WEBVTT 00:00:09.000 --> 00:00:12.000 Tänan teid, ja tänan eriti selle eest, et 00:00:12.000 --> 00:00:15.500 olete siin nii varajasel hommikusel ajal. 00:00:15.500 --> 00:00:18.000 Tean, et CCC standardi järgi on veel 00:00:18.000 --> 00:00:19.500 varane koiduaeg. 00:00:19.500 --> 00:00:23.500 (aplaus) 00:00:24.000 --> 00:00:26.000 Niisiis, mina olen Alex Halderman. 00:00:26.000 --> 00:00:28.000 Ma olen arvutiteaduste professor 00:00:28.000 --> 00:00:30.000 Michigani ülikoolis, USA-s. 00:00:30.000 --> 00:00:34.000 Töö, millest hakkan teile täna rääkima, 00:00:34.000 --> 00:00:38.000 on olnud eelkõige koostöö teistega. 00:00:38.000 --> 00:00:41.000 Ma pean eriti tänama minu tudengeid - 00:00:41.000 --> 00:00:46.000 Drew Springall, Travis Finkenauer ja Zakir Durumeric, 00:00:46.000 --> 00:00:47.500 ning meie kaastöötajaid - 00:00:47.500 --> 00:00:50.000 Jason Kitcat, Harri Hursti ja Margaret MacAlpine. 00:00:50.000 --> 00:00:52.000 See töö poleks valminud ilma nendeta! 00:00:52.000 --> 00:00:54.000 Tegelikult on kolm minu tudengit, 00:00:54.000 --> 00:00:56.000 kellega ma e-valimiste uuringut tegin, 00:00:56.000 --> 00:00:57.500 täna koos minuga siin. 00:00:57.500 --> 00:01:00.500 Eric Wustrow, Zakir Durumeric, Drew Springall, 00:01:00.500 --> 00:01:03.000 kas te tõuseksite, palun, püsti! 00:01:04.000 --> 00:01:05.500 Hästi! Aplaus tudengitele! 00:01:05.500 --> 00:01:07.000 Nemad tegidki seda tööd! 00:01:07.500 --> 00:01:12.500 (aplaus) 00:01:13.500 --> 00:01:16.000 Hüva! Niisiis on e-valimised midagi, 00:01:16.000 --> 00:01:20.000 mis on mind huvitanud viimased 10 aastat. 00:01:20.000 --> 00:01:22.500 Ja see pakub mulle huvi eriti seetõttu, 00:01:22.500 --> 00:01:25.500 et see kõlab justkui midagi imelist, 00:01:25.500 --> 00:01:28.000 mis võimaldaks kasutada arvuteid 00:01:28.000 --> 00:01:30.000 häälte turvaliseks kokkulugemiseks, 00:01:30.000 --> 00:01:32.000 laseks valida üle interneti, 00:01:32.000 --> 00:01:34.000 koos kõigi mugavustega, 00:01:34.000 --> 00:01:35.500 mida see tehnoloogia kaasa toob. 00:01:35.500 --> 00:01:37.500 Võib-olla saaksime vähendada kulusid, 00:01:37.500 --> 00:01:40.000 võib-olla saaksime suurendada osavõttu. 00:01:40.000 --> 00:01:43.000 Samal ajal esitavad e-valimised 00:01:43.000 --> 00:01:46.000 mõned kõige raskemad väljakutsed 00:01:46.000 --> 00:01:48.000 andmeturbe vallas. 00:01:48.000 --> 00:01:51.000 Ja ma näen selles motiveerivat näidet 00:01:51.000 --> 00:01:53.000 ja motiveerivat probleemi 00:01:53.000 --> 00:01:56.000 kõiksugu edasiarenguteks krüptograafias, 00:01:56.000 --> 00:01:59.000 süsteemiehituses ja kasutatavuses. 00:01:59.000 --> 00:02:01.000 E-valimised on väga keeruline 00:02:01.000 --> 00:02:04.000 turbeprobleem ebaharilike nõuete tõttu. 00:02:04.000 --> 00:02:06.000 Turvalisteks e-valimisteks on 00:02:06.000 --> 00:02:09.000 ennekõike vaja kaht asja. 00:02:09.000 --> 00:02:11.000 Üks neist on terviklus, 00:02:11.000 --> 00:02:13.000 ja selle all pean silmas seda, 00:02:13.000 --> 00:02:16.000 et valimistulemus vastaks valija tahtele. 00:02:16.000 --> 00:02:19.000 See on üsna nõrk tervikluse definitsioon. 00:02:19.000 --> 00:02:22.500 Lihtsustatult: et õige kandidaat võidaks. 00:02:22.500 --> 00:02:24.000 See tähendab loomulikult, 00:02:24.000 --> 00:02:25.000 et hääled on antud 00:02:25.000 --> 00:02:26.500 vastavalt valija tahtele, 00:02:26.500 --> 00:02:28.500 ja et valimistulemus on kokku loetud 00:02:28.500 --> 00:02:30.500 vastavalt sellele, kuidas hääled anti. 00:02:30.500 --> 00:02:32.500 Kuid teine nõue, ja põhjus, 00:02:32.500 --> 00:02:34.500 miks see on palju keerulisem 00:02:34.500 --> 00:02:36.000 kui teised probleemid, 00:02:36.000 --> 00:02:38.000 millega me igapäevaselt tegeleme, 00:02:38.000 --> 00:02:42.000 nagu netipangad ja ostmine e-kaubanduses, 00:02:42.000 --> 00:02:44.500 seisneb selles, et meil on vaja tagada 00:02:44.500 --> 00:02:46.000 ka valimissaladuse nõue. 00:02:46.000 --> 00:02:49.000 Valimissaladus, mis on üheks tähtsaimaks 00:02:49.000 --> 00:02:51.000 tehnoloogiliseks edusammuks 00:02:51.000 --> 00:02:53.000 valimistehnoloogia ajaloos. 00:02:53.000 --> 00:02:56.000 Valimissaladus, mis kaitseb sind sunni 00:02:56.000 --> 00:02:58.000 eest anda oma hääl nõutud moel. 00:02:58.000 --> 00:03:01.500 Ja kaitseb meid sinu hääle müümise eest. 00:03:02.000 --> 00:03:04.500 Valimissaladuse nõude järgi ei tohi keegi 00:03:04.500 --> 00:03:07.000 teada saada, kuidas sa valisid, isegi, 00:03:07.000 --> 00:03:09.500 kui sa püüad talle oma valikut tõestada. 00:03:09.500 --> 00:03:12.000 Sellega tahame vältida valimiste 00:03:12.000 --> 00:03:14.500 survestamist ja takistada häälte müüki. 00:03:15.000 --> 00:03:17.500 Põhjus, mis teeb e-valimised keeruliseks, 00:03:17.500 --> 00:03:20.000 on suuresti selles, et need kaks omadust, 00:03:20.000 --> 00:03:22.000 terviklus ja valimissaladus, 00:03:22.000 --> 00:03:24.000 on vastandlikud. 00:03:24.000 --> 00:03:27.000 Paljud kaitsemeetmed, mida me tavaliselt 00:03:27.000 --> 00:03:30.000 püüaksime kasutada tervikluse tagamiseks, 00:03:30.000 --> 00:03:33.000 meetmed, mida me kasutame e-kaubanduses - 00:03:33.000 --> 00:03:36.000 saata kviitung või pangaväljavõte, 00:03:36.000 --> 00:03:39.000 või tehes arvepidamist suure tabeliga, 00:03:39.000 --> 00:03:42.000 kus kogu raha sisse ja välja liikumine 00:03:42.000 --> 00:03:44.000 on kokku võetud, ja me veendume, 00:03:44.000 --> 00:03:46.000 et kõik klapib. 00:03:46.000 --> 00:03:48.000 Selliseid asju on väga-väga keeruline 00:03:48.000 --> 00:03:50.500 või võimatu rakendada, kui me tahame 00:03:50.500 --> 00:03:53.000 hoida ranget valimissaladust, 00:03:53.000 --> 00:03:56.000 samal ajal kui püüame tagada terviklust. 00:03:56.000 --> 00:03:59.000 Seega vajame väga erinevaid mehhanisme, 00:03:59.000 --> 00:04:01.000 saavutamaks e-valimiste süsteemi, 00:04:01.000 --> 00:04:03.000 mis tagaks need kriitilised nõuded. 00:04:03.500 --> 00:04:06.000 Loomulikult pole see takistanud inimesi 00:04:06.000 --> 00:04:08.000 elektroonilisi valimissüsteeme ehitamast. 00:04:08.000 --> 00:04:10.000 Paljud riigid üle kogu maailma kasutavad 00:04:10.000 --> 00:04:12.000 elektroonilisi valimisi või on hakanud 00:04:12.000 --> 00:04:14.000 proovima internetivalimisi. 00:04:14.000 --> 00:04:18.000 Mul on viimastel aastatel olnud õnne 00:04:18.000 --> 00:04:20.500 osaleda mõnedes esimestes erinevate 00:04:20.500 --> 00:04:23.000 süsteemide praktilistes uuringutes. 00:04:23.000 --> 00:04:25.500 Näiteks 2007. aastal osalesin Princetonis 00:04:25.500 --> 00:04:28.000 meeskonnas, mis tegi esimest praktilist 00:04:28.000 --> 00:04:31.000 sõltumatu osapoole turvaanalüüsi USA 00:04:31.000 --> 00:04:33.000 valimistel kasutatud valimismasinale. 00:04:33.000 --> 00:04:36.000 See asjandus, Diebold AccuVote-TS, oli 00:04:36.000 --> 00:04:40.500 toona USA-s levinuim e-valimismasin. 00:04:41.000 --> 00:04:45.500 Selle tootja oli tehnoloogia osas väga salatsev. 00:04:45.500 --> 00:04:48.000 Nad veensid rahvast, et loomulikult on 00:04:48.000 --> 00:04:50.000 see täiesti turvaline, kuid seda, 00:04:50.000 --> 00:04:53.000 kuidas see töötab, hoiti saladuses. 00:04:54.000 --> 00:04:57.000 Loomulikult on see väga harva hea märk. 00:04:57.000 --> 00:05:00.000 Alles pärast mitmeid aastaid ilma fakte 00:05:00.000 --> 00:05:04.000 teadmata peetud arutelu, andis lõpuks 00:05:04.000 --> 00:05:07.000 keegi vilepuhuja ühe neist masinatest 00:05:07.000 --> 00:05:10.000 meie uurimisrühmale Princetonis. 00:05:10.000 --> 00:05:12.500 Ja mõned neist lugudest on sellised, 00:05:12.500 --> 00:05:15.000 et ise välja mõelda ei oskakski. 00:05:15.000 --> 00:05:17.500 Pärast eilset filmi Citizenfour, 00:05:17.500 --> 00:05:20.000 näib see pärinevat otse sellest filmist. 00:05:20.000 --> 00:05:22.000 Ma pidin minema sellele masinale järgi 00:05:22.000 --> 00:05:24.000 ja selle kätte saama otse allika käest. 00:05:24.000 --> 00:05:25.700 See kiskus naeruväärseks - 00:05:25.700 --> 00:05:27.500 pidin sõitma New Yorki, 00:05:27.500 --> 00:05:29.500 kus parkisin auto Times Square hotelli 00:05:29.500 --> 00:05:32.000 juures tänaval teise sõiduritta 00:05:32.000 --> 00:05:34.500 ja läksin hotelli taha teenindusteele, 00:05:34.500 --> 00:05:37.000 kus vihmamantlis mees andis mulle 00:05:37.000 --> 00:05:40.000 musta nahast kohvri valimismasinaga. 00:05:40.000 --> 00:05:45.000 (aplaus) 00:05:45.000 --> 00:05:47.500 Igatahes veetsime suve, töötades salaja 00:05:47.500 --> 00:05:49.500 masinat pöördkodeerides, ja ma ei tea, 00:05:49.500 --> 00:05:51.000 mis seal nii salajast oli - 00:05:51.000 --> 00:05:53.000 see oli olemuselt imelikus korpuses ja 00:05:53.000 --> 00:05:55.000 puuteekraaniga personaalarvuti, millel 00:05:55.000 --> 00:05:57.000 eemaldatav mälukaart sedelivormi üles 00:05:57.000 --> 00:05:59.000 ja häälte alla laadimiseks. 00:06:00.000 --> 00:06:04.000 Igatahes saime teada paar huvitavat asja selle turvalisuse kohta. 00:06:04.000 --> 00:06:06.000 Selgus, et sellel oli lihtsalt tavaline 00:06:06.000 --> 00:06:08.000 operatsioonisüsteemi tuum, ja rakendus, 00:06:08.000 --> 00:06:11.000 mis luges ja summeeris hääli. 00:06:11.000 --> 00:06:15.000 Tehes mälukaardiga paar lõbusat trikki, 00:06:15.000 --> 00:06:18.000 sai masina panna asendama oma tarkvara, 00:06:18.000 --> 00:06:20.000 millel puudusid krüptograafiakontrollid, 00:06:20.000 --> 00:06:23.000 ükskõik, mis tarkvaraga, mida sa tahtsid. 00:06:23.000 --> 00:06:26.500 Nii tulime välja rakendusega Stuffer (Koosseisuline Töötaja), 00:06:26.500 --> 00:06:29.000 mille sai masinasse laadida, 00:06:29.000 --> 00:06:31.000 mis näitas puuteekraanil ilusat liidest, 00:06:31.000 --> 00:06:33.500 lasi sul valida, kelle poolt hääletada 00:06:33.500 --> 00:06:35.000 ja mil määral, 00:06:35.000 --> 00:06:37.000 ning muutis siis vastavalt kõiki hääli, 00:06:37.000 --> 00:06:41.000 sest see masin hoidis hääli lihtsalt elektroonilises mälus. 00:06:41.000 --> 00:06:43.000 Sellisel viisil on võimalik korraldada 00:06:43.000 --> 00:06:45.000 valimised George Washingtoni 00:06:45.000 --> 00:06:48.000 ja Benedict Arnoldi (kuulus Ameerika revolutsiooni reetur) 00:06:48.000 --> 00:06:50.000 vahel selliselt, et ükskõik, 00:06:50.000 --> 00:06:52.000 millal me seda hääletust korraldame, 00:06:52.000 --> 00:06:53.500 võidab alati Benedict Arnold, 00:06:53.500 --> 00:06:55.500 sest oleme masinat salaja mõjutanud. 00:06:55.500 --> 00:06:57.500 Seda on nii lihtne teha, et minu juhtumil 00:06:57.500 --> 00:07:01.500 isegi kamp naiivseid bakatudengeid 00:07:01.500 --> 00:07:04.000 saaks mõne nädalaga hakkama, 00:07:04.000 --> 00:07:07.000 tänu valimiste automatiseerimisele. 00:07:08.000 --> 00:07:10.000 Me avastasime ka, et tänu selle 00:07:10.000 --> 00:07:12.000 tehnoloogia automatiseerimisele 00:07:12.000 --> 00:07:14.000 saame luua valimismasinaviiruse, 00:07:14.000 --> 00:07:16.500 mis levib nendel mälukaartidel 00:07:16.500 --> 00:07:18.000 masinast masinasse 00:07:18.000 --> 00:07:21.000 normaalse valimistsükli käigus. 00:07:21.000 --> 00:07:24.000 Seega saab keegi, kel õnnestub mõni minut 00:07:24.000 --> 00:07:26.000 mõne valimismasina juures omaette olla, 00:07:26.000 --> 00:07:29.000 muuta valimistulemust kogu osariigis. 00:07:30.000 --> 00:07:32.500 See on e-valimiste tõeline oht. 00:07:32.700 --> 00:07:34.500 Mitte lihtsalt see, 00:07:34.500 --> 00:07:36.000 et võltsimine on võimalik - 00:07:36.000 --> 00:07:39.000 ka paberhääletust on võimalik võltsida, 00:07:39.000 --> 00:07:41.500 kuid automatiseerimise pakutav võimsus 00:07:41.500 --> 00:07:44.000 võimaldab seda märksa ulatuslikumalt 00:07:44.000 --> 00:07:47.000 ja vaid väikse salasepitsuse teel, 00:07:47.000 --> 00:07:49.000 mida on ka väga raske avastada. 00:07:49.500 --> 00:07:51.500 Aga see pole ainus uuring, 00:07:51.500 --> 00:07:53.500 mis on näidanud e-valimiste probleeme. 00:07:53.500 --> 00:07:55.500 Ma olin osaline uuringus, mille tellis 00:07:55.500 --> 00:07:57.500 California osariigi kantsler Debra Bowen, 00:07:57.500 --> 00:08:00.000 samuti 2007. aastal, ja mis analüüsis 00:08:00.000 --> 00:08:03.000 kõiki e-valimiste tehnoloogiaid, 00:08:03.000 --> 00:08:05.000 mida Californias kasutatakse. 00:08:05.000 --> 00:08:09.000 Me uurisime kolme tootja masinaid: Hart, Sequoia ja Diebold. 00:08:09.000 --> 00:08:11.500 Uskuge või mitte, kuid kõik need masinad 00:08:11.500 --> 00:08:14.000 põhinesid lähtekoodil, mis koosnes 00:08:14.000 --> 00:08:17.000 sadadest tuhandetest koodiridadest. 00:08:17.000 --> 00:08:20.000 Liiga keeruline, et olla turvaline. 00:08:20.000 --> 00:08:22.000 Seega polnud üllatus, et kõiki neid 00:08:22.000 --> 00:08:25.000 masinaid ohustas häälte varastamise kood 00:08:25.000 --> 00:08:27.500 ja rünnakud, mis lasevad valimisametnikel 00:08:27.500 --> 00:08:30.000 rikkuda hääletamise salajasuse nõuet 00:08:30.000 --> 00:08:32.000 ja saada teada kuidas keegi hääletas. 00:08:32.000 --> 00:08:34.000 Uuringu tulemusena kaotasid need masinad 00:08:34.000 --> 00:08:38.000 sertifikaadi ja nende kasutamine keelati California osariigis. 00:08:38.000 --> 00:08:43.000 (aplaus) 00:08:43.000 --> 00:08:46.000 Kuid see pole vaid USA probleem. 00:08:46.000 --> 00:08:48.000 Ka Euroopas katsetatakse e-valimistega 00:08:48.000 --> 00:08:51.000 ja ühe esimese uuringu Euroopas 00:08:51.000 --> 00:08:53.500 korraldas minu sõber Rop Gonggrijp, 00:08:53.500 --> 00:08:55.500 kes istub siin esimeses reas. 00:08:55.500 --> 00:08:57.500 Aplausiraund Ropile! 00:08:57.500 --> 00:09:01.000 (aplaus) 00:09:01.000 --> 00:09:03.500 Niisiis Rop ja tema kaastöötajad uurisid 00:09:03.500 --> 00:09:06.000 Nedap ES3B masinaid, mis olid kasutusele 00:09:06.000 --> 00:09:10.000 võetud Hollandis, ja nad avastasid, 00:09:10.000 --> 00:09:13.000 et vahetades lihtsalt EEPROM-i kiibi, 00:09:13.000 --> 00:09:15.000 mis, nagu nad demonstreerisid, 00:09:15.000 --> 00:09:17.500 on hõlpsasti tehtav vähem kui minutiga, 00:09:17.500 --> 00:09:19.500 saavad nad panna masina varastama hääli, 00:09:19.500 --> 00:09:23.000 tegema sohki ja isegi mängima malet. 00:09:23.000 --> 00:09:25.000 (naer ja plaksutamine) 00:09:25.000 --> 00:09:30.000 Inspireerituna Ropist, võtsime kolleeg Ariel Feldmaniga masina, 00:09:30.000 --> 00:09:34.000 mis siiani kasutusel paljudes USA osades, 00:09:34.000 --> 00:09:40.500 ja mõned aastad hiljem muutsime selle päris heaks Pac-Mani masinaks. 00:09:40.500 --> 00:09:45.000 (naer ja plaksutamine) 00:09:45.000 --> 00:09:47.500 Kuid pole üksnes USA ja Euroopa. 00:09:47.500 --> 00:09:50.000 Ka India kasutab elektroonilisi valimisi. 00:09:50.000 --> 00:09:52.500 See on nii maailma suurim demokraatia 00:09:52.500 --> 00:09:55.000 kui ka suurim e-valimiste kasutaja. 00:09:55.000 --> 00:09:57.000 Neil on sellised kodumaised 00:09:57.000 --> 00:09:59.000 väga ilusad ja väga lihtsad 00:09:59.000 --> 00:10:01.500 varjatud süsteemiga valimismasinad. 00:10:01.500 --> 00:10:06.000 Läheks liiga pikale rääkida täna kogu lugu, 00:10:06.000 --> 00:10:10.500 kuid praeguseks umbes 4 aastat tagasi 00:10:10.500 --> 00:10:13.000 andis anonüümne allikas, vilepuhuja, 00:10:13.000 --> 00:10:15.500 ühe neist salajastest valitsuse tehtud masinatest 00:10:15.500 --> 00:10:19.000 uurimiseks sellele keskmisele mehele (Hari Prasad). 00:10:19.000 --> 00:10:21.000 Ja ta helistas mulle ja Ropile, 00:10:21.000 --> 00:10:25.000 ning me läksime Indiasse ja uurisime seda. 00:10:25.000 --> 00:10:27.500 Nagu ma ütlesin, läheks kogu lugu pikale, 00:10:27.500 --> 00:10:30.000 kuid lühidalt kokkuvõttes lõppes see nii, 00:10:30.000 --> 00:10:32.000 et Hari pandi mõneks ajaks vangi, 00:10:32.000 --> 00:10:35.000 Ropit ja mind oleks maalt peaaegu välja saadetud. 00:10:35.000 --> 00:10:38.000 Ja just äsja tegi India ülemkohus reegli, 00:10:38.000 --> 00:10:40.000 et nad peavad kasutusele võtma 00:10:40.000 --> 00:10:42.500 paberil väljatrüki, et India valijad 00:10:42.500 --> 00:10:45.500 saaks mõistliku tagatise, et nende hääled 00:10:45.500 --> 00:10:47.500 on turvaliselt kokku loetud. 00:10:47.500 --> 00:10:54.000 (aplaus) 00:10:54.000 --> 00:10:56.000 Aga internetivalimised? 00:10:56.500 --> 00:11:00.000 Kuid internetivalimine on veel keerulisem 00:11:00.000 --> 00:11:03.000 kui e-valimine eraldiseisvas masinas, 00:11:03.000 --> 00:11:04.500 mis asub valimisjaoskonnas, 00:11:04.500 --> 00:11:07.000 sest internetivalimistel on probleem, 00:11:07.000 --> 00:11:09.000 et valijad kasutavad oma arvuteid, 00:11:09.000 --> 00:11:11.000 väljaspool turvalist keskkonda, kus 00:11:11.000 --> 00:11:14.000 need võivad olla haavatavad survestamise, 00:11:14.000 --> 00:11:17.000 kasutajanimede ja paroolide varguse, 00:11:17.000 --> 00:11:20.000 valimisserverit teeskleva libaserveri, 00:11:20.000 --> 00:11:23.000 masinaid nakatava pahavara või isegi juba 00:11:23.000 --> 00:11:26.000 paljusid masinaid nakatanud botnettide 00:11:26.000 --> 00:11:30.000 poolt, kompromiteerides valimistulemust. 00:11:30.000 --> 00:11:32.000 Ja see pole veel kõik - 00:11:32.000 --> 00:11:33.500 ka server peab olema suuteline 00:11:33.500 --> 00:11:35.500 vastu pidama teenusetõkestusrünnetele. 00:11:35.500 --> 00:11:37.500 Pidagem meeles, et valimised toimuvad 00:11:37.500 --> 00:11:39.500 kindlal perioodil, seega ei saa öelda, 00:11:39.500 --> 00:11:41.500 et meie süsteem on sel nädalal maas 00:11:41.500 --> 00:11:43.500 ja me lükkame internetivalimiste osa 00:11:43.500 --> 00:11:45.000 edasi järgmisesse kuusse. 00:11:45.000 --> 00:11:46.500 See lihtsalt ei sobi! 00:11:46.500 --> 00:11:49.000 Tuleb muretseda siseringirünnakute pärast, 00:11:49.000 --> 00:11:51.000 välise sissetungi pärast 00:11:51.000 --> 00:11:53.000 ja veelgi keerukamate rünnakute pärast, 00:11:53.000 --> 00:11:55.000 nagu mõne riigi poolt toetatud ründed. 00:11:55.000 --> 00:11:57.000 Kui mitu riiki sinu arvates võib soovida 00:11:57.000 --> 00:12:01.000 mõjutada mõne suurriigi valimistulemusi? 00:12:01.000 --> 00:12:03.500 Sellise soovi ja võimetega arenenud 00:12:03.500 --> 00:12:06.500 riikide arv tõenäoliselt kasvab. 00:12:07.000 --> 00:12:09.500 Kuid samal ajal on internetivalimiste 00:12:09.500 --> 00:12:11.500 süsteeme keerukam uurida. 00:12:11.500 --> 00:12:14.000 Ei saa lihtsalt loota kellelegi, 00:12:14.000 --> 00:12:18.000 kes tooks sulle keset ööd ühe masina, kui sul raskeks läheb. 00:12:18.000 --> 00:12:21.500 Ei saa serverisse häkkida valimiste ajal. 00:12:21.500 --> 00:12:24.000 See oleks eetiliselt sobimatu: 00:12:24.000 --> 00:12:27.000 sest teadlasena, kes püüab parandada 00:12:27.000 --> 00:12:30.500 demokraatliku tehnoloogia olukorda, 00:12:30.500 --> 00:12:33.500 ei saa ma õigustada midagi, 00:12:33.500 --> 00:12:35.000 mis võiks sekkuda valimiste 00:12:35.000 --> 00:12:38.500 läbiviimisesse ja tulemustesse. 00:12:38.500 --> 00:12:41.500 Seepärast pidime otsima muid võimalusi 00:12:41.500 --> 00:12:43.000 ja üks parimaid näiteid, 00:12:43.000 --> 00:12:46.500 mis mul on õnnestunud siiani leida, 00:12:46.500 --> 00:12:48.500 on intsident aastast 2010, 00:12:48.500 --> 00:12:50.500 kus Washington DC otsustas 00:12:50.500 --> 00:12:53.500 juurutada internetivalimiste süsteemi. 00:12:53.500 --> 00:12:57.000 Nad said suure valitsuse toetuse, et seda ehitada. 00:12:57.000 --> 00:12:59.500 Ja see oli mõeldud sõjaväes 00:12:59.500 --> 00:13:01.500 ja välismaal viibivatele valijatele 00:13:01.500 --> 00:13:03.000 kodukohas mittevalija hääle andmiseks. 00:13:03.000 --> 00:13:06.000 Nad tegid palju asju õigesti - 00:13:06.000 --> 00:13:08.500 nad tegid avatud lähtekoodiga süsteemi, 00:13:08.500 --> 00:13:12.000 nad palkasid mõned suurte kogemustega veebiarendajad, 00:13:12.000 --> 00:13:14.500 nad kaasasid isegi turbeeksperte 00:13:14.500 --> 00:13:16.500 ja küsisid neilt, kuidas peaks uut 00:13:16.500 --> 00:13:19.000 internetivalimiste süsteemi tegema. 00:13:19.000 --> 00:13:21.000 Ja turbeeksperdid isegi hoiatasid, 00:13:21.000 --> 00:13:23.000 et internetihääletus on liiga ohtlik, 00:13:23.000 --> 00:13:25.000 et ei-ei, ärge tehke seda! 00:13:25.000 --> 00:13:26.500 Kuid DC tegi seda ikkagi. 00:13:26.500 --> 00:13:28.500 Kuid võib-olla kompromissina, 00:13:28.500 --> 00:13:32.000 võib-olla selleks, et meid paika panna, 00:13:32.000 --> 00:13:34.000 et tõestaksime oma väiteid, 00:13:34.000 --> 00:13:36.000 otsustasid nad korraldada avaliku 00:13:36.000 --> 00:13:37.500 katsetuse ja ütlesid, 00:13:37.500 --> 00:13:39.000 et nädal enne valimisi 00:13:39.000 --> 00:13:40.500 korraldatakse testhääletus, 00:13:40.500 --> 00:13:42.500 ja igaüks, kes tahab proovida sisse murda 00:13:42.500 --> 00:13:46.000 ja näidata, kui haavatav see süsteem on, võib seda teha. 00:13:46.000 --> 00:13:48.000 (naer) 00:13:48.000 --> 00:13:50.000 Mitte iga päev ei kutsuta sind 00:13:50.000 --> 00:13:52.000 häkkima valitsuse arvutitesse 00:13:52.000 --> 00:13:54.000 ilma vangi minemise ohuta. 00:13:54.000 --> 00:13:56.000 Ma sain kokku meeskonna oma tudengeid 00:13:56.000 --> 00:13:58.000 ja me otsustasime üleskutsele vastata. 00:13:58.000 --> 00:14:00.000 Niisiis, nende süsteem nägi välja nii: 00:14:00.000 --> 00:14:02.000 logid ilusa veebiliidese kaudu sisse, 00:14:02.000 --> 00:14:03.700 laed alla hääletussedeli, 00:14:03.700 --> 00:14:05.500 täidad selle PDF-Readeriga, 00:14:05.500 --> 00:14:07.000 laed selle taas üles, 00:14:07.000 --> 00:14:08.000 ja ongi kõik - 00:14:08.000 --> 00:14:10.000 "Täname hääletamast!" ja "Teata ka oma 00:14:10.000 --> 00:14:12.000 sõpradele Facebookis ja Twitteris!"... 00:14:12.000 --> 00:14:13.500 Ilus ja särav! See on... 00:14:13.500 --> 00:14:20.000 (naer ja aplaus) 00:14:20.000 --> 00:14:24.000 Igatahes nädal enne valimisi need kutid, 00:14:24.000 --> 00:14:26.000 Eric Wustrow, Scott Wolchok, ja mina, 00:14:26.000 --> 00:14:28.500 kogunesime ühel õhtul minu kabinetti, 00:14:28.500 --> 00:14:30.500 jäime üles päris kauaks, lugedes meile 00:14:30.500 --> 00:14:33.500 avaldatud lähtekoodi ja kena GitHubi kogu. 00:14:34.000 --> 00:14:37.000 Olime DC lähtekoodi paar tundi lugenud, 00:14:37.000 --> 00:14:40.000 umbes 3-4 paiku hommikul, kui uurisime 00:14:40.000 --> 00:14:42.000 seda protseduuri siin, mis on tehtud 00:14:42.000 --> 00:14:45.000 veebirakenduste raamistikus Ruby On Rails, 00:14:45.000 --> 00:14:48.000 mida keegi meist polnud varem näinud. 00:14:48.000 --> 00:14:51.000 Kuid suutsime siiski enamvähem aru saada. 00:14:51.000 --> 00:14:53.500 Sellest esiletõstetud reast siin selgub, 00:14:53.500 --> 00:14:56.000 et see valimissüsteem kasutab GPG-d 00:14:56.000 --> 00:14:58.500 üles laetava sedeli krüpteerimiseks, 00:14:58.500 --> 00:15:01.000 et see oleks turvaline ja salajane, 00:15:01.000 --> 00:15:03.500 kuni tuleb aeg häälte kokku lugemiseks. 00:15:03.500 --> 00:15:05.500 Siis liigutatakse need teise masinasse 00:15:05.500 --> 00:15:07.500 ja avatakse seal hoitava privaatvõtmega. 00:15:08.000 --> 00:15:11.000 Probleem peitub siin - nad kasutavad 00:15:11.000 --> 00:15:13.500 topelt jutumärke ühekordsete asemel. 00:15:13.500 --> 00:15:15.500 Sellest piisas, et me saime sisse häkkida 00:15:15.500 --> 00:15:17.000 ja varastada kõik hääled. 00:15:17.000 --> 00:15:18.000 (naer) 00:15:18.000 --> 00:15:20.000 Probleem on selles, et see võimaldab 00:15:20.000 --> 00:15:22.500 skriptisüstirünnakut, kuna see teek, 00:15:22.500 --> 00:15:24.500 mida kasutati, see versioon, 00:15:24.500 --> 00:15:26.500 mida kasutati, laseb lihtsalt koostada 00:15:26.500 --> 00:15:28.500 koodijupi ja kasutada süsteemipöördumist, 00:15:28.500 --> 00:15:31.000 et sisestada see käsureale. 00:15:31.000 --> 00:15:35.000 Hea seegi, et nad kontrollisid failinime põhiosagi, 00:15:35.000 --> 00:15:37.000 ent laiend jäi kontrollimata. 00:15:37.000 --> 00:15:39.300 Seega, kui sa kasutasid laiendit, 00:15:39.300 --> 00:15:41.000 mis sisaldas käsurea käske, 00:15:41.000 --> 00:15:43.500 siis põhjustas see nende käskude 00:15:43.500 --> 00:15:46.000 käivitumise veebiserveri protsessile 00:15:46.000 --> 00:15:48.000 antud kasutajaõigustes, 00:15:48.000 --> 00:15:51.000 mis olid: hääletussedelite vastuvõtt 00:15:51.000 --> 00:15:54.000 ja valimiste läbiviimine. 00:15:54.000 --> 00:15:59.000 See oli esimene asi, mida me proovisime, ja see toimis! 00:15:59.000 --> 00:16:00.000 Igatahes... 00:16:00.000 --> 00:16:04.500 (aplaus) 00:16:04.500 --> 00:16:07.000 Me leidsime samas võrgus ka teisi 00:16:07.000 --> 00:16:10.000 huvitavaid seadmeid, sealhulgas mitmeid 00:16:10.000 --> 00:16:12.000 veebikaameraid, mis polnud kasutajanime 00:16:12.000 --> 00:16:14.000 ja parooliga kaitstud. 00:16:14.000 --> 00:16:15.500 Need olid andmekeskuses, 00:16:15.500 --> 00:16:17.000 seega siin on masinad, 00:16:17.000 --> 00:16:19.000 millel käivad e-valimised, 00:16:19.000 --> 00:16:22.000 siin töötajad..., siin turvamees, 00:16:22.000 --> 00:16:25.000 kes ei tea, et me häkime serverisse... 00:16:25.000 --> 00:16:28.000 Kuid see oli tegelikult väga kasulik, 00:16:28.000 --> 00:16:30.500 sest me saime neid mehi jälgida, 00:16:30.500 --> 00:16:32.500 kas nad kahtlustavad, 00:16:32.500 --> 00:16:34.500 et miskit on puudu. 00:16:34.500 --> 00:16:37.000 Ja me nägimegi olulist muutust 00:16:37.000 --> 00:16:40.500 nende käitumises ja hoiakutes - 00:16:40.500 --> 00:16:43.000 kui nad viimaks avastasid, et olime 00:16:43.000 --> 00:16:46.000 saavutanud kontrolli süsteemi üle, 00:16:46.000 --> 00:16:48.500 siis polnud nad eriti õnnelikud. 00:16:48.500 --> 00:16:57.000 (naer ja aplaus) 00:16:57.500 --> 00:16:59.500 Igatahes, ma hüppan nüüd loos 00:16:59.500 --> 00:17:01.500 jupp maad edasi, viimaks oli aeg 00:17:01.500 --> 00:17:04.000 DC-s küps süsteemi ründamiseks. 00:17:04.000 --> 00:17:06.000 Seega ootasime kuni kella viieni, millal, 00:17:06.000 --> 00:17:08.500 nagu ma turvavideote põhjal teadsin, 00:17:08.500 --> 00:17:10.500 läksid süsteemiadministraatorid 00:17:10.500 --> 00:17:12.500 tavaliselt ööseks koju. 00:17:12.500 --> 00:17:14.500 Sellest hetkest hakkasime seda 00:17:14.500 --> 00:17:17.000 käsuliidese süstimise turvaauku kasutama, 00:17:17.000 --> 00:17:18.500 et käivitada väliseid käsklusi. 00:17:18.500 --> 00:17:21.500 Tegelikult me ehitasime mingit laadi 00:17:21.500 --> 00:17:23.000 simuleeritud käsuliidese, 00:17:23.000 --> 00:17:24.500 mis teeks vajalikke asju, 00:17:24.500 --> 00:17:27.500 et kompileerida miskit valimissedelile, 00:17:27.500 --> 00:17:29.500 laadida see üles, käivitada käsud 00:17:29.500 --> 00:17:31.500 ja lekitada see tagasi välja, 00:17:31.500 --> 00:17:34.000 pannes midagi veebiserveri avalikku kausta. 00:17:34.000 --> 00:17:36.000 Ja põhimõtteliselt luua mulje, 00:17:36.000 --> 00:17:38.000 nagu me oleksime käsureal. 00:17:38.000 --> 00:17:40.000 Igatahes jätkasime rünnet süsteemi vastu, 00:17:40.000 --> 00:17:42.500 mängides reaalse ründaja rolli. 00:17:43.000 --> 00:17:45.000 Niisiis, kui sa reaalse ründajana 00:17:45.000 --> 00:17:47.000 oled valimissüsteemi sisse häkkinud, 00:17:47.000 --> 00:17:49.000 siis mida sa esimesena teeksid, 00:17:49.000 --> 00:17:51.500 kas varastaksid kõik hääled? 00:17:51.500 --> 00:17:53.500 Ei! Esimese asjana varastaksid 00:17:53.500 --> 00:17:55.500 sa kõike muud, mida õnnestub, 00:17:55.500 --> 00:17:57.200 ja mis võib aidata sul 00:17:57.200 --> 00:17:59.000 süsteemi tagasi pääseda. 00:17:59.000 --> 00:18:01.000 Sa lood järjepidevuse. 00:18:02.000 --> 00:18:04.000 Alles teine asi, mis me tegime, 00:18:04.000 --> 00:18:06.000 oli kõigi häälte varastamine... 00:18:06.000 --> 00:18:08.000 (naer) 00:18:08.000 --> 00:18:10.500 Me asendasime need oma valimissedelitega, 00:18:10.500 --> 00:18:12.000 kus kõigil oli kandidaadiks 00:18:12.000 --> 00:18:13.500 nimekirjaväline kandidaat - 00:18:13.500 --> 00:18:15.500 ulmejutu või -filmi kuri robot, 00:18:15.500 --> 00:18:17.000 kes võiks olla see, 00:18:17.000 --> 00:18:18.500 kelle poolt arvutid hääletaks, 00:18:18.500 --> 00:18:20.000 kui nad tahaks võimule tulla. 00:18:20.000 --> 00:18:22.000 Siis seadistasime süsteemi asendama 00:18:22.000 --> 00:18:24.000 kõik uued hääled meie eelistusega. 00:18:24.000 --> 00:18:25.500 Siis lisasime tagaukse, 00:18:25.500 --> 00:18:28.500 mis teeks avalikuks kõigi teiste valijate 00:18:28.500 --> 00:18:30.500 salajased valimiseelistused, 00:18:30.500 --> 00:18:32.000 ja kustutasime logid, 00:18:32.000 --> 00:18:34.000 püüdes varjata oma tegevuse jälgi. 00:18:34.000 --> 00:18:36.000 Nüüd oli meil veel üks dilemma, 00:18:36.000 --> 00:18:38.000 mis seisnes selles, et olime saavutanud 00:18:38.000 --> 00:18:40.000 süsteemi üle täieliku kontrolli, 00:18:40.000 --> 00:18:41.500 kuid kuna pärisvalimised 00:18:41.500 --> 00:18:43.000 olid nädala pärast tulemas, 00:18:43.000 --> 00:18:47.000 siis tahtsime DC-le teada anda, mis on juhtunud. 00:18:47.200 --> 00:18:49.500 Aga me ei tahtnud neile helistada, 00:18:49.500 --> 00:18:51.500 sest arvasime, et oleks põnev testida, 00:18:51.500 --> 00:18:53.500 kui hästi suudavad valimisametnikud 00:18:53.500 --> 00:18:55.500 rünnakuid tuvastada ja neile 00:18:55.500 --> 00:18:58.000 simuleeritud valimiste käigus reageerida. 00:18:58.000 --> 00:19:02.000 Iial pole olnud head näidet ega uurimust, 00:19:02.000 --> 00:19:04.500 kuidas see välja mängitakse. 00:19:04.500 --> 00:19:07.000 Seega neile lihtsalt helistamise asemel 00:19:07.000 --> 00:19:10.000 otsustasime jätta oma arvates mitte eriti 00:19:10.000 --> 00:19:12.500 tagasihoidliku visiitkaardi. 00:19:12.500 --> 00:19:15.000 Niisiis muutsime valimisprotseduuri lõpus 00:19:15.000 --> 00:19:17.000 valijat tänava ja sõpru Facebookis ja 00:19:17.000 --> 00:19:19.500 Twitteris teavitada soovitava lehekülje 00:19:19.500 --> 00:19:22.000 koodi, lisades sinna mõne rea. Just siia! 00:19:22.000 --> 00:19:25.500 See käivitas valija arvutis mõnesekundise 00:19:25.500 --> 00:19:28.500 pausi järel Michigani ülikooli jalgpalli 00:19:28.500 --> 00:19:31.500 võitluslaulu "Tervitus võitjatele". 00:19:31.500 --> 00:19:38.000 (naer ja aplaus) 00:19:38.000 --> 00:19:40.000 Nii kulus ikkagi peaaegu kaks päeva, 00:19:40.000 --> 00:19:42.000 enne, kui valimisametnikud märkasid. 00:19:42.000 --> 00:19:43.500 Ja see juhtus alles siis, 00:19:43.500 --> 00:19:45.500 kui keegi helistas neile ja tõstis esile, 00:19:45.500 --> 00:19:47.000 et süsteem ise meeldib talle, 00:19:47.000 --> 00:19:49.000 kuid talle ei meeldi see muusika, 00:19:49.000 --> 00:19:50.000 mis lõpus mängib - see olevat häiriv! 00:19:50.000 --> 00:19:51.500 (naer) 00:19:51.500 --> 00:19:53.500 Arvan, et alles siis vaatasid nad ringi, 00:19:53.500 --> 00:19:55.000 said aru, et nad kõik on 00:19:55.000 --> 00:19:57.000 konkureeriva jalkameeskonna fännid. 00:19:57.000 --> 00:19:59.000 Ja tundsid siis jubedat uppumise tunnet. 00:19:59.000 --> 00:20:02.000 Igatahes tegi DC lõpuks targasti - 00:20:02.000 --> 00:20:05.000 nad loobusid internetivalimiste süsteemi 00:20:05.000 --> 00:20:07.000 häälte kogumiseks kasutamisest. 00:20:07.000 --> 00:20:09.000 Selle asemel lasid nad võõrsil viibivail 00:20:09.000 --> 00:20:12.000 valijatel õigeaegselt valida aitamiseks 00:20:12.000 --> 00:20:14.000 alla laadida tühja valimissedeli, 00:20:14.000 --> 00:20:15.500 selle välja printida, 00:20:15.500 --> 00:20:17.000 ja saata see tagasi postiga. 00:20:17.000 --> 00:20:20.000 Sellega kõrvaldasid nad enamiku riske 00:20:20.000 --> 00:20:22.000 ja tulid poolele teele vastu valijaile, 00:20:22.000 --> 00:20:24.000 kelle hääl vajas õigeaegset tagastamist. 00:20:25.000 --> 00:20:30.000 Hüva! See oli senini meie parim uuring. 00:20:30.000 --> 00:20:33.000 (aplaus) 00:20:33.000 --> 00:20:35.500 Ja see toob meid tänase ettekande 00:20:35.500 --> 00:20:36.500 peateema juurde. 00:20:36.500 --> 00:20:39.500 Internetivalimised Eestis. 00:20:40.000 --> 00:20:42.500 Eesti on väga-väga huvitav juhtum, 00:20:42.500 --> 00:20:45.500 ja olen aastaid jälginud, mis on toimunud 00:20:45.500 --> 00:20:48.500 Eesti internetivalimiste süsteemiga, sest 00:20:48.500 --> 00:20:51.000 Eesti on maailma riikidest enim suutnud 00:20:51.000 --> 00:20:54.000 internetivalimisi juurutada ja kasutada. 00:20:55.000 --> 00:20:58.000 Neile, kes ei tea, kus Eesti asub, 00:20:58.000 --> 00:21:01.000 sh enamik publikus olevaid ameeriklasi, 00:21:01.000 --> 00:21:03.000 siis see asub siin. 00:21:03.000 --> 00:21:05.000 Nagu näete, piirneb see Venemaaga. 00:21:05.000 --> 00:21:09.000 Ameeriklastele: see on ka Euroopa Liidu ja NATO liige. 00:21:09.000 --> 00:21:11.000 Niisiis, Eesti on tegelikult 00:21:11.000 --> 00:21:13.000 tehnoloogiliselt üsna arenenud riik. 00:21:13.000 --> 00:21:15.000 Nad on liidrid e-valitsuse osas, 00:21:15.000 --> 00:21:17.000 nad teevad palju huvitavaid katseid, 00:21:17.000 --> 00:21:20.500 kuidas pakkuda avalikke teenuseid üle interneti. 00:21:21.000 --> 00:21:25.000 Selles kontekstis on pisut vähem üllatav, 00:21:25.000 --> 00:21:28.000 et üks selline riik, nagu Eesti, 00:21:28.000 --> 00:21:31.000 eksperimenteerib internetivalimistega. 00:21:31.000 --> 00:21:34.000 Siiski on Eesti teinud rohkem, 00:21:34.000 --> 00:21:36.000 kui kõigest mõned katsed. 00:21:36.000 --> 00:21:39.000 Viimase kümne aastaga on nad, ma usun, 00:21:39.000 --> 00:21:42.000 korraldanud internetis seitse valimist, 00:21:42.000 --> 00:21:45.000 sealhulgas kõige hiljutisemad, mais 2014 00:21:45.000 --> 00:21:48.000 toimunud Euroopa parlamendi valimised, 00:21:48.000 --> 00:21:51.000 kus rohkem kui 30% kõigist häältest 00:21:51.000 --> 00:21:53.000 anti interneti teel. 00:21:53.000 --> 00:21:55.000 See on lihtsalt imeline! 00:21:55.000 --> 00:21:57.000 Mitte ükski teine riik ei saa lähedalegi 00:21:57.000 --> 00:22:00.000 nii tugeva internetist sõltumise poolest 00:22:00.000 --> 00:22:03.000 riiklikel valimistel - üle 30 protsendi! 00:22:04.000 --> 00:22:08.000 Ja ometi, kas Eesti süsteem on turvaline, 00:22:08.000 --> 00:22:13.000 on küsimus, millele pole antud adekvaatset vastust. 00:22:14.000 --> 00:22:19.000 Tegelikult polnud meie sinna sattumiseni 00:22:19.000 --> 00:22:21.500 sõltumatut rahvusvahelist uuringut, 00:22:21.500 --> 00:22:24.000 mis oleks detailselt kontrollinud 00:22:24.000 --> 00:22:27.000 seda tehnoloogiat ja selle turvalisust. 00:22:27.000 --> 00:22:29.000 Ja seepärast paljudes teistes riikides, 00:22:29.000 --> 00:22:31.500 sealhulgas minu kodumaal, oli inimesi, 00:22:31.500 --> 00:22:33.500 kes imetledes vaatasid: ohhoo, Eesti, 00:22:33.500 --> 00:22:35.500 vaadake seda, nad hääletavad internetis, 00:22:35.500 --> 00:22:36.500 miks meie seda teha ei saa? 00:22:36.500 --> 00:22:40.000 Kas poleks tore, kui me saaks internetis hääletada? 00:22:40.000 --> 00:22:42.000 Seepärast tahtsin ma teada saada, 00:22:42.000 --> 00:22:44.000 nagu ka mu tudengid ja paljud mu sõbrad, 00:22:44.000 --> 00:22:46.000 kas Eesti on tõesti lahendanud 00:22:46.000 --> 00:22:49.000 internetivalimiste turvalisuse probleemi? 00:22:49.000 --> 00:22:52.000 Kas nad on oma süsteemi loonud viisil, 00:22:52.000 --> 00:22:53.500 mis arvestab kõiki neid reaalsete 00:22:53.500 --> 00:22:56.000 ohtude liike, mida suured riigid 00:22:56.000 --> 00:22:58.000 valimiste korraldamisel kohtavad? 00:22:58.000 --> 00:23:03.000 Ja mida võiks minu riik, ja kõik teised, Eesti näitest õppida? 00:23:03.000 --> 00:23:06.000 Seega ootasin ma mitu-mitu aastat 00:23:06.000 --> 00:23:08.000 võimalust minna Eestisse, 00:23:08.000 --> 00:23:10.000 kohtuda seal nende inimestega, 00:23:10.000 --> 00:23:11.500 et uurida seda süsteemi 00:23:11.500 --> 00:23:14.000 ja püüda saada vastused neile küsimustele 00:23:14.000 --> 00:23:15.500 e-valimiste uuringu kontekstis. 00:23:17.500 --> 00:23:20.000 Viimaks oli mul see võimalus, 00:23:20.000 --> 00:23:24.000 oktoobris 2013, kui mind kutsuti kaasa 00:23:24.000 --> 00:23:27.000 rahvusvahelise teadlaste meeskonnaga 00:23:27.000 --> 00:23:29.500 Tallinna linnavalitsuse poolt - 00:23:29.500 --> 00:23:31.000 et tulla Eestisse, 00:23:31.000 --> 00:23:34.000 rääkida meie kogemustest e-valmistega 00:23:34.000 --> 00:23:37.000 ja olla riiklike valimiste vaatleja, 00:23:37.000 --> 00:23:39.500 et reaalselt näha seda e-valimiste 00:23:39.500 --> 00:23:42.000 süsteemi administreerimise protsessi. 00:23:43.000 --> 00:23:47.000 Seega olime valimiste ametlikud akrediteeritud vaatlejad. 00:23:47.000 --> 00:23:50.000 Me pidime külastama andmekeskust, 00:23:50.000 --> 00:23:55.000 kus majutatakse valimiste servereid. 00:23:55.000 --> 00:23:58.500 Me pidime kohtuma süsteemi arendajatega 00:23:58.500 --> 00:24:01.000 ja intervjueerima neid põhjalikult, 00:24:01.000 --> 00:24:04.000 sealhulgas süsteemi isa Tarvi Martensit, 00:24:04.000 --> 00:24:06.000 kes tegelikult tegi sellest ettekande ka 00:24:06.000 --> 00:24:09.000 vist 25. C3 kongressil aastaid tagasi. 00:24:09.000 --> 00:24:12.000 Tarvi on üks juhtivatest arendajatest, 00:24:12.000 --> 00:24:15.000 see on tema lapsuke ja mul oli hea meel 00:24:15.000 --> 00:24:18.000 temaga silmast silma pikemalt vestelda, 00:24:18.000 --> 00:24:20.000 veeta koos temaga üks päev 00:24:20.000 --> 00:24:22.000 ja tutvuda süsteemi toimimisega. 00:24:22.000 --> 00:24:25.000 Saime tutvuda ka lähtekoodiga, sest Eesti 00:24:25.000 --> 00:24:28.000 avaldas just eelmisel aastal esmakordselt 00:24:28.000 --> 00:24:31.000 osa oma valimissüsteemi lähtekoodist. 00:24:31.000 --> 00:24:33.000 Nad avaldasid serveripoolse lähtekoodi. 00:24:33.000 --> 00:24:36.000 Kliendi lähtekood on endiselt kinnine. 00:24:36.000 --> 00:24:39.000 Nad paluvad sul oma arvutisse paigaldada 00:24:39.000 --> 00:24:42.000 suletud koodiga rakendus, et vältida sama 00:24:42.000 --> 00:24:44.000 ilmega ebaausa libarakenduse loomist 00:24:44.500 --> 00:24:46.500 või vähemalt teha see raskemaks. 00:24:47.000 --> 00:24:50.000 Me pidime ka läbi vaatama, ja see on väga 00:24:50.000 --> 00:24:52.000 huvitav asi, mis nad teevad, me pidime 00:24:52.000 --> 00:24:55.000 vaatama kümneid tunde videosalvestisi, 00:24:55.000 --> 00:24:57.000 mida Eesti valimiste ajal teeb. 00:24:57.000 --> 00:25:00.000 Näiteks valimiseelne serverite seadistus 00:25:00.000 --> 00:25:03.000 ja igapäevane varundamine andmekeskuses. 00:25:03.000 --> 00:25:06.000 Tõesti huvitav, et nad seda pakuvad, 00:25:06.000 --> 00:25:09.000 see võimaldas meil täita mitmeid lünki, 00:25:09.000 --> 00:25:12.000 kuidas süsteemi tegelikult kasutatakse. 00:25:13.000 --> 00:25:16.000 [Valija kogemused] 00:25:16.500 --> 00:25:18.500 Järgmise asjana tahan teile näidata, 00:25:18.500 --> 00:25:22.000 milline see süsteem näeb välja valija vaatenurgast. 00:25:22.500 --> 00:25:24.500 Kui sa oled Eesti valija, 00:25:24.500 --> 00:25:27.500 kes kavatseb oma e-hääle anda, 00:25:27.500 --> 00:25:30.000 siis on sul selleks umbes nädal aega 00:25:30.000 --> 00:25:33.000 enne kohaleminemisega valimispäeva. 00:25:34.000 --> 00:25:36.000 Sa logid oma arvutist sisse, 00:25:36.000 --> 00:25:37.500 laadid alla rakenduse, 00:25:37.500 --> 00:25:39.500 ja on vaid üks asi sellel pildil, 00:25:39.500 --> 00:25:42.000 mis võib tunduda teistele ebatavaline. 00:25:42.000 --> 00:25:44.000 Ja see on see asi! Mis see on? 00:25:44.000 --> 00:25:47.000 Eestis on üks väga huvitav asi nende poolt 00:25:47.000 --> 00:25:50.000 arvutitehnoloogia vallas tehtu seas - 00:25:50.000 --> 00:25:53.000 kõik nende ID-kaardid on kiipkaardid 00:25:53.000 --> 00:25:56.000 ja igal kodanikul on selline ID-kaart, 00:25:56.000 --> 00:25:59.000 mille kiibis on RSA võtmepaar. 00:26:00.000 --> 00:26:04.000 Neid saab kasutada autentimiseks veebis, 00:26:04.000 --> 00:26:08.500 kasutades HTTPS TLS klienti Auth. 00:26:08.500 --> 00:26:10.000 Nad on ainuke riik, 00:26:10.000 --> 00:26:13.000 kus see on laialt kasutusele võetud. 00:26:13.500 --> 00:26:15.500 Või dokumentide allkirjastamiseks, 00:26:15.500 --> 00:26:18.000 ja neil on seaduslik, riigi tunnustatud 00:26:18.000 --> 00:26:21.000 elektroonilise dokumendi vorming, 00:26:21.000 --> 00:26:24.000 mis toetab selle kaardiga antud allkirju. 00:26:24.000 --> 00:26:27.000 Mitu riiki on püüdnud sellist asja teha, 00:26:27.000 --> 00:26:30.000 kuid Eesti on ainulaadne, sest seal on 00:26:30.000 --> 00:26:32.000 see laialt kasutusel - paljud inimesed, 00:26:32.000 --> 00:26:36.000 suur osa eestlastest, kasutab seda kaarti 00:26:36.000 --> 00:26:38.000 internetipangas, nad kasutavad seda 00:26:38.000 --> 00:26:40.000 tuludeklaratsiooni esitamiseks, 00:26:40.000 --> 00:26:42.500 nad kasutavad seda, et pääseda ligi 00:26:42.500 --> 00:26:44.000 online tervishoiuteenustele. 00:26:44.000 --> 00:26:46.500 See on tõesti laialt kasutusel, 00:26:46.500 --> 00:26:48.500 ja minu arvates on see fantastiline, 00:26:48.500 --> 00:26:50.500 et neil on õnnestunud luua rahvuslik 00:26:50.500 --> 00:26:52.500 avaliku võtme infrastruktuur 00:26:52.500 --> 00:26:54.500 ja näha selle omaks võtmist. 00:26:54.500 --> 00:26:57.500 Seega pole üldse üllatav, et nad rajasid 00:26:57.500 --> 00:27:00.500 kogu valimissüsteemi ülesehituse nende 00:27:00.500 --> 00:27:03.500 kaartide võimetele ja funktsioonidele. 00:27:04.000 --> 00:27:06.000 Seega tuleb e-valima mineva eestlasena 00:27:06.000 --> 00:27:09.000 esmalt ametlikust veebist alla laadida 00:27:09.000 --> 00:27:12.000 kliendirakendus, ja see on saadaval 00:27:12.000 --> 00:27:14.000 Windowsile, Macile ja Linuxile. 00:27:14.500 --> 00:27:17.000 Siis paigaldada see oma arvutisse 00:27:17.000 --> 00:27:19.000 ja edasi järgida rakenduse juhiseid, 00:27:19.000 --> 00:27:21.500 kasutada oma kiipkaarti, riiklikku ID-d, 00:27:21.500 --> 00:27:23.000 et anda oma hääl. 00:27:23.000 --> 00:27:26.000 Siin on see, kuidas see käib: 00:27:26.000 --> 00:27:29.000 Esmalt käivitad sa rakenduse, 00:27:29.000 --> 00:27:32.000 ja see küsib sinult neljakohalist koodi. 00:27:32.000 --> 00:27:36.000 See kood on vajalik kiipkaardile, 00:27:36.000 --> 00:27:41.000 et aktiveerida kaardi autentimis- ja allkirjastamisfunktsioonid, 00:27:41.000 --> 00:27:43.000 ning lubada kasutada võtmeid. 00:27:43.000 --> 00:27:46.000 Pärast seda ühendub see valimisserveriga, 00:27:46.000 --> 00:27:48.000 autendib TLS kliendiga Auth, 00:27:48.000 --> 00:27:50.000 otsib välja, kus sa elad, 00:27:50.000 --> 00:27:52.000 ja saadab rakendusele valimissedeli. 00:27:52.000 --> 00:27:54.000 Sa pead rakenduses lihtsalt valima, 00:27:54.000 --> 00:27:56.000 kelle poolt sa hääletad. 00:27:57.000 --> 00:28:00.000 Muide, igaks valimiseks on uus rakendus. 00:28:01.000 --> 00:28:04.000 Siis klõpsad nuppu "Valin", ja edasi 00:28:04.000 --> 00:28:08.000 tarkvara tegeleb natuke krüpteerimisega. 00:28:08.000 --> 00:28:11.000 Siin on see, mida see teeb - kaht asja. 00:28:11.000 --> 00:28:15.000 Esiteks krüpteerib see su valimissedeli, 00:28:15.000 --> 00:28:19.000 kasutades RSA-d ja kliendi genereeritud 00:28:19.000 --> 00:28:22.000 juhuslikku polsterdavat teksti. 00:28:22.000 --> 00:28:25.000 Siis võtab see selle krüpteeritud sedeli 00:28:25.000 --> 00:28:27.500 ja allkirjastab digitaalselt 00:28:27.500 --> 00:28:30.000 sinu ametliku ID-kaardiga. 00:28:31.000 --> 00:28:33.500 Seega teine, allkirjastamise etapp, 00:28:33.500 --> 00:28:35.500 annab tulemuseks allkirjastatud 00:28:35.500 --> 00:28:37.500 krüpteeritud valimissedeli. 00:28:37.500 --> 00:28:40.000 Allkirjastatud krüpteeritud valimissedel 00:28:40.000 --> 00:28:42.500 läheb valimisserverisse, mis hoiab seda, 00:28:42.500 --> 00:28:44.500 kuni on aeg hääled kokku lugeda. 00:28:44.500 --> 00:28:47.500 See on valimiseprotseduuri lühiülevaade, väga lihtne! 00:28:48.500 --> 00:28:50.500 Järgmisena on Eestil siiski iseärasus, 00:28:50.500 --> 00:28:53.000 mida rakendati alles viimastel aastatel, 00:28:53.000 --> 00:28:55.000 ja mis laseb sul teha midagi, 00:28:55.000 --> 00:28:57.000 mida nad kutsuvad kontrollimiseks. 00:28:57.000 --> 00:28:58.500 Viimane asi, 00:28:58.500 --> 00:29:00.500 mida valimiste klientrakendus teeb, 00:29:00.500 --> 00:29:02.500 on sellise QR koodi näitamine. 00:29:03.000 --> 00:29:06.000 See QR kood sisaldab kaht asja: 00:29:06.000 --> 00:29:09.000 sedeli tunnust ja enne RSA krüpteerimist 00:29:09.000 --> 00:29:13.000 sedeli polsterdamisel kasutatud juhuteksti. 00:29:13.500 --> 00:29:18.000 Nende abil saad nutitelefonirakendusega, 00:29:18.000 --> 00:29:21.000 mis on saadaval iOS-ile ja Androidile, 00:29:21.000 --> 00:29:26.000 skaneerida selle QR koodi, misjärel teeb 00:29:26.000 --> 00:29:28.000 rakendus päringu valimisserverisse 00:29:28.000 --> 00:29:29.500 ja server saadab tagasi 00:29:29.500 --> 00:29:31.000 krüpteeritud valimissedeli, 00:29:31.000 --> 00:29:33.000 millelt on eemaldatud digiallkiri. 00:29:33.000 --> 00:29:38.000 Server väidab, et see on see sedel, mille ta sinult sai. 00:29:39.000 --> 00:29:42.000 Hüva! Siis, kasutades seda juhuteksti, 00:29:42.000 --> 00:29:45.000 mis saadi QR koodist, püüab nutirakendus 00:29:45.000 --> 00:29:49.000 jõuga lahti murda sinu sedelit, proovides 00:29:49.000 --> 00:29:52.000 läbi kõik võimalused, kuni leiab selle, 00:29:52.000 --> 00:29:54.000 mis šifreerub samaks tekstiks. 00:29:54.000 --> 00:29:57.000 Hüva! Siis leiab see kokkusobivuse 00:29:57.000 --> 00:30:00.000 ja kuvab tulemuseks saadud kandidaadi. 00:30:01.000 --> 00:30:04.000 Sunnivastase abinõuna saab valideerimist 00:30:04.000 --> 00:30:08.000 teha vaid kuni kolm korda ja seda kuni 00:30:08.000 --> 00:30:11.000 30 minuti jooksul pärast hääletamist. 00:30:11.000 --> 00:30:15.000 Muidu saaks sinu survestaja alati nõuda, 00:30:15.000 --> 00:30:17.000 et näitaksid talle oma sedeli kontrolli. 00:30:17.500 --> 00:30:21.000 Huvitav, et ühe meetmena survestamise 00:30:21.000 --> 00:30:23.000 vastu on sul võimalus oma hääl ära muuta 00:30:23.000 --> 00:30:25.000 nii palju kordi kui sa tahad, 00:30:25.000 --> 00:30:28.000 kuni kohaleminekuga valimise päevani. 00:30:28.000 --> 00:30:30.000 Selleks lihtsalt korda seda protseduuri, 00:30:30.000 --> 00:30:33.000 ning su uus valik asendab varasema ja 00:30:33.000 --> 00:30:35.500 vaid kõige viimane hääl võetakse arvesse. 00:30:36.000 --> 00:30:38.000 Hüva, selline on kontrolliprotsess. 00:30:38.000 --> 00:30:40.000 Nüüd aga kuidas toimub häälte lugemine? 00:30:40.500 --> 00:30:43.000 Eesti e-häälte kokku lugemine on huvitav, 00:30:43.000 --> 00:30:46.000 sest põhimõtteliselt on püütud teha 00:30:46.000 --> 00:30:48.000 krüptograafiline analoog 00:30:48.000 --> 00:30:51.000 topeltümbrikuga eelhääletamisele, 00:30:51.000 --> 00:30:54.000 mida kasutatakse paljudes riikides. 00:30:54.000 --> 00:30:57.000 Topeltümbrikuga eelhääletamisel on sul 00:30:57.000 --> 00:31:00.000 sisemine turvaümbrik, milles on su sedel, 00:31:00.000 --> 00:31:05.000 ja väline ümbrik sinu nime ja allkirjaga. 00:31:05.000 --> 00:31:07.500 Kui tuleb aeg hääled kokku lugeda, 00:31:07.500 --> 00:31:10.000 olles kontrollinud, et sa hääletasid vaid 00:31:10.000 --> 00:31:12.000 ühe korra ja et sul on valimisõigus, 00:31:12.000 --> 00:31:13.500 eemaldatakse nimi ja allkiri, 00:31:13.500 --> 00:31:15.500 ning eraldatakse sisemised turvaümbrikud, 00:31:15.500 --> 00:31:16.500 aetakse need segi, 00:31:16.500 --> 00:31:18.500 et neid ei saaks nimedega seostada, 00:31:18.500 --> 00:31:21.000 avatakse siis, ja loetakse hääled kokku. 00:31:21.000 --> 00:31:24.000 Eesti süsteemis tehakse väga sarnaselt. 00:31:24.000 --> 00:31:27.000 Valimisserverid hoiavad hääli, kuni jõuab 00:31:27.000 --> 00:31:30.000 aeg hääled kokku lugeda. Ja siis võetakse 00:31:30.000 --> 00:31:33.000 digiallkirjastatud krüpteeritud sedelid, 00:31:33.000 --> 00:31:36.000 vabastatakse need digiallkirjadest 00:31:36.000 --> 00:31:38.500 ja kirjutatakse siis DVD-le. 00:31:38.500 --> 00:31:42.500 Selle DVD-ga viiakse krüpteeritud hääled 00:31:42.500 --> 00:31:45.000 füüsiliselt eraldatud võrguta masinasse, 00:31:45.000 --> 00:31:48.000 mida hüütakse häälte lugemise serveriks, 00:31:48.000 --> 00:31:51.500 ja vaid see saab ligi privaatvõtmele, 00:31:51.500 --> 00:31:55.000 mida kasutatakse häälte dešifreerimiseks. 00:31:55.000 --> 00:31:57.000 Seega on hääl krüpteeritud kogu tee sinu 00:31:57.000 --> 00:31:59.000 kliendist kuni häälte lugemise serverini, 00:31:59.000 --> 00:32:01.000 ja häälte lugemise server saab need 00:32:01.000 --> 00:32:03.000 dešifreerida ja näha hääli, 00:32:03.000 --> 00:32:05.000 kuid see ei näe mitte kunagi allkirju, 00:32:05.000 --> 00:32:07.000 mis need hääled identifitseeriks. 00:32:07.000 --> 00:32:11.000 Sellisel viisil püütakse hoida valimissaladust. 00:32:12.000 --> 00:32:16.000 Häälte lugemise serveri väljundiks on lihtsalt valimistulemused. 00:32:16.000 --> 00:32:18.000 Ehk kandidaatide häältesummad 00:32:18.000 --> 00:32:20.000 ja võitjaks tulnud kandidaadid. 00:32:20.500 --> 00:32:23.000 Niisiis, selline on Eesti valimisprotsess 00:32:23.000 --> 00:32:26.500 ja oli väga huvitav teada saada, kuidas see toimib. 00:32:26.500 --> 00:32:29.500 Pole avaldatud ingliskeelseid kirjeldusi, 00:32:29.500 --> 00:32:32.500 mis kõike kajastaks, enne meie uurimust. 00:32:32.500 --> 00:32:35.500 Pidime küsitlema ja uurima lähtekoodi, 00:32:35.500 --> 00:32:39.000 kõike seda selleks, et saada aimu, mis tegelikult toimub. 00:32:39.000 --> 00:32:40.000 [Ohud?] 00:32:40.000 --> 00:32:41.500 Järgmine küsimus pärast süsteemi 00:32:41.500 --> 00:32:43.500 toimimise selgeks saamist on: 00:32:43.500 --> 00:32:45.500 millised ohud seda ähvardavad? 00:32:45.500 --> 00:32:48.500 Tegelikult me oleme juba käsitlenud 00:32:48.500 --> 00:32:51.500 mõningaid internetivalimiste probleeme. 00:32:51.500 --> 00:32:53.500 Tead ju küll - siseringi rünnakud 00:32:53.500 --> 00:32:55.500 ebaausate valimisametnike poolt, 00:32:55.500 --> 00:32:58.500 valijate sundimine, pahavara kliendis... 00:32:58.500 --> 00:33:01.500 Aga kes veel sooviks rünnata sellist süsteemi? 00:33:02.000 --> 00:33:07.000 Eesti toob meelde mõned erilised näited, 00:33:07.000 --> 00:33:10.000 sest esiteks rünnati Eestit 00:33:10.000 --> 00:33:13.000 väga silmapaistvalt 2007. aastal 00:33:13.000 --> 00:33:16.000 ühe kõige varajasema näitena sellest, 00:33:16.000 --> 00:33:19.000 mida mitmed vaatlejad peavad 00:33:19.000 --> 00:33:22.000 riikidevaheliseks kübersõjaks, 00:33:22.000 --> 00:33:24.000 kui nad kannatasid ulatusliku 00:33:24.000 --> 00:33:27.000 teenusetõkestusründe all riigi 00:33:27.000 --> 00:33:30.000 infrastrukruuri vastu, rühmituste poolt, 00:33:30.000 --> 00:33:32.500 keda seostatakse Moskvaga. 00:33:32.500 --> 00:33:37.000 Teiseks, möödunud suvel olid Ukrainas 00:33:37.000 --> 00:33:41.000 revolutsioonijärgsed valimised. 00:33:41.000 --> 00:33:45.000 Ja nende kestel oli ulatuslikke ründeid 00:33:45.000 --> 00:33:48.000 valimiste infrastruktuuri vastu. 00:33:48.000 --> 00:33:51.000 Need valimised ei toimunud internetis, 00:33:51.000 --> 00:33:54.000 kuid häälte tabelitesse ajamise protsess, 00:33:54.000 --> 00:33:57.000 protsess üle kogu riigi kõigi tulemuste 00:33:57.000 --> 00:34:00.000 kokku võtmiseks, tugines arvutivõrgule 00:34:00.000 --> 00:34:02.000 häälte arvu vastuvõtmisel 00:34:02.000 --> 00:34:05.000 ja kokkuvõtete internetis avaldamisel. 00:34:05.000 --> 00:34:08.000 Kuuldavasti ründasid ka seda protsessi 00:34:08.000 --> 00:34:12.000 rühmitused, keda seostatakse ka Venemaaga 00:34:12.000 --> 00:34:14.000 ja kes püüdsid valimisi diskrediteerida, 00:34:14.000 --> 00:34:15.000 ja ma lugesin, 00:34:15.000 --> 00:34:18.000 et püüdsid isegi avaldada valetulemusi. 00:34:18.000 --> 00:34:21.000 Kõik see sai avalikuks eelmisel suvel. 00:34:21.000 --> 00:34:24.000 See paneb mind uskuma, et õige ohumudel 00:34:24.000 --> 00:34:27.000 internetivalimiste jaoks peab sisaldama 00:34:27.000 --> 00:34:30.000 kogenud riigi tasemel ründajaid, 00:34:30.000 --> 00:34:32.500 kes võivad tahta tulemusi mõjutada. 00:34:32.500 --> 00:34:34.500 Ja sellise riigi puhul, nagu Eesti, 00:34:34.500 --> 00:34:36.000 kes, teate ju küll, 00:34:36.000 --> 00:34:38.000 on Venemaaga piirnev EL ja NATO liige, 00:34:38.000 --> 00:34:40.000 on ilmselt palju osavaid 00:34:40.000 --> 00:34:42.000 riigi tasemel ründajaid 00:34:42.000 --> 00:34:46.000 kes võivad tahta kaasa rääkida selle tulevastes sihtides. 00:34:47.000 --> 00:34:49.000 Hüva! Seda ohumudelit meeles pidades 00:34:49.000 --> 00:34:52.000 hinnakem Eesti süsteemi ülesehitust. 00:34:52.000 --> 00:34:54.000 On kaks Eesti disaini osa, 00:34:54.000 --> 00:34:57.000 mille kohta juba disainiga tutvumisel 00:34:57.000 --> 00:35:00.000 võib öelda, et need on 00:35:00.000 --> 00:35:02.000 kõhklematult usaldatavad komponendid. 00:35:02.000 --> 00:35:04.000 Ja kui me turvalisuse puhul ütleme, 00:35:04.000 --> 00:35:06.000 et miski on usaldatav, siis peame 00:35:06.000 --> 00:35:08.000 silmas seda, et kui see on häkitud, 00:35:08.000 --> 00:35:10.000 siis oleme suures jamas. 00:35:10.000 --> 00:35:13.000 Niisiis, seda mõtleme me usaldatava all. 00:35:13.000 --> 00:35:16.000 Need kaks komponenti on valija klient 00:35:16.000 --> 00:35:18.000 ja häälte lugemise server. 00:35:18.000 --> 00:35:21.000 Ja las ma ütlen teile, miks need mõlemad 00:35:21.000 --> 00:35:25.000 on potentsiaalsed või tõsised haavatavad 00:35:25.000 --> 00:35:27.000 kohad Eesti disaini juures. 00:35:27.000 --> 00:35:30.000 Alustame kliendist. 00:35:30.000 --> 00:35:32.000 Eesti valimiste klientrakendus võib 00:35:32.000 --> 00:35:34.000 potentsiaalselt saada kompromiteeritud 00:35:34.000 --> 00:35:36.000 kliendipoolse pahavara poolt. 00:35:36.000 --> 00:35:38.000 Siin on lihtne pahavara disain, 00:35:38.000 --> 00:35:40.000 mida me reaalselt laboris ka rakendasime. 00:35:40.000 --> 00:35:42.000 Muide, nende rünnete rakendamiseks 00:35:42.000 --> 00:35:45.000 me tekitasime oma laboratooriumisse 00:35:45.000 --> 00:35:47.000 Eesti süsteemi täieliku koopia, 00:35:47.000 --> 00:35:49.000 kasutades nende serveripoole lähtekoodi, 00:35:49.000 --> 00:35:51.000 nende dokumenteeritud protseduure 00:35:51.000 --> 00:35:53.000 ja klientrakenduse pöördkodeerimist, 00:35:53.000 --> 00:35:55.000 et panna see suhtlema meie serveritega 00:35:55.000 --> 00:35:57.000 ja kasutama meie võtmeid ametlike asemel. 00:35:57.000 --> 00:35:59.000 Me seadsime oma laborisse üles 00:35:59.000 --> 00:36:01.000 täieliku valimiste testsüsteemi 00:36:01.000 --> 00:36:03.000 ja meil on kodulehel virtuaalmasina 00:36:03.000 --> 00:36:05.000 tõmmised, kui keegi tahab proovida 00:36:05.000 --> 00:36:07.000 mängida sellega oma laboris. 00:36:07.000 --> 00:36:09.000 Igatahes, kujuta ette, et omad valimiste 00:36:09.000 --> 00:36:11.000 klientrakendust ja oled võimeline 00:36:11.000 --> 00:36:13.000 sellesse panema mingi pahavara. 00:36:13.000 --> 00:36:15.000 See pahavara võib lihtsalt sekkuda 00:36:15.000 --> 00:36:17.000 valimiste kliendi protsessi 00:36:17.000 --> 00:36:19.500 ja varastada valija PIN koodi, 00:36:19.500 --> 00:36:23.000 kui see valimiste käigus sisestatakse. 00:36:23.000 --> 00:36:25.000 Hiljem, järgmisel korral kui valija 00:36:25.000 --> 00:36:27.000 sisestab oma ID-kaardi näiteks 00:36:27.000 --> 00:36:30.000 internetipanka minekul, siis see pahavara 00:36:30.000 --> 00:36:33.000 saab taustal nähtamatult seda varastatud 00:36:33.000 --> 00:36:36.000 PIN-i kasutada, et anda uus hääl. 00:36:36.000 --> 00:36:39.000 Valija ei saa iial aimu hääle muutmisest. 00:36:39.000 --> 00:36:45.000 Ründaja aga saab selle protseduuriga varastada ühe hääle. 00:36:45.500 --> 00:36:48.500 Nüüd on siin kaks suurt küsimust: 00:36:48.500 --> 00:36:51.000 kuidas nakatada kliente 00:36:51.000 --> 00:36:54.000 ja kuidas ära petta kontrollirakendus? 00:36:54.000 --> 00:36:56.000 Kuidas nakatada kliente? 00:36:56.000 --> 00:36:59.000 Me peame selle jätma ettekujutuse valda, 00:36:59.000 --> 00:37:01.500 sest meil polnud mängimiseks botnetti, 00:37:01.500 --> 00:37:05.000 mis koosneks tuhandetest nakatunud arvutitest Eestis. 00:37:05.000 --> 00:37:07.000 Kuid kellelgi teisel on, 00:37:07.000 --> 00:37:09.000 ja see on üks võimalus, 00:37:09.000 --> 00:37:11.000 mida on lihtne ette kujutada 00:37:11.000 --> 00:37:13.000 tuhandete häälte muutmiseks. 00:37:13.000 --> 00:37:16.000 Teine viis on näiteks, kui sa oled NSA, 00:37:16.000 --> 00:37:19.000 sul on Zero-Day turvaauguga arvutite varu 00:37:19.000 --> 00:37:21.500 ja sa lihtsalt ründad mõnd populaarset 00:37:21.500 --> 00:37:24.000 veebilehte või rakendust, mida Eestis 00:37:24.000 --> 00:37:26.500 kasutatakse, ja nakatad sellega inimeste 00:37:26.500 --> 00:37:28.000 klientrakendused pahavaraga. 00:37:28.000 --> 00:37:31.000 Kolmas võimalus on sokutada paheline kood 00:37:31.000 --> 00:37:32.500 ametlikku valimisrakendusse, 00:37:32.500 --> 00:37:34.500 mille kohta me teame, et kõik, 00:37:34.500 --> 00:37:36.500 kes Eestis internetis valivad, 00:37:36.500 --> 00:37:39.000 paigaldavad selle oma masinasse enne valimist. 00:37:39.000 --> 00:37:42.500 Igatahes on mitmeid viise klientide nakatamiseks. 00:37:42.500 --> 00:37:45.000 Kuidas ära petta kontrollirakendus? 00:37:45.000 --> 00:37:48.000 Tuleb välja, et see pole üldse keeruline, 00:37:48.000 --> 00:37:51.000 sest survestamisvastaste meetmete tõttu, 00:37:51.000 --> 00:37:54.000 (tuletame meelde seda vastuolu tervikluse 00:37:54.000 --> 00:37:55.700 ja valimissaladuse nõude vahel), 00:37:55.700 --> 00:37:58.000 tänu neile survestamisvastastele meetmetele, 00:37:58.000 --> 00:38:01.000 saab kontrollirakendust kasutada vaid 00:38:01.000 --> 00:38:04.000 kuni 30 minuti jooksul pärast valimist. 00:38:04.000 --> 00:38:09.000 Seega pärast hääle andmist on vaja vaid oodata... 00:38:09.000 --> 00:38:12.000 Kui see ei toimi või on liiga kahtlane, 00:38:12.000 --> 00:38:15.000 siis võime proovida ka hübriidrünnet, 00:38:15.000 --> 00:38:18.000 mis sisaldab pahelist androidirakendust 00:38:18.000 --> 00:38:20.000 ja valimiskliendi nakatamist. 00:38:20.000 --> 00:38:22.000 Tänu nende platvormide lähenemisele 00:38:22.000 --> 00:38:24.000 ei ole enam nii raske uskuda, 00:38:24.000 --> 00:38:26.000 et keegi võib samaaegselt 00:38:26.000 --> 00:38:28.000 ja seostatult rünnata mõlemat. 00:38:28.000 --> 00:38:30.000 Igatahes on erinevaid viise nende 00:38:30.000 --> 00:38:32.000 mõlema asja tegemiseks. 00:38:32.000 --> 00:38:35.500 Me võime minna edasi ja vaadata ka serveri poolt. 00:38:36.000 --> 00:38:39.500 Serveri poolel on süsteemi achilleuse kannaks 00:38:39.500 --> 00:38:41.500 häälte lugemise server, 00:38:41.500 --> 00:38:45.000 mis ainsana saab manipuleerida krüpteerimata hääli. 00:38:45.000 --> 00:38:48.000 Ja mitte keegi ei näe kunagi neid hääli - 00:38:48.000 --> 00:38:50.000 näha on vaid väljundid, seega, 00:38:50.000 --> 00:38:52.000 kui häälte lugemise server petab, 00:38:52.000 --> 00:38:55.000 võib see lihtsalt oma suva järgi öelda, 00:38:55.000 --> 00:38:57.500 milline on valimistulemus. 00:38:57.500 --> 00:39:00.000 Kuid nad tegid häälte lugemise serveri 00:39:00.000 --> 00:39:02.000 manipuleerimise päris keeruliseks. 00:39:02.000 --> 00:39:03.500 See on võrguühenduseta... 00:39:03.500 --> 00:39:05.000 See ehitatakse enne valimisi... 00:39:05.000 --> 00:39:06.500 See on kinni pitseeritud... 00:39:06.500 --> 00:39:08.000 See asub kuskil turvahoidlas... 00:39:08.000 --> 00:39:10.000 Peame arvestama, et see on üsna raske! 00:39:10.000 --> 00:39:12.000 Seega kuidagi tuleb leida viis, kuidas 00:39:12.000 --> 00:39:15.000 mõjutada koodi toimimist selles masinas. 00:39:15.000 --> 00:39:19.000 Me proovisime ja lõime selleks vahendid, 00:39:19.000 --> 00:39:22.000 et seda masinat kompromiteerida, isegi, 00:39:22.000 --> 00:39:25.000 kui rakendati nende turvameetmeid. 00:39:25.000 --> 00:39:29.000 Meie tööriistaahel põhineb Ken Thompsoni 00:39:29.000 --> 00:39:33.000 "Mõtisklused usalduse usaldamisest" 00:39:33.000 --> 00:39:35.000 pärit ideel, mis ütleb, et isegi, 00:39:35.000 --> 00:39:37.000 kui üks süsteem on turvaline, 00:39:37.000 --> 00:39:39.500 on selle ehitamiseks vaja teist süsteemi, 00:39:39.500 --> 00:39:41.500 ja on vaja veel üht süsteemi, 00:39:41.500 --> 00:39:43.000 et ehitada seda teist süsteemi. 00:39:43.000 --> 00:39:45.000 Seega järgides seda ahelat, 00:39:45.000 --> 00:39:47.000 jõuad sa lõpuks kohani, 00:39:47.000 --> 00:39:49.500 millele ründajal on juurdepääs. 00:39:49.500 --> 00:39:52.000 Oma uurimuses me leidsime selle viisi, 00:39:52.000 --> 00:39:54.000 kuidas nad selle masina 00:39:54.000 --> 00:39:56.000 häälte lugemise serveriks ehitasid. 00:39:56.000 --> 00:40:00.000 See jookseb minu arvates mingil Debiani variandil. 00:40:00.000 --> 00:40:02.000 Ja see on paigaldatud DVD-lt, 00:40:02.000 --> 00:40:05.000 mis on kõrvetatud eraldi arendusmasinas, 00:40:05.000 --> 00:40:07.000 mis on ehitatud enne valimisi 00:40:07.000 --> 00:40:10.000 ja mis reaalselt laadib veebist alla 00:40:10.000 --> 00:40:12.000 värske Debiani koopia 00:40:12.000 --> 00:40:14.500 ja kõrvetab selle DVD-le. 00:40:15.000 --> 00:40:17.500 Seega oletame, et me saame astuda mõned 00:40:17.500 --> 00:40:20.000 sammud tagasi häälte lugemise serverist 00:40:20.000 --> 00:40:22.500 ja kompromiteerime seda arendusserverit. 00:40:22.500 --> 00:40:24.000 See on internetti ühendatud... 00:40:24.000 --> 00:40:26.000 See on ehitatud enne seda, kui algab 00:40:26.000 --> 00:40:28.000 valimisprotseduuride videosalvestus... 00:40:28.000 --> 00:40:29.500 Oletame, et meil õnnestub 00:40:29.500 --> 00:40:31.000 mingi pahavara sinna sokutada... 00:40:31.000 --> 00:40:35.000 Niisiis ehitasime demo, kus see pahavara 00:40:35.000 --> 00:40:39.000 nakatab selle kirjutatava paigaldus-DVD, 00:40:39.000 --> 00:40:46.000 kasutab käomuna, et valetada ISO-tõmmise SHA-1 räsi kohta, 00:40:46.000 --> 00:40:48.000 sest nad kontrollivad seda. 00:40:48.000 --> 00:40:51.000 Ja siis see nakatunud DVD paigaldab mingi 00:40:51.000 --> 00:40:55.000 tagauksekoodi häälte lugemise serverisse, kui seda ehitatakse. 00:40:55.000 --> 00:40:58.000 Sel juhul on häälte muutmine väga lihtne. 00:40:58.000 --> 00:41:00.000 Meil on vaja vaid sekkuda häälte 00:41:00.000 --> 00:41:03.000 lugemise serveri koodi, mis kasutab 00:41:03.000 --> 00:41:06.000 lisatud riistvaralist turvamoodulit 00:41:06.000 --> 00:41:08.000 kõigi häälte dešifreerimiseks, 00:41:08.000 --> 00:41:10.000 ja põhimõtteliselt vaadata, 00:41:10.000 --> 00:41:12.500 mis tuleb sellelt turvamoodulilt tagasi, 00:41:12.500 --> 00:41:15.000 ja asendada see oma eelistatud häältega. 00:41:15.000 --> 00:41:18.000 Sel viisil võtab see umbes paraja aja, 00:41:18.000 --> 00:41:20.000 mil turvamoodul dešifreerib õigeid hääli, 00:41:20.000 --> 00:41:22.500 kuid tulemused on võltsitud. 00:41:23.000 --> 00:41:24.500 Hüva! Need on kaks rünnet, 00:41:24.500 --> 00:41:27.500 mis tuginevad pisut mõnele võimele, 00:41:27.500 --> 00:41:30.000 mida meil pole, nagu juurdepääs 00:41:30.000 --> 00:41:32.000 Zero-Days turvaauguga masinatele 00:41:32.000 --> 00:41:34.000 või botnetile, või siseringi juurdepääs. 00:41:34.000 --> 00:41:37.000 Kõik need asjad on tõelistel ründajatel siiski olemas. 00:41:37.000 --> 00:41:39.000 Kuid võib siiski olla võimalik, 00:41:39.000 --> 00:41:42.000 et Eesti operatiivne turvalisus on nii hea, 00:41:42.000 --> 00:41:44.000 et neil oskuslikel ründajatel 00:41:44.000 --> 00:41:46.000 on probleeme masinate nakatamisega. 00:41:46.000 --> 00:41:49.000 Seega, kui hea on nende operatiivne turvalisus? 00:41:49.000 --> 00:41:51.000 See oli suur küsimus meie töös ja miski, 00:41:51.000 --> 00:41:53.000 millele me kulutasime palju aega 00:41:53.000 --> 00:41:54.500 vaadates läbi videoid, 00:41:54.500 --> 00:41:56.000 tehes intervjuusid, 00:41:56.000 --> 00:41:58.000 et seda kõike välja selgitada. 00:41:58.000 --> 00:42:01.000 Hüva! See mees, Eesti president, ütleb, 00:42:01.000 --> 00:42:04.000 et nende turvalisus on parem kui Googlel. 00:42:04.000 --> 00:42:06.000 See on siis see standard, 00:42:06.000 --> 00:42:08.500 mille nad on endile seadnud! 00:42:08.500 --> 00:42:10.000 See on hea, see on miski, 00:42:10.000 --> 00:42:11.000 mille poole pürgida. 00:42:11.000 --> 00:42:14.000 Vaatame, milline nende turvalisus tegelikult on, 00:42:14.000 --> 00:42:16.000 tuginedes ametlikele videotele, 00:42:16.000 --> 00:42:18.000 mis nad on avaldanud valimiste jooksul. 00:42:18.000 --> 00:42:21.000 Hüva! See on Tarvi Martens, 00:42:21.000 --> 00:42:27.000 ja siin, tema pea kohal, on nende WiFi võrgu SSID ja parool... 00:42:27.000 --> 00:42:34.000 (naer ja aplaus) 00:42:34.000 --> 00:42:37.000 Hüva! Siin ehitavad nad mingit tarkvara 00:42:37.000 --> 00:42:40.000 ja servereid ja konfiguratsiooni 00:42:40.000 --> 00:42:42.000 reaalsetele masinatele. 00:42:42.000 --> 00:42:44.000 Suumime sellele ekraanile sisse! 00:42:44.000 --> 00:42:45.000 Oh, heldust! Hästi! 00:42:45.000 --> 00:42:48.000 Nad kasutavad mingit Windowsi jaosvara, 00:42:48.000 --> 00:42:50.000 mida nad laadivad alla üle HTTP, 00:42:50.000 --> 00:42:53.500 et kirjutada serverite konfifaile... 00:42:54.000 --> 00:42:55.500 See ei paista hea! 00:42:56.000 --> 00:43:00.000 Hästi, lähme edasi! Siin on teine arvuti, 00:43:00.000 --> 00:43:03.000 sellel kuvatõmmisel nad testivad klientrakendust. 00:43:03.000 --> 00:43:04.000 Suumime sisse... 00:43:04.000 --> 00:43:06.000 Töölaud paistab päris hästi. 00:43:06.000 --> 00:43:07.000 Üks hetk! 00:43:07.000 --> 00:43:10.000 Mis ikoonid need siin töölaual on? 00:43:10.000 --> 00:43:12.000 Siin on mingi pokkeriveeb... 00:43:12.000 --> 00:43:14.000 BitTorrenti klient... 00:43:14.000 --> 00:43:17.000 Ma arvan, et see siin on piraatmuusika... 00:43:17.000 --> 00:43:18.000 Oh, heldust! 00:43:18.000 --> 00:43:22.000 See pole küll puhas ja turvaline masin! 00:43:22.000 --> 00:43:25.000 Loodan, et siin ei tehta midagi olulist! 00:43:25.000 --> 00:43:26.000 Ohhoo! 00:43:26.000 --> 00:43:28.000 Nad allkirjastavad digitaalselt 00:43:28.000 --> 00:43:30.000 ametlikku valimisklienti, 00:43:30.000 --> 00:43:32.000 mida nad kavatsevad lasta kõigil 00:43:32.000 --> 00:43:34.000 selles riigis alla laadida 00:43:34.000 --> 00:43:36.000 ja oma arvutisse installeerida! 00:43:36.000 --> 00:43:37.500 Oh, issand! 00:43:37.500 --> 00:43:40.000 See on kõige ohtlikum asi - 00:43:40.000 --> 00:43:42.000 hoida õiget kliendiprogrammi 00:43:42.000 --> 00:43:44.000 potentsiaalselt nakatunud masinas. 00:43:44.000 --> 00:43:46.000 Kui keegi nakatab selle masina, 00:43:46.000 --> 00:43:48.000 siis saab ta oma pahavara 00:43:48.000 --> 00:43:50.000 ametlikku valimiskliendi sisse 00:43:50.000 --> 00:43:52.500 ja levitada seda iga Eesti valijani. 00:43:53.000 --> 00:43:55.000 Hästi! Mis veel? 00:43:55.000 --> 00:43:57.000 Hiljem samas masinas - 00:43:57.000 --> 00:43:58.000 Siin on Tarvi nimi... 00:43:58.000 --> 00:44:01.000 Usun, et see on Tarvi Martensi isiklik sülearvuti... 00:44:01.000 --> 00:44:02.000 Oh! Hüva! 00:44:02.000 --> 00:44:07.000 Siin sätivad nad üles üht serverit. 00:44:07.000 --> 00:44:10.000 Nad logivad sisse oma peakasutajakontole. 00:44:10.000 --> 00:44:12.000 Sa võid siin näha nende klahvivajutusi... 00:44:12.000 --> 00:44:15.000 (naer ja aplaus) 00:44:15.000 --> 00:44:16.000 Hästi! 00:44:16.000 --> 00:44:19.000 Siin sisestab keegi oma ID-kaardi PIN-i... 00:44:19.000 --> 00:44:22.000 See siin on andmekeskuses. 00:44:22.000 --> 00:44:24.000 See on tõesti kasulik! 00:44:24.000 --> 00:44:27.000 See suur võti siin avab andmekeskuse ukse... 00:44:27.000 --> 00:44:30.000 (naer) 00:44:30.000 --> 00:44:32.000 Kas kellelgi on 3D printerit? 00:44:32.000 --> 00:44:34.000 (naer) 00:44:34.000 --> 00:44:35.000 Hüva! 00:44:35.000 --> 00:44:37.000 See ei tundu just olevat selline 00:44:37.000 --> 00:44:40.000 operatiivse turvalisuse tase, 00:44:40.000 --> 00:44:41.500 mida meile vaja oleks, 00:44:41.500 --> 00:44:44.000 et kaitsta riigi tasemel ründajate vastu! 00:44:44.000 --> 00:44:46.000 Aga ei taha olla nende vastu liiga karm. 00:44:46.000 --> 00:44:48.000 Selline operatiivse turvalisuse tase 00:44:48.000 --> 00:44:51.000 ongi riigiasutuse IT süsteemis tüüpiline. 00:44:51.000 --> 00:44:53.000 Kuid see pole lihtsalt mingi suvaline 00:44:53.000 --> 00:44:55.000 valitsusasutuse infosüsteem. 00:44:55.000 --> 00:44:57.000 See määrab, kes saab olema uus juhtkond. 00:44:57.000 --> 00:45:01.000 See on riikliku julgeoleku seisukohast kriitiline infosüsteem! 00:45:01.000 --> 00:45:03.000 Hästi! Veel üks asi, mis juhtus. 00:45:03.000 --> 00:45:06.000 Neil olid viimastel valimistel mõned 00:45:06.000 --> 00:45:09.000 asjad valesti läinud, sealhulgas lõpus, 00:45:09.000 --> 00:45:12.000 kui tuli kopeerida ametlikud tulemused 00:45:12.000 --> 00:45:15.000 häälte lugemise serverist välja, 00:45:15.000 --> 00:45:18.000 siis DVD kirjutaja ei toiminud. 00:45:18.000 --> 00:45:21.000 Ja nad vaatasid ringi, kuidas seda teha. 00:45:21.000 --> 00:45:22.500 Oli vaja kõik tulemused välja kopeerida 00:45:22.500 --> 00:45:24.000 ja tuua teise süsteemi, et need 00:45:24.000 --> 00:45:27.000 digitaalselt allkirjastada ja avaldada. 00:45:27.000 --> 00:45:30.000 Siis võttis Tarvi Martens taskust mälupulga 00:45:30.000 --> 00:45:33.000 ja pistis häälte lugemise serverisse, 00:45:33.000 --> 00:45:36.000 ainsasse masinasse, mis näeb antud hääli, 00:45:36.000 --> 00:45:39.000 ning seejärel oma Windowsi sülearvutisse, 00:45:39.000 --> 00:45:41.000 allkirjastas hääled ja avaldas need. 00:45:41.000 --> 00:45:43.000 See siin ilmus tema Windowsi sülearvutile 00:45:43.000 --> 00:45:45.000 kui ta pistis selle USB pulga sisse... 00:45:45.000 --> 00:45:48.000 Te võite näha, et see on olnud kõikjal! 00:45:48.000 --> 00:45:50.000 Sellel on ettekanne valimissüsteemist, 00:45:50.000 --> 00:45:52.000 mille ta oli seal teinud. 00:45:52.000 --> 00:45:54.000 See polnud puhas USB-pulk! 00:45:54.000 --> 00:45:56.000 Seega veel üks võimalik tee pahavara 00:45:56.000 --> 00:45:58.000 pääsuks häälte lugemise serverisse. 00:45:58.000 --> 00:46:00.000 [Avalikustamine] 00:46:00.000 --> 00:46:00.500 Hüva! 00:46:00.500 --> 00:46:03.500 Seega meie hinnang oli, et Eesti süsteem 00:46:03.500 --> 00:46:05.500 oli tõsiste turbeprobleemidega, 00:46:05.500 --> 00:46:07.500 eriti riigi tasemel vastase suhtes, 00:46:07.500 --> 00:46:10.000 ja nende olemasolev operatiivne 00:46:10.000 --> 00:46:13.000 turvalisus polnud mitte kuidagi valmis 00:46:13.000 --> 00:46:15.000 sellele vastu seisma. 00:46:15.000 --> 00:46:17.000 Ja me olime teatavas kimbatuses, 00:46:17.000 --> 00:46:20.000 sest olime olnud Eestis mullu oktoobris 00:46:20.000 --> 00:46:22.500 ja valimisametnikele üldjoontes rääkinud, 00:46:22.500 --> 00:46:25.000 et meil on need mured, ja siis lahkusime 00:46:25.000 --> 00:46:28.000 ja saime endi jaoks laboris kinnitust. 00:46:28.000 --> 00:46:33.000 Nüüd olid Eestis tulemas uued valimised, mais 2014. 00:46:33.000 --> 00:46:35.000 Me teadsime seda informatsiooni. 00:46:35.000 --> 00:46:37.000 Mida me pidime sellega peale hakkama? 00:46:37.000 --> 00:46:38.000 Me teadsime, 00:46:38.000 --> 00:46:40.000 et valimisametnikud olid juba veendunud, 00:46:40.000 --> 00:46:42.000 et süsteem on igati korralik. 00:46:42.000 --> 00:46:44.000 Seega otsustasime info avaldada, 00:46:44.000 --> 00:46:47.000 ja õnnetuseks, kuna meil kõigil oli käsil 00:46:47.000 --> 00:46:49.000 palju projekte, lükkus see edasi, 00:46:49.000 --> 00:46:51.000 kuni veel lähemale uutele valimistele, 00:46:51.000 --> 00:46:54.000 kui see oleks mulle meeldinud. 00:46:54.000 --> 00:46:57.000 Me naasime Eestisse kõigest u 10 päeva 00:46:57.000 --> 00:46:58.000 enne nende järgmisi valimisi, 00:46:58.000 --> 00:47:00.500 et teavitada avalikkust sellest, 00:47:00.500 --> 00:47:02.500 mis me olime avastanud. 00:47:03.000 --> 00:47:04.500 Niisiis me lendasime, 00:47:04.500 --> 00:47:07.000 saime näha Tallinna imeilusat kesklinna, 00:47:07.000 --> 00:47:10.000 panime püsti häkkeri baaslaagri 00:47:10.000 --> 00:47:12.000 kenas suures AirBnB majutuskohas, 00:47:12.000 --> 00:47:14.500 kuhu kogu meeskond ära mahtus. 00:47:14.500 --> 00:47:16.500 Ja tegutsesime edasi, 00:47:16.500 --> 00:47:18.500 et korraldada pressikonverents 00:47:18.500 --> 00:47:20.500 ja teavitada oma avastustest. 00:47:20.500 --> 00:47:22.000 Me panime üles veebilehekülje, 00:47:22.000 --> 00:47:24.500 mis võttis need, nagu mina praegu, 00:47:24.500 --> 00:47:27.000 tavainimesele mõistetavalt kokku. 00:47:27.000 --> 00:47:30.000 Ja avaldasime detailse tehnilise aruande, 00:47:30.000 --> 00:47:33.000 mis avaldati ka ACM CCS konverentsil. 00:47:34.000 --> 00:47:35.000 Nüüd reaktsioonist... 00:47:35.000 --> 00:47:38.000 Selle mõistmiseks on Eesti poliitikast 00:47:38.000 --> 00:47:40.500 vaja teada kõigest kaht asja. 00:47:40.500 --> 00:47:44.000 Esiteks, seal on kaks suuremat erakonda - 00:47:44.000 --> 00:47:47.000 Reformierakond ja Keskerakond. 00:47:47.000 --> 00:47:50.000 Reformierakond, kes on praegu valitsev, 00:47:50.000 --> 00:47:54.000 toetab e-valimisi, see on nende kutsikas, 00:47:54.000 --> 00:47:57.000 see on nende rahvusliku uhkuse allikas. 00:47:57.000 --> 00:48:00.000 Nad tahavad seda turustada mujal Euroopas 00:48:00.000 --> 00:48:03.000 ja näidata, kui silmapaistev ja modernne Eesti on. 00:48:03.000 --> 00:48:06.000 Keskerakond, kes on olnud riigis võimul, 00:48:06.000 --> 00:48:09.000 on praegu opositsioonis, kuid nad juhivad 00:48:09.000 --> 00:48:15.000 Tallinna linna, mis on olemuselt linnriik selle riigi sees. 00:48:15.000 --> 00:48:18.000 Nemad ei salli e-valimisi, võimalik, 00:48:18.000 --> 00:48:20.000 et seepärast, et nad kaotasid valimistel. 00:48:20.000 --> 00:48:23.000 Võimuta jäänud parteid ikka vihkavad või 00:48:23.000 --> 00:48:26.000 kritiseerivad valimiste tehnoloogiat, 00:48:26.000 --> 00:48:28.000 samas võimuerakonnad ei tee seda kunagi. 00:48:28.000 --> 00:48:32.000 Igatahes, Keskerakond on süsteemi kaua kritiseerinud, 00:48:32.000 --> 00:48:34.000 aga Reformierakond armastab seda. 00:48:34.000 --> 00:48:37.000 Õnnetuseks, iga meediaväljaanne Eestis 00:48:37.000 --> 00:48:42.000 näib olevat lähedalt seotud ühe või teise erakonnaga neist kahest. 00:48:42.000 --> 00:48:45.000 Ja nii käsitlesid kõik meie esile toodud 00:48:45.000 --> 00:48:48.000 potentsiaalseid ründeid kas tõendina, 00:48:48.000 --> 00:48:51.000 et e-valimised oli pettus, või siis mõne 00:48:51.000 --> 00:48:54.000 isiku katsena e-valimisi rünnata, 00:48:54.000 --> 00:48:58.000 kuna nad töötavat vastaserakonna heaks. 00:48:58.500 --> 00:49:00.500 Seega sattusime kõige selle keskele, 00:49:00.500 --> 00:49:02.000 ja see oli üsna uskumatu, 00:49:02.000 --> 00:49:04.000 kuid mitte just eriti lõbus. 00:49:05.000 --> 00:49:07.500 See teema oli terve nädala peauudiseks 00:49:07.500 --> 00:49:09.500 ja püsis igaõhtuste uudiste alguses. 00:49:09.500 --> 00:49:12.500 Ma lendasin koju lennukis, 00:49:12.500 --> 00:49:15.000 kus inimesed minu kõrvalridades 00:49:15.000 --> 00:49:17.500 lugesid lehtedest sellest artikleid. 00:49:17.500 --> 00:49:19.500 See oli üks minu elu veidramaid kogemusi. 00:49:20.000 --> 00:49:21.500 Me kohtusime ka valimisametnikega 00:49:21.500 --> 00:49:23.000 väga ametlikul kohtumisel, 00:49:23.000 --> 00:49:24.500 kus viibis ka nende advokaat. 00:49:24.500 --> 00:49:27.000 Tarvi Martens tänas meid väga ja ütles, 00:49:27.000 --> 00:49:30.000 et nad on juba kõike seda arvesse võtnud 00:49:30.000 --> 00:49:33.000 ja probleeme pole... 00:49:33.500 --> 00:49:34.500 Hüva! 00:49:34.500 --> 00:49:37.500 Me pidime tegema paar napsu ka valimiste 00:49:37.500 --> 00:49:40.500 turbespetsialistidega, kes olid kindlad, 00:49:40.500 --> 00:49:44.000 et kõik on korras. Sest, nagu nad väitsid, 00:49:44.000 --> 00:49:46.500 õiged inimesed ju ikkagi võitsid! 00:49:46.500 --> 00:49:48.000 (naer) 00:49:48.000 --> 00:49:51.000 Ma küsisin neilt, mis juhtuks, kui mingi 00:49:51.000 --> 00:49:54.000 jubeda vea tõttu võidaks valed inimesed, 00:49:54.000 --> 00:49:57.000 vallandaks teid kõiki ja jätkaks selle 00:49:57.000 --> 00:49:59.500 süsteemi praegusel kujul kasutamist? 00:50:00.000 --> 00:50:02.500 Selle peale muutusid neil näod nukraks, 00:50:02.500 --> 00:50:05.000 ja nad ütlesid, et see oleks päris paha. 00:50:05.000 --> 00:50:07.000 (naer) 00:50:07.000 --> 00:50:09.000 Ent hiljem Harri Hursti, 00:50:09.000 --> 00:50:11.000 üks meie meeskonna liige, 00:50:11.000 --> 00:50:14.000 kes on väga suurt kasvu soome mees 00:50:14.000 --> 00:50:17.000 ja tuntud uskumatult vägeva napsusõbrana, 00:50:17.000 --> 00:50:19.000 läks välja tõsisemale napsutamisele 00:50:19.000 --> 00:50:21.000 koos selle väga kena vene kutiga, 00:50:21.000 --> 00:50:24.000 kes on e-valimiste turbepealik. 00:50:24.000 --> 00:50:27.000 Mulle räägiti, et selle õhtusöögi käigus 00:50:27.000 --> 00:50:30.000 tarbis kumbki mees kaks pudelit viina, 00:50:30.000 --> 00:50:33.000 pärast mida ei saanud enam miski 00:50:33.000 --> 00:50:36.000 tõe eest peitu jääda. 00:50:36.000 --> 00:50:39.000 Harri teatas, et õhtu lõpuks 00:50:39.000 --> 00:50:42.000 oli ta joonud turbeülema seest välja 00:50:42.000 --> 00:50:44.000 peakasutaja parooli. 00:50:44.000 --> 00:50:48.000 (aplaus) 00:50:48.000 --> 00:50:51.000 Ja siin ta on tagasi tulemas... 00:50:51.000 --> 00:50:54.000 (aplaus) 00:50:54.000 --> 00:50:57.000 Veel üks viimane asi sisse pakkida. 00:50:57.000 --> 00:51:00.000 Eesti peaminister esines teles ja ütles, 00:51:00.000 --> 00:51:02.500 et ta oli meie kohta Facebookis uurinud, 00:51:02.500 --> 00:51:04.500 ja me töötavat tema vastaste heaks, 00:51:04.500 --> 00:51:06.500 et e-valimisi diskrediteerida, 00:51:06.500 --> 00:51:09.000 sest Jason Kitkati sõbraloendis oli keegi 00:51:09.000 --> 00:51:11.000 linnavalitsuse töötaja. 00:51:11.000 --> 00:51:13.000 Tema sõbraloendis oli ka rahandusminister 00:51:13.000 --> 00:51:15.000 ja tal oli ka silmapaistev Facebooki 00:51:15.000 --> 00:51:17.000 sõbrakutse peaministrilt, 00:51:17.000 --> 00:51:19.500 kuid ilmselt ei võtnud ta seda vastu. 00:51:20.500 --> 00:51:22.500 Lõpuks saime mõned väga huvitavad... 00:51:23.000 --> 00:51:25.000 Mind pole kunagi varem rünnatud teles 00:51:25.000 --> 00:51:27.000 NATO riigi peaministri poolt, eriti 00:51:27.000 --> 00:51:29.500 veel selle pärast, kes on minu sõbrad. 00:51:30.500 --> 00:51:33.000 Lõpuks saime mõned huvitavad ametlikud 00:51:33.000 --> 00:51:37.000 vastused, mis avaldati internetis Eesti valimiskomisjoni poolt. 00:51:37.000 --> 00:51:39.000 Nad ütlevad, et kontrollirakendus avastab 00:51:39.000 --> 00:51:42.000 kogu pahatahtliku käitumise... 00:51:42.000 --> 00:51:44.000 Jah, me ju rääkisime sellest rakendusest... 00:51:44.500 --> 00:51:46.500 Nad ütlevad ka, et miks varastada hääli, 00:51:46.500 --> 00:51:47.500 kui võib varastada raha, 00:51:47.500 --> 00:51:49.000 kui sa oled selleks kõigeks suuteline? 00:51:49.000 --> 00:51:50.000 (naer) 00:51:50.000 --> 00:51:52.000 Ma ei võtaks ka seda tõsiselt. 00:51:52.000 --> 00:51:54.500 Kuid kõige üllatavam asi oli, 00:51:54.500 --> 00:51:57.000 et Eesti Sertifitseerimiskeskus avaldas 00:51:57.000 --> 00:52:01.500 blogipostituse, mille võite netist leida ka inglise keeles. 00:52:01.500 --> 00:52:03.000 Postituse pealkirjaks on nad pannud: 00:52:03.000 --> 00:52:06.000 "E-valimised on (liiga) turvalised..." 00:52:06.000 --> 00:52:07.000 Oh, heldust! 00:52:07.000 --> 00:52:11.000 "Korralikel kodanikel, kes hoolivad arvutipuhtusest, ei ole viiruseid...", 00:52:11.000 --> 00:52:12.000 nagu nad väidavad! 00:52:12.000 --> 00:52:17.000 "Arvutiriskid on e-valimiste süsteemist praktiliselt kõrvaldatud..." 00:52:17.000 --> 00:52:19.000 Minu meeskonna kohta kirjutati: 00:52:19.000 --> 00:52:25.000 "Nad on siin mitte tehniliselt pädeva, vaid poliitilise, kuid tehniliselt ebakompetentse sõnumi pärast..." 00:52:25.000 --> 00:52:26.000 Oh, heldust! 00:52:27.000 --> 00:52:30.000 Ma ei usu, et meil oleks 00:52:30.000 --> 00:52:33.000 palju lootust veenda Eestit 00:52:33.000 --> 00:52:36.000 muutma oma valimissüsteemi. 00:52:36.000 --> 00:52:40.000 Siiski saame siit võtta mõned õppetunnid teistele riikidele. 00:52:40.000 --> 00:52:43.000 Eesti internetivalimiste süsteem pole 00:52:43.000 --> 00:52:46.000 tegelikult turvaline mitme ohtu suhtes. 00:52:46.000 --> 00:52:48.000 Riigi tasemel tegutsejad võivad 00:52:48.000 --> 00:52:51.000 sihikule võtta kaasaegseid riike, 00:52:51.000 --> 00:52:53.000 kes korraldavad internetivalimisi. 00:52:53.000 --> 00:52:57.000 See on riikliku julgeoleku küsimus, mitte IT probleem. 00:52:57.000 --> 00:52:59.000 Seega, kui sa isegi vaid mõtled sellise 00:52:59.000 --> 00:53:01.000 süsteemi kasutuselevõtmisest, 00:53:01.000 --> 00:53:03.000 siis pead sa tegelema hoopis teistsuguse 00:53:03.000 --> 00:53:05.000 ohumudeli ja kaitsetasemega. 00:53:05.000 --> 00:53:07.500 Poliitikud, kahjuks, nagu me nägime, 00:53:07.500 --> 00:53:10.000 võivad varjata suuri tehnilisi probleeme. 00:53:10.000 --> 00:53:12.000 Ja ka sinu riigis, 00:53:12.000 --> 00:53:14.000 kui sinu riik kaalub sellise süsteemi 00:53:14.000 --> 00:53:15.500 kasutuselevõttu, palun, 00:53:15.500 --> 00:53:17.000 ole siis sellega ettevaatlik! 00:53:17.000 --> 00:53:19.000 Meie soovitus on, et Eesti peaks lõpetama 00:53:19.000 --> 00:53:21.000 oma e-valimiste süsteemi kasutamise, 00:53:21.000 --> 00:53:23.000 kuni nende fundamentaalne turvalisus paraneb! 00:53:23.000 --> 00:53:25.000 Kuid ma loodan... 00:53:25.000 --> 00:53:26.500 (aplaus) 00:53:26.500 --> 00:53:27.500 Mul pole üldse... 00:53:27.500 --> 00:53:29.000 (aplaus) 00:53:29.000 --> 00:53:31.000 Mul pole neile eriti abi anda. 00:53:31.000 --> 00:53:33.000 Kuid lihtsalt kokkuvõtteks - 00:53:33.000 --> 00:53:35.500 minu jaoks on internetivalimiste 00:53:35.500 --> 00:53:38.000 fundamentaalne probleem selles, 00:53:38.000 --> 00:53:40.500 et me tahame valimissüsteemi, 00:53:40.500 --> 00:53:44.000 kuhu ei sina ega mina ega meie sõbrad ega 00:53:44.000 --> 00:53:47.500 Tarvi Martens ega Vladimir Putin ega NSA 00:53:47.500 --> 00:53:49.500 ei saaks lihtsalt sisse häkkida 00:53:49.500 --> 00:53:51.000 ja muuta valimistulemust. 00:53:51.000 --> 00:53:53.000 Nii lihtne see ongi! 00:53:53.000 --> 00:53:55.000 Me tahame demokraatiat! 00:53:55.000 --> 00:54:03.000 (aplaus) 00:54:03.000 --> 00:54:06.000 Ulatuslik pettus peaks olema vähemalt 00:54:06.000 --> 00:54:09.000 sama keeruline, kui pabervalimise korral. 00:54:09.000 --> 00:54:11.000 Ükski tehnoloogia seda siiani ei taga. 00:54:11.000 --> 00:54:12.500 Seepärast on minu seisukoht, 00:54:12.500 --> 00:54:14.500 kuigi olen teadlik paljulubavatest 00:54:14.500 --> 00:54:16.000 sellealastest uuringutest, 00:54:16.000 --> 00:54:18.000 et enne kulub veel aastakümneid, 00:54:18.000 --> 00:54:19.500 kui see üldse kunagi juhtub, 00:54:19.500 --> 00:54:21.000 et internetivalimised saavad 00:54:21.000 --> 00:54:24.000 oluliste riiklike valimiste jaoks piisavalt turvaliseks. 00:54:24.000 --> 00:54:26.000 Ja seda ei juhtu ilma fundamentaalsete 00:54:26.000 --> 00:54:27.500 arenguteta arvutiturbes. 00:54:28.000 --> 00:54:30.000 Tänan teid väga! 00:54:30.000 --> 00:54:45.000 (aplaus) 00:54:45.000 --> 00:54:48.000 Suur tänu, professor, selle väga hirmsa 00:54:48.000 --> 00:54:50.000 ja väga huvitava ettekande eest! 00:54:52.000 --> 00:54:54.000 Me oleme pisut üle aja läinud, 00:54:54.000 --> 00:54:56.000 kuid õnneks on meil selle ettekande järel 00:54:56.000 --> 00:54:58.000 esimeses saalis tulemas vaheaeg, 00:54:58.000 --> 00:55:00.000 seega, kui teil on küsimusi, 00:55:00.000 --> 00:55:04.500 siis võtke sappa mõne mikrofoni taha neist kaheksast. 00:55:06.000 --> 00:55:08.000 Jah, number neli, palun! 00:55:08.000 --> 00:55:12.000 Tänan ettekande eest! Te uurisite, 00:55:12.000 --> 00:55:16.000 kuidas rünnata häälte lugemise serverit, 00:55:16.000 --> 00:55:18.000 kuid kas te olete uurinud, 00:55:18.000 --> 00:55:26.000 kas saab rünnata teist valimisserverit? 00:55:26.000 --> 00:55:29.000 Sest selles eemaldatakse digiallkirjad, 00:55:29.000 --> 00:55:31.000 (kui ma mäletan õigesti?), 00:55:31.000 --> 00:55:35.000 seega see server võib DVD-le kirjutada 00:55:35.000 --> 00:55:37.000 suvalisi krüpteeritud hääli, 00:55:37.000 --> 00:55:40.000 (kui ma õigesti aru sain?). 00:55:40.000 --> 00:55:42.500 Jah, see on tõesti veel üks haavatavus. 00:55:42.500 --> 00:55:45.500 Keskendusime häälte lugemise serverile, 00:55:45.500 --> 00:55:50.000 sest see oli meie arvates kõige huvitavam 00:55:50.000 --> 00:55:53.000 variant sellisest ründest, aga on muidki 00:55:53.000 --> 00:55:55.000 kohti, mis on potentsiaalselt ahvatlevad, 00:55:55.000 --> 00:55:56.000 sealhulgas ka see. 00:55:56.000 --> 00:55:59.000 Arvan, et see jätaks rohkem asitõendeid. 00:55:59.000 --> 00:56:05.000 Teame ka, et kliendiga suhtlevad serverid, 00:56:05.000 --> 00:56:07.500 mida kasutati 2013. aastal, 00:56:07.500 --> 00:56:10.000 olid haavatavad Heartbleedi turvaaugust, 00:56:10.000 --> 00:56:12.500 mis avastati alles mitmeid kuid hiljem. 00:56:12.500 --> 00:56:15.000 Ma kahtlustan, et need olid haavatavad 00:56:15.000 --> 00:56:17.000 ka Shellshocki turvaaugu poolt. 00:56:17.000 --> 00:56:18.500 See on tõesti probleem, 00:56:18.500 --> 00:56:20.500 kui sellist süsteemi luua, 00:56:20.500 --> 00:56:23.000 ükskõik kui ettevaatlik sa oled. 00:56:27.500 --> 00:56:29.500 Küsimus number kolmelt, palun! 00:56:30.000 --> 00:56:33.500 Jah! Minu küsimus on, kas toimus ka 00:56:33.500 --> 00:56:36.500 häälte lugemise serveri testimist? 00:56:36.500 --> 00:56:39.000 Ma kujutan ette, et näiteks saab 00:56:39.000 --> 00:56:42.000 teha suure kuhja DVD-sid, 00:56:42.000 --> 00:56:45.000 kus peal teada olevad hääled, 00:56:45.000 --> 00:56:47.000 ja siis lasta need süsteemist läbi. 00:56:47.000 --> 00:56:50.000 Võibolla isegi valimispäeval võiks öelda, 00:56:50.000 --> 00:56:52.500 et siin on 10 DVD-d tõeliste häältega, 00:56:52.500 --> 00:56:56.000 ja neid juhuslikus järjekorras mitu korda 00:56:56.000 --> 00:56:58.000 läbi lasta ja kontrollida - 00:56:58.000 --> 00:57:01.500 kui kõik näidis DVD-d summeeruvad õigesti 00:57:01.500 --> 00:57:04.500 igas järjekorras, siis peaks ka õiged 00:57:04.500 --> 00:57:07.000 hääled olema korras. Midagi sellist... 00:57:07.500 --> 00:57:11.000 Nad ei kasuta selliseid protseduure. 00:57:11.000 --> 00:57:13.000 Arvan, et nad mõtlevad selle lisamisele. 00:57:13.000 --> 00:57:15.000 Aga siin tulevad mängu nüansid. 00:57:15.000 --> 00:57:17.500 Kui sa ehitad sellist asja, pead tagama, 00:57:17.500 --> 00:57:19.500 et pahavara ei suudaks kuidagi tuvastada, 00:57:19.500 --> 00:57:23.000 kas käib audit või õige häältelugemine. 00:57:23.500 --> 00:57:27.000 Sest kõrvalkanalitega või salamärguandega 00:57:27.000 --> 00:57:30.000 saab panna näidisfailidesse signaali, 00:57:30.000 --> 00:57:33.500 mis paneb serveri neid õigesti lugema. 00:57:33.500 --> 00:57:36.000 Seega pead olema väga hoolikas sellise 00:57:36.000 --> 00:57:38.000 süsteemi kavandamisel. 00:57:39.000 --> 00:57:41.000 Minu mure pole mitte niivõrd selles, 00:57:41.000 --> 00:57:45.000 et mõnda probleemi ei saakski kõrvaldada. 00:57:45.000 --> 00:57:48.000 Aga kõrvaldades need kõik perfektselt, 00:57:48.000 --> 00:57:51.000 saame tulemuseks süsteemi, mida on liiga 00:57:51.000 --> 00:57:52.000 keeruline juhtida ja administreerida. 00:57:52.000 --> 00:57:56.000 Tulemus oleks Rube Goldbergi süsteem. 00:57:56.000 --> 00:57:58.000 Usun, et nende süsteem ongi selline, 00:57:58.000 --> 00:58:00.000 nagu see on, kuna vajati kompromisse, 00:58:00.000 --> 00:58:02.000 et süsteem ehitada piisavalt odavalt 00:58:02.000 --> 00:58:04.000 ja piisavalt lihtsalt kasutatavaks. 00:58:04.000 --> 00:58:06.000 Me võime igat komponenti parandada, 00:58:06.000 --> 00:58:09.000 kuid kõigi aukude sulgemine tundub 00:58:09.000 --> 00:58:12.500 äärmiselt keeruline, vähemalt minule. 00:58:14.000 --> 00:58:15.500 Küsimus number neljalt, palun! 00:58:17.000 --> 00:58:18.500 Tänan väga ettekande eest! 00:58:18.500 --> 00:58:20.000 See oli väga inspireeriv! 00:58:20.000 --> 00:58:24.000 Tahtsin küsida, mida te arvate sellest, 00:58:24.000 --> 00:58:27.000 kas sellised süsteemid võivad kunagi 00:58:27.000 --> 00:58:30.000 areneda piisavalt turvaliseks, sest näen, 00:58:30.000 --> 00:58:33.000 et turbevaldkonnas toimuvad arengud on 00:58:33.000 --> 00:58:37.000 alati põhjustatud häkkerite poolt? 00:58:37.000 --> 00:58:39.000 Mitte ainult, kuid nii, 00:58:39.000 --> 00:58:43.000 nagu turvaaukude lappimine toimub 00:58:43.000 --> 00:58:45.000 alles pärast nende avastamist, 00:58:45.000 --> 00:58:47.000 on see võistlus kahe poole vahel, 00:58:47.000 --> 00:58:50.500 mis paneb süsteemi arenema. 00:58:50.500 --> 00:58:55.000 Jah! See on hea küsimus! 00:58:55.000 --> 00:58:57.500 See on paljutõotav uurimisvaldkond - 00:58:57.500 --> 00:59:02.000 niinimetatud "otsast otsani valija poolt kontrollitav valimine", 00:59:02.000 --> 00:59:05.000 mis põhineb keerukal krüptograafial. 00:59:05.000 --> 00:59:07.000 Idee seisneb selles, 00:59:07.000 --> 00:59:09.000 et on vaja süsteemi, mis tagaks, 00:59:09.000 --> 00:59:11.500 et sinu hääl oleks antud nii, nagu sa soovisid, 00:59:11.500 --> 00:59:14.000 et see oleks registreeritud sellisena, nagu see anti, 00:59:14.000 --> 00:59:16.000 et kõik hääled oleks loetud, nagu need anti, 00:59:16.000 --> 00:59:18.000 ja et iga valija saaks seda kinnitada. 00:59:18.000 --> 00:59:20.000 Üks viis selle saavutamiseks on avaldada 00:59:20.000 --> 00:59:22.000 ajalehes kõigi nimed ja tehtud valikud. 00:59:22.000 --> 00:59:24.000 Õigus? Aga loomulikult me ei taha seda, 00:59:24.000 --> 00:59:26.000 see poleks salajane hääletamine. 00:59:26.000 --> 00:59:28.000 Kuid mõnede keerukamate krüptoversioonide 00:59:28.000 --> 00:59:33.000 kasutamisega võime ka seda saavutada, uskuge või mitte. 00:59:33.000 --> 00:59:35.000 See on tõesti loogikavastane, 00:59:35.000 --> 00:59:37.000 et sul võivad olla kõik need omadused. 00:59:37.000 --> 00:59:39.000 Sellised süsteemid on arenduses, 00:59:39.000 --> 00:59:41.500 ja kui oled huvitatud nende häkkimisest 00:59:41.500 --> 00:59:43.500 ja nende paremaks tegemisest, 00:59:43.500 --> 00:59:45.500 siis tuleks alustada nendega tutvumisest. 00:59:45.500 --> 00:59:47.500 Kuid nende aeg pole veel tulnud - 00:59:47.500 --> 00:59:50.000 on palju küsitavusi kasutatavuse, 00:59:50.000 --> 00:59:51.500 protokollide turvalisuse, 00:59:51.500 --> 00:59:53.000 rakendamise keerukuse 00:59:53.000 --> 00:59:57.000 ja riigi tasandil toimivuse osas. 00:59:57.000 --> 01:00:00.000 Seega on uuringutest tulenevalt lootust, 01:00:00.000 --> 01:00:03.000 kuid arvan, et kulub veel aastakümneid, 01:00:03.000 --> 01:00:05.000 ja seda juhul, kui asjad lähevad hästi, 01:00:05.000 --> 01:00:07.000 enne kui saabub nende õige aeg. 01:00:07.000 --> 01:00:08.000 See oli siiski hea küsimus! 01:00:08.000 --> 01:00:10.500 Kas võin vahele küsida lühikese küsimuse? 01:00:10.500 --> 01:00:14.000 Kuidas teie arvates peaksid lõppkasutajad 01:00:14.000 --> 01:00:16.000 üldse saama selliseid süsteeme usaldada, 01:00:16.000 --> 01:00:18.000 kui nad pole arendajad, nagu meie siin? 01:00:18.000 --> 01:00:20.000 Neil pole võimalust kontrollida, 01:00:20.000 --> 01:00:22.000 et ei toimu pettust. 01:00:22.000 --> 01:00:24.500 See on tõeliselt avatud küsimus. 01:00:24.500 --> 01:00:28.000 Ainuüksi Ameerika kontekstile mõeldes 01:00:28.000 --> 01:00:30.000 ma ei tea, kuidas reageeriks valijad, kui 01:00:30.000 --> 01:00:40.000 nende lemmikraadio Bandit ütleks eetris, et "Valimised oli pettus!", 01:00:40.000 --> 01:00:42.000 ja mingi nohikust krüptograaf oponeerib, 01:00:42.000 --> 01:00:48.000 et "Ei olnud!", ja, et ta võib seda tõestada, sest "Selle süsteemi mingi veider omadus kinnitab seda..." 01:00:48.000 --> 01:00:50.000 Ja teate, minu arvates ei oska me 01:00:50.000 --> 01:00:52.000 seda probleemi veel lahendada. 01:00:52.000 --> 01:00:54.000 Mõistliku usalduse tagamine on suureks 01:00:54.000 --> 01:00:58.000 väljakutseks igale valimistehnoloogiale. 01:00:58.000 --> 01:00:59.000 Suur tänu! 01:00:59.000 --> 01:01:00.000 Tänan sind! 01:01:00.000 --> 01:01:02.000 Number ühel on küsimus! 01:01:02.000 --> 01:01:04.000 Kui need kiipkaardid allkirjastavad TLS 01:01:04.000 --> 01:01:06.000 teatisi ja dokumente nõudmise peale, 01:01:06.000 --> 01:01:09.000 kas nad on tõesti kindlad, et ükski TLS 01:01:09.000 --> 01:01:11.000 käepigistus või dokument ei pääse läbi 01:01:11.000 --> 01:01:13.000 krüpteeritud valimissedeli pähe? 01:01:13.000 --> 01:01:15.500 On erinevad võtmed autentimiseks 01:01:15.500 --> 01:01:22.000 ja allkirjastamiseks, ja loodetavasti on 01:01:22.000 --> 01:01:25.000 nad mõelnud sellisele rünnakule, 01:01:25.000 --> 01:01:28.000 aga see on huvitav küsimus, Adam. 01:01:28.000 --> 01:01:30.000 Me ei uurinud seda. Tegelikult ütlesime, 01:01:30.000 --> 01:01:33.000 et avaliku võtme infrastruktuuri 01:01:33.000 --> 01:01:37.000 turvalisus oli väljaspool uuringu skoopi. 01:01:37.000 --> 01:01:40.000 Kuid Tarvi Martens on ka Eesti avaliku 01:01:40.000 --> 01:01:42.000 võtme infrastruktuuri isa, seega võid 01:01:42.000 --> 01:01:46.000 temaga selle juurutamise ja kasutamise turvalisusest rääkida. 01:01:46.000 --> 01:01:48.500 Mulle näib, et ta ei pruugi olla sellele 01:01:48.500 --> 01:01:51.000 küsimusele täiesti avatud, aga tänan! 01:01:52.000 --> 01:01:54.000 Number viiel on küsimus! 01:01:54.500 --> 01:01:56.500 Hüva, see on midagi sarnast. 01:01:56.500 --> 01:01:58.000 Isegi kui oleks märkimisväärseid 01:01:58.000 --> 01:02:01.000 edasiminekuid krüptograafias, siis 01:02:01.000 --> 01:02:04.000 kuidas saaks kodanikud olla süsteemis 01:02:04.000 --> 01:02:07.000 kindlad, kui nad ei ole krüptograafid, 01:02:07.000 --> 01:02:09.500 kes oskaks ise kontrollida? 01:02:09.500 --> 01:02:11.000 Ja teine asi, kui me olime lapsed, 01:02:11.000 --> 01:02:13.000 räägiti, et meil on demokraatia, 01:02:13.000 --> 01:02:15.000 kuid kui sa kasvad suureks, siis mõistad, 01:02:15.000 --> 01:02:18.000 et on palju kallutatud tulemusi, 01:02:18.000 --> 01:02:20.000 mõned hääled loevad rohkem kui teised, 01:02:20.000 --> 01:02:22.000 ja sa pead olema poliitikateadlane, 01:02:22.000 --> 01:02:24.000 et mõista, kuidas hääli loetakse, 01:02:24.000 --> 01:02:26.000 ja sa pead olema krüptograaf, 01:02:26.000 --> 01:02:28.000 et mõista, et ülelugemine oli täpne. 01:02:28.000 --> 01:02:30.000 Kas leidub mõni inimene, 01:02:30.000 --> 01:02:33.000 kellel on kogu see teadmine olemas? 01:02:33.000 --> 01:02:35.500 Ma tean, ma tean! Need on väga keerulised 01:02:35.500 --> 01:02:38.000 küsimused ja mul pole neile vastuseid. 01:02:38.000 --> 01:02:42.000 Võin öelda, et minu lühiarvamus on, 01:02:42.000 --> 01:02:46.000 et valijad peaks saama valimistulemusi 01:02:46.000 --> 01:02:49.000 usaldada ilma vajaduseta usaldada 01:02:49.000 --> 01:02:53.000 valimisametnikke või mõnd spetsiaalset 01:02:53.000 --> 01:02:56.000 inimrühma, sealhulgas nohikud, 01:02:56.000 --> 01:03:00.000 krüptograafid või poliitikateadlased. 01:03:00.000 --> 01:03:04.500 Igaüks peaks saama koos sõprade, rühma, 01:03:04.500 --> 01:03:07.000 klubi või oma erakonnaga minna 01:03:07.000 --> 01:03:11.000 valimisprotsessi vaatlema ja veenduda. 01:03:11.000 --> 01:03:13.000 See peaks olema selliselt kavandatud. 01:03:13.000 --> 01:03:15.000 Ma tean, et see on probleem ja tegelikult 01:03:15.000 --> 01:03:18.000 saame mitmel moel tehnoloogiat kasutada, 01:03:18.000 --> 01:03:21.000 et anda inimestele võimalus usalduse suurenemiseks, 01:03:21.000 --> 01:03:27.000 sealhulgas kontrollides elektrooniliselt pabervalimisi. 01:03:27.000 --> 01:03:29.000 On tehtud märkimisväärne hulk uurimusi 01:03:29.000 --> 01:03:31.000 sel teemal, mis seda võimaldaks - 01:03:31.000 --> 01:03:33.000 ilma arenenud tehnoloogiata, 01:03:33.000 --> 01:03:35.000 ilma arenenud krüptograafiata, 01:03:35.000 --> 01:03:37.000 palja statistika abil anda lisakindlust, 01:03:37.000 --> 01:03:39.000 et valimistulemus on õige. 01:03:39.000 --> 01:03:41.000 Seega on asju, 01:03:41.000 --> 01:03:43.000 mida me saame teha tehnoloogiaga, 01:03:43.000 --> 01:03:45.000 kuid mul ei ole kõiki vastuseid. 01:03:45.500 --> 01:03:46.500 Number kaks, palun! 01:03:47.000 --> 01:03:49.000 Tere! Ma tahaksin küsida, 01:03:49.000 --> 01:03:52.000 kas te olete kursis sellega, 01:03:52.000 --> 01:03:54.000 kuidas Bitcoin toimib? 01:03:54.000 --> 01:03:57.000 Kas olete kaalunud sellist krüpteerimise 01:03:57.000 --> 01:04:03.000 ja dekrüpteerimise mehhanismi kasutamist e-valimiste puhul? 01:04:03.000 --> 01:04:07.000 Mõned inimesed on rääkinud valimisskeemi 01:04:07.000 --> 01:04:12.000 rajamist mõnele Bitcoini protokolli variandile. 01:04:12.000 --> 01:04:15.000 Minu arvates on see huvitav mõte. 01:04:15.000 --> 01:04:18.000 Ma ei tea, kas me tahame usaldada 01:04:18.000 --> 01:04:21.000 riiklike valimiste tulemust isegi 01:04:21.000 --> 01:04:24.000 Bitcoini ökosüsteemile, sest võib olla, 01:04:24.000 --> 01:04:26.000 et USA presidendivalimiste tulemus 01:04:26.000 --> 01:04:28.000 on rohkem väärt kui Bitcoini majandus? 01:04:28.000 --> 01:04:30.000 Ma ei tea veel, on see tõsi või mitte, 01:04:30.000 --> 01:04:33.000 kuid see on midagi, millele mõelda. 01:04:33.000 --> 01:04:35.000 Igatahes ma arvan, 01:04:35.000 --> 01:04:37.000 et jaotatud avalik arvepidamine, 01:04:37.000 --> 01:04:39.000 mida Bitcoin kasutab, 01:04:39.000 --> 01:04:41.000 on potentsiaalselt väga huvitav idee 01:04:41.000 --> 01:04:43.000 tuleviku valimiste jaoks, 01:04:43.000 --> 01:04:45.000 kuid see tundub üsna kaugena, 01:04:45.000 --> 01:04:47.000 võrreldes tänase seisuga. 01:04:48.000 --> 01:04:51.000 Veelkord number kaks, palun! 01:04:52.000 --> 01:04:54.000 Te leidsite üsna palju 01:04:54.000 --> 01:04:57.000 erinevaid probleeme nende 01:04:57.000 --> 01:05:00.000 valimissüsteemi juures. 01:05:00.000 --> 01:05:03.000 Kas te hindaksite, mis osas on need üsna 01:05:03.000 --> 01:05:06.000 lihtsalt parandatavad, ja mis osas pigem 01:05:06.000 --> 01:05:09.000 sellele süsteemile sünnipäraselt omased, 01:05:09.000 --> 01:05:12.000 ja mille kõrvaldamiseks on vaja suuremat 01:05:12.000 --> 01:05:15.000 kogu süsteemi ümberkorraldamist? 01:05:15.000 --> 01:05:17.000 Need sünnipärased asjad kõigi selliste 01:05:17.000 --> 01:05:19.000 süsteemide puhul on, et need põhinevad 01:05:19.000 --> 01:05:21.000 mingi masinas jooksva koodi korrektsele 01:05:21.000 --> 01:05:23.000 ja turvalisele toimimisele, mida valijad 01:05:23.000 --> 01:05:26.000 ei näe, ning häältele, mida sa ei saa 01:05:26.000 --> 01:05:29.000 oma silmaga või käega kontrollida, sest 01:05:29.000 --> 01:05:32.000 neid töödeldakse salajas arvuti poolt. 01:05:32.000 --> 01:05:34.000 See musta kasti omadus on miskit, 01:05:34.000 --> 01:05:36.500 mis viib väite juurde, et kui see arvuti 01:05:36.500 --> 01:05:38.500 on kuidagi kompromiteeritud, näiteks 01:05:38.500 --> 01:05:41.000 läbi tarneahela rünnaku või pahavara, 01:05:41.000 --> 01:05:43.500 mis tuleb sisse usalduse usaldamise 01:05:43.500 --> 01:05:46.000 mõtiskluse stiilis rünnakuga, 01:05:46.000 --> 01:05:49.000 võib see viia valimistulemuste kompromiteerimiseni. 01:05:49.000 --> 01:05:51.000 Ja seda on raske parandada. 01:05:51.000 --> 01:05:53.000 See on see asi, mida otsast otsani 01:05:53.000 --> 01:05:55.000 valija poolt kontrollitav krüptograafia 01:05:55.000 --> 01:05:57.000 püüab kunagi parandada. 01:05:57.000 --> 01:05:59.000 Väikesed asjad, turvaaugud, 01:05:59.000 --> 01:06:01.000 käsureale süstimine... 01:06:01.000 --> 01:06:03.500 Jah, need on lahendamiseks lihtsad probleemid, 01:06:03.500 --> 01:06:06.000 kuid reaalselt, kui sa valimisi korraldad 01:06:06.000 --> 01:06:09.000 ja suur turvaauk leidub tarkvarapaketis, 01:06:09.000 --> 01:06:10.500 millele sinu süsteem toetub, 01:06:10.500 --> 01:06:12.000 ja mis lapiti eelmisel öösel, 01:06:12.000 --> 01:06:13.500 ja sul pole aega, et teha teste 01:06:13.500 --> 01:06:15.000 ja auditeerida kogu koodi, 01:06:15.000 --> 01:06:18.000 siis oled valiku ees, kas pakkuda midagi, 01:06:18.000 --> 01:06:20.500 mida pole testitud või pakkuda midagi, 01:06:20.500 --> 01:06:23.000 milles on teadaolevaid turvaauke. 01:06:23.000 --> 01:06:25.000 Ma ei tea, kuidas meie turvapaikade 01:06:25.000 --> 01:06:27.000 välja andmise tsükliga turvamaailmas 01:06:27.000 --> 01:06:30.000 selliste probleemidega hakkama saada. 01:06:30.000 --> 01:06:32.000 Ma arvan, et see on midagi, kus me tõesti 01:06:32.000 --> 01:06:34.000 vajame fundamentaalseid edusamme viisis, 01:06:34.000 --> 01:06:36.000 kuidas me käitume arvutiturbega, 01:06:36.000 --> 01:06:39.000 enne kui me saame sellele hea lahenduse. 01:06:40.000 --> 01:06:43.000 Seega põhimõtteliselt te ütlete, 01:06:43.000 --> 01:06:46.000 et pole lootustki, 01:06:46.000 --> 01:06:49.000 et sellist süsteemi saaks olla, 01:06:49.000 --> 01:06:53.000 ja et paber ja pliiats on ikka paremad, 01:06:53.000 --> 01:06:56.000 kui asi puudutab valimistelt 01:06:56.000 --> 01:06:59.500 nõutud omaduste täitmist? 01:07:00.000 --> 01:07:03.000 Paberil ja pliiatsil on väga tore omadus: 01:07:03.000 --> 01:07:06.000 valijana saad veenduda, kuidas su valik 01:07:06.000 --> 01:07:08.000 registreeriti, ja teised inimesed saavad 01:07:08.000 --> 01:07:10.000 jälgida häälte lugemise protsessi. 01:07:10.000 --> 01:07:14.000 Meil on sadade aastate pikkune kogemus pabervalimiste pettustega, 01:07:14.000 --> 01:07:16.500 seega ma ei ütle, et tehnoloogia ei saaks 01:07:16.500 --> 01:07:18.500 midagi teha olukorra parandamiseks. 01:07:18.500 --> 01:07:21.000 Me saame seda teha, kuid ma arvan, 01:07:21.000 --> 01:07:23.000 et kõige paljulubavamad viisid 01:07:23.000 --> 01:07:25.000 pabervalimiste parandamiseks 01:07:25.000 --> 01:07:27.000 ei alusta paberi ära viskamisest. 01:07:27.000 --> 01:07:30.000 Need algavad paberiga, ja siis 01:07:30.000 --> 01:07:32.000 lisavad mõned muud tehnoloogiad, 01:07:32.000 --> 01:07:34.000 mis suudaks jälgida, salvestada, 01:07:34.000 --> 01:07:36.000 aidata seda paberit auditeerida, 01:07:36.000 --> 01:07:40.000 et tagada tulemuste usaldusväärsus. 01:07:42.000 --> 01:07:43.000 Tänan! 01:07:45.000 --> 01:07:48.000 Seega veel kaks või kolm küsimust! 01:07:48.000 --> 01:07:50.000 Number kuus, palun! 01:07:50.000 --> 01:07:52.000 Kas te arvate, 01:07:52.000 --> 01:07:54.500 et oleks võimalik kavandada süsteemi, 01:07:54.500 --> 01:07:57.000 mis garanteeriks nii häälte tervikluse 01:07:57.000 --> 01:08:00.000 kui ka anonüümsuse, sest ma arvan, 01:08:00.000 --> 01:08:03.000 et need kaks ei sobi üldse kokku? 01:08:03.000 --> 01:08:06.000 Kindlasti on need vastuolus! 01:08:06.000 --> 01:08:09.000 Need otsast otsani kontrollitavad 01:08:09.000 --> 01:08:11.000 krüptosüsteemid püüavadki seda teha, 01:08:11.000 --> 01:08:13.000 kuid nagu ma ütlesin, 01:08:13.000 --> 01:08:15.000 on neil muid probleeme - kasutatavuse ja 01:08:15.000 --> 01:08:18.000 rakendamisega, mis pole veel lahendatud. 01:08:18.000 --> 01:08:20.000 See on kindlasti eesmärk, kuid see teeb 01:08:20.000 --> 01:08:22.000 sellest keerulise probleemi, ja ma arvan, 01:08:22.000 --> 01:08:24.000 et see on midagi sellist, 01:08:24.000 --> 01:08:26.000 mida me kõik tahaks suuta ehitada. 01:08:26.000 --> 01:08:30.000 Me ei tea, kuidas seda suurel skaalal praktikas teha. 01:08:30.000 --> 01:08:32.000 Me töötame selle kallal, 01:08:32.000 --> 01:08:35.000 kuid see pole garantii, et me kunagi need 01:08:35.000 --> 01:08:38.000 probleemid mugavalt lahendame. 01:08:38.000 --> 01:08:40.000 Ma tahaks vaid vahele teha kiire 01:08:40.000 --> 01:08:42.000 ja häbematu reklaami oma tudengite ja 01:08:42.000 --> 01:08:46.500 kolleegide ettekannetele muudel teemadel, millega me tegeleme. 01:08:46.500 --> 01:08:49.000 Muuseas saate kuulata, kuidas me kasutame 01:08:49.000 --> 01:08:53.000 ZMap skännimise tööriista, mille tegime, et uurida Heartbleedi. 01:08:53.000 --> 01:08:55.000 Kuidas ostsime eBayst TSA alastiskänneri 01:08:55.000 --> 01:08:57.500 ja avastasime ründevõimalusi selle vastu. 01:08:57.500 --> 01:09:00.000 Ja kuidas ehitame koos EFF-i ja Mozillaga 01:09:00.000 --> 01:09:02.500 tasuta sertifitseerimisasutust, millest 01:09:02.500 --> 01:09:05.000 saaks meie katse veebi krüpteerimiseks. 01:09:05.000 --> 01:09:09.000 See oli häbematu reklaam, tänan, et jäite seda kuulama! 01:09:09.000 --> 01:09:15.000 (aplaus) 01:09:15.000 --> 01:09:17.000 Number üks, palun! 01:09:17.000 --> 01:09:19.500 Ma tahan Teid tänada ettekande eest, 01:09:19.500 --> 01:09:22.000 aga ka oma uuringu internetis tasuta 01:09:22.000 --> 01:09:25.000 Coursera kursusena "Turvalisuse vajadus 01:09:25.000 --> 01:09:27.000 digitaalses demokraatias" jagamise eest! 01:09:27.000 --> 01:09:29.500 Seega ma tean, et te ei taha ise omale 01:09:29.500 --> 01:09:31.500 reklaami teha ja ma teen seda teie eest. 01:09:31.500 --> 01:09:33.500 Nüüd, et teha sellest küsimus, siis 01:09:33.500 --> 01:09:35.500 kas on sellele tulemas ka järge? 01:09:35.500 --> 01:09:37.500 Hästi! Tänan väga! Jah, teen ikka, 01:09:37.500 --> 01:09:40.000 kui olete huvitatud rohkem teada saama. 01:09:40.000 --> 01:09:42.500 Mul on tasuta 5-nädalane võrgukursus 01:09:42.500 --> 01:09:47.500 digitaalsest valimistehnoloogiast saadaval Courseras. 01:09:47.500 --> 01:09:51.000 See on tasuta ja toimub varsti uuesti. 01:09:51.000 --> 01:09:53.000 Tegelikult tegelen praegu sellega, 01:09:53.000 --> 01:09:57.000 et lasta see välja internetitöövihikuna, 01:09:57.000 --> 01:09:59.500 kus on võimalik lihtsalt minna ja 01:09:59.500 --> 01:10:02.000 vaadata videoloenguid omas tempos, 01:10:02.000 --> 01:10:04.500 seega kui sa tahad näha 10 loengulist 01:10:04.500 --> 01:10:06.000 varianti sellest ettekandest, 01:10:06.000 --> 01:10:09.500 siis võid selle leida Courserast 01:10:09.500 --> 01:10:13.000 või leida lingi sellele minu kodulehelt. 01:10:13.000 --> 01:10:17.000 Tänan väga, et selle üles tõstsid! 01:10:17.500 --> 01:10:19.000 Tänan teid kõiki! 01:10:19.000 --> 01:10:23.000 (aplaus) 01:10:23.000 --> 01:10:25.500 Enne viimase küsimuseni jõudmist number 01:10:25.500 --> 01:10:28.000 neljalt, tahaksin meenutada, et palun 01:10:28.000 --> 01:10:30.500 võtke lahkumisel kaasa oma prügi, 01:10:30.500 --> 01:10:33.000 ja et te võite tulla ja ettekandjale 01:10:33.000 --> 01:10:35.500 küsimusi esitada ka pärastpoole. 01:10:35.500 --> 01:10:38.000 Seega, palun, number neli! 01:10:39.000 --> 01:10:42.000 Minu arusaam demokraatlikest valimistest on, 01:10:42.000 --> 01:10:45.000 et need peavad olema vabad ja privaatsed, 01:10:45.000 --> 01:10:48.000 ning isegi kui kõik need probleemid, 01:10:48.000 --> 01:10:51.000 mida te mainisite, lahendatakse, kas 01:10:51.000 --> 01:10:55.500 ei jää ikkagi probleemid seoses sellega, 01:10:55.500 --> 01:11:00.000 et kodus valimine ei taga neid printsiipe? 01:11:00.000 --> 01:11:03.000 Kujutage ette, et üks pereliige 01:11:03.000 --> 01:11:07.000 sunnib teisi pereliikmeid valima nii, nagu ta tahab, 01:11:07.000 --> 01:11:11.000 sest nad ei saa valida omaette kabiinis. 01:11:11.500 --> 01:11:13.000 Ma nõustun teiega täielikult! 01:11:13.000 --> 01:11:16.000 See on väga-väga raske probleem, 01:11:16.000 --> 01:11:17.500 kuidas tagada valijale turvaline 01:11:17.500 --> 01:11:20.500 ja survestamisvaba keskkond, 01:11:20.500 --> 01:11:22.000 kui nad valivad eemalt, 01:11:22.000 --> 01:11:23.500 üle interneti. Seega tõesti võib vabalt 01:11:23.500 --> 01:11:27.000 ette kujutada abikaasat või tööandjat 01:11:27.000 --> 01:11:30.000 kedagi survestamas valima kindlal viisil. 01:11:30.000 --> 01:11:32.000 Ja Eesti lähenemine sellele probleemile 01:11:32.000 --> 01:11:35.000 on huvitav - lasta isikul anda uus hääl, 01:11:35.000 --> 01:11:38.000 mis teeb survestamise küll raskemaks, 01:11:38.000 --> 01:11:39.500 kuid ei välista seda. 01:11:39.500 --> 01:11:42.500 Näiteks survestaja võib isiku ID-kaardi 01:11:42.500 --> 01:11:46.000 ära võtta, kuni valimised on möödas, 01:11:46.000 --> 01:11:49.000 et takistada tal uuesti hääletada. 01:11:49.000 --> 01:11:52.000 Ta võib viimse minutini oodata ja sundida 01:11:52.000 --> 01:11:54.500 vahetult valimiste lõpu eel ümber valima. 01:11:54.500 --> 01:11:57.500 Ma usun, et see on üks raske probleem, 01:11:57.500 --> 01:12:00.000 ja see on üks kompromissidest, 01:12:00.000 --> 01:12:03.000 mis tuleb demokraatiapõhimõtetega teha, 01:12:03.000 --> 01:12:05.000 kui me otsustame, 01:12:05.000 --> 01:12:07.000 et internetivalimised on see tee, 01:12:07.000 --> 01:12:09.000 kuhu me tahame minna. 01:12:09.000 --> 01:12:12.000 Võib-olla on tehnoloogilisi lähenemisi, 01:12:12.000 --> 01:12:15.000 mis võivad seda püüda parandada, 01:12:15.000 --> 01:12:18.000 kuid ma pole selles väga kindel. 01:12:18.000 --> 01:12:21.000 Ma arvan, et see on avatud probleem. 01:12:21.000 --> 01:12:24.000 Vastus on arvatavasti selles, 01:12:24.000 --> 01:12:26.000 et survestamise oht on lihtsalt see, 01:12:26.000 --> 01:12:28.000 mis saadakse vastu mugavuse eest, 01:12:28.000 --> 01:12:30.000 mille annab internetis hääletamine. 01:12:30.000 --> 01:12:31.000 Tänan teid! 01:12:33.000 --> 01:12:36.000 Tänan teid väga! 01:12:36.000 --> 01:12:39.000 Tänan! Aplausiraund veel kord, palun! 01:12:39.000 --> 01:12:40.000 Tänan! Tänan! 01:12:40.000 --> 01:12:45.000 (aplaus) 01:12:45.000 --> 01:12:49.419 Eestikeelsed subtiitrid tõlkis ja lisas Sulev Švilponis 01:12:49.419 --> 01:12:58.000 subtitles created by c3subtitles.de in the year 2017. Join, and help us!