja

0:05:53.000,0:05:55.000
puuteekraaniga personaalarvuti, millel

0:05:55.000,0:05:57.000
eemaldatav mälukaart sedelivormi üles

0:05:57.000,0:05:59.000
ja häälte alla laadimiseks.

0:06:00.000,0:06:04.000
Igatahes saime teada paar huvitavat asja[br]selle turvalisuse kohta.

0:06:04.000,0:06:06.000
Selgus, et sellel oli lihtsalt tavaline

0:06:06.000,0:06:08.000
operatsioonisüsteemi tuum, ja rakendus,

0:06:08.000,0:06:11.000
mis luges ja summeeris hääli.

0:06:11.000,0:06:15.000
Tehes mälukaardiga paar lõbusat trikki,

0:06:15.000,0:06:18.000
sai masina panna asendama oma tarkvara,

0:06:18.000,0:06:20.000
millel puudusid krüptograafiakontrollid,

0:06:20.000,0:06:23.000
ükskõik, mis tarkvaraga, mida sa tahtsid.

0:06:23.000,0:06:26.500
Nii tulime välja rakendusega Stuffer[br](Koosseisuline Töötaja),

0:06:26.500,0:06:29.000
mille sai masinasse laadida,

0:06:29.000,0:06:31.000
mis näitas puuteekraanil ilusat liidest,

0:06:31.000,0:06:33.500
lasi sul valida, kelle poolt hääletada

0:06:33.500,0:06:35.000
ja mil määral,

0:06:35.000,0:06:37.000
ning muutis siis vastavalt kõiki hääli,

0:06:37.000,0:06:41.000
sest see masin hoidis hääli lihtsalt[br]elektroonilises mälus.

0:06:41.000,0:06:43.000
Sellisel viisil on võimalik korraldada

0:06:43.000,0:06:45.000
valimised George Washingtoni

0:06:45.000,0:06:48.000
ja Benedict Arnoldi[br](kuulus Ameerika revolutsiooni reetur)

0:06:48.000,0:06:50.000
vahel selliselt, et ükskõik,

0:06:50.000,0:06:52.000
millal me seda hääletust korraldame,

0:06:52.000,0:06:53.500
võidab alati Benedict Arnold,

0:06:53.500,0:06:55.500
sest oleme masinat salaja mõjutanud.

0:06:55.500,0:06:57.500
Seda on nii lihtne teha, et minu juhtumil

0:06:57.500,0:07:01.500
isegi kamp naiivseid bakatudengeid

0:07:01.500,0:07:04.000
saaks mõne nädalaga hakkama,

0:07:04.000,0:07:07.000
tänu valimiste automatiseerimisele.

0:07:08.000,0:07:10.000
Me avastasime ka, et tänu selle

0:07:10.000,0:07:12.000
tehnoloogia automatiseerimisele

0:07:12.000,0:07:14.000
saame luua valimismasinaviiruse,

0:07:14.000,0:07:16.500
mis levib nendel mälukaartidel

0:07:16.500,0:07:18.000
masinast masinasse

0:07:18.000,0:07:21.000
normaalse valimistsükli käigus.

0:07:21.000,0:07:24.000
Seega saab keegi, kel õnnestub mõni minut

0:07:24.000,0:07:26.000
mõne valimismasina juures omaette olla,

0:07:26.000,0:07:29.000
muuta valimistulemust kogu osariigis.

0:07:30.000,0:07:32.500
See on e-valimiste tõeline oht.

0:07:32.700,0:07:34.500
Mitte lihtsalt see,

0:07:34.500,0:07:36.000
et võltsimine on võimalik -

0:07:36.000,0:07:39.000
ka paberhääletust on võimalik võltsida,

0:07:39.000,0:07:41.500
kuid automatiseerimise pakutav võimsus

0:07:41.500,0:07:44.000
võimaldab seda märksa ulatuslikumalt

0:07:44.000,0:07:47.000
ja vaid väikse salasepitsuse teel,

0:07:47.000,0:07:49.000
mida on ka väga raske avastada.

0:07:49.500,0:07:51.500
Aga see pole ainus uuring,

0:07:51.500,0:07:53.500
mis on näidanud e-valimiste probleeme.

0:07:53.500,0:07:55.500
Ma olin osaline uuringus, mille tellis

0:07:55.500,0:07:57.500
California osariigi kantsler Debra Bowen,

0:07:57.500,0:08:00.000
samuti 2007. aastal, ja mis analüüsis

0:08:00.000,0:08:03.000
kõiki e-valimiste tehnoloogiaid,

0:08:03.000,0:08:05.000
mida Californias kasutatakse.

0:08:05.000,0:08:09.000
Me uurisime kolme tootja masinaid:[br]Hart, Sequoia ja Diebold.

0:08:09.000,0:08:11.500
Uskuge või mitte, kuid kõik need masinad

0:08:11.500,0:08:14.000
põhinesid lähtekoodil, mis koosnes

0:08:14.000,0:08:17.000
sadadest tuhandetest koodiridadest.

0:08:17.000,0:08:20.000
Liiga keeruline, et olla turvaline.

0:08:20.000,0:08:22.000
Seega polnud üllatus, et kõiki neid

0:08:22.000,0:08:25.000
masinaid ohustas häälte varastamise kood

0:08:25.000,0:08:27.500
ja rünnakud, mis lasevad valimisametnikel

0:08:27.500,0:08:30.000
rikkuda hääletamise salajasuse nõuet

0:08:30.000,0:08:32.000
ja saada teada kuidas keegi hääletas.

0:08:32.000,0:08:34.000
Uuringu tulemusena kaotasid need masinad

0:08:34.000,0:08:38.000
sertifikaadi ja nende kasutamine keelati[br]California osariigis.

0:08:38.000,0:08:43.000
(aplaus)

0:08:43.000,0:08:46.000
Kuid see pole vaid USA probleem.

0:08:46.000,0:08:48.000
Ka Euroopas katsetatakse e-valimistega

0:08:48.000,0:08:51.000
ja ühe esimese uuringu Euroopas

0:08:51.000,0:08:53.500
korraldas minu sõber Rop Gonggrijp,

0:08:53.500,0:08:55.500
kes istub siin esimeses reas.

0:08:55.500,0:08:57.500
Aplausiraund Ropile!

0:08:57.500,0:09:01.000
(aplaus)

0:09:01.000,0:09:03.500
Niisiis Rop ja tema kaastöötajad uurisid

0:09:03.500,0:09:06.000
Nedap ES3B masinaid, mis olid kasutusele

0:09:06.000,0:09:10.000
võetud Hollandis, ja nad avastasid,

0:09:10.000,0:09:13.000
et vahetades lihtsalt EEPROM-i kiibi,

0:09:13.000,0:09:15.000
mis, nagu nad demonstreerisid,

0:09:15.000,0:09:17.500
on hõlpsasti tehtav vähem kui minutiga,

0:09:17.500,0:09:19.500
saavad nad panna masina varastama hääli,

0:09:19.500,0:09:23.000
tegema sohki ja isegi mängima malet.

0:09:23.000,0:09:25.000
(naer ja plaksutamine)

0:09:25.000,0:09:30.000
Inspireerituna Ropist, võtsime kolleeg[br]Ariel Feldmaniga masina,

0:09:30.000,0:09:34.000
mis siiani kasutusel paljudes USA osades,

0:09:34.000,0:09:40.500
ja mõned aastad hiljem muutsime selle[br]päris heaks Pac-Mani masinaks.

0:09:40.500,0:09:45.000
(naer ja plaksutamine)

0:09:45.000,0:09:47.500
Kuid pole üksnes USA ja Euroopa.

0:09:47.500,0:09:50.000
Ka India kasutab elektroonilisi valimisi.

0:09:50.000,0:09:52.500
See on nii maailma suurim demokraatia

0:09:52.500,0:09:55.000
kui ka suurim e-valimiste kasutaja.

0:09:55.000,0:09:57.000
Neil on sellised kodumaised

0:09:57.000,0:09:59.000
väga ilusad ja väga lihtsad

0:09:59.000,0:10:01.500
varjatud süsteemiga valimismasinad.

0:10:01.500,0:10:06.000
Läheks liiga pikale rääkida täna[br]kogu lugu,

0:10:06.000,0:10:10.500
kuid praeguseks umbes 4 aastat tagasi

0:10:10.500,0:10:13.000
andis anonüümne allikas, vilepuhuja,

0:10:13.000,0:10:15.500
ühe neist salajastest valitsuse[br]tehtud masinatest

0:10:15.500,0:10:19.000
uurimiseks sellele keskmisele mehele[br](Hari Prasad).

0:10:19.000,0:10:21.000
Ja ta helistas mulle ja Ropile,

0:10:21.000,0:10:25.000
ning me läksime Indiasse[br]ja uurisime seda.

0:10:25.000,0:10:27.500
Nagu ma ütlesin, läheks kogu lugu pikale,

0:10:27.500,0:10:30.000
kuid lühidalt kokkuvõttes lõppes see nii,

0:10:30.000,0:10:32.000
et Hari pandi mõneks ajaks vangi,

0:10:32.000,0:10:35.000
Ropit ja mind oleks maalt peaaegu[br]välja saadetud.

0:10:35.000,0:10:38.000
Ja just äsja tegi India ülemkohus reegli,

0:10:38.000,0:10:40.000
et nad peavad kasutusele võtma

0:10:40.000,0:10:42.500
paberil väljatrüki, et India valijad

0:10:42.500,0:10:45.500
saaks mõistliku tagatise, et nende hääled

0:10:45.500,0:10:47.500
on turvaliselt kokku loetud.

0:10:47.500,0:10:54.000
(aplaus)

0:10:54.000,0:10:56.000
Aga internetivalimised?

0:10:56.500,0:11:00.000
Kuid internetivalimine on veel keerulisem

0:11:00.000,0:11:03.000
kui e-valimine eraldiseisvas masinas,

0:11:03.000,0:11:04.500
mis asub valimisjaoskonnas,

0:11:04.500,0:11:07.000
sest internetivalimistel on probleem,

0:11:07.000,0:11:09.000
et valijad kasutavad oma arvuteid,

0:11:09.000,0:11:11.000
väljaspool turvalist keskkonda, kus

0:11:11.000,0:11:14.000
need võivad olla haavatavad survestamise,

0:11:14.000,0:11:17.000
kasutajanimede ja paroolide varguse,

0:11:17.000,0:11:20.000
valimisserverit teeskleva libaserveri,

0:11:20.000,0:11:23.000
masinaid nakatava pahavara või isegi juba

0:11:23.000,0:11:26.000
paljusid masinaid nakatanud botnettide

0:11:26.000,0:11:30.000
poolt, kompromiteerides valimistulemust.

0:11:30.000,0:11:32.000
Ja see pole veel kõik -

0:11:32.000,0:11:33.500
ka server peab olema suuteline

0:11:33.500,0:11:35.500
vastu pidama teenusetõkestusrünnetele.

0:11:35.500,0:11:37.500
Pidagem meeles, et valimised toimuvad

0:11:37.500,0:11:39.500
kindlal perioodil, seega ei saa öelda,

0:11:39.500,0:11:41.500
et meie süsteem on sel nädalal maas

0:11:41.500,0:11:43.500
ja me lükkame internetivalimiste osa

0:11:43.500,0:11:45.000
edasi järgmisesse kuusse.

0:11:45.000,0:11:46.500
See lihtsalt ei sobi!

0:11:46.500,0:11:49.000
Tuleb muretseda siseringirünnakute pärast,

0:11:49.000,0:11:51.000
välise sissetungi pärast

0:11:51.000,0:11:53.000
ja veelgi keerukamate rünnakute pärast,

0:11:53.000,0:11:55.000
nagu mõne riigi poolt toetatud ründed.

0:11:55.000,0:11:57.000
Kui mitu riiki sinu arvates võib soovida

0:11:57.000,0:12:01.000
mõjutada mõne suurriigi valimistulemusi?

0:12:01.000,0:12:03.500
Sellise soovi ja võimetega arenenud

0:12:03.500,0:12:06.500
riikide arv tõenäoliselt kasvab.

0:12:07.000,0:12:09.500
Kuid samal ajal on internetivalimiste

0:12:09.500,0:12:11.500
süsteeme keerukam uurida.

0:12:11.500,0:12:14.000
Ei saa lihtsalt loota kellelegi,

0:12:14.000,0:12:18.000
kes tooks sulle keset ööd ühe masina,[br]kui sul raskeks läheb.

0:12:18.000,0:12:21.500
Ei saa serverisse häkkida valimiste ajal.

0:12:21.500,0:12:24.000
See oleks eetiliselt sobimatu:

0:12:24.000,0:12:27.000
sest teadlasena, kes püüab parandada

0:12:27.000,0:12:30.500
demokraatliku tehnoloogia olukorda,

0:12:30.500,0:12:33.500
ei saa ma õigustada midagi,

0:12:33.500,0:12:35.000
mis võiks sekkuda valimiste

0:12:35.000,0:12:38.500
läbiviimisesse ja tulemustesse.

0:12:38.500,0:12:41.500
Seepärast pidime otsima muid võimalusi

0:12:41.500,0:12:43.000
ja üks parimaid näiteid,

0:12:43.000,0:12:46.500
mis mul on õnnestunud siiani leida,

0:12:46.500,0:12:48.500
on intsident aastast 2010,

0:12:48.500,0:12:50.500
kus Washington DC otsustas

0:12:50.500,0:12:53.500
juurutada internetivalimiste süsteemi.

0:12:53.500,0:12:57.000
Nad said suure valitsuse toetuse,[br]et seda ehitada.

0:12:57.000,0:12:59.500
Ja see oli mõeldud sõjaväes

0:12:59.500,0:13:01.500
ja välismaal viibivatele valijatele

0:13:01.500,0:13:03.000
kodukohas mittevalija hääle andmiseks.

0:13:03.000,0:13:06.000
Nad tegid palju asju õigesti -

0:13:06.000,0:13:08.500
nad tegid avatud lähtekoodiga süsteemi,

0:13:08.500,0:13:12.000
nad palkasid mõned suurte kogemustega[br]veebiarendajad,

0:13:12.000,0:13:14.500
nad kaasasid isegi turbeeksperte

0:13:14.500,0:13:16.500
ja küsisid neilt, kuidas peaks uut

0:13:16.500,0:13:19.000
internetivalimiste süsteemi tegema.

0:13:19.000,0:13:21.000
Ja turbeeksperdid isegi hoiatasid,

0:13:21.000,0:13:23.000
et internetihääletus on liiga ohtlik,

0:13:23.000,0:13:25.000
et ei-ei, ärge tehke seda!

0:13:25.000,0:13:26.500
Kuid DC tegi seda ikkagi.

0:13:26.500,0:13:28.500
Kuid võib-olla kompromissina,

0:13:28.500,0:13:32.000
võib-olla selleks, et meid paika panna,

0:13:32.000,0:13:34.000
et tõestaksime oma väiteid,

0:13:34.000,0:13:36.000
otsustasid nad korraldada avaliku

0:13:36.000,0:13:37.500
katsetuse ja ütlesid,

0:13:37.500,0:13:39.000
et nädal enne valimisi

0:13:39.000,0:13:40.500
korraldatakse testhääletus,

0:13:40.500,0:13:42.500
ja igaüks, kes tahab proovida sisse murda

0:13:42.500,0:13:46.000
ja näidata, kui haavatav see süsteem on,[br]võib seda teha.

0:13:46.000,0:13:48.000
(naer)

0:13:48.000,0:13:50.000
Mitte iga päev ei kutsuta sind

0:13:50.000,0:13:52.000
häkkima valitsuse arvutitesse

0:13:52.000,0:13:54.000
ilma vangi minemise ohuta.

0:13:54.000,0:13:56.000
Ma sain kokku meeskonna oma tudengeid

0:13:56.000,0:13:58.000
ja me otsustasime üleskutsele vastata.

0:13:58.000,0:14:00.000
Niisiis, nende süsteem nägi välja nii:

0:14:00.000,0:14:02.000
logid ilusa veebiliidese kaudu sisse,

0:14:02.000,0:14:03.700
laed alla hääletussedeli,

0:14:03.700,0:14:05.500
täidad selle PDF-Readeriga,

0:14:05.500,0:14:07.000
laed selle taas üles,

0:14:07.000,0:14:08.000
ja ongi kõik -

0:14:08.000,0:14:10.000
"Täname hääletamast!" ja "Teata ka oma

0:14:10.000,0:14:12.000
sõpradele Facebookis ja Twitteris!"...

0:14:12.000,0:14:13.500
Ilus ja särav! See on...

0:14:13.500,0:14:20.000
(naer ja aplaus)

0:14:20.000,0:14:24.000
Igatahes nädal enne valimisi need kutid,

0:14:24.000,0:14:26.000
Eric Wustrow, Scott Wolchok, ja mina,

0:14:26.000,0:14:28.500
kogunesime ühel õhtul minu kabinetti,

0:14:28.500,0:14:30.500
jäime üles päris kauaks, lugedes meile

0:14:30.500,0:14:33.500
avaldatud lähtekoodi ja kena GitHubi kogu.

0:14:34.000,0:14:37.000
Olime DC lähtekoodi paar tundi lugenud,

0:14:37.000,0:14:40.000
umbes 3-4 paiku hommikul, kui uurisime

0:14:40.000,0:14:42.000
seda protseduuri siin, mis on tehtud

0:14:42.000,0:14:45.000
veebirakenduste raamistikus[br]Ruby On Rails,

0:14:45.000,0:14:48.000
mida keegi meist polnud varem näinud.

0:14:48.000,0:14:51.000
Kuid suutsime siiski enamvähem aru saada.

0:14:51.000,0:14:53.500
Sellest esiletõstetud reast siin selgub,

0:14:53.500,0:14:56.000
et see valimissüsteem kasutab GPG-d

0:14:56.000,0:14:58.500
üles laetava sedeli krüpteerimiseks,

0:14:58.500,0:15:01.000
et see oleks turvaline ja salajane,

0:15:01.000,0:15:03.500
kuni tuleb aeg häälte kokku lugemiseks.

0:15:03.500,0:15:05.500
Siis liigutatakse need teise masinasse

0:15:05.500,0:15:07.500
ja avatakse seal hoitava privaatvõtmega.

0:15:08.000,0:15:11.000
Probleem peitub siin - nad kasutavad

0:15:11.000,0:15:13.500
topelt jutumärke ühekordsete asemel.

0:15:13.500,0:15:15.500
Sellest piisas, et me saime sisse häkkida

0:15:15.500,0:15:17.000
ja varastada kõik hääled.

0:15:17.000,0:15:18.000
(naer)

0:15:18.000,0:15:20.000
Probleem on selles, et see võimaldab

0:15:20.000,0:15:22.500
skriptisüstirünnakut, kuna see teek,

0:15:22.500,0:15:24.500
mida kasutati, see versioon,

0:15:24.500,0:15:26.500
mida kasutati, laseb lihtsalt koostada

0:15:26.500,0:15:28.500
koodijupi ja kasutada süsteemipöördumist,

0:15:28.500,0:15:31.000
et sisestada see käsureale.

0:15:31.000,0:15:35.000
Hea seegi,[br]et nad kontrollisid failinime põhiosagi,

0:15:35.000,0:15:37.000
ent laiend jäi kontrollimata.

0:15:37.000,0:15:39.300
Seega, kui sa kasutasid laiendit,

0:15:39.300,0:15:41.000
mis sisaldas käsurea käske,

0:15:41.000,0:15:43.500
siis põhjustas see nende käskude

0:15:43.500,0:15:46.000
käivitumise veebiserveri protsessile

0:15:46.000,0:15:48.000
antud kasutajaõigustes,

0:15:48.000,0:15:51.000
mis olid: hääletussedelite vastuvõtt

0:15:51.000,0:15:54.000
ja valimiste läbiviimine.

0:15:54.000,0:15:59.000
See oli esimene asi, mida me proovisime,[br]ja see toimis!

0:15:59.000,0:16:00.000
Igatahes...

0:16:00.000,0:16:04.500
(aplaus)

0:16:04.500,0:16:07.000
Me leidsime samas võrgus ka teisi

0:16:07.000,0:16:10.000
huvitavaid seadmeid, sealhulgas mitmeid

0:16:10.000,0:16:12.000
veebikaameraid, mis polnud kasutajanime

0:16:12.000,0:16:14.000
ja parooliga kaitstud.

0:16:14.000,0:16:15.500
Need olid andmekeskuses,

0:16:15.500,0:16:17.000
seega siin on masinad,

0:16:17.000,0:16:19.000
millel käivad e-valimised,

0:16:19.000,0:16:22.000
siin töötajad..., siin turvamees,

0:16:22.000,0:16:25.000
kes ei tea, et me häkime serverisse...

0:16:25.000,0:16:28.000
Kuid see oli tegelikult väga kasulik,

0:16:28.000,0:16:30.500
sest me saime neid mehi jälgida,

0:16:30.500,0:16:32.500
kas nad kahtlustavad,

0:16:32.500,0:16:34.500
et miskit on puudu.

0:16:34.500,0:16:37.000
Ja me nägimegi olulist muutust

0:16:37.000,0:16:40.500
nende käitumises ja hoiakutes -

0:16:40.500,0:16:43.000
kui nad viimaks avastasid, et olime

0:16:43.000,0:16:46.000
saavutanud kontrolli süsteemi üle,

0:16:46.000,0:16:48.500
siis polnud nad eriti õnnelikud.

0:16:48.500,0:16:57.000
(naer ja aplaus)

0:16:57.500,0:16:59.500
Igatahes, ma hüppan nüüd loos

0:16:59.500,0:17:01.500
jupp maad edasi, viimaks oli aeg

0:17:01.500,0:17:04.000
DC-s küps süsteemi ründamiseks.

0:17:04.000,0:17:06.000
Seega ootasime kuni kella viieni, millal,

0:17:06.000,0:17:08.500
nagu ma turvavideote põhjal teadsin,

0:17:08.500,0:17:10.500
läksid süsteemiadministraatorid

0:17:10.500,0:17:12.500
tavaliselt ööseks koju.

0:17:12.500,0:17:14.500
Sellest hetkest hakkasime seda

0:17:14.500,0:17:17.000
käsuliidese süstimise turvaauku kasutama,

0:17:17.000,0:17:18.500
et käivitada väliseid käsklusi.

0:17:18.500,0:17:21.500
Tegelikult me ehitasime mingit laadi

0:17:21.500,0:17:23.000
simuleeritud käsuliidese,

0:17:23.000,0:17:24.500
mis teeks vajalikke asju,

0:17:24.500,0:17:27.500
et kompileerida miskit valimissedelile,

0:17:27.500,0:17:29.500
laadida see üles, käivitada käsud

0:17:29.500,0:17:31.500
ja lekitada see tagasi välja,

0:17:31.500,0:17:34.000
pannes midagi veebiserveri avalikku kausta.

0:17:34.000,0:17:36.000
Ja põhimõtteliselt luua mulje,

0:17:36.000,0:17:38.000
nagu me oleksime käsureal.

0:17:38.000,0:17:40.000
Igatahes jätkasime rünnet süsteemi vastu,

0:17:40.000,0:17:42.500
mängides reaalse ründaja rolli.

0:17:43.000,0:17:45.000
Niisiis, kui sa reaalse ründajana

0:17:45.000,0:17:47.000
oled valimissüsteemi sisse häkkinud,

0:17:47.000,0:17:49.000
siis mida sa esimesena teeksid,

0:17:49.000,0:17:51.500
kas varastaksid kõik hääled?

0:17:51.500,0:17:53.500
Ei! Esimese asjana varastaksid

0:17:53.500,0:17:55.500
sa kõike muud, mida õnnestub,

0:17:55.500,0:17:57.200
ja mis võib aidata sul

0:17:57.200,0:17:59.000
süsteemi tagasi pääseda.

0:17:59.000,0:18:01.000
Sa lood järjepidevuse.

0:18:02.000,0:18:04.000
Alles teine asi, mis me tegime,

0:18:04.000,0:18:06.000
oli kõigi häälte varastamine...

0:18:06.000,0:18:08.000
(naer)

0:18:08.000,0:18:10.500
Me asendasime need oma valimissedelitega,

0:18:10.500,0:18:12.000
kus kõigil oli kandidaadiks

0:18:12.000,0:18:13.500
nimekirjaväline kandidaat -

0:18:13.500,0:18:15.500
ulmejutu või -filmi kuri robot,

0:18:15.500,0:18:17.000
kes võiks olla see,

0:18:17.000,0:18:18.500
kelle poolt arvutid hääletaks,

0:18:18.500,0:18:20.000
kui nad tahaks võimule tulla.

0:18:20.000,0:18:22.000
Siis seadistasime süsteemi asendama

0:18:22.000,0:18:24.000
kõik uued hääled meie eelistusega.

0:18:24.000,0:18:25.500
Siis lisasime tagaukse,

0:18:25.500,0:18:28.500
mis teeks avalikuks kõigi teiste valijate

0:18:28.500,0:18:30.500
salajased valimiseelistused,

0:18:30.500,0:18:32.000
ja kustutasime logid,

0:18:32.000,0:18:34.000
püüdes varjata oma tegevuse jälgi.

0:18:34.000,0:18:36.000
Nüüd oli meil veel üks dilemma,

0:18:36.000,0:18:38.000
mis seisnes selles, et olime saavutanud

0:18:38.000,0:18:40.000
süsteemi üle täieliku kontrolli,

0:18:40.000,0:18:41.500
kuid kuna pärisvalimised

0:18:41.500,0:18:43.000
olid nädala pärast tulemas,

0:18:43.000,0:18:47.000
siis tahtsime DC-le teada anda,[br]mis on juhtunud.

0:18:47.200,0:18:49.500
Aga me ei tahtnud neile helistada,

0:18:49.500,0:18:51.500
sest arvasime, et oleks põnev testida,

0:18:51.500,0:18:53.500
kui hästi suudavad valimisametnikud

0:18:53.500,0:18:55.500
rünnakuid tuvastada ja neile

0:18:55.500,0:18:58.000
simuleeritud valimiste käigus reageerida.

0:18:58.000,0:19:02.000
Iial pole olnud head näidet ega uurimust,

0:19:02.000,0:19:04.500
kuidas see välja mängitakse.

0:19:04.500,0:19:07.000
Seega neile lihtsalt helistamise asemel

0:19:07.000,0:19:10.000
otsustasime jätta oma arvates mitte eriti

0:19:10.000,0:19:12.500
tagasihoidliku visiitkaardi.

0:19:12.500,0:19:15.000
Niisiis muutsime valimisprotseduuri lõpus

0:19:15.000,0:19:17.000
valijat tänava ja sõpru Facebookis ja

0:19:17.000,0:19:19.500
Twitteris teavitada soovitava lehekülje

0:19:19.500,0:19:22.000
koodi, lisades sinna mõne rea. Just siia!

0:19:22.000,0:19:25.500
See käivitas valija arvutis mõnesekundise

0:19:25.500,0:19:28.500
pausi järel Michigani ülikooli jalgpalli

0:19:28.500,0:19:31.500
võitluslaulu "Tervitus võitjatele".

0:19:31.500,0:19:38.000
(naer ja aplaus)

0:19:38.000,0:19:40.000
Nii kulus ikkagi peaaegu kaks päeva,

0:19:40.000,0:19:42.000
enne, kui valimisametnikud märkasid.

0:19:42.000,0:19:43.500
Ja see juhtus alles siis,

0:19:43.500,0:19:45.500
kui keegi helistas neile ja tõstis esile,

0:19:45.500,0:19:47.000
et süsteem ise meeldib talle,

0:19:47.000,0:19:49.000
kuid talle ei meeldi see muusika,

0:19:49.000,0:19:50.000
mis lõpus mängib - see olevat häiriv!

0:19:50.000,0:19:51.500
(naer)

0:19:51.500,0:19:53.500
Arvan, et alles siis vaatasid nad ringi,

0:19:53.500,0:19:55.000
said aru, et nad kõik on

0:19:55.000,0:19:57.000
konkureeriva jalkameeskonna fännid.

0:19:57.000,0:19:59.000
Ja tundsid siis jubedat uppumise tunnet.

0:19:59.000,0:20:02.000
Igatahes tegi DC lõpuks targasti -

0:20:02.000,0:20:05.000
nad loobusid internetivalimiste süsteemi

0:20:05.000,0:20:07.000
häälte kogumiseks kasutamisest.

0:20:07.000,0:20:09.000
Selle asemel lasid nad võõrsil viibivail

0:20:09.000,0:20:12.000
valijatel õigeaegselt valida aitamiseks

0:20:12.000,0:20:14.000
alla laadida tühja valimissedeli,

0:20:14.000,0:20:15.500
selle välja printida,

0:20:15.500,0:20:17.000
ja saata see tagasi postiga.

0:20:17.000,0:20:20.000
Sellega kõrvaldasid nad enamiku riske

0:20:20.000,0:20:22.000
ja tulid poolele teele vastu valijaile,

0:20:22.000,0:20:24.000
kelle hääl vajas õigeaegset tagastamist.

0:20:25.000,0:20:30.000
Hüva! See oli senini meie parim uuring.

0:20:30.000,0:20:33.000
(aplaus)

0:20:33.000,0:20:35.500
Ja see toob meid tänase ettekande

0:20:35.500,0:20:36.500
peateema juurde.

0:20:36.500,0:20:39.500
Internetivalimised Eestis.

0:20:40.000,0:20:42.500
Eesti on väga-väga huvitav juhtum,

0:20:42.500,0:20:45.500
ja olen aastaid jälginud, mis on toimunud

0:20:45.500,0:20:48.500
Eesti internetivalimiste süsteemiga, sest

0:20:48.500,0:20:51.000
Eesti on maailma riikidest enim suutnud

0:20:51.000,0:20:54.000
internetivalimisi juurutada ja kasutada.

0:20:55.000,0:20:58.000
Neile, kes ei tea, kus Eesti asub,

0:20:58.000,0:21:01.000
sh enamik publikus olevaid ameeriklasi,

0:21:01.000,0:21:03.000
siis see asub siin.

0:21:03.000,0:21:05.000
Nagu näete, piirneb see Venemaaga.

0:21:05.000,0:21:09.000
Ameeriklastele: see on ka Euroopa Liidu[br]ja NATO liige.

0:21:09.000,0:21:11.000
Niisiis, Eesti on tegelikult

0:21:11.000,0:21:13.000
tehnoloogiliselt üsna arenenud riik.

0:21:13.000,0:21:15.000
Nad on liidrid e-valitsuse osas,

0:21:15.000,0:21:17.000
nad teevad palju huvitavaid katseid,

0:21:17.000,0:21:20.500
kuidas pakkuda avalikke teenuseid[br]üle interneti.

0:21:21.000,0:21:25.000
Selles kontekstis on pisut vähem üllatav,

0:21:25.000,0:21:28.000
et üks selline riik, nagu Eesti,

0:21:28.000,0:21:31.000
eksperimenteerib internetivalimistega.

0:21:31.000,0:21:34.000
Siiski on Eesti teinud rohkem,

0:21:34.000,0:21:36.000
kui kõigest mõned katsed.

0:21:36.000,0:21:39.000
Viimase kümne aastaga on nad, ma usun,

0:21:39.000,0:21:42.000
korraldanud internetis seitse valimist,

0:21:42.000,0:21:45.000
sealhulgas kõige hiljutisemad, mais 2014

0:21:45.000,0:21:48.000
toimunud Euroopa parlamendi valimised,

0:21:48.000,0:21:51.000
kus rohkem kui 30% kõigist häältest

0:21:51.000,0:21:53.000
anti interneti teel.

0:21:53.000,0:21:55.000
See on lihtsalt imeline!

0:21:55.000,0:21:57.000
Mitte ükski teine riik ei saa lähedalegi

0:21:57.000,0:22:00.000
nii tugeva internetist sõltumise poolest

0:22:00.000,0:22:03.000
riiklikel valimistel - üle 30 protsendi!

0:22:04.000,0:22:08.000
Ja ometi, kas Eesti süsteem on turvaline,

0:22:08.000,0:22:13.000
on küsimus, millele pole antud[br]adekvaatset vastust.

0:22:14.000,0:22:19.000
Tegelikult polnud meie sinna sattumiseni

0:22:19.000,0:22:21.500
sõltumatut rahvusvahelist uuringut,

0:22:21.500,0:22:24.000
mis oleks detailselt kontrollinud

0:22:24.000,0:22:27.000
seda tehnoloogiat ja selle turvalisust.

0:22:27.000,0:22:29.000
Ja seepärast paljudes teistes riikides,

0:22:29.000,0:22:31.500
sealhulgas minu kodumaal, oli inimesi,

0:22:31.500,0:22:33.500
kes imetledes vaatasid: ohhoo, Eesti,

0:22:33.500,0:22:35.500
vaadake seda, nad hääletavad internetis,

0:22:35.500,0:22:36.500
miks meie seda teha ei saa?

0:22:36.500,0:22:40.000
Kas poleks tore, kui me saaks[br]internetis hääletada?

0:22:40.000,0:22:42.000
Seepärast tahtsin ma teada saada,

0:22:42.000,0:22:44.000
nagu ka mu tudengid ja paljud mu sõbrad,

0:22:44.000,0:22:46.000
kas Eesti on tõesti lahendanud

0:22:46.000,0:22:49.000
internetivalimiste turvalisuse probleemi?

0:22:49.000,0:22:52.000
Kas nad on oma süsteemi loonud viisil,

0:22:52.000,0:22:53.500
mis arvestab kõiki neid reaalsete

0:22:53.500,0:22:56.000
ohtude liike, mida suured riigid

0:22:56.000,0:22:58.000
valimiste korraldamisel kohtavad?

0:22:58.000,0:23:03.000
Ja mida võiks minu riik, ja kõik teised,[br]Eesti näitest õppida?

0:23:03.000,0:23:06.000
Seega ootasin ma mitu-mitu aastat

0:23:06.000,0:23:08.000
võimalust minna Eestisse,

0:23:08.000,0:23:10.000
kohtuda seal nende inimestega,

0:23:10.000,0:23:11.500
et uurida seda süsteemi

0:23:11.500,0:23:14.000
ja püüda saada vastused neile küsimustele

0:23:14.000,0:23:15.500
e-valimiste uuringu kontekstis.

0:23:17.500,0:23:20.000
Viimaks oli mul see võimalus,

0:23:20.000,0:23:24.000
oktoobris 2013, kui mind kutsuti kaasa

0:23:24.000,0:23:27.000
rahvusvahelise teadlaste meeskonnaga

0:23:27.000,0:23:29.500
Tallinna linnavalitsuse poolt -

0:23:29.500,0:23:31.000
et tulla Eestisse,

0:23:31.000,0:23:34.000
rääkida meie kogemustest e-valmistega

0:23:34.000,0:23:37.000
ja olla riiklike valimiste vaatleja,

0:23:37.000,0:23:39.500
et reaalselt näha seda e-valimiste

0:23:39.500,0:23:42.000
süsteemi administreerimise protsessi.

0:23:43.000,0:23:47.000
Seega olime valimiste ametlikud[br]akrediteeritud vaatlejad.

0:23:47.000,0:23:50.000
Me pidime külastama andmekeskust,

0:23:50.000,0:23:55.000
kus majutatakse valimiste servereid.

0:23:55.000,0:23:58.500
Me pidime kohtuma süsteemi arendajatega

0:23:58.500,0:24:01.000
ja intervjueerima neid põhjalikult,

0:24:01.000,0:24:04.000
sealhulgas süsteemi isa Tarvi Martensit,

0:24:04.000,0:24:06.000
kes tegelikult tegi sellest ettekande ka

0:24:06.000,0:24:09.000
vist 25. C3 kongressil aastaid tagasi.

0:24:09.000,0:24:12.000
Tarvi on üks juhtivatest arendajatest,

0:24:12.000,0:24:15.000
see on tema lapsuke ja mul oli hea meel

0:24:15.000,0:24:18.000
temaga silmast silma pikemalt vestelda,

0:24:18.000,0:24:20.000
veeta koos temaga üks päev

0:24:20.000,0:24:22.000
ja tutvuda süsteemi toimimisega.

0:24:22.000,0:24:25.000
Saime tutvuda ka lähtekoodiga, sest Eesti

0:24:25.000,0:24:28.000
avaldas just eelmisel aastal esmakordselt

0:24:28.000,0:24:31.000
osa oma valimissüsteemi lähtekoodist.

0:24:31.000,0:24:33.000
Nad avaldasid serveripoolse lähtekoodi.

0:24:33.000,0:24:36.000
Kliendi lähtekood on endiselt kinnine.

0:24:36.000,0:24:39.000
Nad paluvad sul oma arvutisse paigaldada

0:24:39.000,0:24:42.000
suletud koodiga rakendus, et vältida sama

0:24:42.000,0:24:44.000
ilmega ebaausa libarakenduse loomist

0:24:44.500,0:24:46.500
või vähemalt teha see raskemaks.

0:24:47.000,0:24:50.000
Me pidime ka läbi vaatama, ja see on väga

0:24:50.000,0:24:52.000
huvitav asi, mis nad teevad, me pidime

0:24:52.000,0:24:55.000
vaatama kümneid tunde videosalvestisi,

0:24:55.000,0:24:57.000
mida Eesti valimiste ajal teeb.

0:24:57.000,0:25:00.000
Näiteks valimiseelne serverite seadistus

0:25:00.000,0:25:03.000
ja igapäevane varundamine andmekeskuses.

0:25:03.000,0:25:06.000
Tõesti huvitav, et nad seda pakuvad,

0:25:06.000,0:25:09.000
see võimaldas meil täita mitmeid lünki,

0:25:09.000,0:25:12.000
kuidas süsteemi tegelikult kasutatakse.

0:25:13.000,0:25:16.000
[Valija kogemused]

0:25:16.500,0:25:18.500
Järgmise asjana tahan teile näidata,

0:25:18.500,0:25:22.000
milline see süsteem näeb välja[br]valija vaatenurgast.

0:25:22.500,0:25:24.500
Kui sa oled Eesti valija,

0:25:24.500,0:25:27.500
kes kavatseb oma e-hääle anda,

0:25:27.500,0:25:30.000
siis on sul selleks umbes nädal aega

0:25:30.000,0:25:33.000
enne kohaleminemisega valimispäeva.

0:25:34.000,0:25:36.000
Sa logid oma arvutist sisse,

0:25:36.000,0:25:37.500
laadid alla rakenduse,

0:25:37.500,0:25:39.500
ja on vaid üks asi sellel pildil,

0:25:39.500,0:25:42.000
mis võib tunduda teistele ebatavaline.

0:25:42.000,0:25:44.000
Ja see on see asi! Mis see on?

0:25:44.000,0:25:47.000
Eestis on üks väga huvitav asi nende poolt

0:25:47.000,0:25:50.000
arvutitehnoloogia vallas tehtu seas -

0:25:50.000,0:25:53.000
kõik nende ID-kaardid on kiipkaardid

0:25:53.000,0:25:56.000
ja igal kodanikul on selline ID-kaart,

0:25:56.000,0:25:59.000
mille kiibis on RSA võtmepaar.

0:26:00.000,0:26:04.000
Neid saab kasutada autentimiseks veebis,

0:26:04.000,0:26:08.500
kasutades HTTPS TLS klienti Auth.

0:26:08.500,0:26:10.000
Nad on ainuke riik,

0:26:10.000,0:26:13.000
kus see on laialt kasutusele võetud.

0:26:13.500,0:26:15.500
Või dokumentide allkirjastamiseks,

0:26:15.500,0:26:18.000
ja neil on seaduslik, riigi tunnustatud

0:26:18.000,0:26:21.000
elektroonilise dokumendi vorming,

0:26:21.000,0:26:24.000
mis toetab selle kaardiga antud allkirju.

0:26:24.000,0:26:27.000
Mitu riiki on püüdnud sellist asja teha,

0:26:27.000,0:26:30.000
kuid Eesti on ainulaadne, sest seal on

0:26:30.000,0:26:32.000
see laialt kasutusel - paljud inimesed,

0:26:32.000,0:26:36.000
suur osa eestlastest, kasutab seda kaarti

0:26:36.000,0:26:38.000
internetipangas, nad kasutavad seda

0:26:38.000,0:26:40.000
tuludeklaratsiooni esitamiseks,

0:26:40.000,0:26:42.500
nad kasutavad seda, et pääseda ligi

0:26:42.500,0:26:44.000
online tervishoiuteenustele.

0:26:44.000,0:26:46.500
See on tõesti laialt kasutusel,

0:26:46.500,0:26:48.500
ja minu arvates on see fantastiline,

0:26:48.500,0:26:50.500
et neil on õnnestunud luua rahvuslik

0:26:50.500,0:26:52.500
avaliku võtme infrastruktuur

0:26:52.500,0:26:54.500
ja näha selle omaks võtmist.

0:26:54.500,0:26:57.500
Seega pole üldse üllatav, et nad rajasid

0:26:57.500,0:27:00.500
kogu valimissüsteemi ülesehituse nende

0:27:00.500,0:27:03.500
kaartide võimetele ja funktsioonidele.

0:27:04.000,0:27:06.000
Seega tuleb e-valima mineva eestlasena

0:27:06.000,0:27:09.000
esmalt ametlikust veebist alla laadida

0:27:09.000,0:27:12.000
kliendirakendus, ja see on saadaval

0:27:12.000,0:27:14.000
Windowsile, Macile ja Linuxile.

0:27:14.500,0:27:17.000
Siis paigaldada see oma arvutisse

0:27:17.000,0:27:19.000
ja edasi järgida rakenduse juhiseid,

0:27:19.000,0:27:21.500
kasutada oma kiipkaarti, riiklikku ID-d,

0:27:21.500,0:27:23.000
et anda oma hääl.

0:27:23.000,0:27:26.000
Siin on see, kuidas see käib:

0:27:26.000,0:27:29.000
Esmalt käivitad sa rakenduse,

0:27:29.000,0:27:32.000
ja see küsib sinult neljakohalist koodi.

0:27:32.000,0:27:36.000
See kood on vajalik kiipkaardile,

0:27:36.000,0:27:41.000
et aktiveerida kaardi autentimis-[br]ja allkirjastamisfunktsioonid,

0:27:41.000,0:27:43.000
ning lubada kasutada võtmeid.

0:27:43.000,0:27:46.000
Pärast seda ühendub see valimisserveriga,

0:27:46.000,0:27:48.000
autendib TLS kliendiga Auth,

0:27:48.000,0:27:50.000
otsib välja, kus sa elad,

0:27:50.000,0:27:52.000
ja saadab rakendusele valimissedeli.

0:27:52.000,0:27:54.000
Sa pead rakenduses lihtsalt valima,

0:27:54.000,0:27:56.000
kelle poolt sa hääletad.

0:27:57.000,0:28:00.000
Muide, igaks valimiseks on uus rakendus.

0:28:01.000,0:28:04.000
Siis klõpsad nuppu "Valin", ja edasi

0:28:04.000,0:28:08.000
tarkvara tegeleb natuke krüpteerimisega.

0:28:08.000,0:28:11.000
Siin on see, mida see teeb - kaht asja.

0:28:11.000,0:28:15.000
Esiteks krüpteerib see su valimissedeli,

0:28:15.000,0:28:19.000
kasutades RSA-d ja kliendi genereeritud

0:28:19.000,0:28:22.000
juhuslikku polsterdavat teksti.

0:28:22.000,0:28:25.000
Siis võtab see selle krüpteeritud sedeli

0:28:25.000,0:28:27.500
ja allkirjastab digitaalselt

0:28:27.500,0:28:30.000
sinu ametliku ID-kaardiga.

0:28:31.000,0:28:33.500
Seega teine, allkirjastamise etapp,

0:28:33.500,0:28:35.500
annab tulemuseks allkirjastatud

0:28:35.500,0:28:37.500
krüpteeritud valimissedeli.

0:28:37.500,0:28:40.000
Allkirjastatud krüpteeritud valimissedel

0:28:40.000,0:28:42.500
läheb valimisserverisse, mis hoiab seda,

0:28:42.500,0:28:44.500
kuni on aeg hääled kokku lugeda.

0:28:44.500,0:28:47.500
See on valimiseprotseduuri lühiülevaade,[br]väga lihtne!

0:28:48.500,0:28:50.500
Järgmisena on Eestil siiski iseärasus,

0:28:50.500,0:28:53.000
mida rakendati alles viimastel aastatel,

0:28:53.000,0:28:55.000
ja mis laseb sul teha midagi,

0:28:55.000,0:28:57.000
mida nad kutsuvad kontrollimiseks.

0:28:57.000,0:28:58.500
Viimane asi,

0:28:58.500,0:29:00.500
mida valimiste klientrakendus teeb,

0:29:00.500,0:29:02.500
on sellise QR koodi näitamine.

0:29:03.000,0:29:06.000
See QR kood sisaldab kaht asja:

0:29:06.000,0:29:09.000
sedeli tunnust ja enne RSA krüpteerimist

0:29:09.000,0:29:13.000
sedeli polsterdamisel kasutatud juhuteksti.

0:29:13.500,0:29:18.000
Nende abil saad nutitelefonirakendusega,

0:29:18.000,0:29:21.000
mis on saadaval iOS-ile ja Androidile,

0:29:21.000,0:29:26.000
skaneerida selle QR koodi, misjärel teeb

0:29:26.000,0:29:28.000
rakendus päringu valimisserverisse

0:29:28.000,0:29:29.500
ja server saadab tagasi

0:29:29.500,0:29:31.000
krüpteeritud valimissedeli,

0:29:31.000,0:29:33.000
millelt on eemaldatud digiallkiri.

0:29:33.000,0:29:38.000
Server väidab, et see on see sedel,[br]mille ta sinult sai.

0:29:39.000,0:29:42.000
Hüva! Siis, kasutades seda juhuteksti,

0:29:42.000,0:29:45.000
mis saadi QR koodist, püüab nutirakendus

0:29:45.000,0:29:49.000
jõuga lahti murda sinu sedelit, proovides

0:29:49.000,0:29:52.000
läbi kõik võimalused, kuni leiab selle,

0:29:52.000,0:29:54.000
mis šifreerub samaks tekstiks.

0:29:54.000,0:29:57.000
Hüva! Siis leiab see kokkusobivuse

0:29:57.000,0:30:00.000
ja kuvab tulemuseks saadud kandidaadi.

0:30:01.000,0:30:04.000
Sunnivastase abinõuna saab valideerimist

0:30:04.000,0:30:08.000
teha vaid kuni kolm korda ja seda kuni

0:30:08.000,0:30:11.000
30 minuti jooksul pärast hääletamist.

0:30:11.000,0:30:15.000
Muidu saaks sinu survestaja alati nõuda,

0:30:15.000,0:30:17.000
et näitaksid talle oma sedeli kontrolli.

0:30:17.500,0:30:21.000
Huvitav, et ühe meetmena survestamise

0:30:21.000,0:30:23.000
vastu on sul võimalus oma hääl ära muuta

0:30:23.000,0:30:25.000
nii palju kordi kui sa tahad,

0:30:25.000,0:30:28.000
kuni kohaleminekuga valimise päevani.

0:30:28.000,0:30:30.000
Selleks lihtsalt korda seda protseduuri,

0:30:30.000,0:30:33.000
ning su uus valik asendab varasema ja

0:30:33.000,0:30:35.500
vaid kõige viimane hääl võetakse arvesse.

0:30:36.000,0:30:38.000
Hüva, selline on kontrolliprotsess.

0:30:38.000,0:30:40.000
Nüüd aga kuidas toimub häälte lugemine?

0:30:40.500,0:30:43.000
Eesti e-häälte kokku lugemine on huvitav,

0:30:43.000,0:30:46.000
sest põhimõtteliselt on püütud teha

0:30:46.000,0:30:48.000
krüptograafiline analoog

0:30:48.000,0:30:51.000
topeltümbrikuga eelhääletamisele,

0:30:51.000,0:30:54.000
mida kasutatakse paljudes riikides.

0:30:54.000,0:30:57.000
Topeltümbrikuga eelhääletamisel on sul

0:30:57.000,0:31:00.000
sisemine turvaümbrik, milles on su sedel,

0:31:00.000,0:31:05.000
ja väline ümbrik sinu nime ja allkirjaga.

0:31:05.000,0:31:07.500
Kui tuleb aeg hääled kokku lugeda,

0:31:07.500,0:31:10.000
olles kontrollinud, et sa hääletasid vaid

0:31:10.000,0:31:12.000
ühe korra ja et sul on valimisõigus,

0:31:12.000,0:31:13.500
eemaldatakse nimi ja allkiri,

0:31:13.500,0:31:15.500
ning eraldatakse sisemised turvaümbrikud,

0:31:15.500,0:31:16.500
aetakse need segi,

0:31:16.500,0:31:18.500
et neid ei saaks nimedega seostada,

0:31:18.500,0:31:21.000
avatakse siis, ja loetakse hääled kokku.

0:31:21.000,0:31:24.000
Eesti süsteemis tehakse väga sarnaselt.

0:31:24.000,0:31:27.000
Valimisserverid hoiavad hääli, kuni jõuab

0:31:27.000,0:31:30.000
aeg hääled kokku lugeda. Ja siis võetakse

0:31:30.000,0:31:33.000
digiallkirjastatud krüpteeritud sedelid,

0:31:33.000,0:31:36.000
vabastatakse need digiallkirjadest

0:31:36.000,0:31:38.500
ja kirjutatakse siis DVD-le.

0:31:38.500,0:31:42.500
Selle DVD-ga viiakse krüpteeritud hääled

0:31:42.500,0:31:45.000
füüsiliselt eraldatud võrguta masinasse,

0:31:45.000,0:31:48.000
mida hüütakse häälte lugemise serveriks,

0:31:48.000,0:31:51.500
ja vaid see saab ligi privaatvõtmele,

0:31:51.500,0:31:55.000
mida kasutatakse häälte dešifreerimiseks.

0:31:55.000,0:31:57.000
Seega on hääl krüpteeritud kogu tee sinu

0:31:57.000,0:31:59.000
kliendist kuni häälte lugemise serverini,

0:31:59.000,0:32:01.000
ja häälte lugemise server saab need

0:32:01.000,0:32:03.000
dešifreerida ja näha hääli,

0:32:03.000,0:32:05.000
kuid see ei näe mitte kunagi allkirju,

0:32:05.000,0:32:07.000
mis need hääled identifitseeriks.

0:32:07.000,0:32:11.000
Sellisel viisil püütakse hoida[br]valimissaladust.

0:32:12.000,0:32:16.000
Häälte lugemise serveri väljundiks on[br]lihtsalt valimistulemused.

0:32:16.000,0:32:18.000
Ehk kandidaatide häältesummad

0:32:18.000,0:32:20.000
ja võitjaks tulnud kandidaadid.

0:32:20.500,0:32:23.000
Niisiis, selline on Eesti valimisprotsess

0:32:23.000,0:32:26.500
ja oli väga huvitav teada saada,[br]kuidas see toimib.

0:32:26.500,0:32:29.500
Pole avaldatud ingliskeelseid kirjeldusi,

0:32:29.500,0:32:32.500
mis kõike kajastaks, enne meie uurimust.

0:32:32.500,0:32:35.500
Pidime küsitlema ja uurima lähtekoodi,

0:32:35.500,0:32:39.000
kõike seda selleks, et saada aimu,[br]mis tegelikult toimub.

0:32:39.000,0:32:40.000
[Ohud?]

0:32:40.000,0:32:41.500
Järgmine küsimus pärast süsteemi

0:32:41.500,0:32:43.500
toimimise selgeks saamist on:

0:32:43.500,0:32:45.500
millised ohud seda ähvardavad?

0:32:45.500,0:32:48.500
Tegelikult me oleme juba käsitlenud

0:32:48.500,0:32:51.500
mõningaid internetivalimiste probleeme.

0:32:51.500,0:32:53.500
Tead ju küll - siseringi rünnakud

0:32:53.500,0:32:55.500
ebaausate valimisametnike poolt,

0:32:55.500,0:32:58.500
valijate sundimine, pahavara kliendis...

0:32:58.500,0:33:01.500
Aga kes veel sooviks rünnata[br]sellist süsteemi?

0:33:02.000,0:33:07.000
Eesti toob meelde mõned erilised näited,

0:33:07.000,0:33:10.000
sest esiteks rünnati Eestit

0:33:10.000,0:33:13.000
väga silmapaistvalt 2007. aastal

0:33:13.000,0:33:16.000
ühe kõige varajasema näitena sellest,

0:33:16.000,0:33:19.000
mida mitmed vaatlejad peavad

0:33:19.000,0:33:22.000
riikidevaheliseks kübersõjaks,

0:33:22.000,0:33:24.000
kui nad kannatasid ulatusliku

0:33:24.000,0:33:27.000
teenusetõkestusründe all riigi

0:33:27.000,0:33:30.000
infrastrukruuri vastu, rühmituste poolt,

0:33:30.000,0:33:32.500
keda seostatakse Moskvaga.

0:33:32.500,0:33:37.000
Teiseks, möödunud suvel olid Ukrainas

0:33:37.000,0:33:41.000
revolutsioonijärgsed valimised.

0:33:41.000,0:33:45.000
Ja nende kestel oli ulatuslikke ründeid

0:33:45.000,0:33:48.000
valimiste infrastruktuuri vastu.

0:33:48.000,0:33:51.000
Need valimised ei toimunud internetis,

0:33:51.000,0:33:54.000
kuid häälte tabelitesse ajamise protsess,

0:33:54.000,0:33:57.000
protsess üle kogu riigi kõigi tulemuste

0:33:57.000,0:34:00.000
kokku võtmiseks, tugines arvutivõrgule

0:34:00.000,0:34:02.000
häälte arvu vastuvõtmisel

0:34:02.000,0:34:05.000
ja kokkuvõtete internetis avaldamisel.

0:34:05.000,0:34:08.000
Kuuldavasti ründasid ka seda protsessi

0:34:08.000,0:34:12.000
rühmitused, keda seostatakse ka Venemaaga

0:34:12.000,0:34:14.000
ja kes püüdsid valimisi diskrediteerida,

0:34:14.000,0:34:15.000
ja ma lugesin,

0:34:15.000,0:34:18.000
et püüdsid isegi avaldada valetulemusi.

0:34:18.000,0:34:21.000
Kõik see sai avalikuks eelmisel suvel.

0:34:21.000,0:34:24.000
See paneb mind uskuma, et õige ohumudel

0:34:24.000,0:34:27.000
internetivalimiste jaoks peab sisaldama

0:34:27.000,0:34:30.000
kogenud riigi tasemel ründajaid,

0:34:30.000,0:34:32.500
kes võivad tahta tulemusi mõjutada.

0:34:32.500,0:34:34.500
Ja sellise riigi puhul, nagu Eesti,

0:34:34.500,0:34:36.000
kes, teate ju küll,

0:34:36.000,0:34:38.000
on Venemaaga piirnev EL ja NATO liige,

0:34:38.000,0:34:40.000
on ilmselt palju osavaid

0:34:40.000,0:34:42.000
riigi tasemel ründajaid

0:34:42.000,0:34:46.000
kes võivad tahta kaasa rääkida selle[br]tulevastes sihtides.

0:34:47.000,0:34:49.000
Hüva! Seda ohumudelit meeles pidades

0:34:49.000,0:34:52.000
hinnakem Eesti süsteemi ülesehitust.

0:34:52.000,0:34:54.000
On kaks Eesti disaini osa,

0:34:54.000,0:34:57.000
mille kohta juba disainiga tutvumisel

0:34:57.000,0:35:00.000
võib öelda, et need on

0:35:00.000,0:35:02.000
kõhklematult usaldatavad komponendid.

0:35:02.000,0:35:04.000
Ja kui me turvalisuse puhul ütleme,

0:35:04.000,0:35:06.000
et miski on usaldatav, siis peame

0:35:06.000,0:35:08.000
silmas seda, et kui see on häkitud,

0:35:08.000,0:35:10.000
siis oleme suures jamas.

0:35:10.000,0:35:13.000
Niisiis, seda mõtleme me usaldatava all.

0:35:13.000,0:35:16.000
Need kaks komponenti on valija klient

0:35:16.000,0:35:18.000
ja häälte lugemise server.

0:35:18.000,0:35:21.000
Ja las ma ütlen teile, miks need mõlemad

0:35:21.000,0:35:25.000
on potentsiaalsed või tõsised haavatavad

0:35:25.000,0:35:27.000
kohad Eesti disaini juures.

0:35:27.000,0:35:30.000
Alustame kliendist.

0:35:30.000,0:35:32.000
Eesti valimiste klientrakendus võib

0:35:32.000,0:35:34.000
potentsiaalselt saada kompromiteeritud

0:35:34.000,0:35:36.000
kliendipoolse pahavara poolt.

0:35:36.000,0:35:38.000
Siin on lihtne pahavara disain,

0:35:38.000,0:35:40.000
mida me reaalselt laboris ka rakendasime.

0:35:40.000,0:35:42.000
Muide, nende rünnete rakendamiseks

0:35:42.000,0:35:45.000
me tekitasime oma laboratooriumisse

0:35:45.000,0:35:47.000
Eesti süsteemi täieliku koopia,

0:35:47.000,0:35:49.000
kasutades nende serveripoole lähtekoodi,

0:35:49.000,0:35:51.000
nende dokumenteeritud protseduure

0:35:51.000,0:35:53.000
ja klientrakenduse pöördkodeerimist,

0:35:53.000,0:35:55.000
et panna see suhtlema meie serveritega

0:35:55.000,0:35:57.000
ja kasutama meie võtmeid ametlike asemel.

0:35:57.000,0:35:59.000
Me seadsime oma laborisse üles

0:35:59.000,0:36:01.000
täieliku valimiste testsüsteemi

0:36:01.000,0:36:03.000
ja meil on kodulehel virtuaalmasina

0:36:03.000,0:36:05.000
tõmmised, kui keegi tahab proovida

0:36:05.000,0:36:07.000
mängida sellega oma laboris.

0:36:07.000,0:36:09.000
Igatahes, kujuta ette, et omad valimiste

0:36:09.000,0:36:11.000
klientrakendust ja oled võimeline

0:36:11.000,0:36:13.000
sellesse panema mingi pahavara.

0:36:13.000,0:36:15.000
See pahavara võib lihtsalt sekkuda

0:36:15.000,0:36:17.000
valimiste kliendi protsessi

0:36:17.000,0:36:19.500
ja varastada valija PIN koodi,

0:36:19.500,0:36:23.000
kui see valimiste käigus sisestatakse.

0:36:23.000,0:36:25.000
Hiljem, järgmisel korral kui valija

0:36:25.000,0:36:27.000
sisestab oma ID-kaardi näiteks

0:36:27.000,0:36:30.000
internetipanka minekul, siis see pahavara

0:36:30.000,0:36:33.000
saab taustal nähtamatult seda varastatud

0:36:33.000,0:36:36.000
PIN-i kasutada, et anda uus hääl.

0:36:36.000,0:36:39.000
Valija ei saa iial aimu hääle muutmisest.

0:36:39.000,0:36:45.000
Ründaja aga saab selle protseduuriga[br]varastada ühe hääle.

0:36:45.500,0:36:48.500
Nüüd on siin kaks suurt küsimust:

0:36:48.500,0:36:51.000
kuidas nakatada kliente

0:36:51.000,0:36:54.000
ja kuidas ära petta kontrollirakendus?

0:36:54.000,0:36:56.000
Kuidas nakatada kliente?

0:36:56.000,0:36:59.000
Me peame selle jätma ettekujutuse valda,

0:36:59.000,0:37:01.500
sest meil polnud mängimiseks botnetti,

0:37:01.500,0:37:05.000
mis koosneks tuhandetest nakatunud[br]arvutitest Eestis.

0:37:05.000,0:37:07.000
Kuid kellelgi teisel on,

0:37:07.000,0:37:09.000
ja see on üks võimalus,

0:37:09.000,0:37:11.000
mida on lihtne ette kujutada

0:37:11.000,0:37:13.000
tuhandete häälte muutmiseks.

0:37:13.000,0:37:16.000
Teine viis on näiteks, kui sa oled NSA,

0:37:16.000,0:37:19.000
sul on Zero-Day turvaauguga arvutite varu

0:37:19.000,0:37:21.500
ja sa lihtsalt ründad mõnd populaarset

0:37:21.500,0:37:24.000
veebilehte või rakendust, mida Eestis

0:37:24.000,0:37:26.500
kasutatakse, ja nakatad sellega inimeste

0:37:26.500,0:37:28.000
klientrakendused pahavaraga.

0:37:28.000,0:37:31.000
Kolmas võimalus on sokutada paheline kood

0:37:31.000,0:37:32.500
ametlikku valimisrakendusse,

0:37:32.500,0:37:34.500
mille kohta me teame, et kõik,

0:37:34.500,0:37:36.500
kes Eestis internetis valivad,

0:37:36.500,0:37:39.000
paigaldavad selle oma masinasse[br]enne valimist.

0:37:39.000,0:37:42.500
Igatahes on mitmeid viise klientide[br]nakatamiseks.

0:37:42.500,0:37:45.000
Kuidas ära petta kontrollirakendus?

0:37:45.000,0:37:48.000
Tuleb välja, et see pole üldse keeruline,

0:37:48.000,0:37:51.000
sest survestamisvastaste meetmete tõttu,

0:37:51.000,0:37:54.000
(tuletame meelde seda vastuolu tervikluse

0:37:54.000,0:37:55.700
ja valimissaladuse nõude vahel),

0:37:55.700,0:37:58.000
tänu neile survestamisvastastele[br]meetmetele,

0:37:58.000,0:38:01.000
saab kontrollirakendust kasutada vaid

0:38:01.000,0:38:04.000
kuni 30 minuti jooksul pärast valimist.

0:38:04.000,0:38:09.000
Seega pärast hääle andmist on vaja vaid[br]oodata...

0:38:09.000,0:38:12.000
Kui see ei toimi või on liiga kahtlane,

0:38:12.000,0:38:15.000
siis võime proovida ka hübriidrünnet,

0:38:15.000,0:38:18.000
mis sisaldab pahelist androidirakendust

0:38:18.000,0:38:20.000
ja valimiskliendi nakatamist.

0:38:20.000,0:38:22.000
Tänu nende platvormide lähenemisele

0:38:22.000,0:38:24.000
ei ole enam nii raske uskuda,

0:38:24.000,0:38:26.000
et keegi võib samaaegselt

0:38:26.000,0:38:28.000
ja seostatult rünnata mõlemat.

0:38:28.000,0:38:30.000
Igatahes on erinevaid viise nende

0:38:30.000,0:38:32.000
mõlema asja tegemiseks.

0:38:32.000,0:38:35.500
Me võime minna edasi ja vaadata ka[br]serveri poolt.

0:38:36.000,0:38:39.500
Serveri poolel on süsteemi[br]achilleuse kannaks

0:38:39.500,0:38:41.500
häälte lugemise server,

0:38:41.500,0:38:45.000
mis ainsana saab manipuleerida[br]krüpteerimata hääli.

0:38:45.000,0:38:48.000
Ja mitte keegi ei näe kunagi neid hääli -

0:38:48.000,0:38:50.000
näha on vaid väljundid, seega,

0:38:50.000,0:38:52.000
kui häälte lugemise server petab,

0:38:52.000,0:38:55.000
võib see lihtsalt oma suva järgi öelda,

0:38:55.000,0:38:57.500
milline on valimistulemus.

0:38:57.500,0:39:00.000
Kuid nad tegid häälte lugemise serveri

0:39:00.000,0:39:02.000
manipuleerimise päris keeruliseks.

0:39:02.000,0:39:03.500
See on võrguühenduseta...

0:39:03.500,0:39:05.000
See ehitatakse enne valimisi...

0:39:05.000,0:39:06.500
See on kinni pitseeritud...

0:39:06.500,0:39:08.000
See asub kuskil turvahoidlas...

0:39:08.000,0:39:10.000
Peame arvestama, et see on üsna raske!

0:39:10.000,0:39:12.000
Seega kuidagi tuleb leida viis, kuidas

0:39:12.000,0:39:15.000
mõjutada koodi toimimist selles masinas.

0:39:15.000,0:39:19.000
Me proovisime ja lõime selleks vahendid,

0:39:19.000,0:39:22.000
et seda masinat kompromiteerida, isegi,

0:39:22.000,0:39:25.000
kui rakendati nende turvameetmeid.

0:39:25.000,0:39:29.000
Meie tööriistaahel põhineb Ken Thompsoni

0:39:29.000,0:39:33.000
"Mõtisklused usalduse usaldamisest"

0:39:33.000,0:39:35.000
pärit ideel, mis ütleb, et isegi,

0:39:35.000,0:39:37.000
kui üks süsteem on turvaline,

0:39:37.000,0:39:39.500
on selle ehitamiseks vaja teist süsteemi,

0:39:39.500,0:39:41.500
ja on vaja veel üht süsteemi,

0:39:41.500,0:39:43.000
et ehitada seda teist süsteemi.

0:39:43.000,0:39:45.000
Seega järgides seda ahelat,

0:39:45.000,0:39:47.000
jõuad sa lõpuks kohani,

0:39:47.000,0:39:49.500
millele ründajal on juurdepääs.

0:39:49.500,0:39:52.000
Oma uurimuses me leidsime selle viisi,

0:39:52.000,0:39:54.000
kuidas nad selle masina

0:39:54.000,0:39:56.000
häälte lugemise serveriks ehitasid.

0:39:56.000,0:40:00.000
See jookseb minu arvates mingil[br]Debiani variandil.

0:40:00.000,0:40:02.000
Ja see on paigaldatud DVD-lt,

0:40:02.000,0:40:05.000
mis on kõrvetatud eraldi arendusmasinas,

0:40:05.000,0:40:07.000
mis on ehitatud enne valimisi

0:40:07.000,0:40:10.000
ja mis reaalselt laadib veebist alla

0:40:10.000,0:40:12.000
värske Debiani koopia

0:40:12.000,0:40:14.500
ja kõrvetab selle DVD-le.

0:40:15.000,0:40:17.500
Seega oletame, et me saame astuda mõned

0:40:17.500,0:40:20.000
sammud tagasi häälte lugemise serverist

0:40:20.000,0:40:22.500
ja kompromiteerime seda arendusserverit.

0:40:22.500,0:40:24.000
See on internetti ühendatud...

0:40:24.000,0:40:26.000
See on ehitatud enne seda, kui algab

0:40:26.000,0:40:28.000
valimisprotseduuride videosalvestus...

0:40:28.000,0:40:29.500
Oletame, et meil õnnestub

0:40:29.500,0:40:31.000
mingi pahavara sinna sokutada...

0:40:31.000,0:40:35.000
Niisiis ehitasime demo, kus see pahavara

0:40:35.000,0:40:39.000
nakatab selle kirjutatava paigaldus-DVD,

0:40:39.000,0:40:46.000
kasutab käomuna, et valetada ISO-tõmmise[br]SHA-1 räsi kohta,

0:40:46.000,0:40:48.000
sest nad kontrollivad seda.

0:40:48.000,0:40:51.000
Ja siis see nakatunud DVD paigaldab mingi

0:40:51.000,0:40:55.000
tagauksekoodi häälte lugemise serverisse,[br]kui seda ehitatakse.

0:40:55.000,0:40:58.000
Sel juhul on häälte muutmine väga lihtne.

0:40:58.000,0:41:00.000
Meil on vaja vaid sekkuda häälte

0:41:00.000,0:41:03.000
lugemise serveri koodi, mis kasutab

0:41:03.000,0:41:06.000
lisatud riistvaralist turvamoodulit

0:41:06.000,0:41:08.000
kõigi häälte dešifreerimiseks,

0:41:08.000,0:41:10.000
ja põhimõtteliselt vaadata,

0:41:10.000,0:41:12.500
mis tuleb sellelt turvamoodulilt tagasi,

0:41:12.500,0:41:15.000
ja asendada see oma eelistatud häältega.

0:41:15.000,0:41:18.000
Sel viisil võtab see umbes paraja aja,

0:41:18.000,0:41:20.000
mil turvamoodul dešifreerib õigeid hääli,

0:41:20.000,0:41:22.500
kuid tulemused on võltsitud.

0:41:23.000,0:41:24.500
Hüva! Need on kaks rünnet,

0:41:24.500,0:41:27.500
mis tuginevad pisut mõnele võimele,

0:41:27.500,0:41:30.000
mida meil pole, nagu juurdepääs

0:41:30.000,0:41:32.000
Zero-Days turvaauguga masinatele

0:41:32.000,0:41:34.000
või botnetile, või siseringi juurdepääs.

0:41:34.000,0:41:37.000
Kõik need asjad on tõelistel ründajatel[br]siiski olemas.

0:41:37.000,0:41:39.000
Kuid võib siiski olla võimalik,

0:41:39.000,0:41:42.000
et Eesti operatiivne turvalisus[br]on nii hea,

0:41:42.000,0:41:44.000
et neil oskuslikel ründajatel

0:41:44.000,0:41:46.000
on probleeme masinate nakatamisega.

0:41:46.000,0:41:49.000
Seega, kui hea on nende operatiivne[br]turvalisus?

0:41:49.000,0:41:51.000
See oli suur küsimus meie töös ja miski,

0:41:51.000,0:41:53.000
millele me kulutasime palju aega

0:41:53.000,0:41:54.500
vaadates läbi videoid,

0:41:54.500,0:41:56.000
tehes intervjuusid,

0:41:56.000,0:41:58.000
et seda kõike välja selgitada.

0:41:58.000,0:42:01.000
Hüva! See mees, Eesti president, ütleb,

0:42:01.000,0:42:04.000
et nende turvalisus on parem kui Googlel.

0:42:04.000,0:42:06.000
See on siis see standard,

0:42:06.000,0:42:08.500
mille nad on endile seadnud!

0:42:08.500,0:42:10.000
See on hea, see on miski,

0:42:10.000,0:42:11.000
mille poole pürgida.

0:42:11.000,0:42:14.000
Vaatame, milline nende turvalisus[br]tegelikult on,

0:42:14.000,0:42:16.000
tuginedes ametlikele videotele,

0:42:16.000,0:42:18.000
mis nad on avaldanud valimiste jooksul.

0:42:18.000,0:42:21.000
Hüva! See on Tarvi Martens,

0:42:21.000,0:42:27.000
ja siin, tema pea kohal, on nende WiFi[br]võrgu SSID ja parool...

0:42:27.000,0:42:34.000
(naer ja aplaus)

0:42:34.000,0:42:37.000
Hüva! Siin ehitavad nad mingit tarkvara

0:42:37.000,0:42:40.000
ja servereid ja konfiguratsiooni

0:42:40.000,0:42:42.000
reaalsetele masinatele.

0:42:42.000,0:42:44.000
Suumime sellele ekraanile sisse!

0:42:44.000,0:42:45.000
Oh, heldust! Hästi!

0:42:45.000,0:42:48.000
Nad kasutavad mingit Windowsi jaosvara,

0:42:48.000,0:42:50.000
mida nad laadivad alla üle HTTP,

0:42:50.000,0:42:53.500
et kirjutada serverite konfifaile...

0:42:54.000,0:42:55.500
See ei paista hea!

0:42:56.000,0:43:00.000
Hästi, lähme edasi! Siin on teine arvuti,

0:43:00.000,0:43:03.000
sellel kuvatõmmisel nad testivad[br]klientrakendust.

0:43:03.000,0:43:04.000
Suumime sisse...

0:43:04.000,0:43:06.000
Töölaud paistab päris hästi.

0:43:06.000,0:43:07.000
Üks hetk!

0:43:07.000,0:43:10.000
Mis ikoonid need siin töölaual on?

0:43:10.000,0:43:12.000
Siin on mingi pokkeriveeb...

0:43:12.000,0:43:14.000
BitTorrenti klient...

0:43:14.000,0:43:17.000
Ma arvan, et see siin on piraatmuusika...

0:43:17.000,0:43:18.000
Oh, heldust!

0:43:18.000,0:43:22.000
See pole küll puhas ja turvaline masin!

0:43:22.000,0:43:25.000
Loodan, et siin ei tehta midagi olulist!

0:43:25.000,0:43:26.000
Ohhoo!

0:43:26.000,0:43:28.000
Nad allkirjastavad digitaalselt

0:43:28.000,0:43:30.000
ametlikku valimisklienti,

0:43:30.000,0:43:32.000
mida nad kavatsevad lasta kõigil

0:43:32.000,0:43:34.000
selles riigis alla laadida

0:43:34.000,0:43:36.000
ja oma arvutisse installeerida!

0:43:36.000,0:43:37.500
Oh, issand!

0:43:37.500,0:43:40.000
See on kõige ohtlikum asi -

0:43:40.000,0:43:42.000
hoida õiget kliendiprogrammi

0:43:42.000,0:43:44.000
potentsiaalselt nakatunud masinas.

0:43:44.000,0:43:46.000
Kui keegi nakatab selle masina,

0:43:46.000,0:43:48.000
siis saab ta oma pahavara

0:43:48.000,0:43:50.000
ametlikku valimiskliendi sisse

0:43:50.000,0:43:52.500
ja levitada seda iga Eesti valijani.

0:43:53.000,0:43:55.000
Hästi! Mis veel?

0:43:55.000,0:43:57.000
Hiljem samas masinas -

0:43:57.000,0:43:58.000
Siin on Tarvi nimi...

0:43:58.000,0:44:01.000
Usun, et see on Tarvi Martensi[br]isiklik sülearvuti...

0:44:01.000,0:44:02.000
Oh! Hüva!

0:44:02.000,0:44:07.000
Siin sätivad nad üles üht serverit.

0:44:07.000,0:44:10.000
Nad logivad sisse oma peakasutajakontole.

0:44:10.000,0:44:12.000
Sa võid siin näha nende klahvivajutusi...

0:44:12.000,0:44:15.000
(naer ja aplaus)

0:44:15.000,0:44:16.000
Hästi!

0:44:16.000,0:44:19.000
Siin sisestab keegi oma ID-kaardi PIN-i...

0:44:19.000,0:44:22.000
See siin on andmekeskuses.

0:44:22.000,0:44:24.000
See on tõesti kasulik!

0:44:24.000,0:44:27.000
See suur võti siin avab[br]andmekeskuse ukse...

0:44:27.000,0:44:30.000
(naer)

0:44:30.000,0:44:32.000
Kas kellelgi on 3D printerit?

0:44:32.000,0:44:34.000
(naer)

0:44:34.000,0:44:35.000
Hüva!

0:44:35.000,0:44:37.000
See ei tundu just olevat selline

0:44:37.000,0:44:40.000
operatiivse turvalisuse tase,

0:44:40.000,0:44:41.500
mida meile vaja oleks,

0:44:41.500,0:44:44.000
et kaitsta riigi tasemel ründajate vastu!

0:44:44.000,0:44:46.000
Aga ei taha olla nende vastu liiga karm.

0:44:46.000,0:44:48.000
Selline operatiivse turvalisuse tase

0:44:48.000,0:44:51.000
ongi riigiasutuse IT süsteemis tüüpiline.

0:44:51.000,0:44:53.000
Kuid see pole lihtsalt mingi suvaline

0:44:53.000,0:44:55.000
valitsusasutuse infosüsteem.

0:44:55.000,0:44:57.000
See määrab, kes saab olema uus juhtkond.

0:44:57.000,0:45:01.000
See on riikliku julgeoleku seisukohast[br]kriitiline infosüsteem!

0:45:01.000,0:45:03.000
Hästi! Veel üks asi, mis juhtus.

0:45:03.000,0:45:06.000
Neil olid viimastel valimistel mõned

0:45:06.000,0:45:09.000
asjad valesti läinud, sealhulgas lõpus,

0:45:09.000,0:45:12.000
kui tuli kopeerida ametlikud tulemused

0:45:12.000,0:45:15.000
häälte lugemise serverist välja,

0:45:15.000,0:45:18.000
siis DVD kirjutaja ei toiminud.

0:45:18.000,0:45:21.000
Ja nad vaatasid ringi, kuidas seda teha.

0:45:21.000,0:45:22.500
Oli vaja kõik tulemused välja kopeerida

0:45:22.500,0:45:24.000
ja tuua teise süsteemi, et need

0:45:24.000,0:45:27.000
digitaalselt allkirjastada ja avaldada.

0:45:27.000,0:45:30.000
Siis võttis Tarvi Martens taskust mälupulga

0:45:30.000,0:45:33.000
ja pistis häälte lugemise serverisse,

0:45:33.000,0:45:36.000
ainsasse masinasse, mis näeb antud hääli,

0:45:36.000,0:45:39.000
ning seejärel oma Windowsi sülearvutisse,

0:45:39.000,0:45:41.000
allkirjastas hääled ja avaldas need.

0:45:41.000,0:45:43.000
See siin ilmus tema Windowsi sülearvutile

0:45:43.000,0:45:45.000
kui ta pistis selle USB pulga sisse...

0:45:45.000,0:45:48.000
Te võite näha, et see on olnud kõikjal!

0:45:48.000,0:45:50.000
Sellel on ettekanne valimissüsteemist,

0:45:50.000,0:45:52.000
mille ta oli seal teinud.

0:45:52.000,0:45:54.000
See polnud puhas USB-pulk!

0:45:54.000,0:45:56.000
Seega veel üks võimalik tee pahavara

0:45:56.000,0:45:58.000
pääsuks häälte lugemise serverisse.

0:45:58.000,0:46:00.000
[Avalikustamine]

0:46:00.000,0:46:00.500
Hüva!

0:46:00.500,0:46:03.500
Seega meie hinnang oli, et Eesti süsteem

0:46:03.500,0:46:05.500
oli tõsiste turbeprobleemidega,

0:46:05.500,0:46:07.500
eriti riigi tasemel vastase suhtes,

0:46:07.500,0:46:10.000
ja nende olemasolev operatiivne

0:46:10.000,0:46:13.000
turvalisus polnud mitte kuidagi valmis

0:46:13.000,0:46:15.000
sellele vastu seisma.

0:46:15.000,0:46:17.000
Ja me olime teatavas kimbatuses,

0:46:17.000,0:46:20.000
sest olime olnud Eestis mullu oktoobris

0:46:20.000,0:46:22.500
ja valimisametnikele üldjoontes rääkinud,

0:46:22.500,0:46:25.000
et meil on need mured, ja siis lahkusime

0:46:25.000,0:46:28.000
ja saime endi jaoks laboris kinnitust.

0:46:28.000,0:46:33.000
Nüüd olid Eestis tulemas uued valimised,[br]mais 2014.

0:46:33.000,0:46:35.000
Me teadsime seda informatsiooni.

0:46:35.000,0:46:37.000
Mida me pidime sellega peale hakkama?

0:46:37.000,0:46:38.000
Me teadsime,

0:46:38.000,0:46:40.000
et valimisametnikud olid juba veendunud,

0:46:40.000,0:46:42.000
et süsteem on igati korralik.

0:46:42.000,0:46:44.000
Seega otsustasime info avaldada,

0:46:44.000,0:46:47.000
ja õnnetuseks, kuna meil kõigil oli käsil

0:46:47.000,0:46:49.000
palju projekte, lükkus see edasi,

0:46:49.000,0:46:51.000
kuni veel lähemale uutele valimistele,

0:46:51.000,0:46:54.000
kui see oleks mulle meeldinud.

0:46:54.000,0:46:57.000
Me naasime Eestisse kõigest u 10 päeva

0:46:57.000,0:46:58.000
enne nende järgmisi valimisi,

0:46:58.000,0:47:00.500
et teavitada avalikkust sellest,

0:47:00.500,0:47:02.500
mis me olime avastanud.

0:47:03.000,0:47:04.500
Niisiis me lendasime,

0:47:04.500,0:47:07.000
saime näha Tallinna imeilusat kesklinna,

0:47:07.000,0:47:10.000
panime püsti häkkeri baaslaagri

0:47:10.000,0:47:12.000
kenas suures AirBnB majutuskohas,

0:47:12.000,0:47:14.500
kuhu kogu meeskond ära mahtus.

0:47:14.500,0:47:16.500
Ja tegutsesime edasi,

0:47:16.500,0:47:18.500
et korraldada pressikonverents

0:47:18.500,0:47:20.500
ja teavitada oma avastustest.

0:47:20.500,0:47:22.000
Me panime üles veebilehekülje,

0:47:22.000,0:47:24.500
mis võttis need, nagu mina praegu,

0:47:24.500,0:47:27.000
tavainimesele mõistetavalt kokku.

0:47:27.000,0:47:30.000
Ja avaldasime detailse tehnilise aruande,

0:47:30.000,0:47:33.000
mis avaldati ka ACM CCS konverentsil.

0:47:34.000,0:47:35.000
Nüüd reaktsioonist...

0:47:35.000,0:47:38.000
Selle mõistmiseks on Eesti poliitikast

0:47:38.000,0:47:40.500
vaja teada kõigest kaht asja.

0:47:40.500,0:47:44.000
Esiteks, seal on kaks suuremat erakonda -

0:47:44.000,0:47:47.000
Reformierakond ja Keskerakond.

0:47:47.000,0:47:50.000
Reformierakond, kes on praegu valitsev,

0:47:50.000,0:47:54.000
toetab e-valimisi, see on nende kutsikas,

0:47:54.000,0:47:57.000
see on nende rahvusliku uhkuse allikas.

0:47:57.000,0:48:00.000
Nad tahavad seda turustada mujal Euroopas

0:48:00.000,0:48:03.000
ja näidata, kui silmapaistev ja modernne[br]Eesti on.

0:48:03.000,0:48:06.000
Keskerakond, kes on olnud riigis võimul,

0:48:06.000,0:48:09.000
on praegu opositsioonis, kuid nad juhivad

0:48:09.000,0:48:15.000
Tallinna linna, mis on olemuselt linnriik[br]selle riigi sees.

0:48:15.000,0:48:18.000
Nemad ei salli e-valimisi, võimalik,

0:48:18.000,0:48:20.000
et seepärast, et nad kaotasid valimistel.

0:48:20.000,0:48:23.000
Võimuta jäänud parteid ikka vihkavad või

0:48:23.000,0:48:26.000
kritiseerivad valimiste tehnoloogiat,

0:48:26.000,0:48:28.000
samas võimuerakonnad ei tee seda kunagi.

0:48:28.000,0:48:32.000
Igatahes, Keskerakond on süsteemi kaua[br]kritiseerinud,

0:48:32.000,0:48:34.000
aga Reformierakond armastab seda.

0:48:34.000,0:48:37.000
Õnnetuseks, iga meediaväljaanne Eestis

0:48:37.000,0:48:42.000
näib olevat lähedalt seotud ühe või teise[br]erakonnaga neist kahest.

0:48:42.000,0:48:45.000
Ja nii käsitlesid kõik meie esile toodud

0:48:45.000,0:48:48.000
potentsiaalseid ründeid kas tõendina,

0:48:48.000,0:48:51.000
et e-valimised oli pettus, või siis mõne

0:48:51.000,0:48:54.000
isiku katsena e-valimisi rünnata,

0:48:54.000,0:48:58.000
kuna nad töötavat vastaserakonna heaks.

0:48:58.500,0:49:00.500
Seega sattusime kõige selle keskele,

0:49:00.500,0:49:02.000
ja see oli üsna uskumatu,

0:49:02.000,0:49:04.000
kuid mitte just eriti lõbus.

0:49:05.000,0:49:07.500
See teema oli terve nädala peauudiseks

0:49:07.500,0:49:09.500
ja püsis igaõhtuste uudiste alguses.

0:49:09.500,0:49:12.500
Ma lendasin koju lennukis,

0:49:12.500,0:49:15.000
kus inimesed minu kõrvalridades

0:49:15.000,0:49:17.500
lugesid lehtedest sellest artikleid.

0:49:17.500,0:49:19.500
See oli üks minu elu veidramaid kogemusi.

0:49:20.000,0:49:21.500
Me kohtusime ka valimisametnikega

0:49:21.500,0:49:23.000
väga ametlikul kohtumisel,

0:49:23.000,0:49:24.500
kus viibis ka nende advokaat.

0:49:24.500,0:49:27.000
Tarvi Martens tänas meid väga ja ütles,

0:49:27.000,0:49:30.000
et nad on juba kõike seda arvesse võtnud

0:49:30.000,0:49:33.000
ja probleeme pole...

0:49:33.500,0:49:34.500
Hüva!

0:49:34.500,0:49:37.500
Me pidime tegema paar napsu ka valimiste

0:49:37.500,0:49:40.500
turbespetsialistidega, kes olid kindlad,

0:49:40.500,0:49:44.000
et kõik on korras. Sest, nagu nad väitsid,

0:49:44.000,0:49:46.500
õiged inimesed ju ikkagi võitsid!

0:49:46.500,0:49:48.000
(naer)

0:49:48.000,0:49:51.000
Ma küsisin neilt, mis juhtuks, kui mingi

0:49:51.000,0:49:54.000
jubeda vea tõttu võidaks valed inimesed,

0:49:54.000,0:49:57.000
vallandaks teid kõiki ja jätkaks selle

0:49:57.000,0:49:59.500
süsteemi praegusel kujul kasutamist?

0:50:00.000,0:50:02.500
Selle peale muutusid neil näod nukraks,

0:50:02.500,0:50:05.000
ja nad ütlesid, et see oleks päris paha.

0:50:05.000,0:50:07.000
(naer)

0:50:07.000,0:50:09.000
Ent hiljem Harri Hursti,

0:50:09.000,0:50:11.000
üks meie meeskonna liige,

0:50:11.000,0:50:14.000
kes on väga suurt kasvu soome mees

0:50:14.000,0:50:17.000
ja tuntud uskumatult vägeva napsusõbrana,

0:50:17.000,0:50:19.000
läks välja tõsisemale napsutamisele

0:50:19.000,0:50:21.000
koos selle väga kena vene kutiga,

0:50:21.000,0:50:24.000
kes on e-valimiste turbepealik.

0:50:24.000,0:50:27.000
Mulle räägiti, et selle õhtusöögi käigus

0:50:27.000,0:50:30.000
tarbis kumbki mees kaks pudelit viina,

0:50:30.000,0:50:33.000
pärast mida ei saanud enam miski

0:50:33.000,0:50:36.000
tõe eest peitu jääda.

0:50:36.000,0:50:39.000
Harri teatas, et õhtu lõpuks

0:50:39.000,0:50:42.000
oli ta joonud turbeülema seest välja

0:50:42.000,0:50:44.000
peakasutaja parooli.

0:50:44.000,0:50:48.000
(aplaus)

0:50:48.000,0:50:51.000
Ja siin ta on tagasi tulemas...

0:50:51.000,0:50:54.000
(aplaus)

0:50:54.000,0:50:57.000
Veel üks viimane asi sisse pakkida.

0:50:57.000,0:51:00.000
Eesti peaminister esines teles ja ütles,

0:51:00.000,0:51:02.500
et ta oli meie kohta Facebookis uurinud,

0:51:02.500,0:51:04.500
ja me töötavat tema vastaste heaks,

0:51:04.500,0:51:06.500
et e-valimisi diskrediteerida,

0:51:06.500,0:51:09.000
sest Jason Kitkati sõbraloendis oli keegi

0:51:09.000,0:51:11.000
linnavalitsuse töötaja.

0:51:11.000,0:51:13.000
Tema sõbraloendis oli ka rahandusminister

0:51:13.000,0:51:15.000
ja tal oli ka silmapaistev Facebooki

0:51:15.000,0:51:17.000
sõbrakutse peaministrilt,

0:51:17.000,0:51:19.500
kuid ilmselt ei võtnud ta seda vastu.

0:51:20.500,0:51:22.500
Lõpuks saime mõned väga huvitavad...

0:51:23.000,0:51:25.000
Mind pole kunagi varem rünnatud teles

0:51:25.000,0:51:27.000
NATO riigi peaministri poolt, eriti

0:51:27.000,0:51:29.500
veel selle pärast, kes on minu sõbrad.

0:51:30.500,0:51:33.000
Lõpuks saime mõned huvitavad ametlikud

0:51:33.000,0:51:37.000
vastused, mis avaldati internetis Eesti[br]valimiskomisjoni poolt.

0:51:37.000,0:51:39.000
Nad ütlevad, et kontrollirakendus avastab

0:51:39.000,0:51:42.000
kogu pahatahtliku käitumise...

0:51:42.000,0:51:44.000
Jah, me ju rääkisime sellest rakendusest...

0:51:44.500,0:51:46.500
Nad ütlevad ka, et miks varastada hääli,

0:51:46.500,0:51:47.500
kui võib varastada raha,

0:51:47.500,0:51:49.000
kui sa oled selleks kõigeks suuteline?

0:51:49.000,0:51:50.000
(naer)

0:51:50.000,0:51:52.000
Ma ei võtaks ka seda tõsiselt.

0:51:52.000,0:51:54.500
Kuid kõige üllatavam asi oli,

0:51:54.500,0:51:57.000
et Eesti Sertifitseerimiskeskus avaldas

0:51:57.000,0:52:01.500
blogipostituse, mille võite netist leida[br]ka inglise keeles.

0:52:01.500,0:52:03.000
Postituse pealkirjaks on nad pannud:

0:52:03.000,0:52:06.000
"E-valimised on (liiga) turvalised..."

0:52:06.000,0:52:07.000
Oh, heldust!

0:52:07.000,0:52:11.000
"Korralikel kodanikel, kes hoolivad[br]arvutipuhtusest, ei ole viiruseid...",

0:52:11.000,0:52:12.000
nagu nad väidavad!

0:52:12.000,0:52:17.000
"Arvutiriskid on e-valimiste süsteemist[br]praktiliselt kõrvaldatud..."

0:52:17.000,0:52:19.000
Minu meeskonna kohta kirjutati:

0:52:19.000,0:52:25.000
"Nad on siin mitte tehniliselt pädeva,[br]vaid poliitilise, kuid tehniliselt[br]ebakompetentse sõnumi pärast..."

0:52:25.000,0:52:26.000
Oh, heldust!

0:52:27.000,0:52:30.000
Ma ei usu, et meil oleks

0:52:30.000,0:52:33.000
palju lootust veenda Eestit

0:52:33.000,0:52:36.000
muutma oma valimissüsteemi.

0:52:36.000,0:52:40.000
Siiski saame siit võtta mõned õppetunnid[br]teistele riikidele.

0:52:40.000,0:52:43.000
Eesti internetivalimiste süsteem pole

0:52:43.000,0:52:46.000
tegelikult turvaline mitme ohtu suhtes.

0:52:46.000,0:52:48.000
Riigi tasemel tegutsejad võivad

0:52:48.000,0:52:51.000
sihikule võtta kaasaegseid riike,

0:52:51.000,0:52:53.000
kes korraldavad internetivalimisi.

0:52:53.000,0:52:57.000
See on riikliku julgeoleku küsimus,[br]mitte IT probleem.

0:52:57.000,0:52:59.000
Seega, kui sa isegi vaid mõtled sellise

0:52:59.000,0:53:01.000
süsteemi kasutuselevõtmisest,

0:53:01.000,0:53:03.000
siis pead sa tegelema hoopis teistsuguse

0:53:03.000,0:53:05.000
ohumudeli ja kaitsetasemega.

0:53:05.000,0:53:07.500
Poliitikud, kahjuks, nagu me nägime,

0:53:07.500,0:53:10.000
võivad varjata suuri tehnilisi probleeme.

0:53:10.000,0:53:12.000
Ja ka sinu riigis,

0:53:12.000,0:53:14.000
kui sinu riik kaalub sellise süsteemi

0:53:14.000,0:53:15.500
kasutuselevõttu, palun,

0:53:15.500,0:53:17.000
ole siis sellega ettevaatlik!

0:53:17.000,0:53:19.000
Meie soovitus on, et Eesti peaks lõpetama

0:53:19.000,0:53:21.000
oma e-valimiste süsteemi kasutamise,

0:53:21.000,0:53:23.000
kuni nende fundamentaalne turvalisus paraneb!

0:53:23.000,0:53:25.000
Kuid ma loodan...

0:53:25.000,0:53:26.500
(aplaus)

0:53:26.500,0:53:27.500
Mul pole üldse...

0:53:27.500,0:53:29.000
(aplaus)

0:53:29.000,0:53:31.000
Mul pole neile eriti abi anda.

0:53:31.000,0:53:33.000
Kuid lihtsalt kokkuvõtteks -

0:53:33.000,0:53:35.500
minu jaoks on internetivalimiste

0:53:35.500,0:53:38.000
fundamentaalne probleem selles,

0:53:38.000,0:53:40.500
et me tahame valimissüsteemi,

0:53:40.500,0:53:44.000
kuhu ei sina ega mina ega meie sõbrad ega

0:53:44.000,0:53:47.500
Tarvi Martens ega Vladimir Putin ega NSA

0:53:47.500,0:53:49.500
ei saaks lihtsalt sisse häkkida

0:53:49.500,0:53:51.000
ja muuta valimistulemust.

0:53:51.000,0:53:53.000
Nii lihtne see ongi!

0:53:53.000,0:53:55.000
Me tahame demokraatiat!

0:53:55.000,0:54:03.000
(aplaus)

0:54:03.000,0:54:06.000
Ulatuslik pettus peaks olema vähemalt

0:54:06.000,0:54:09.000
sama keeruline, kui pabervalimise korral.

0:54:09.000,0:54:11.000
Ükski tehnoloogia seda siiani ei taga.

0:54:11.000,0:54:12.500
Seepärast on minu seisukoht,

0:54:12.500,0:54:14.500
kuigi olen teadlik paljulubavatest

0:54:14.500,0:54:16.000
sellealastest uuringutest,

0:54:16.000,0:54:18.000
et enne kulub veel aastakümneid,

0:54:18.000,0:54:19.500
kui see üldse kunagi juhtub,

0:54:19.500,0:54:21.000
et internetivalimised saavad

0:54:21.000,0:54:24.000
oluliste riiklike valimiste jaoks[br]piisavalt turvaliseks.

0:54:24.000,0:54:26.000
Ja seda ei juhtu ilma fundamentaalsete

0:54:26.000,0:54:27.500
arenguteta arvutiturbes.

0:54:28.000,0:54:30.000
Tänan teid väga!

0:54:30.000,0:54:45.000
(aplaus)

0:54:45.000,0:54:48.000
Suur tänu, professor, selle väga hirmsa

0:54:48.000,0:54:50.000
ja väga huvitava ettekande eest!

0:54:52.000,0:54:54.000
Me oleme pisut üle aja läinud,

0:54:54.000,0:54:56.000
kuid õnneks on meil selle ettekande järel

0:54:56.000,0:54:58.000
esimeses saalis tulemas vaheaeg,

0:54:58.000,0:55:00.000
seega, kui teil on küsimusi,

0:55:00.000,0:55:04.500
siis võtke sappa mõne mikrofoni taha[br]neist kaheksast.

0:55:06.000,0:55:08.000
Jah, number neli, palun!

0:55:08.000,0:55:12.000
Tänan ettekande eest! Te uurisite,

0:55:12.000,0:55:16.000
kuidas rünnata häälte lugemise serverit,

0:55:16.000,0:55:18.000
kuid kas te olete uurinud,

0:55:18.000,0:55:26.000
kas saab rünnata teist valimisserverit?

0:55:26.000,0:55:29.000
Sest selles eemaldatakse digiallkirjad,

0:55:29.000,0:55:31.000
(kui ma mäletan õigesti?),

0:55:31.000,0:55:35.000
seega see server võib DVD-le kirjutada

0:55:35.000,0:55:37.000
suvalisi krüpteeritud hääli,

0:55:37.000,0:55:40.000
(kui ma õigesti aru sain?).

0:55:40.000,0:55:42.500
Jah, see on tõesti veel üks haavatavus.

0:55:42.500,0:55:45.500
Keskendusime häälte lugemise serverile,

0:55:45.500,0:55:50.000
sest see oli meie arvates kõige huvitavam

0:55:50.000,0:55:53.000
variant sellisest ründest, aga on muidki

0:55:53.000,0:55:55.000
kohti, mis on potentsiaalselt ahvatlevad,

0:55:55.000,0:55:56.000
sealhulgas ka see.

0:55:56.000,0:55:59.000
Arvan, et see jätaks rohkem asitõendeid.

0:55:59.000,0:56:05.000
Teame ka, et kliendiga suhtlevad serverid,

0:56:05.000,0:56:07.500
mida kasutati 2013. aastal,

0:56:07.500,0:56:10.000
olid haavatavad Heartbleedi turvaaugust,

0:56:10.000,0:56:12.500
mis avastati alles mitmeid kuid hiljem.

0:56:12.500,0:56:15.000
Ma kahtlustan, et need olid haavatavad

0:56:15.000,0:56:17.000
ka Shellshocki turvaaugu poolt.

0:56:17.000,0:56:18.500
See on tõesti probleem,

0:56:18.500,0:56:20.500
kui sellist süsteemi luua,

0:56:20.500,0:56:23.000
ükskõik kui ettevaatlik sa oled.

0:56:27.500,0:56:29.500
Küsimus number kolmelt, palun!

0:56:30.000,0:56:33.500
Jah! Minu küsimus on, kas toimus ka

0:56:33.500,0:56:36.500
häälte lugemise serveri testimist?

0:56:36.500,0:56:39.000
Ma kujutan ette, et näiteks saab

0:56:39.000,0:56:42.000
teha suure kuhja DVD-sid,

0:56:42.000,0:56:45.000
kus peal teada olevad hääled,

0:56:45.000,0:56:47.000
ja siis lasta need süsteemist läbi.

0:56:47.000,0:56:50.000
Võibolla isegi valimispäeval võiks öelda,

0:56:50.000,0:56:52.500
et siin on 10 DVD-d tõeliste häältega,

0:56:52.500,0:56:56.000
ja neid juhuslikus järjekorras mitu korda

0:56:56.000,0:56:58.000
läbi lasta ja kontrollida -

0:56:58.000,0:57:01.500
kui kõik näidis DVD-d summeeruvad õigesti

0:57:01.500,0:57:04.500
igas järjekorras, siis peaks ka õiged

0:57:04.500,0:57:07.000
hääled olema korras. Midagi sellist...

0:57:07.500,0:57:11.000
Nad ei kasuta selliseid protseduure.

0:57:11.000,0:57:13.000
Arvan, et nad mõtlevad selle lisamisele.

0:57:13.000,0:57:15.000
Aga siin tulevad mängu nüansid.

0:57:15.000,0:57:17.500
Kui sa ehitad sellist asja, pead tagama,

0:57:17.500,0:57:19.500
et pahavara ei suudaks kuidagi tuvastada,

0:57:19.500,0:57:23.000
kas käib audit või õige häältelugemine.

0:57:23.500,0:57:27.000
Sest kõrvalkanalitega või salamärguandega

0:57:27.000,0:57:30.000
saab panna näidisfailidesse signaali,

0:57:30.000,0:57:33.500
mis paneb serveri neid õigesti lugema.

0:57:33.500,0:57:36.000
Seega pead olema väga hoolikas sellise

0:57:36.000,0:57:38.000
süsteemi kavandamisel.

0:57:39.000,0:57:41.000
Minu mure pole mitte niivõrd selles,

0:57:41.000,0:57:45.000
et mõnda probleemi ei saakski kõrvaldada.

0:57:45.000,0:57:48.000
Aga kõrvaldades need kõik perfektselt,

0:57:48.000,0:57:51.000
saame tulemuseks süsteemi, mida on liiga

0:57:51.000,0:57:52.000
keeruline juhtida ja administreerida.

0:57:52.000,0:57:56.000
Tulemus oleks Rube Goldbergi süsteem.

0:57:56.000,0:57:58.000
Usun, et nende süsteem ongi selline,

0:57:58.000,0:58:00.000
nagu see on, kuna vajati kompromisse,

0:58:00.000,0:58:02.000
et süsteem ehitada piisavalt odavalt

0:58:02.000,0:58:04.000
ja piisavalt lihtsalt kasutatavaks.

0:58:04.000,0:58:06.000
Me võime igat komponenti parandada,

0:58:06.000,0:58:09.000
kuid kõigi aukude sulgemine tundub

0:58:09.000,0:58:12.500
äärmiselt keeruline, vähemalt minule.

0:58:14.000,0:58:15.500
Küsimus number neljalt, palun!

0:58:17.000,0:58:18.500
Tänan väga ettekande eest!

0:58:18.500,0:58:20.000
See oli väga inspireeriv!

0:58:20.000,0:58:24.000
Tahtsin küsida, mida te arvate sellest,

0:58:24.000,0:58:27.000
kas sellised süsteemid võivad kunagi

0:58:27.000,0:58:30.000
areneda piisavalt turvaliseks, sest näen,

0:58:30.000,0:58:33.000
et turbevaldkonnas toimuvad arengud on

0:58:33.000,0:58:37.000
alati põhjustatud häkkerite poolt?

0:58:37.000,0:58:39.000
Mitte ainult, kuid nii,

0:58:39.000,0:58:43.000
nagu turvaaukude lappimine toimub

0:58:43.000,0:58:45.000
alles pärast nende avastamist,

0:58:45.000,0:58:47.000
on see võistlus kahe poole vahel,

0:58:47.000,0:58:50.500
mis paneb süsteemi arenema.

0:58:50.500,0:58:55.000
Jah! See on hea küsimus!

0:58:55.000,0:58:57.500
See on paljutõotav uurimisvaldkond -

0:58:57.500,0:59:02.000
niinimetatud "otsast otsani valija poolt[br]kontrollitav valimine",

0:59:02.000,0:59:05.000
mis põhineb keerukal krüptograafial.

0:59:05.000,0:59:07.000
Idee seisneb selles,

0:59:07.000,0:59:09.000
et on vaja süsteemi, mis tagaks,

0:59:09.000,0:59:11.500
et sinu hääl oleks antud nii,[br]nagu sa soovisid,

0:59:11.500,0:59:14.000
et see oleks registreeritud sellisena,[br]nagu see anti,

0:59:14.000,0:59:16.000
et kõik hääled oleks loetud,[br]nagu need anti,

0:59:16.000,0:59:18.000
ja et iga valija saaks seda kinnitada.

0:59:18.000,0:59:20.000
Üks viis selle saavutamiseks on avaldada

0:59:20.000,0:59:22.000
ajalehes kõigi nimed ja tehtud valikud.

0:59:22.000,0:59:24.000
Õigus? Aga loomulikult me ei taha seda,

0:59:24.000,0:59:26.000
see poleks salajane hääletamine.

0:59:26.000,0:59:28.000
Kuid mõnede keerukamate krüptoversioonide

0:59:28.000,0:59:33.000
kasutamisega võime ka seda saavutada,[br]uskuge või mitte.

0:59:33.000,0:59:35.000
See on tõesti loogikavastane,

0:59:35.000,0:59:37.000
et sul võivad olla kõik need omadused.

0:59:37.000,0:59:39.000
Sellised süsteemid on arenduses,

0:59:39.000,0:59:41.500
ja kui oled huvitatud nende häkkimisest

0:59:41.500,0:59:43.500
ja nende paremaks tegemisest,

0:59:43.500,0:59:45.500
siis tuleks alustada nendega tutvumisest.

0:59:45.500,0:59:47.500
Kuid nende aeg pole veel tulnud -

0:59:47.500,0:59:50.000
on palju küsitavusi kasutatavuse,

0:59:50.000,0:59:51.500
protokollide turvalisuse,

0:59:51.500,0:59:53.000
rakendamise keerukuse

0:59:53.000,0:59:57.000
ja riigi tasandil toimivuse osas.

0:59:57.000,1:00:00.000
Seega on uuringutest tulenevalt lootust,

1:00:00.000,1:00:03.000
kuid arvan, et kulub veel aastakümneid,

1:00:03.000,1:00:05.000
ja seda juhul, kui asjad lähevad hästi,

1:00:05.000,1:00:07.000
enne kui saabub nende õige aeg.

1:00:07.000,1:00:08.000
See oli siiski hea küsimus!

1:00:08.000,1:00:10.500
Kas võin vahele küsida lühikese küsimuse?

1:00:10.500,1:00:14.000
Kuidas teie arvates peaksid lõppkasutajad

1:00:14.000,1:00:16.000
üldse saama selliseid süsteeme usaldada,

1:00:16.000,1:00:18.000
kui nad pole arendajad, nagu meie siin?

1:00:18.000,1:00:20.000
Neil pole võimalust kontrollida,

1:00:20.000,1:00:22.000
et ei toimu pettust.

1:00:22.000,1:00:24.500
See on tõeliselt avatud küsimus.

1:00:24.500,1:00:28.000
Ainuüksi Ameerika kontekstile mõeldes

1:00:28.000,1:00:30.000
ma ei tea, kuidas reageeriks valijad, kui

1:00:30.000,1:00:40.000
nende lemmikraadio Bandit ütleks eetris,[br]et "Valimised oli pettus!",

1:00:40.000,1:00:42.000
ja mingi nohikust krüptograaf oponeerib,

1:00:42.000,1:00:48.000
et "Ei olnud!", ja, et ta võib seda[br]tõestada, sest "Selle süsteemi mingi[br]veider omadus kinnitab seda..."

1:00:48.000,1:00:50.000
Ja teate, minu arvates ei oska me

1:00:50.000,1:00:52.000
seda probleemi veel lahendada.

1:00:52.000,1:00:54.000
Mõistliku usalduse tagamine on suureks

1:00:54.000,1:00:58.000
väljakutseks igale valimistehnoloogiale.

1:00:58.000,1:00:59.000
Suur tänu!

1:00:59.000,1:01:00.000
Tänan sind!

1:01:00.000,1:01:02.000
Number ühel on küsimus!

1:01:02.000,1:01:04.000
Kui need kiipkaardid allkirjastavad TLS

1:01:04.000,1:01:06.000
teatisi ja dokumente nõudmise peale,

1:01:06.000,1:01:09.000
kas nad on tõesti kindlad, et ükski TLS

1:01:09.000,1:01:11.000
käepigistus või dokument ei pääse läbi

1:01:11.000,1:01:13.000
krüpteeritud valimissedeli pähe?

1:01:13.000,1:01:15.500
On erinevad võtmed autentimiseks

1:01:15.500,1:01:22.000
ja allkirjastamiseks, ja loodetavasti on

1:01:22.000,1:01:25.000
nad mõelnud sellisele rünnakule,

1:01:25.000,1:01:28.000
aga see on huvitav küsimus, Adam.

1:01:28.000,1:01:30.000
Me ei uurinud seda. Tegelikult ütlesime,

1:01:30.000,1:01:33.000
et avaliku võtme infrastruktuuri

1:01:33.000,1:01:37.000
turvalisus oli väljaspool uuringu skoopi.

1:01:37.000,1:01:40.000
Kuid Tarvi Martens on ka Eesti avaliku

1:01:40.000,1:01:42.000
võtme infrastruktuuri isa, seega võid

1:01:42.000,1:01:46.000
temaga selle juurutamise ja kasutamise[br]turvalisusest rääkida.

1:01:46.000,1:01:48.500
Mulle näib, et ta ei pruugi olla sellele

1:01:48.500,1:01:51.000
küsimusele täiesti avatud, aga tänan!

1:01:52.000,1:01:54.000
Number viiel on küsimus!

1:01:54.500,1:01:56.500
Hüva, see on midagi sarnast.

1:01:56.500,1:01:58.000
Isegi kui oleks märkimisväärseid

1:01:58.000,1:02:01.000
edasiminekuid krüptograafias, siis

1:02:01.000,1:02:04.000
kuidas saaks kodanikud olla süsteemis

1:02:04.000,1:02:07.000
kindlad, kui nad ei ole krüptograafid,

1:02:07.000,1:02:09.500
kes oskaks ise kontrollida?

1:02:09.500,1:02:11.000
Ja teine asi, kui me olime lapsed,

1:02:11.000,1:02:13.000
räägiti, et meil on demokraatia,

1:02:13.000,1:02:15.000
kuid kui sa kasvad suureks, siis mõistad,

1:02:15.000,1:02:18.000
et on palju kallutatud tulemusi,

1:02:18.000,1:02:20.000
mõned hääled loevad rohkem kui teised,

1:02:20.000,1:02:22.000
ja sa pead olema poliitikateadlane,

1:02:22.000,1:02:24.000
et mõista, kuidas hääli loetakse,

1:02:24.000,1:02:26.000
ja sa pead olema krüptograaf,

1:02:26.000,1:02:28.000
et mõista, et ülelugemine oli täpne.

1:02:28.000,1:02:30.000
Kas leidub mõni inimene,

1:02:30.000,1:02:33.000
kellel on kogu see teadmine olemas?

1:02:33.000,1:02:35.500
Ma tean, ma tean! Need on väga keerulised

1:02:35.500,1:02:38.000
küsimused ja mul pole neile vastuseid.

1:02:38.000,1:02:42.000
Võin öelda, et minu lühiarvamus on,

1:02:42.000,1:02:46.000
et valijad peaks saama valimistulemusi

1:02:46.000,1:02:49.000
usaldada ilma vajaduseta usaldada

1:02:49.000,1:02:53.000
valimisametnikke või mõnd spetsiaalset

1:02:53.000,1:02:56.000
inimrühma, sealhulgas nohikud,

1:02:56.000,1:03:00.000
krüptograafid või poliitikateadlased.

1:03:00.000,1:03:04.500
Igaüks peaks saama koos sõprade, rühma,

1:03:04.500,1:03:07.000
klubi või oma erakonnaga minna

1:03:07.000,1:03:11.000
valimisprotsessi vaatlema ja veenduda.

1:03:11.000,1:03:13.000
See peaks olema selliselt kavandatud.

1:03:13.000,1:03:15.000
Ma tean, et see on probleem ja tegelikult

1:03:15.000,1:03:18.000
saame mitmel moel tehnoloogiat kasutada,

1:03:18.000,1:03:21.000
et anda inimestele võimalus usalduse[br]suurenemiseks,

1:03:21.000,1:03:27.000
sealhulgas kontrollides elektrooniliselt[br]pabervalimisi.

1:03:27.000,1:03:29.000
On tehtud märkimisväärne hulk uurimusi

1:03:29.000,1:03:31.000
sel teemal, mis seda võimaldaks -

1:03:31.000,1:03:33.000
ilma arenenud tehnoloogiata,

1:03:33.000,1:03:35.000
ilma arenenud krüptograafiata,

1:03:35.000,1:03:37.000
palja statistika abil anda lisakindlust,

1:03:37.000,1:03:39.000
et valimistulemus on õige.

1:03:39.000,1:03:41.000
Seega on asju,

1:03:41.000,1:03:43.000
mida me saame teha tehnoloogiaga,

1:03:43.000,1:03:45.000
kuid mul ei ole kõiki vastuseid.

1:03:45.500,1:03:46.500
Number kaks, palun!

1:03:47.000,1:03:49.000
Tere! Ma tahaksin küsida,

1:03:49.000,1:03:52.000
kas te olete kursis sellega,

1:03:52.000,1:03:54.000
kuidas Bitcoin toimib?

1:03:54.000,1:03:57.000
Kas olete kaalunud sellist krüpteerimise

1:03:57.000,1:04:03.000
ja dekrüpteerimise mehhanismi kasutamist[br]e-valimiste puhul?

1:04:03.000,1:04:07.000
Mõned inimesed on rääkinud valimisskeemi

1:04:07.000,1:04:12.000
rajamist mõnele Bitcoini protokolli[br]variandile.

1:04:12.000,1:04:15.000
Minu arvates on see huvitav mõte.

1:04:15.000,1:04:18.000
Ma ei tea, kas me tahame usaldada

1:04:18.000,1:04:21.000
riiklike valimiste tulemust isegi

1:04:21.000,1:04:24.000
Bitcoini ökosüsteemile, sest võib olla,

1:04:24.000,1:04:26.000
et USA presidendivalimiste tulemus

1:04:26.000,1:04:28.000
on rohkem väärt kui Bitcoini majandus?

1:04:28.000,1:04:30.000
Ma ei tea veel, on see tõsi või mitte,

1:04:30.000,1:04:33.000
kuid see on midagi, millele mõelda.

1:04:33.000,1:04:35.000
Igatahes ma arvan,

1:04:35.000,1:04:37.000
et jaotatud avalik arvepidamine,

1:04:37.000,1:04:39.000
mida Bitcoin kasutab,

1:04:39.000,1:04:41.000
on potentsiaalselt väga huvitav idee

1:04:41.000,1:04:43.000
tuleviku valimiste jaoks,

1:04:43.000,1:04:45.000
kuid see tundub üsna kaugena,

1:04:45.000,1:04:47.000
võrreldes tänase seisuga.

1:04:48.000,1:04:51.000
Veelkord number kaks, palun!

1:04:52.000,1:04:54.000
Te leidsite üsna palju

1:04:54.000,1:04:57.000
erinevaid probleeme nende

1:04:57.000,1:05:00.000
valimissüsteemi juures.

1:05:00.000,1:05:03.000
Kas te hindaksite, mis osas on need üsna

1:05:03.000,1:05:06.000
lihtsalt parandatavad, ja mis osas pigem

1:05:06.000,1:05:09.000
sellele süsteemile sünnipäraselt omased,

1:05:09.000,1:05:12.000
ja mille kõrvaldamiseks on vaja suuremat

1:05:12.000,1:05:15.000
kogu süsteemi ümberkorraldamist?

1:05:15.000,1:05:17.000
Need sünnipärased asjad kõigi selliste

1:05:17.000,1:05:19.000
süsteemide puhul on, et need põhinevad

1:05:19.000,1:05:21.000
mingi masinas jooksva koodi korrektsele

1:05:21.000,1:05:23.000
ja turvalisele toimimisele, mida valijad

1:05:23.000,1:05:26.000
ei näe, ning häältele, mida sa ei saa

1:05:26.000,1:05:29.000
oma silmaga või käega kontrollida, sest

1:05:29.000,1:05:32.000
neid töödeldakse salajas arvuti poolt.

1:05:32.000,1:05:34.000
See musta kasti omadus on miskit,

1:05:34.000,1:05:36.500
mis viib väite juurde, et kui see arvuti

1:05:36.500,1:05:38.500
on kuidagi kompromiteeritud, näiteks

1:05:38.500,1:05:41.000
läbi tarneahela rünnaku või pahavara,

1:05:41.000,1:05:43.500
mis tuleb sisse usalduse usaldamise

1:05:43.500,1:05:46.000
mõtiskluse stiilis rünnakuga,

1:05:46.000,1:05:49.000
võib see viia valimistulemuste[br]kompromiteerimiseni.

1:05:49.000,1:05:51.000
Ja seda on raske parandada.

1:05:51.000,1:05:53.000
See on see asi, mida otsast otsani

1:05:53.000,1:05:55.000
valija poolt kontrollitav krüptograafia

1:05:55.000,1:05:57.000
püüab kunagi parandada.

1:05:57.000,1:05:59.000
Väikesed asjad, turvaaugud,

1:05:59.000,1:06:01.000
käsureale süstimine...

1:06:01.000,1:06:03.500
Jah, need on lahendamiseks[br]lihtsad probleemid,

1:06:03.500,1:06:06.000
kuid reaalselt, kui sa valimisi korraldad

1:06:06.000,1:06:09.000
ja suur turvaauk leidub tarkvarapaketis,

1:06:09.000,1:06:10.500
millele sinu süsteem toetub,

1:06:10.500,1:06:12.000
ja mis lapiti eelmisel öösel,

1:06:12.000,1:06:13.500
ja sul pole aega, et teha teste

1:06:13.500,1:06:15.000
ja auditeerida kogu koodi,

1:06:15.000,1:06:18.000
siis oled valiku ees, kas pakkuda midagi,

1:06:18.000,1:06:20.500
mida pole testitud või pakkuda midagi,

1:06:20.500,1:06:23.000
milles on teadaolevaid turvaauke.

1:06:23.000,1:06:25.000
Ma ei tea, kuidas meie turvapaikade

1:06:25.000,1:06:27.000
välja andmise tsükliga turvamaailmas

1:06:27.000,1:06:30.000
selliste probleemidega hakkama saada.

1:06:30.000,1:06:32.000
Ma arvan, et see on midagi, kus me tõesti

1:06:32.000,1:06:34.000
vajame fundamentaalseid edusamme viisis,

1:06:34.000,1:06:36.000
kuidas me käitume arvutiturbega,

1:06:36.000,1:06:39.000
enne kui me saame sellele hea lahenduse.

1:06:40.000,1:06:43.000
Seega põhimõtteliselt te ütlete,

1:06:43.000,1:06:46.000
et pole lootustki,

1:06:46.000,1:06:49.000
et sellist süsteemi saaks olla,

1:06:49.000,1:06:53.000
ja et paber ja pliiats on ikka paremad,

1:06:53.000,1:06:56.000
kui asi puudutab valimistelt

1:06:56.000,1:06:59.500
nõutud omaduste täitmist?

1:07:00.000,1:07:03.000
Paberil ja pliiatsil on väga tore omadus:

1:07:03.000,1:07:06.000
valijana saad veenduda, kuidas su valik

1:07:06.000,1:07:08.000
registreeriti, ja teised inimesed saavad

1:07:08.000,1:07:10.000
jälgida häälte lugemise protsessi.

1:07:10.000,1:07:14.000
Meil on sadade aastate pikkune kogemus[br]pabervalimiste pettustega,

1:07:14.000,1:07:16.500
seega ma ei ütle, et tehnoloogia ei saaks

1:07:16.500,1:07:18.500
midagi teha olukorra parandamiseks.

1:07:18.500,1:07:21.000
Me saame seda teha, kuid ma arvan,

1:07:21.000,1:07:23.000
et kõige paljulubavamad viisid

1:07:23.000,1:07:25.000
pabervalimiste parandamiseks

1:07:25.000,1:07:27.000
ei alusta paberi ära viskamisest.

1:07:27.000,1:07:30.000
Need algavad paberiga, ja siis

1:07:30.000,1:07:32.000
lisavad mõned muud tehnoloogiad,

1:07:32.000,1:07:34.000
mis suudaks jälgida, salvestada,

1:07:34.000,1:07:36.000
aidata seda paberit auditeerida,

1:07:36.000,1:07:40.000
et tagada tulemuste usaldusväärsus.

1:07:42.000,1:07:43.000
Tänan!

1:07:45.000,1:07:48.000
Seega veel kaks või kolm küsimust!

1:07:48.000,1:07:50.000
Number kuus, palun!

1:07:50.000,1:07:52.000
Kas te arvate,

1:07:52.000,1:07:54.500
et oleks võimalik kavandada süsteemi,

1:07:54.500,1:07:57.000
mis garanteeriks nii häälte tervikluse

1:07:57.000,1:08:00.000
kui ka anonüümsuse, sest ma arvan,

1:08:00.000,1:08:03.000
et need kaks ei sobi üldse kokku?

1:08:03.000,1:08:06.000
Kindlasti on need vastuolus!

1:08:06.000,1:08:09.000
Need otsast otsani kontrollitavad

1:08:09.000,1:08:11.000
krüptosüsteemid püüavadki seda teha,

1:08:11.000,1:08:13.000
kuid nagu ma ütlesin,

1:08:13.000,1:08:15.000
on neil muid probleeme - kasutatavuse ja

1:08:15.000,1:08:18.000
rakendamisega, mis pole veel lahendatud.

1:08:18.000,1:08:20.000
See on kindlasti eesmärk, kuid see teeb

1:08:20.000,1:08:22.000
sellest keerulise probleemi, ja ma arvan,

1:08:22.000,1:08:24.000
et see on midagi sellist,

1:08:24.000,1:08:26.000
mida me kõik tahaks suuta ehitada.

1:08:26.000,1:08:30.000
Me ei tea, kuidas seda suurel skaalal[br]praktikas teha.

1:08:30.000,1:08:32.000
Me töötame selle kallal,

1:08:32.000,1:08:35.000
kuid see pole garantii, et me kunagi need

1:08:35.000,1:08:38.000
probleemid mugavalt lahendame.

1:08:38.000,1:08:40.000
Ma tahaks vaid vahele teha kiire

1:08:40.000,1:08:42.000
ja häbematu reklaami oma tudengite ja

1:08:42.000,1:08:46.500
kolleegide ettekannetele muudel teemadel,[br]millega me tegeleme.

1:08:46.500,1:08:49.000
Muuseas saate kuulata, kuidas me kasutame

1:08:49.000,1:08:53.000
ZMap skännimise tööriista, mille tegime,[br]et uurida Heartbleedi.

1:08:53.000,1:08:55.000
Kuidas ostsime eBayst TSA alastiskänneri

1:08:55.000,1:08:57.500
ja avastasime ründevõimalusi selle vastu.

1:08:57.500,1:09:00.000
Ja kuidas ehitame koos EFF-i ja Mozillaga

1:09:00.000,1:09:02.500
tasuta sertifitseerimisasutust, millest

1:09:02.500,1:09:05.000
saaks meie katse veebi krüpteerimiseks.

1:09:05.000,1:09:09.000
See oli häbematu reklaam, tänan,[br]et jäite seda kuulama!

1:09:09.000,1:09:15.000
(aplaus)

1:09:15.000,1:09:17.000
Number üks, palun!

1:09:17.000,1:09:19.500
Ma tahan Teid tänada ettekande eest,

1:09:19.500,1:09:22.000
aga ka oma uuringu internetis tasuta

1:09:22.000,1:09:25.000
Coursera kursusena "Turvalisuse vajadus

1:09:25.000,1:09:27.000
digitaalses demokraatias" jagamise eest!

1:09:27.000,1:09:29.500
Seega ma tean, et te ei taha ise omale

1:09:29.500,1:09:31.500
reklaami teha ja ma teen seda teie eest.

1:09:31.500,1:09:33.500
Nüüd, et teha sellest küsimus, siis

1:09:33.500,1:09:35.500
kas on sellele tulemas ka järge?

1:09:35.500,1:09:37.500
Hästi! Tänan väga! Jah, teen ikka,

1:09:37.500,1:09:40.000
kui olete huvitatud rohkem teada saama.

1:09:40.000,1:09:42.500
Mul on tasuta 5-nädalane võrgukursus

1:09:42.500,1:09:47.500
digitaalsest valimistehnoloogiast[br]saadaval Courseras.

1:09:47.500,1:09:51.000
See on tasuta ja toimub varsti uuesti.

1:09:51.000,1:09:53.000
Tegelikult tegelen praegu sellega,

1:09:53.000,1:09:57.000
et lasta see välja internetitöövihikuna,

1:09:57.000,1:09:59.500
kus on võimalik lihtsalt minna ja

1:09:59.500,1:10:02.000
vaadata videoloenguid omas tempos,

1:10:02.000,1:10:04.500
seega kui sa tahad näha 10 loengulist

1:10:04.500,1:10:06.000
varianti sellest ettekandest,

1:10:06.000,1:10:09.500
siis võid selle leida Courserast

1:10:09.500,1:10:13.000
või leida lingi sellele minu kodulehelt.

1:10:13.000,1:10:17.000
Tänan väga, et selle üles tõstsid!

1:10:17.500,1:10:19.000
Tänan teid kõiki!

1:10:19.000,1:10:23.000
(aplaus)

1:10:23.000,1:10:25.500
Enne viimase küsimuseni jõudmist number

1:10:25.500,1:10:28.000
neljalt, tahaksin meenutada, et palun

1:10:28.000,1:10:30.500
võtke lahkumisel kaasa oma prügi,

1:10:30.500,1:10:33.000
ja et te võite tulla ja ettekandjale

1:10:33.000,1:10:35.500
küsimusi esitada ka pärastpoole.

1:10:35.500,1:10:38.000
Seega, palun, number neli!

1:10:39.000,1:10:42.000
Minu arusaam demokraatlikest valimistest on,

1:10:42.000,1:10:45.000
et need peavad olema vabad ja privaatsed,

1:10:45.000,1:10:48.000
ning isegi kui kõik need probleemid,

1:10:48.000,1:10:51.000
mida te mainisite, lahendatakse, kas

1:10:51.000,1:10:55.500
ei jää ikkagi probleemid seoses sellega,

1:10:55.500,1:11:00.000
et kodus valimine ei taga neid printsiipe?

1:11:00.000,1:11:03.000
Kujutage ette, et üks pereliige

1:11:03.000,1:11:07.000
sunnib teisi pereliikmeid valima nii,[br]nagu ta tahab,

1:11:07.000,1:11:11.000
sest nad ei saa valida omaette kabiinis.

1:11:11.500,1:11:13.000
Ma nõustun teiega täielikult!

1:11:13.000,1:11:16.000
See on väga-väga raske probleem,

1:11:16.000,1:11:17.500
kuidas tagada valijale turvaline

1:11:17.500,1:11:20.500
ja survestamisvaba keskkond,

1:11:20.500,1:11:22.000
kui nad valivad eemalt,

1:11:22.000,1:11:23.500
üle interneti. Seega tõesti võib vabalt

1:11:23.500,1:11:27.000
ette kujutada abikaasat või tööandjat

1:11:27.000,1:11:30.000
kedagi survestamas valima kindlal viisil.

1:11:30.000,1:11:32.000
Ja Eesti lähenemine sellele probleemile

1:11:32.000,1:11:35.000
on huvitav - lasta isikul anda uus hääl,

1:11:35.000,1:11:38.000
mis teeb survestamise küll raskemaks,

1:11:38.000,1:11:39.500
kuid ei välista seda.

1:11:39.500,1:11:42.500
Näiteks survestaja võib isiku ID-kaardi

1:11:42.500,1:11:46.000
ära võtta, kuni valimised on möödas,

1:11:46.000,1:11:49.000
et takistada tal uuesti hääletada.

1:11:49.000,1:11:52.000
Ta võib viimse minutini oodata ja sundida

1:11:52.000,1:11:54.500
vahetult valimiste lõpu eel ümber valima.

1:11:54.500,1:11:57.500
Ma usun, et see on üks raske probleem,

1:11:57.500,1:12:00.000
ja see on üks kompromissidest,

1:12:00.000,1:12:03.000
mis tuleb demokraatiapõhimõtetega teha,

1:12:03.000,1:12:05.000
kui me otsustame,

1:12:05.000,1:12:07.000
et internetivalimised on see tee,

1:12:07.000,1:12:09.000
kuhu me tahame minna.

1:12:09.000,1:12:12.000
Võib-olla on tehnoloogilisi lähenemisi,

1:12:12.000,1:12:15.000
mis võivad seda püüda parandada,

1:12:15.000,1:12:18.000
kuid ma pole selles väga kindel.

1:12:18.000,1:12:21.000
Ma arvan, et see on avatud probleem.

1:12:21.000,1:12:24.000
Vastus on arvatavasti selles,

1:12:24.000,1:12:26.000
et survestamise oht on lihtsalt see,

1:12:26.000,1:12:28.000
mis saadakse vastu mugavuse eest,

1:12:28.000,1:12:30.000
mille annab internetis hääletamine.

1:12:30.000,1:12:31.000
Tänan teid!

1:12:33.000,1:12:36.000
Tänan teid väga!

1:12:36.000,1:12:39.000
Tänan! Aplausiraund veel kord, palun!

1:12:39.000,1:12:40.000
Tänan! Tänan!

1:12:40.000,1:12:45.000
(aplaus)

1:12:45.000,1:12:49.419
Eestikeelsed subtiitrid tõlkis ja lisas Sulev Švilponis

1:12:49.419,1:12:58.000
subtitles created by c3subtitles.de[br]in the year 2017. Join, and help us!