Return to Video

J. Alex Halderman: Eesti internetihääletuse süsteemi turvaanalüüs

  • 0:09 - 0:12
    Tänan teid, ja tänan eriti selle eest, et
  • 0:12 - 0:16
    olete siin nii varajasel hommikusel ajal.
  • 0:16 - 0:18
    Tean, et CCC standardi järgi on veel
  • 0:18 - 0:20
    varane koiduaeg.
  • 0:20 - 0:24
    (aplaus)
  • 0:24 - 0:26
    Niisiis, mina olen Alex Halderman.
  • 0:26 - 0:28
    Ma olen arvutiteaduste professor
  • 0:28 - 0:30
    Michigani ülikoolis, USA-s.
  • 0:30 - 0:34
    Töö, millest hakkan teile täna rääkima,
  • 0:34 - 0:38
    on olnud eelkõige koostöö teistega.
  • 0:38 - 0:41
    Ma pean eriti tänama minu tudengeid -
  • 0:41 - 0:46
    Drew Springall, Travis Finkenauer ja
    Zakir Durumeric,
  • 0:46 - 0:48
    ning meie kaastöötajaid -
  • 0:48 - 0:50
    Jason Kitcat, Harri Hursti ja
    Margaret MacAlpine.
  • 0:50 - 0:52
    See töö poleks valminud ilma nendeta!
  • 0:52 - 0:54
    Tegelikult on kolm minu tudengit,
  • 0:54 - 0:56
    kellega ma e-valimiste uuringut tegin,
  • 0:56 - 0:58
    täna koos minuga siin.
  • 0:58 - 1:00
    Eric Wustrow, Zakir Durumeric,
    Drew Springall,
  • 1:00 - 1:03
    kas te tõuseksite, palun, püsti!
  • 1:04 - 1:06
    Hästi! Aplaus tudengitele!
  • 1:06 - 1:07
    Nemad tegidki seda tööd!
  • 1:08 - 1:12
    (aplaus)
  • 1:14 - 1:16
    Hüva! Niisiis on e-valimised midagi,
  • 1:16 - 1:20
    mis on mind huvitanud viimased 10 aastat.
  • 1:20 - 1:22
    Ja see pakub mulle huvi eriti seetõttu,
  • 1:22 - 1:26
    et see kõlab justkui midagi imelist,
  • 1:26 - 1:28
    mis võimaldaks kasutada arvuteid
  • 1:28 - 1:30
    häälte turvaliseks kokkulugemiseks,
  • 1:30 - 1:32
    laseks valida üle interneti,
  • 1:32 - 1:34
    koos kõigi mugavustega,
  • 1:34 - 1:36
    mida see tehnoloogia kaasa toob.
  • 1:36 - 1:38
    Võib-olla saaksime vähendada kulusid,
  • 1:38 - 1:40
    võib-olla saaksime suurendada osavõttu.
  • 1:40 - 1:43
    Samal ajal esitavad e-valimised
  • 1:43 - 1:46
    mõned kõige raskemad väljakutsed
  • 1:46 - 1:48
    andmeturbe vallas.
  • 1:48 - 1:51
    Ja ma näen selles motiveerivat näidet
  • 1:51 - 1:53
    ja motiveerivat probleemi
  • 1:53 - 1:56
    kõiksugu edasiarenguteks krüptograafias,
  • 1:56 - 1:59
    süsteemiehituses ja kasutatavuses.
  • 1:59 - 2:01
    E-valimised on väga keeruline
  • 2:01 - 2:04
    turbeprobleem ebaharilike nõuete tõttu.
  • 2:04 - 2:06
    Turvalisteks e-valimisteks on
  • 2:06 - 2:09
    ennekõike vaja kaht asja.
  • 2:09 - 2:11
    Üks neist on terviklus,
  • 2:11 - 2:13
    ja selle all pean silmas seda,
  • 2:13 - 2:16
    et valimistulemus vastaks valija tahtele.
  • 2:16 - 2:19
    See on üsna nõrk tervikluse definitsioon.
  • 2:19 - 2:22
    Lihtsustatult: et õige kandidaat võidaks.
  • 2:22 - 2:24
    See tähendab loomulikult,
  • 2:24 - 2:25
    et hääled on antud
  • 2:25 - 2:26
    vastavalt valija tahtele,
  • 2:26 - 2:28
    ja et valimistulemus on kokku loetud
  • 2:28 - 2:30
    vastavalt sellele, kuidas hääled anti.
  • 2:30 - 2:32
    Kuid teine nõue, ja põhjus,
  • 2:32 - 2:34
    miks see on palju keerulisem
  • 2:34 - 2:36
    kui teised probleemid,
  • 2:36 - 2:38
    millega me igapäevaselt tegeleme,
  • 2:38 - 2:42
    nagu netipangad ja ostmine e-kaubanduses,
  • 2:42 - 2:44
    seisneb selles, et meil on vaja tagada
  • 2:44 - 2:46
    ka valimissaladuse nõue.
  • 2:46 - 2:49
    Valimissaladus, mis on üheks tähtsaimaks
  • 2:49 - 2:51
    tehnoloogiliseks edusammuks
  • 2:51 - 2:53
    valimistehnoloogia ajaloos.
  • 2:53 - 2:56
    Valimissaladus, mis kaitseb sind sunni
  • 2:56 - 2:58
    eest anda oma hääl nõutud moel.
  • 2:58 - 3:02
    Ja kaitseb meid sinu hääle müümise eest.
  • 3:02 - 3:04
    Valimissaladuse nõude järgi ei tohi keegi
  • 3:04 - 3:07
    teada saada, kuidas sa valisid, isegi,
  • 3:07 - 3:10
    kui sa püüad talle oma valikut tõestada.
  • 3:10 - 3:12
    Sellega tahame vältida valimiste
  • 3:12 - 3:14
    survestamist ja takistada häälte müüki.
  • 3:15 - 3:18
    Põhjus, mis teeb e-valimised keeruliseks,
  • 3:18 - 3:20
    on suuresti selles, et need kaks omadust,
  • 3:20 - 3:22
    terviklus ja valimissaladus,
  • 3:22 - 3:24
    on vastandlikud.
  • 3:24 - 3:27
    Paljud kaitsemeetmed, mida me tavaliselt
  • 3:27 - 3:30
    püüaksime kasutada tervikluse tagamiseks,
  • 3:30 - 3:33
    meetmed, mida me kasutame e-kaubanduses -
  • 3:33 - 3:36
    saata kviitung või pangaväljavõte,
  • 3:36 - 3:39
    või tehes arvepidamist suure tabeliga,
  • 3:39 - 3:42
    kus kogu raha sisse ja välja liikumine
  • 3:42 - 3:44
    on kokku võetud, ja me veendume,
  • 3:44 - 3:46
    et kõik klapib.
  • 3:46 - 3:48
    Selliseid asju on väga-väga keeruline
  • 3:48 - 3:50
    või võimatu rakendada, kui me tahame
  • 3:50 - 3:53
    hoida ranget valimissaladust,
  • 3:53 - 3:56
    samal ajal kui püüame tagada terviklust.
  • 3:56 - 3:59
    Seega vajame väga erinevaid mehhanisme,
  • 3:59 - 4:01
    saavutamaks e-valimiste süsteemi,
  • 4:01 - 4:03
    mis tagaks need kriitilised nõuded.
  • 4:04 - 4:06
    Loomulikult pole see takistanud inimesi
  • 4:06 - 4:08
    elektroonilisi valimissüsteeme ehitamast.
  • 4:08 - 4:10
    Paljud riigid üle kogu maailma kasutavad
  • 4:10 - 4:12
    elektroonilisi valimisi või on hakanud
  • 4:12 - 4:14
    proovima internetivalimisi.
  • 4:14 - 4:18
    Mul on viimastel aastatel olnud õnne
  • 4:18 - 4:20
    osaleda mõnedes esimestes erinevate
  • 4:20 - 4:23
    süsteemide praktilistes uuringutes.
  • 4:23 - 4:26
    Näiteks 2007. aastal osalesin Princetonis
  • 4:26 - 4:28
    meeskonnas, mis tegi esimest praktilist
  • 4:28 - 4:31
    sõltumatu osapoole turvaanalüüsi USA
  • 4:31 - 4:33
    valimistel kasutatud valimismasinale.
  • 4:33 - 4:36
    See asjandus, Diebold AccuVote-TS, oli
  • 4:36 - 4:40
    toona USA-s levinuim e-valimismasin.
  • 4:41 - 4:46
    Selle tootja oli tehnoloogia osas
    väga salatsev.
  • 4:46 - 4:48
    Nad veensid rahvast, et loomulikult on
  • 4:48 - 4:50
    see täiesti turvaline, kuid seda,
  • 4:50 - 4:53
    kuidas see töötab, hoiti saladuses.
  • 4:54 - 4:57
    Loomulikult on see väga harva hea märk.
  • 4:57 - 5:00
    Alles pärast mitmeid aastaid ilma fakte
  • 5:00 - 5:04
    teadmata peetud arutelu, andis lõpuks
  • 5:04 - 5:07
    keegi vilepuhuja ühe neist masinatest
  • 5:07 - 5:10
    meie uurimisrühmale Princetonis.
  • 5:10 - 5:12
    Ja mõned neist lugudest on sellised,
  • 5:12 - 5:15
    et ise välja mõelda ei oskakski.
  • 5:15 - 5:18
    Pärast eilset filmi Citizenfour,
  • 5:18 - 5:20
    näib see pärinevat otse sellest filmist.
  • 5:20 - 5:22
    Ma pidin minema sellele masinale järgi
  • 5:22 - 5:24
    ja selle kätte saama otse allika käest.
  • 5:24 - 5:26
    See kiskus naeruväärseks -
  • 5:26 - 5:28
    pidin sõitma New Yorki,
  • 5:28 - 5:30
    kus parkisin auto Times Square hotelli
  • 5:30 - 5:32
    juures tänaval teise sõiduritta
  • 5:32 - 5:34
    ja läksin hotelli taha teenindusteele,
  • 5:34 - 5:37
    kus vihmamantlis mees andis mulle
  • 5:37 - 5:40
    musta nahast kohvri valimismasinaga.
  • 5:40 - 5:45
    (aplaus)
  • 5:45 - 5:48
    Igatahes veetsime suve, töötades salaja
  • 5:48 - 5:50
    masinat pöördkodeerides, ja ma ei tea,
  • 5:50 - 5:51
    mis seal nii salajast oli -
  • 5:51 - 5:53
    see oli olemuselt imelikus korpuses ja
  • 5:53 - 5:55
    puuteekraaniga personaalarvuti, millel
  • 5:55 - 5:57
    eemaldatav mälukaart sedelivormi üles
  • 5:57 - 5:59
    ja häälte alla laadimiseks.
  • 6:00 - 6:04
    Igatahes saime teada paar huvitavat asja
    selle turvalisuse kohta.
  • 6:04 - 6:06
    Selgus, et sellel oli lihtsalt tavaline
  • 6:06 - 6:08
    operatsioonisüsteemi tuum, ja rakendus,
  • 6:08 - 6:11
    mis luges ja summeeris hääli.
  • 6:11 - 6:15
    Tehes mälukaardiga paar lõbusat trikki,
  • 6:15 - 6:18
    sai masina panna asendama oma tarkvara,
  • 6:18 - 6:20
    millel puudusid krüptograafiakontrollid,
  • 6:20 - 6:23
    ükskõik, mis tarkvaraga, mida sa tahtsid.
  • 6:23 - 6:26
    Nii tulime välja rakendusega Stuffer
    (Koosseisuline Töötaja),
  • 6:26 - 6:29
    mille sai masinasse laadida,
  • 6:29 - 6:31
    mis näitas puuteekraanil ilusat liidest,
  • 6:31 - 6:34
    lasi sul valida, kelle poolt hääletada
  • 6:34 - 6:35
    ja mil määral,
  • 6:35 - 6:37
    ning muutis siis vastavalt kõiki hääli,
  • 6:37 - 6:41
    sest see masin hoidis hääli lihtsalt
    elektroonilises mälus.
  • 6:41 - 6:43
    Sellisel viisil on võimalik korraldada
  • 6:43 - 6:45
    valimised George Washingtoni
  • 6:45 - 6:48
    ja Benedict Arnoldi
    (kuulus Ameerika revolutsiooni reetur)
  • 6:48 - 6:50
    vahel selliselt, et ükskõik,
  • 6:50 - 6:52
    millal me seda hääletust korraldame,
  • 6:52 - 6:54
    võidab alati Benedict Arnold,
  • 6:54 - 6:56
    sest oleme masinat salaja mõjutanud.
  • 6:56 - 6:58
    Seda on nii lihtne teha, et minu juhtumil
  • 6:58 - 7:02
    isegi kamp naiivseid bakatudengeid
  • 7:02 - 7:04
    saaks mõne nädalaga hakkama,
  • 7:04 - 7:07
    tänu valimiste automatiseerimisele.
  • 7:08 - 7:10
    Me avastasime ka, et tänu selle
  • 7:10 - 7:12
    tehnoloogia automatiseerimisele
  • 7:12 - 7:14
    saame luua valimismasinaviiruse,
  • 7:14 - 7:16
    mis levib nendel mälukaartidel
  • 7:16 - 7:18
    masinast masinasse
  • 7:18 - 7:21
    normaalse valimistsükli käigus.
  • 7:21 - 7:24
    Seega saab keegi, kel õnnestub mõni minut
  • 7:24 - 7:26
    mõne valimismasina juures omaette olla,
  • 7:26 - 7:29
    muuta valimistulemust kogu osariigis.
  • 7:30 - 7:32
    See on e-valimiste tõeline oht.
  • 7:33 - 7:34
    Mitte lihtsalt see,
  • 7:34 - 7:36
    et võltsimine on võimalik -
  • 7:36 - 7:39
    ka paberhääletust on võimalik võltsida,
  • 7:39 - 7:42
    kuid automatiseerimise pakutav võimsus
  • 7:42 - 7:44
    võimaldab seda märksa ulatuslikumalt
  • 7:44 - 7:47
    ja vaid väikse salasepitsuse teel,
  • 7:47 - 7:49
    mida on ka väga raske avastada.
  • 7:50 - 7:52
    Aga see pole ainus uuring,
  • 7:52 - 7:54
    mis on näidanud e-valimiste probleeme.
  • 7:54 - 7:56
    Ma olin osaline uuringus, mille tellis
  • 7:56 - 7:58
    California osariigi kantsler Debra Bowen,
  • 7:58 - 8:00
    samuti 2007. aastal, ja mis analüüsis
  • 8:00 - 8:03
    kõiki e-valimiste tehnoloogiaid,
  • 8:03 - 8:05
    mida Californias kasutatakse.
  • 8:05 - 8:09
    Me uurisime kolme tootja masinaid:
    Hart, Sequoia ja Diebold.
  • 8:09 - 8:12
    Uskuge või mitte, kuid kõik need masinad
  • 8:12 - 8:14
    põhinesid lähtekoodil, mis koosnes
  • 8:14 - 8:17
    sadadest tuhandetest koodiridadest.
  • 8:17 - 8:20
    Liiga keeruline, et olla turvaline.
  • 8:20 - 8:22
    Seega polnud üllatus, et kõiki neid
  • 8:22 - 8:25
    masinaid ohustas häälte varastamise kood
  • 8:25 - 8:28
    ja rünnakud, mis lasevad valimisametnikel
  • 8:28 - 8:30
    rikkuda hääletamise salajasuse nõuet
  • 8:30 - 8:32
    ja saada teada kuidas keegi hääletas.
  • 8:32 - 8:34
    Uuringu tulemusena kaotasid need masinad
  • 8:34 - 8:38
    sertifikaadi ja nende kasutamine keelati
    California osariigis.
  • 8:38 - 8:43
    (aplaus)
  • 8:43 - 8:46
    Kuid see pole vaid USA probleem.
  • 8:46 - 8:48
    Ka Euroopas katsetatakse e-valimistega
  • 8:48 - 8:51
    ja ühe esimese uuringu Euroopas
  • 8:51 - 8:54
    korraldas minu sõber Rop Gonggrijp,
  • 8:54 - 8:56
    kes istub siin esimeses reas.
  • 8:56 - 8:58
    Aplausiraund Ropile!
  • 8:58 - 9:01
    (aplaus)
  • 9:01 - 9:04
    Niisiis Rop ja tema kaastöötajad uurisid
  • 9:04 - 9:06
    Nedap ES3B masinaid, mis olid kasutusele
  • 9:06 - 9:10
    võetud Hollandis, ja nad avastasid,
  • 9:10 - 9:13
    et vahetades lihtsalt EEPROM-i kiibi,
  • 9:13 - 9:15
    mis, nagu nad demonstreerisid,
  • 9:15 - 9:18
    on hõlpsasti tehtav vähem kui minutiga,
  • 9:18 - 9:20
    saavad nad panna masina varastama hääli,
  • 9:20 - 9:23
    tegema sohki ja isegi mängima malet.
  • 9:23 - 9:25
    (naer ja plaksutamine)
  • 9:25 - 9:30
    Inspireerituna Ropist, võtsime kolleeg
    Ariel Feldmaniga masina,
  • 9:30 - 9:34
    mis siiani kasutusel paljudes USA osades,
  • 9:34 - 9:40
    ja mõned aastad hiljem muutsime selle
    päris heaks Pac-Mani masinaks.
  • 9:40 - 9:45
    (naer ja plaksutamine)
  • 9:45 - 9:48
    Kuid pole üksnes USA ja Euroopa.
  • 9:48 - 9:50
    Ka India kasutab elektroonilisi valimisi.
  • 9:50 - 9:52
    See on nii maailma suurim demokraatia
  • 9:52 - 9:55
    kui ka suurim e-valimiste kasutaja.
  • 9:55 - 9:57
    Neil on sellised kodumaised
  • 9:57 - 9:59
    väga ilusad ja väga lihtsad
  • 9:59 - 10:02
    varjatud süsteemiga valimismasinad.
  • 10:02 - 10:06
    Läheks liiga pikale rääkida täna
    kogu lugu,
  • 10:06 - 10:10
    kuid praeguseks umbes 4 aastat tagasi
  • 10:10 - 10:13
    andis anonüümne allikas, vilepuhuja,
  • 10:13 - 10:16
    ühe neist salajastest valitsuse
    tehtud masinatest
  • 10:16 - 10:19
    uurimiseks sellele keskmisele mehele
    (Hari Prasad).
  • 10:19 - 10:21
    Ja ta helistas mulle ja Ropile,
  • 10:21 - 10:25
    ning me läksime Indiasse
    ja uurisime seda.
  • 10:25 - 10:28
    Nagu ma ütlesin, läheks kogu lugu pikale,
  • 10:28 - 10:30
    kuid lühidalt kokkuvõttes lõppes see nii,
  • 10:30 - 10:32
    et Hari pandi mõneks ajaks vangi,
  • 10:32 - 10:35
    Ropit ja mind oleks maalt peaaegu
    välja saadetud.
  • 10:35 - 10:38
    Ja just äsja tegi India ülemkohus reegli,
  • 10:38 - 10:40
    et nad peavad kasutusele võtma
  • 10:40 - 10:42
    paberil väljatrüki, et India valijad
  • 10:42 - 10:46
    saaks mõistliku tagatise, et nende hääled
  • 10:46 - 10:48
    on turvaliselt kokku loetud.
  • 10:48 - 10:54
    (aplaus)
  • 10:54 - 10:56
    Aga internetivalimised?
  • 10:56 - 11:00
    Kuid internetivalimine on veel keerulisem
  • 11:00 - 11:03
    kui e-valimine eraldiseisvas masinas,
  • 11:03 - 11:04
    mis asub valimisjaoskonnas,
  • 11:04 - 11:07
    sest internetivalimistel on probleem,
  • 11:07 - 11:09
    et valijad kasutavad oma arvuteid,
  • 11:09 - 11:11
    väljaspool turvalist keskkonda, kus
  • 11:11 - 11:14
    need võivad olla haavatavad survestamise,
  • 11:14 - 11:17
    kasutajanimede ja paroolide varguse,
  • 11:17 - 11:20
    valimisserverit teeskleva libaserveri,
  • 11:20 - 11:23
    masinaid nakatava pahavara või isegi juba
  • 11:23 - 11:26
    paljusid masinaid nakatanud botnettide
  • 11:26 - 11:30
    poolt, kompromiteerides valimistulemust.
  • 11:30 - 11:32
    Ja see pole veel kõik -
  • 11:32 - 11:34
    ka server peab olema suuteline
  • 11:34 - 11:36
    vastu pidama teenusetõkestusrünnetele.
  • 11:36 - 11:38
    Pidagem meeles, et valimised toimuvad
  • 11:38 - 11:40
    kindlal perioodil, seega ei saa öelda,
  • 11:40 - 11:42
    et meie süsteem on sel nädalal maas
  • 11:42 - 11:44
    ja me lükkame internetivalimiste osa
  • 11:44 - 11:45
    edasi järgmisesse kuusse.
  • 11:45 - 11:46
    See lihtsalt ei sobi!
  • 11:46 - 11:49
    Tuleb muretseda siseringirünnakute pärast,
  • 11:49 - 11:51
    välise sissetungi pärast
  • 11:51 - 11:53
    ja veelgi keerukamate rünnakute pärast,
  • 11:53 - 11:55
    nagu mõne riigi poolt toetatud ründed.
  • 11:55 - 11:57
    Kui mitu riiki sinu arvates võib soovida
  • 11:57 - 12:01
    mõjutada mõne suurriigi valimistulemusi?
  • 12:01 - 12:04
    Sellise soovi ja võimetega arenenud
  • 12:04 - 12:06
    riikide arv tõenäoliselt kasvab.
  • 12:07 - 12:10
    Kuid samal ajal on internetivalimiste
  • 12:10 - 12:12
    süsteeme keerukam uurida.
  • 12:12 - 12:14
    Ei saa lihtsalt loota kellelegi,
  • 12:14 - 12:18
    kes tooks sulle keset ööd ühe masina,
    kui sul raskeks läheb.
  • 12:18 - 12:22
    Ei saa serverisse häkkida valimiste ajal.
  • 12:22 - 12:24
    See oleks eetiliselt sobimatu:
  • 12:24 - 12:27
    sest teadlasena, kes püüab parandada
  • 12:27 - 12:30
    demokraatliku tehnoloogia olukorda,
  • 12:30 - 12:34
    ei saa ma õigustada midagi,
  • 12:34 - 12:35
    mis võiks sekkuda valimiste
  • 12:35 - 12:38
    läbiviimisesse ja tulemustesse.
  • 12:38 - 12:42
    Seepärast pidime otsima muid võimalusi
  • 12:42 - 12:43
    ja üks parimaid näiteid,
  • 12:43 - 12:46
    mis mul on õnnestunud siiani leida,
  • 12:46 - 12:48
    on intsident aastast 2010,
  • 12:48 - 12:50
    kus Washington DC otsustas
  • 12:50 - 12:54
    juurutada internetivalimiste süsteemi.
  • 12:54 - 12:57
    Nad said suure valitsuse toetuse,
    et seda ehitada.
  • 12:57 - 13:00
    Ja see oli mõeldud sõjaväes
  • 13:00 - 13:02
    ja välismaal viibivatele valijatele
  • 13:02 - 13:03
    kodukohas mittevalija hääle andmiseks.
  • 13:03 - 13:06
    Nad tegid palju asju õigesti -
  • 13:06 - 13:08
    nad tegid avatud lähtekoodiga süsteemi,
  • 13:08 - 13:12
    nad palkasid mõned suurte kogemustega
    veebiarendajad,
  • 13:12 - 13:14
    nad kaasasid isegi turbeeksperte
  • 13:14 - 13:16
    ja küsisid neilt, kuidas peaks uut
  • 13:16 - 13:19
    internetivalimiste süsteemi tegema.
  • 13:19 - 13:21
    Ja turbeeksperdid isegi hoiatasid,
  • 13:21 - 13:23
    et internetihääletus on liiga ohtlik,
  • 13:23 - 13:25
    et ei-ei, ärge tehke seda!
  • 13:25 - 13:26
    Kuid DC tegi seda ikkagi.
  • 13:26 - 13:28
    Kuid võib-olla kompromissina,
  • 13:28 - 13:32
    võib-olla selleks, et meid paika panna,
  • 13:32 - 13:34
    et tõestaksime oma väiteid,
  • 13:34 - 13:36
    otsustasid nad korraldada avaliku
  • 13:36 - 13:38
    katsetuse ja ütlesid,
  • 13:38 - 13:39
    et nädal enne valimisi
  • 13:39 - 13:40
    korraldatakse testhääletus,
  • 13:40 - 13:42
    ja igaüks, kes tahab proovida sisse murda
  • 13:42 - 13:46
    ja näidata, kui haavatav see süsteem on,
    võib seda teha.
  • 13:46 - 13:48
    (naer)
  • 13:48 - 13:50
    Mitte iga päev ei kutsuta sind
  • 13:50 - 13:52
    häkkima valitsuse arvutitesse
  • 13:52 - 13:54
    ilma vangi minemise ohuta.
  • 13:54 - 13:56
    Ma sain kokku meeskonna oma tudengeid
  • 13:56 - 13:58
    ja me otsustasime üleskutsele vastata.
  • 13:58 - 14:00
    Niisiis, nende süsteem nägi välja nii:
  • 14:00 - 14:02
    logid ilusa veebiliidese kaudu sisse,
  • 14:02 - 14:04
    laed alla hääletussedeli,
  • 14:04 - 14:06
    täidad selle PDF-Readeriga,
  • 14:06 - 14:07
    laed selle taas üles,
  • 14:07 - 14:08
    ja ongi kõik -
  • 14:08 - 14:10
    "Täname hääletamast!" ja "Teata ka oma
  • 14:10 - 14:12
    sõpradele Facebookis ja Twitteris!"...
  • 14:12 - 14:14
    Ilus ja särav! See on...
  • 14:14 - 14:20
    (naer ja aplaus)
  • 14:20 - 14:24
    Igatahes nädal enne valimisi need kutid,
  • 14:24 - 14:26
    Eric Wustrow, Scott Wolchok, ja mina,
  • 14:26 - 14:28
    kogunesime ühel õhtul minu kabinetti,
  • 14:28 - 14:30
    jäime üles päris kauaks, lugedes meile
  • 14:30 - 14:34
    avaldatud lähtekoodi ja kena GitHubi kogu.
  • 14:34 - 14:37
    Olime DC lähtekoodi paar tundi lugenud,
  • 14:37 - 14:40
    umbes 3-4 paiku hommikul, kui uurisime
  • 14:40 - 14:42
    seda protseduuri siin, mis on tehtud
  • 14:42 - 14:45
    veebirakenduste raamistikus
    Ruby On Rails,
  • 14:45 - 14:48
    mida keegi meist polnud varem näinud.
  • 14:48 - 14:51
    Kuid suutsime siiski enamvähem aru saada.
  • 14:51 - 14:54
    Sellest esiletõstetud reast siin selgub,
  • 14:54 - 14:56
    et see valimissüsteem kasutab GPG-d
  • 14:56 - 14:58
    üles laetava sedeli krüpteerimiseks,
  • 14:58 - 15:01
    et see oleks turvaline ja salajane,
  • 15:01 - 15:04
    kuni tuleb aeg häälte kokku lugemiseks.
  • 15:04 - 15:06
    Siis liigutatakse need teise masinasse
  • 15:06 - 15:08
    ja avatakse seal hoitava privaatvõtmega.
  • 15:08 - 15:11
    Probleem peitub siin - nad kasutavad
  • 15:11 - 15:14
    topelt jutumärke ühekordsete asemel.
  • 15:14 - 15:16
    Sellest piisas, et me saime sisse häkkida
  • 15:16 - 15:17
    ja varastada kõik hääled.
  • 15:17 - 15:18
    (naer)
  • 15:18 - 15:20
    Probleem on selles, et see võimaldab
  • 15:20 - 15:22
    skriptisüstirünnakut, kuna see teek,
  • 15:22 - 15:24
    mida kasutati, see versioon,
  • 15:24 - 15:26
    mida kasutati, laseb lihtsalt koostada
  • 15:26 - 15:28
    koodijupi ja kasutada süsteemipöördumist,
  • 15:28 - 15:31
    et sisestada see käsureale.
  • 15:31 - 15:35
    Hea seegi,
    et nad kontrollisid failinime põhiosagi,
  • 15:35 - 15:37
    ent laiend jäi kontrollimata.
  • 15:37 - 15:39
    Seega, kui sa kasutasid laiendit,
  • 15:39 - 15:41
    mis sisaldas käsurea käske,
  • 15:41 - 15:44
    siis põhjustas see nende käskude
  • 15:44 - 15:46
    käivitumise veebiserveri protsessile
  • 15:46 - 15:48
    antud kasutajaõigustes,
  • 15:48 - 15:51
    mis olid: hääletussedelite vastuvõtt
  • 15:51 - 15:54
    ja valimiste läbiviimine.
  • 15:54 - 15:59
    See oli esimene asi, mida me proovisime,
    ja see toimis!
  • 15:59 - 16:00
    Igatahes...
  • 16:00 - 16:04
    (aplaus)
  • 16:04 - 16:07
    Me leidsime samas võrgus ka teisi
  • 16:07 - 16:10
    huvitavaid seadmeid, sealhulgas mitmeid
  • 16:10 - 16:12
    veebikaameraid, mis polnud kasutajanime
  • 16:12 - 16:14
    ja parooliga kaitstud.
  • 16:14 - 16:16
    Need olid andmekeskuses,
  • 16:16 - 16:17
    seega siin on masinad,
  • 16:17 - 16:19
    millel käivad e-valimised,
  • 16:19 - 16:22
    siin töötajad..., siin turvamees,
  • 16:22 - 16:25
    kes ei tea, et me häkime serverisse...
  • 16:25 - 16:28
    Kuid see oli tegelikult väga kasulik,
  • 16:28 - 16:30
    sest me saime neid mehi jälgida,
  • 16:30 - 16:32
    kas nad kahtlustavad,
  • 16:32 - 16:34
    et miskit on puudu.
  • 16:34 - 16:37
    Ja me nägimegi olulist muutust
  • 16:37 - 16:40
    nende käitumises ja hoiakutes -
  • 16:40 - 16:43
    kui nad viimaks avastasid, et olime
  • 16:43 - 16:46
    saavutanud kontrolli süsteemi üle,
  • 16:46 - 16:48
    siis polnud nad eriti õnnelikud.
  • 16:48 - 16:57
    (naer ja aplaus)
  • 16:58 - 17:00
    Igatahes, ma hüppan nüüd loos
  • 17:00 - 17:02
    jupp maad edasi, viimaks oli aeg
  • 17:02 - 17:04
    DC-s küps süsteemi ründamiseks.
  • 17:04 - 17:06
    Seega ootasime kuni kella viieni, millal,
  • 17:06 - 17:08
    nagu ma turvavideote põhjal teadsin,
  • 17:08 - 17:10
    läksid süsteemiadministraatorid
  • 17:10 - 17:12
    tavaliselt ööseks koju.
  • 17:12 - 17:14
    Sellest hetkest hakkasime seda
  • 17:14 - 17:17
    käsuliidese süstimise turvaauku kasutama,
  • 17:17 - 17:18
    et käivitada väliseid käsklusi.
  • 17:18 - 17:22
    Tegelikult me ehitasime mingit laadi
  • 17:22 - 17:23
    simuleeritud käsuliidese,
  • 17:23 - 17:24
    mis teeks vajalikke asju,
  • 17:24 - 17:28
    et kompileerida miskit valimissedelile,
  • 17:28 - 17:30
    laadida see üles, käivitada käsud
  • 17:30 - 17:32
    ja lekitada see tagasi välja,
  • 17:32 - 17:34
    pannes midagi veebiserveri avalikku kausta.
  • 17:34 - 17:36
    Ja põhimõtteliselt luua mulje,
  • 17:36 - 17:38
    nagu me oleksime käsureal.
  • 17:38 - 17:40
    Igatahes jätkasime rünnet süsteemi vastu,
  • 17:40 - 17:42
    mängides reaalse ründaja rolli.
  • 17:43 - 17:45
    Niisiis, kui sa reaalse ründajana
  • 17:45 - 17:47
    oled valimissüsteemi sisse häkkinud,
  • 17:47 - 17:49
    siis mida sa esimesena teeksid,
  • 17:49 - 17:52
    kas varastaksid kõik hääled?
  • 17:52 - 17:54
    Ei! Esimese asjana varastaksid
  • 17:54 - 17:56
    sa kõike muud, mida õnnestub,
  • 17:56 - 17:57
    ja mis võib aidata sul
  • 17:57 - 17:59
    süsteemi tagasi pääseda.
  • 17:59 - 18:01
    Sa lood järjepidevuse.
  • 18:02 - 18:04
    Alles teine asi, mis me tegime,
  • 18:04 - 18:06
    oli kõigi häälte varastamine...
  • 18:06 - 18:08
    (naer)
  • 18:08 - 18:10
    Me asendasime need oma valimissedelitega,
  • 18:10 - 18:12
    kus kõigil oli kandidaadiks
  • 18:12 - 18:14
    nimekirjaväline kandidaat -
  • 18:14 - 18:16
    ulmejutu või -filmi kuri robot,
  • 18:16 - 18:17
    kes võiks olla see,
  • 18:17 - 18:18
    kelle poolt arvutid hääletaks,
  • 18:18 - 18:20
    kui nad tahaks võimule tulla.
  • 18:20 - 18:22
    Siis seadistasime süsteemi asendama
  • 18:22 - 18:24
    kõik uued hääled meie eelistusega.
  • 18:24 - 18:26
    Siis lisasime tagaukse,
  • 18:26 - 18:28
    mis teeks avalikuks kõigi teiste valijate
  • 18:28 - 18:30
    salajased valimiseelistused,
  • 18:30 - 18:32
    ja kustutasime logid,
  • 18:32 - 18:34
    püüdes varjata oma tegevuse jälgi.
  • 18:34 - 18:36
    Nüüd oli meil veel üks dilemma,
  • 18:36 - 18:38
    mis seisnes selles, et olime saavutanud
  • 18:38 - 18:40
    süsteemi üle täieliku kontrolli,
  • 18:40 - 18:42
    kuid kuna pärisvalimised
  • 18:42 - 18:43
    olid nädala pärast tulemas,
  • 18:43 - 18:47
    siis tahtsime DC-le teada anda,
    mis on juhtunud.
  • 18:47 - 18:50
    Aga me ei tahtnud neile helistada,
  • 18:50 - 18:52
    sest arvasime, et oleks põnev testida,
  • 18:52 - 18:54
    kui hästi suudavad valimisametnikud
  • 18:54 - 18:56
    rünnakuid tuvastada ja neile
  • 18:56 - 18:58
    simuleeritud valimiste käigus reageerida.
  • 18:58 - 19:02
    Iial pole olnud head näidet ega uurimust,
  • 19:02 - 19:04
    kuidas see välja mängitakse.
  • 19:04 - 19:07
    Seega neile lihtsalt helistamise asemel
  • 19:07 - 19:10
    otsustasime jätta oma arvates mitte eriti
  • 19:10 - 19:12
    tagasihoidliku visiitkaardi.
  • 19:12 - 19:15
    Niisiis muutsime valimisprotseduuri lõpus
  • 19:15 - 19:17
    valijat tänava ja sõpru Facebookis ja
  • 19:17 - 19:20
    Twitteris teavitada soovitava lehekülje
  • 19:20 - 19:22
    koodi, lisades sinna mõne rea. Just siia!
  • 19:22 - 19:26
    See käivitas valija arvutis mõnesekundise
  • 19:26 - 19:28
    pausi järel Michigani ülikooli jalgpalli
  • 19:28 - 19:32
    võitluslaulu "Tervitus võitjatele".
  • 19:32 - 19:38
    (naer ja aplaus)
  • 19:38 - 19:40
    Nii kulus ikkagi peaaegu kaks päeva,
  • 19:40 - 19:42
    enne, kui valimisametnikud märkasid.
  • 19:42 - 19:44
    Ja see juhtus alles siis,
  • 19:44 - 19:46
    kui keegi helistas neile ja tõstis esile,
  • 19:46 - 19:47
    et süsteem ise meeldib talle,
  • 19:47 - 19:49
    kuid talle ei meeldi see muusika,
  • 19:49 - 19:50
    mis lõpus mängib - see olevat häiriv!
  • 19:50 - 19:52
    (naer)
  • 19:52 - 19:54
    Arvan, et alles siis vaatasid nad ringi,
  • 19:54 - 19:55
    said aru, et nad kõik on
  • 19:55 - 19:57
    konkureeriva jalkameeskonna fännid.
  • 19:57 - 19:59
    Ja tundsid siis jubedat uppumise tunnet.
  • 19:59 - 20:02
    Igatahes tegi DC lõpuks targasti -
  • 20:02 - 20:05
    nad loobusid internetivalimiste süsteemi
  • 20:05 - 20:07
    häälte kogumiseks kasutamisest.
  • 20:07 - 20:09
    Selle asemel lasid nad võõrsil viibivail
  • 20:09 - 20:12
    valijatel õigeaegselt valida aitamiseks
  • 20:12 - 20:14
    alla laadida tühja valimissedeli,
  • 20:14 - 20:16
    selle välja printida,
  • 20:16 - 20:17
    ja saata see tagasi postiga.
  • 20:17 - 20:20
    Sellega kõrvaldasid nad enamiku riske
  • 20:20 - 20:22
    ja tulid poolele teele vastu valijaile,
  • 20:22 - 20:24
    kelle hääl vajas õigeaegset tagastamist.
  • 20:25 - 20:30
    Hüva! See oli senini meie parim uuring.
  • 20:30 - 20:33
    (aplaus)
  • 20:33 - 20:36
    Ja see toob meid tänase ettekande
  • 20:36 - 20:36
    peateema juurde.
  • 20:36 - 20:40
    Internetivalimised Eestis.
  • 20:40 - 20:42
    Eesti on väga-väga huvitav juhtum,
  • 20:42 - 20:46
    ja olen aastaid jälginud, mis on toimunud
  • 20:46 - 20:48
    Eesti internetivalimiste süsteemiga, sest
  • 20:48 - 20:51
    Eesti on maailma riikidest enim suutnud
  • 20:51 - 20:54
    internetivalimisi juurutada ja kasutada.
  • 20:55 - 20:58
    Neile, kes ei tea, kus Eesti asub,
  • 20:58 - 21:01
    sh enamik publikus olevaid ameeriklasi,
  • 21:01 - 21:03
    siis see asub siin.
  • 21:03 - 21:05
    Nagu näete, piirneb see Venemaaga.
  • 21:05 - 21:09
    Ameeriklastele: see on ka Euroopa Liidu
    ja NATO liige.
  • 21:09 - 21:11
    Niisiis, Eesti on tegelikult
  • 21:11 - 21:13
    tehnoloogiliselt üsna arenenud riik.
  • 21:13 - 21:15
    Nad on liidrid e-valitsuse osas,
  • 21:15 - 21:17
    nad teevad palju huvitavaid katseid,
  • 21:17 - 21:20
    kuidas pakkuda avalikke teenuseid
    üle interneti.
  • 21:21 - 21:25
    Selles kontekstis on pisut vähem üllatav,
  • 21:25 - 21:28
    et üks selline riik, nagu Eesti,
  • 21:28 - 21:31
    eksperimenteerib internetivalimistega.
  • 21:31 - 21:34
    Siiski on Eesti teinud rohkem,
  • 21:34 - 21:36
    kui kõigest mõned katsed.
  • 21:36 - 21:39
    Viimase kümne aastaga on nad, ma usun,
  • 21:39 - 21:42
    korraldanud internetis seitse valimist,
  • 21:42 - 21:45
    sealhulgas kõige hiljutisemad, mais 2014
  • 21:45 - 21:48
    toimunud Euroopa parlamendi valimised,
  • 21:48 - 21:51
    kus rohkem kui 30% kõigist häältest
  • 21:51 - 21:53
    anti interneti teel.
  • 21:53 - 21:55
    See on lihtsalt imeline!
  • 21:55 - 21:57
    Mitte ükski teine riik ei saa lähedalegi
  • 21:57 - 22:00
    nii tugeva internetist sõltumise poolest
  • 22:00 - 22:03
    riiklikel valimistel - üle 30 protsendi!
  • 22:04 - 22:08
    Ja ometi, kas Eesti süsteem on turvaline,
  • 22:08 - 22:13
    on küsimus, millele pole antud
    adekvaatset vastust.
  • 22:14 - 22:19
    Tegelikult polnud meie sinna sattumiseni
  • 22:19 - 22:22
    sõltumatut rahvusvahelist uuringut,
  • 22:22 - 22:24
    mis oleks detailselt kontrollinud
  • 22:24 - 22:27
    seda tehnoloogiat ja selle turvalisust.
  • 22:27 - 22:29
    Ja seepärast paljudes teistes riikides,
  • 22:29 - 22:32
    sealhulgas minu kodumaal, oli inimesi,
  • 22:32 - 22:34
    kes imetledes vaatasid: ohhoo, Eesti,
  • 22:34 - 22:36
    vaadake seda, nad hääletavad internetis,
  • 22:36 - 22:36
    miks meie seda teha ei saa?
  • 22:36 - 22:40
    Kas poleks tore, kui me saaks
    internetis hääletada?
  • 22:40 - 22:42
    Seepärast tahtsin ma teada saada,
  • 22:42 - 22:44
    nagu ka mu tudengid ja paljud mu sõbrad,
  • 22:44 - 22:46
    kas Eesti on tõesti lahendanud
  • 22:46 - 22:49
    internetivalimiste turvalisuse probleemi?
  • 22:49 - 22:52
    Kas nad on oma süsteemi loonud viisil,
  • 22:52 - 22:54
    mis arvestab kõiki neid reaalsete
  • 22:54 - 22:56
    ohtude liike, mida suured riigid
  • 22:56 - 22:58
    valimiste korraldamisel kohtavad?
  • 22:58 - 23:03
    Ja mida võiks minu riik, ja kõik teised,
    Eesti näitest õppida?
  • 23:03 - 23:06
    Seega ootasin ma mitu-mitu aastat
  • 23:06 - 23:08
    võimalust minna Eestisse,
  • 23:08 - 23:10
    kohtuda seal nende inimestega,
  • 23:10 - 23:12
    et uurida seda süsteemi
  • 23:12 - 23:14
    ja püüda saada vastused neile küsimustele
  • 23:14 - 23:16
    e-valimiste uuringu kontekstis.
  • 23:18 - 23:20
    Viimaks oli mul see võimalus,
  • 23:20 - 23:24
    oktoobris 2013, kui mind kutsuti kaasa
  • 23:24 - 23:27
    rahvusvahelise teadlaste meeskonnaga
  • 23:27 - 23:30
    Tallinna linnavalitsuse poolt -
  • 23:30 - 23:31
    et tulla Eestisse,
  • 23:31 - 23:34
    rääkida meie kogemustest e-valmistega
  • 23:34 - 23:37
    ja olla riiklike valimiste vaatleja,
  • 23:37 - 23:40
    et reaalselt näha seda e-valimiste
  • 23:40 - 23:42
    süsteemi administreerimise protsessi.
  • 23:43 - 23:47
    Seega olime valimiste ametlikud
    akrediteeritud vaatlejad.
  • 23:47 - 23:50
    Me pidime külastama andmekeskust,
  • 23:50 - 23:55
    kus majutatakse valimiste servereid.
  • 23:55 - 23:58
    Me pidime kohtuma süsteemi arendajatega
  • 23:58 - 24:01
    ja intervjueerima neid põhjalikult,
  • 24:01 - 24:04
    sealhulgas süsteemi isa Tarvi Martensit,
  • 24:04 - 24:06
    kes tegelikult tegi sellest ettekande ka
  • 24:06 - 24:09
    vist 25. C3 kongressil aastaid tagasi.
  • 24:09 - 24:12
    Tarvi on üks juhtivatest arendajatest,
  • 24:12 - 24:15
    see on tema lapsuke ja mul oli hea meel
  • 24:15 - 24:18
    temaga silmast silma pikemalt vestelda,
  • 24:18 - 24:20
    veeta koos temaga üks päev
  • 24:20 - 24:22
    ja tutvuda süsteemi toimimisega.
  • 24:22 - 24:25
    Saime tutvuda ka lähtekoodiga, sest Eesti
  • 24:25 - 24:28
    avaldas just eelmisel aastal esmakordselt
  • 24:28 - 24:31
    osa oma valimissüsteemi lähtekoodist.
  • 24:31 - 24:33
    Nad avaldasid serveripoolse lähtekoodi.
  • 24:33 - 24:36
    Kliendi lähtekood on endiselt kinnine.
  • 24:36 - 24:39
    Nad paluvad sul oma arvutisse paigaldada
  • 24:39 - 24:42
    suletud koodiga rakendus, et vältida sama
  • 24:42 - 24:44
    ilmega ebaausa libarakenduse loomist
  • 24:44 - 24:46
    või vähemalt teha see raskemaks.
  • 24:47 - 24:50
    Me pidime ka läbi vaatama, ja see on väga
  • 24:50 - 24:52
    huvitav asi, mis nad teevad, me pidime
  • 24:52 - 24:55
    vaatama kümneid tunde videosalvestisi,
  • 24:55 - 24:57
    mida Eesti valimiste ajal teeb.
  • 24:57 - 25:00
    Näiteks valimiseelne serverite seadistus
  • 25:00 - 25:03
    ja igapäevane varundamine andmekeskuses.
  • 25:03 - 25:06
    Tõesti huvitav, et nad seda pakuvad,
  • 25:06 - 25:09
    see võimaldas meil täita mitmeid lünki,
  • 25:09 - 25:12
    kuidas süsteemi tegelikult kasutatakse.
  • 25:13 - 25:16
    [Valija kogemused]
  • 25:16 - 25:18
    Järgmise asjana tahan teile näidata,
  • 25:18 - 25:22
    milline see süsteem näeb välja
    valija vaatenurgast.
  • 25:22 - 25:24
    Kui sa oled Eesti valija,
  • 25:24 - 25:28
    kes kavatseb oma e-hääle anda,
  • 25:28 - 25:30
    siis on sul selleks umbes nädal aega
  • 25:30 - 25:33
    enne kohaleminemisega valimispäeva.
  • 25:34 - 25:36
    Sa logid oma arvutist sisse,
  • 25:36 - 25:38
    laadid alla rakenduse,
  • 25:38 - 25:40
    ja on vaid üks asi sellel pildil,
  • 25:40 - 25:42
    mis võib tunduda teistele ebatavaline.
  • 25:42 - 25:44
    Ja see on see asi! Mis see on?
  • 25:44 - 25:47
    Eestis on üks väga huvitav asi nende poolt
  • 25:47 - 25:50
    arvutitehnoloogia vallas tehtu seas -
  • 25:50 - 25:53
    kõik nende ID-kaardid on kiipkaardid
  • 25:53 - 25:56
    ja igal kodanikul on selline ID-kaart,
  • 25:56 - 25:59
    mille kiibis on RSA võtmepaar.
  • 26:00 - 26:04
    Neid saab kasutada autentimiseks veebis,
  • 26:04 - 26:08
    kasutades HTTPS TLS klienti Auth.
  • 26:08 - 26:10
    Nad on ainuke riik,
  • 26:10 - 26:13
    kus see on laialt kasutusele võetud.
  • 26:14 - 26:16
    Või dokumentide allkirjastamiseks,
  • 26:16 - 26:18
    ja neil on seaduslik, riigi tunnustatud
  • 26:18 - 26:21
    elektroonilise dokumendi vorming,
  • 26:21 - 26:24
    mis toetab selle kaardiga antud allkirju.
  • 26:24 - 26:27
    Mitu riiki on püüdnud sellist asja teha,
  • 26:27 - 26:30
    kuid Eesti on ainulaadne, sest seal on
  • 26:30 - 26:32
    see laialt kasutusel - paljud inimesed,
  • 26:32 - 26:36
    suur osa eestlastest, kasutab seda kaarti
  • 26:36 - 26:38
    internetipangas, nad kasutavad seda
  • 26:38 - 26:40
    tuludeklaratsiooni esitamiseks,
  • 26:40 - 26:42
    nad kasutavad seda, et pääseda ligi
  • 26:42 - 26:44
    online tervishoiuteenustele.
  • 26:44 - 26:46
    See on tõesti laialt kasutusel,
  • 26:46 - 26:48
    ja minu arvates on see fantastiline,
  • 26:48 - 26:50
    et neil on õnnestunud luua rahvuslik
  • 26:50 - 26:52
    avaliku võtme infrastruktuur
  • 26:52 - 26:54
    ja näha selle omaks võtmist.
  • 26:54 - 26:58
    Seega pole üldse üllatav, et nad rajasid
  • 26:58 - 27:00
    kogu valimissüsteemi ülesehituse nende
  • 27:00 - 27:04
    kaartide võimetele ja funktsioonidele.
  • 27:04 - 27:06
    Seega tuleb e-valima mineva eestlasena
  • 27:06 - 27:09
    esmalt ametlikust veebist alla laadida
  • 27:09 - 27:12
    kliendirakendus, ja see on saadaval
  • 27:12 - 27:14
    Windowsile, Macile ja Linuxile.
  • 27:14 - 27:17
    Siis paigaldada see oma arvutisse
  • 27:17 - 27:19
    ja edasi järgida rakenduse juhiseid,
  • 27:19 - 27:22
    kasutada oma kiipkaarti, riiklikku ID-d,
  • 27:22 - 27:23
    et anda oma hääl.
  • 27:23 - 27:26
    Siin on see, kuidas see käib:
  • 27:26 - 27:29
    Esmalt käivitad sa rakenduse,
  • 27:29 - 27:32
    ja see küsib sinult neljakohalist koodi.
  • 27:32 - 27:36
    See kood on vajalik kiipkaardile,
  • 27:36 - 27:41
    et aktiveerida kaardi autentimis-
    ja allkirjastamisfunktsioonid,
  • 27:41 - 27:43
    ning lubada kasutada võtmeid.
  • 27:43 - 27:46
    Pärast seda ühendub see valimisserveriga,
  • 27:46 - 27:48
    autendib TLS kliendiga Auth,
  • 27:48 - 27:50
    otsib välja, kus sa elad,
  • 27:50 - 27:52
    ja saadab rakendusele valimissedeli.
  • 27:52 - 27:54
    Sa pead rakenduses lihtsalt valima,
  • 27:54 - 27:56
    kelle poolt sa hääletad.
  • 27:57 - 28:00
    Muide, igaks valimiseks on uus rakendus.
  • 28:01 - 28:04
    Siis klõpsad nuppu "Valin", ja edasi
  • 28:04 - 28:08
    tarkvara tegeleb natuke krüpteerimisega.
  • 28:08 - 28:11
    Siin on see, mida see teeb - kaht asja.
  • 28:11 - 28:15
    Esiteks krüpteerib see su valimissedeli,
  • 28:15 - 28:19
    kasutades RSA-d ja kliendi genereeritud
  • 28:19 - 28:22
    juhuslikku polsterdavat teksti.
  • 28:22 - 28:25
    Siis võtab see selle krüpteeritud sedeli
  • 28:25 - 28:28
    ja allkirjastab digitaalselt
  • 28:28 - 28:30
    sinu ametliku ID-kaardiga.
  • 28:31 - 28:34
    Seega teine, allkirjastamise etapp,
  • 28:34 - 28:36
    annab tulemuseks allkirjastatud
  • 28:36 - 28:38
    krüpteeritud valimissedeli.
  • 28:38 - 28:40
    Allkirjastatud krüpteeritud valimissedel
  • 28:40 - 28:42
    läheb valimisserverisse, mis hoiab seda,
  • 28:42 - 28:44
    kuni on aeg hääled kokku lugeda.
  • 28:44 - 28:48
    See on valimiseprotseduuri lühiülevaade,
    väga lihtne!
  • 28:48 - 28:50
    Järgmisena on Eestil siiski iseärasus,
  • 28:50 - 28:53
    mida rakendati alles viimastel aastatel,
  • 28:53 - 28:55
    ja mis laseb sul teha midagi,
  • 28:55 - 28:57
    mida nad kutsuvad kontrollimiseks.
  • 28:57 - 28:58
    Viimane asi,
  • 28:58 - 29:00
    mida valimiste klientrakendus teeb,
  • 29:00 - 29:02
    on sellise QR koodi näitamine.
  • 29:03 - 29:06
    See QR kood sisaldab kaht asja:
  • 29:06 - 29:09
    sedeli tunnust ja enne RSA krüpteerimist
  • 29:09 - 29:13
    sedeli polsterdamisel kasutatud juhuteksti.
  • 29:14 - 29:18
    Nende abil saad nutitelefonirakendusega,
  • 29:18 - 29:21
    mis on saadaval iOS-ile ja Androidile,
  • 29:21 - 29:26
    skaneerida selle QR koodi, misjärel teeb
  • 29:26 - 29:28
    rakendus päringu valimisserverisse
  • 29:28 - 29:30
    ja server saadab tagasi
  • 29:30 - 29:31
    krüpteeritud valimissedeli,
  • 29:31 - 29:33
    millelt on eemaldatud digiallkiri.
  • 29:33 - 29:38
    Server väidab, et see on see sedel,
    mille ta sinult sai.
  • 29:39 - 29:42
    Hüva! Siis, kasutades seda juhuteksti,
  • 29:42 - 29:45
    mis saadi QR koodist, püüab nutirakendus
  • 29:45 - 29:49
    jõuga lahti murda sinu sedelit, proovides
  • 29:49 - 29:52
    läbi kõik võimalused, kuni leiab selle,
  • 29:52 - 29:54
    mis šifreerub samaks tekstiks.
  • 29:54 - 29:57
    Hüva! Siis leiab see kokkusobivuse
  • 29:57 - 30:00
    ja kuvab tulemuseks saadud kandidaadi.
  • 30:01 - 30:04
    Sunnivastase abinõuna saab valideerimist
  • 30:04 - 30:08
    teha vaid kuni kolm korda ja seda kuni
  • 30:08 - 30:11
    30 minuti jooksul pärast hääletamist.
  • 30:11 - 30:15
    Muidu saaks sinu survestaja alati nõuda,
  • 30:15 - 30:17
    et näitaksid talle oma sedeli kontrolli.
  • 30:18 - 30:21
    Huvitav, et ühe meetmena survestamise
  • 30:21 - 30:23
    vastu on sul võimalus oma hääl ära muuta
  • 30:23 - 30:25
    nii palju kordi kui sa tahad,
  • 30:25 - 30:28
    kuni kohaleminekuga valimise päevani.
  • 30:28 - 30:30
    Selleks lihtsalt korda seda protseduuri,
  • 30:30 - 30:33
    ning su uus valik asendab varasema ja
  • 30:33 - 30:36
    vaid kõige viimane hääl võetakse arvesse.
  • 30:36 - 30:38
    Hüva, selline on kontrolliprotsess.
  • 30:38 - 30:40
    Nüüd aga kuidas toimub häälte lugemine?
  • 30:40 - 30:43
    Eesti e-häälte kokku lugemine on huvitav,
  • 30:43 - 30:46
    sest põhimõtteliselt on püütud teha
  • 30:46 - 30:48
    krüptograafiline analoog
  • 30:48 - 30:51
    topeltümbrikuga eelhääletamisele,
  • 30:51 - 30:54
    mida kasutatakse paljudes riikides.
  • 30:54 - 30:57
    Topeltümbrikuga eelhääletamisel on sul
  • 30:57 - 31:00
    sisemine turvaümbrik, milles on su sedel,
  • 31:00 - 31:05
    ja väline ümbrik sinu nime ja allkirjaga.
  • 31:05 - 31:08
    Kui tuleb aeg hääled kokku lugeda,
  • 31:08 - 31:10
    olles kontrollinud, et sa hääletasid vaid
  • 31:10 - 31:12
    ühe korra ja et sul on valimisõigus,
  • 31:12 - 31:14
    eemaldatakse nimi ja allkiri,
  • 31:14 - 31:16
    ning eraldatakse sisemised turvaümbrikud,
  • 31:16 - 31:16
    aetakse need segi,
  • 31:16 - 31:18
    et neid ei saaks nimedega seostada,
  • 31:18 - 31:21
    avatakse siis, ja loetakse hääled kokku.
  • 31:21 - 31:24
    Eesti süsteemis tehakse väga sarnaselt.
  • 31:24 - 31:27
    Valimisserverid hoiavad hääli, kuni jõuab
  • 31:27 - 31:30
    aeg hääled kokku lugeda. Ja siis võetakse
  • 31:30 - 31:33
    digiallkirjastatud krüpteeritud sedelid,
  • 31:33 - 31:36
    vabastatakse need digiallkirjadest
  • 31:36 - 31:38
    ja kirjutatakse siis DVD-le.
  • 31:38 - 31:42
    Selle DVD-ga viiakse krüpteeritud hääled
  • 31:42 - 31:45
    füüsiliselt eraldatud võrguta masinasse,
  • 31:45 - 31:48
    mida hüütakse häälte lugemise serveriks,
  • 31:48 - 31:52
    ja vaid see saab ligi privaatvõtmele,
  • 31:52 - 31:55
    mida kasutatakse häälte dešifreerimiseks.
  • 31:55 - 31:57
    Seega on hääl krüpteeritud kogu tee sinu
  • 31:57 - 31:59
    kliendist kuni häälte lugemise serverini,
  • 31:59 - 32:01
    ja häälte lugemise server saab need
  • 32:01 - 32:03
    dešifreerida ja näha hääli,
  • 32:03 - 32:05
    kuid see ei näe mitte kunagi allkirju,
  • 32:05 - 32:07
    mis need hääled identifitseeriks.
  • 32:07 - 32:11
    Sellisel viisil püütakse hoida
    valimissaladust.
  • 32:12 - 32:16
    Häälte lugemise serveri väljundiks on
    lihtsalt valimistulemused.
  • 32:16 - 32:18
    Ehk kandidaatide häältesummad
  • 32:18 - 32:20
    ja võitjaks tulnud kandidaadid.
  • 32:20 - 32:23
    Niisiis, selline on Eesti valimisprotsess
  • 32:23 - 32:26
    ja oli väga huvitav teada saada,
    kuidas see toimib.
  • 32:26 - 32:30
    Pole avaldatud ingliskeelseid kirjeldusi,
  • 32:30 - 32:32
    mis kõike kajastaks, enne meie uurimust.
  • 32:32 - 32:36
    Pidime küsitlema ja uurima lähtekoodi,
  • 32:36 - 32:39
    kõike seda selleks, et saada aimu,
    mis tegelikult toimub.
  • 32:39 - 32:40
    [Ohud?]
  • 32:40 - 32:42
    Järgmine küsimus pärast süsteemi
  • 32:42 - 32:44
    toimimise selgeks saamist on:
  • 32:44 - 32:46
    millised ohud seda ähvardavad?
  • 32:46 - 32:48
    Tegelikult me oleme juba käsitlenud
  • 32:48 - 32:52
    mõningaid internetivalimiste probleeme.
  • 32:52 - 32:54
    Tead ju küll - siseringi rünnakud
  • 32:54 - 32:56
    ebaausate valimisametnike poolt,
  • 32:56 - 32:58
    valijate sundimine, pahavara kliendis...
  • 32:58 - 33:02
    Aga kes veel sooviks rünnata
    sellist süsteemi?
  • 33:02 - 33:07
    Eesti toob meelde mõned erilised näited,
  • 33:07 - 33:10
    sest esiteks rünnati Eestit
  • 33:10 - 33:13
    väga silmapaistvalt 2007. aastal
  • 33:13 - 33:16
    ühe kõige varajasema näitena sellest,
  • 33:16 - 33:19
    mida mitmed vaatlejad peavad
  • 33:19 - 33:22
    riikidevaheliseks kübersõjaks,
  • 33:22 - 33:24
    kui nad kannatasid ulatusliku
  • 33:24 - 33:27
    teenusetõkestusründe all riigi
  • 33:27 - 33:30
    infrastrukruuri vastu, rühmituste poolt,
  • 33:30 - 33:32
    keda seostatakse Moskvaga.
  • 33:32 - 33:37
    Teiseks, möödunud suvel olid Ukrainas
  • 33:37 - 33:41
    revolutsioonijärgsed valimised.
  • 33:41 - 33:45
    Ja nende kestel oli ulatuslikke ründeid
  • 33:45 - 33:48
    valimiste infrastruktuuri vastu.
  • 33:48 - 33:51
    Need valimised ei toimunud internetis,
  • 33:51 - 33:54
    kuid häälte tabelitesse ajamise protsess,
  • 33:54 - 33:57
    protsess üle kogu riigi kõigi tulemuste
  • 33:57 - 34:00
    kokku võtmiseks, tugines arvutivõrgule
  • 34:00 - 34:02
    häälte arvu vastuvõtmisel
  • 34:02 - 34:05
    ja kokkuvõtete internetis avaldamisel.
  • 34:05 - 34:08
    Kuuldavasti ründasid ka seda protsessi
  • 34:08 - 34:12
    rühmitused, keda seostatakse ka Venemaaga
  • 34:12 - 34:14
    ja kes püüdsid valimisi diskrediteerida,
  • 34:14 - 34:15
    ja ma lugesin,
  • 34:15 - 34:18
    et püüdsid isegi avaldada valetulemusi.
  • 34:18 - 34:21
    Kõik see sai avalikuks eelmisel suvel.
  • 34:21 - 34:24
    See paneb mind uskuma, et õige ohumudel
  • 34:24 - 34:27
    internetivalimiste jaoks peab sisaldama
  • 34:27 - 34:30
    kogenud riigi tasemel ründajaid,
  • 34:30 - 34:32
    kes võivad tahta tulemusi mõjutada.
  • 34:32 - 34:34
    Ja sellise riigi puhul, nagu Eesti,
  • 34:34 - 34:36
    kes, teate ju küll,
  • 34:36 - 34:38
    on Venemaaga piirnev EL ja NATO liige,
  • 34:38 - 34:40
    on ilmselt palju osavaid
  • 34:40 - 34:42
    riigi tasemel ründajaid
  • 34:42 - 34:46
    kes võivad tahta kaasa rääkida selle
    tulevastes sihtides.
  • 34:47 - 34:49
    Hüva! Seda ohumudelit meeles pidades
  • 34:49 - 34:52
    hinnakem Eesti süsteemi ülesehitust.
  • 34:52 - 34:54
    On kaks Eesti disaini osa,
  • 34:54 - 34:57
    mille kohta juba disainiga tutvumisel
  • 34:57 - 35:00
    võib öelda, et need on
  • 35:00 - 35:02
    kõhklematult usaldatavad komponendid.
  • 35:02 - 35:04
    Ja kui me turvalisuse puhul ütleme,
  • 35:04 - 35:06
    et miski on usaldatav, siis peame
  • 35:06 - 35:08
    silmas seda, et kui see on häkitud,
  • 35:08 - 35:10
    siis oleme suures jamas.
  • 35:10 - 35:13
    Niisiis, seda mõtleme me usaldatava all.
  • 35:13 - 35:16
    Need kaks komponenti on valija klient
  • 35:16 - 35:18
    ja häälte lugemise server.
  • 35:18 - 35:21
    Ja las ma ütlen teile, miks need mõlemad
  • 35:21 - 35:25
    on potentsiaalsed või tõsised haavatavad
  • 35:25 - 35:27
    kohad Eesti disaini juures.
  • 35:27 - 35:30
    Alustame kliendist.
  • 35:30 - 35:32
    Eesti valimiste klientrakendus võib
  • 35:32 - 35:34
    potentsiaalselt saada kompromiteeritud
  • 35:34 - 35:36
    kliendipoolse pahavara poolt.
  • 35:36 - 35:38
    Siin on lihtne pahavara disain,
  • 35:38 - 35:40
    mida me reaalselt laboris ka rakendasime.
  • 35:40 - 35:42
    Muide, nende rünnete rakendamiseks
  • 35:42 - 35:45
    me tekitasime oma laboratooriumisse
  • 35:45 - 35:47
    Eesti süsteemi täieliku koopia,
  • 35:47 - 35:49
    kasutades nende serveripoole lähtekoodi,
  • 35:49 - 35:51
    nende dokumenteeritud protseduure
  • 35:51 - 35:53
    ja klientrakenduse pöördkodeerimist,
  • 35:53 - 35:55
    et panna see suhtlema meie serveritega
  • 35:55 - 35:57
    ja kasutama meie võtmeid ametlike asemel.
  • 35:57 - 35:59
    Me seadsime oma laborisse üles
  • 35:59 - 36:01
    täieliku valimiste testsüsteemi
  • 36:01 - 36:03
    ja meil on kodulehel virtuaalmasina
  • 36:03 - 36:05
    tõmmised, kui keegi tahab proovida
  • 36:05 - 36:07
    mängida sellega oma laboris.
  • 36:07 - 36:09
    Igatahes, kujuta ette, et omad valimiste
  • 36:09 - 36:11
    klientrakendust ja oled võimeline
  • 36:11 - 36:13
    sellesse panema mingi pahavara.
  • 36:13 - 36:15
    See pahavara võib lihtsalt sekkuda
  • 36:15 - 36:17
    valimiste kliendi protsessi
  • 36:17 - 36:20
    ja varastada valija PIN koodi,
  • 36:20 - 36:23
    kui see valimiste käigus sisestatakse.
  • 36:23 - 36:25
    Hiljem, järgmisel korral kui valija
  • 36:25 - 36:27
    sisestab oma ID-kaardi näiteks
  • 36:27 - 36:30
    internetipanka minekul, siis see pahavara
  • 36:30 - 36:33
    saab taustal nähtamatult seda varastatud
  • 36:33 - 36:36
    PIN-i kasutada, et anda uus hääl.
  • 36:36 - 36:39
    Valija ei saa iial aimu hääle muutmisest.
  • 36:39 - 36:45
    Ründaja aga saab selle protseduuriga
    varastada ühe hääle.
  • 36:46 - 36:48
    Nüüd on siin kaks suurt küsimust:
  • 36:48 - 36:51
    kuidas nakatada kliente
  • 36:51 - 36:54
    ja kuidas ära petta kontrollirakendus?
  • 36:54 - 36:56
    Kuidas nakatada kliente?
  • 36:56 - 36:59
    Me peame selle jätma ettekujutuse valda,
  • 36:59 - 37:02
    sest meil polnud mängimiseks botnetti,
  • 37:02 - 37:05
    mis koosneks tuhandetest nakatunud
    arvutitest Eestis.
  • 37:05 - 37:07
    Kuid kellelgi teisel on,
  • 37:07 - 37:09
    ja see on üks võimalus,
  • 37:09 - 37:11
    mida on lihtne ette kujutada
  • 37:11 - 37:13
    tuhandete häälte muutmiseks.
  • 37:13 - 37:16
    Teine viis on näiteks, kui sa oled NSA,
  • 37:16 - 37:19
    sul on Zero-Day turvaauguga arvutite varu
  • 37:19 - 37:22
    ja sa lihtsalt ründad mõnd populaarset
  • 37:22 - 37:24
    veebilehte või rakendust, mida Eestis
  • 37:24 - 37:26
    kasutatakse, ja nakatad sellega inimeste
  • 37:26 - 37:28
    klientrakendused pahavaraga.
  • 37:28 - 37:31
    Kolmas võimalus on sokutada paheline kood
  • 37:31 - 37:32
    ametlikku valimisrakendusse,
  • 37:32 - 37:34
    mille kohta me teame, et kõik,
  • 37:34 - 37:36
    kes Eestis internetis valivad,
  • 37:36 - 37:39
    paigaldavad selle oma masinasse
    enne valimist.
  • 37:39 - 37:42
    Igatahes on mitmeid viise klientide
    nakatamiseks.
  • 37:42 - 37:45
    Kuidas ära petta kontrollirakendus?
  • 37:45 - 37:48
    Tuleb välja, et see pole üldse keeruline,
  • 37:48 - 37:51
    sest survestamisvastaste meetmete tõttu,
  • 37:51 - 37:54
    (tuletame meelde seda vastuolu tervikluse
  • 37:54 - 37:56
    ja valimissaladuse nõude vahel),
  • 37:56 - 37:58
    tänu neile survestamisvastastele
    meetmetele,
  • 37:58 - 38:01
    saab kontrollirakendust kasutada vaid
  • 38:01 - 38:04
    kuni 30 minuti jooksul pärast valimist.
  • 38:04 - 38:09
    Seega pärast hääle andmist on vaja vaid
    oodata...
  • 38:09 - 38:12
    Kui see ei toimi või on liiga kahtlane,
  • 38:12 - 38:15
    siis võime proovida ka hübriidrünnet,
  • 38:15 - 38:18
    mis sisaldab pahelist androidirakendust
  • 38:18 - 38:20
    ja valimiskliendi nakatamist.
  • 38:20 - 38:22
    Tänu nende platvormide lähenemisele
  • 38:22 - 38:24
    ei ole enam nii raske uskuda,
  • 38:24 - 38:26
    et keegi võib samaaegselt
  • 38:26 - 38:28
    ja seostatult rünnata mõlemat.
  • 38:28 - 38:30
    Igatahes on erinevaid viise nende
  • 38:30 - 38:32
    mõlema asja tegemiseks.
  • 38:32 - 38:36
    Me võime minna edasi ja vaadata ka
    serveri poolt.
  • 38:36 - 38:40
    Serveri poolel on süsteemi
    achilleuse kannaks
  • 38:40 - 38:42
    häälte lugemise server,
  • 38:42 - 38:45
    mis ainsana saab manipuleerida
    krüpteerimata hääli.
  • 38:45 - 38:48
    Ja mitte keegi ei näe kunagi neid hääli -
  • 38:48 - 38:50
    näha on vaid väljundid, seega,
  • 38:50 - 38:52
    kui häälte lugemise server petab,
  • 38:52 - 38:55
    võib see lihtsalt oma suva järgi öelda,
  • 38:55 - 38:58
    milline on valimistulemus.
  • 38:58 - 39:00
    Kuid nad tegid häälte lugemise serveri
  • 39:00 - 39:02
    manipuleerimise päris keeruliseks.
  • 39:02 - 39:04
    See on võrguühenduseta...
  • 39:04 - 39:05
    See ehitatakse enne valimisi...
  • 39:05 - 39:06
    See on kinni pitseeritud...
  • 39:06 - 39:08
    See asub kuskil turvahoidlas...
  • 39:08 - 39:10
    Peame arvestama, et see on üsna raske!
  • 39:10 - 39:12
    Seega kuidagi tuleb leida viis, kuidas
  • 39:12 - 39:15
    mõjutada koodi toimimist selles masinas.
  • 39:15 - 39:19
    Me proovisime ja lõime selleks vahendid,
  • 39:19 - 39:22
    et seda masinat kompromiteerida, isegi,
  • 39:22 - 39:25
    kui rakendati nende turvameetmeid.
  • 39:25 - 39:29
    Meie tööriistaahel põhineb Ken Thompsoni
  • 39:29 - 39:33
    "Mõtisklused usalduse usaldamisest"
  • 39:33 - 39:35
    pärit ideel, mis ütleb, et isegi,
  • 39:35 - 39:37
    kui üks süsteem on turvaline,
  • 39:37 - 39:40
    on selle ehitamiseks vaja teist süsteemi,
  • 39:40 - 39:42
    ja on vaja veel üht süsteemi,
  • 39:42 - 39:43
    et ehitada seda teist süsteemi.
  • 39:43 - 39:45
    Seega järgides seda ahelat,
  • 39:45 - 39:47
    jõuad sa lõpuks kohani,
  • 39:47 - 39:50
    millele ründajal on juurdepääs.
  • 39:50 - 39:52
    Oma uurimuses me leidsime selle viisi,
  • 39:52 - 39:54
    kuidas nad selle masina
  • 39:54 - 39:56
    häälte lugemise serveriks ehitasid.
  • 39:56 - 40:00
    See jookseb minu arvates mingil
    Debiani variandil.
  • 40:00 - 40:02
    Ja see on paigaldatud DVD-lt,
  • 40:02 - 40:05
    mis on kõrvetatud eraldi arendusmasinas,
  • 40:05 - 40:07
    mis on ehitatud enne valimisi
  • 40:07 - 40:10
    ja mis reaalselt laadib veebist alla
  • 40:10 - 40:12
    värske Debiani koopia
  • 40:12 - 40:14
    ja kõrvetab selle DVD-le.
  • 40:15 - 40:18
    Seega oletame, et me saame astuda mõned
  • 40:18 - 40:20
    sammud tagasi häälte lugemise serverist
  • 40:20 - 40:22
    ja kompromiteerime seda arendusserverit.
  • 40:22 - 40:24
    See on internetti ühendatud...
  • 40:24 - 40:26
    See on ehitatud enne seda, kui algab
  • 40:26 - 40:28
    valimisprotseduuride videosalvestus...
  • 40:28 - 40:30
    Oletame, et meil õnnestub
  • 40:30 - 40:31
    mingi pahavara sinna sokutada...
  • 40:31 - 40:35
    Niisiis ehitasime demo, kus see pahavara
  • 40:35 - 40:39
    nakatab selle kirjutatava paigaldus-DVD,
  • 40:39 - 40:46
    kasutab käomuna, et valetada ISO-tõmmise
    SHA-1 räsi kohta,
  • 40:46 - 40:48
    sest nad kontrollivad seda.
  • 40:48 - 40:51
    Ja siis see nakatunud DVD paigaldab mingi
  • 40:51 - 40:55
    tagauksekoodi häälte lugemise serverisse,
    kui seda ehitatakse.
  • 40:55 - 40:58
    Sel juhul on häälte muutmine väga lihtne.
  • 40:58 - 41:00
    Meil on vaja vaid sekkuda häälte
  • 41:00 - 41:03
    lugemise serveri koodi, mis kasutab
  • 41:03 - 41:06
    lisatud riistvaralist turvamoodulit
  • 41:06 - 41:08
    kõigi häälte dešifreerimiseks,
  • 41:08 - 41:10
    ja põhimõtteliselt vaadata,
  • 41:10 - 41:12
    mis tuleb sellelt turvamoodulilt tagasi,
  • 41:12 - 41:15
    ja asendada see oma eelistatud häältega.
  • 41:15 - 41:18
    Sel viisil võtab see umbes paraja aja,
  • 41:18 - 41:20
    mil turvamoodul dešifreerib õigeid hääli,
  • 41:20 - 41:22
    kuid tulemused on võltsitud.
  • 41:23 - 41:24
    Hüva! Need on kaks rünnet,
  • 41:24 - 41:28
    mis tuginevad pisut mõnele võimele,
  • 41:28 - 41:30
    mida meil pole, nagu juurdepääs
  • 41:30 - 41:32
    Zero-Days turvaauguga masinatele
  • 41:32 - 41:34
    või botnetile, või siseringi juurdepääs.
  • 41:34 - 41:37
    Kõik need asjad on tõelistel ründajatel
    siiski olemas.
  • 41:37 - 41:39
    Kuid võib siiski olla võimalik,
  • 41:39 - 41:42
    et Eesti operatiivne turvalisus
    on nii hea,
  • 41:42 - 41:44
    et neil oskuslikel ründajatel
  • 41:44 - 41:46
    on probleeme masinate nakatamisega.
  • 41:46 - 41:49
    Seega, kui hea on nende operatiivne
    turvalisus?
  • 41:49 - 41:51
    See oli suur küsimus meie töös ja miski,
  • 41:51 - 41:53
    millele me kulutasime palju aega
  • 41:53 - 41:54
    vaadates läbi videoid,
  • 41:54 - 41:56
    tehes intervjuusid,
  • 41:56 - 41:58
    et seda kõike välja selgitada.
  • 41:58 - 42:01
    Hüva! See mees, Eesti president, ütleb,
  • 42:01 - 42:04
    et nende turvalisus on parem kui Googlel.
  • 42:04 - 42:06
    See on siis see standard,
  • 42:06 - 42:08
    mille nad on endile seadnud!
  • 42:08 - 42:10
    See on hea, see on miski,
  • 42:10 - 42:11
    mille poole pürgida.
  • 42:11 - 42:14
    Vaatame, milline nende turvalisus
    tegelikult on,
  • 42:14 - 42:16
    tuginedes ametlikele videotele,
  • 42:16 - 42:18
    mis nad on avaldanud valimiste jooksul.
  • 42:18 - 42:21
    Hüva! See on Tarvi Martens,
  • 42:21 - 42:27
    ja siin, tema pea kohal, on nende WiFi
    võrgu SSID ja parool...
  • 42:27 - 42:34
    (naer ja aplaus)
  • 42:34 - 42:37
    Hüva! Siin ehitavad nad mingit tarkvara
  • 42:37 - 42:40
    ja servereid ja konfiguratsiooni
  • 42:40 - 42:42
    reaalsetele masinatele.
  • 42:42 - 42:44
    Suumime sellele ekraanile sisse!
  • 42:44 - 42:45
    Oh, heldust! Hästi!
  • 42:45 - 42:48
    Nad kasutavad mingit Windowsi jaosvara,
  • 42:48 - 42:50
    mida nad laadivad alla üle HTTP,
  • 42:50 - 42:54
    et kirjutada serverite konfifaile...
  • 42:54 - 42:56
    See ei paista hea!
  • 42:56 - 43:00
    Hästi, lähme edasi! Siin on teine arvuti,
  • 43:00 - 43:03
    sellel kuvatõmmisel nad testivad
    klientrakendust.
  • 43:03 - 43:04
    Suumime sisse...
  • 43:04 - 43:06
    Töölaud paistab päris hästi.
  • 43:06 - 43:07
    Üks hetk!
  • 43:07 - 43:10
    Mis ikoonid need siin töölaual on?
  • 43:10 - 43:12
    Siin on mingi pokkeriveeb...
  • 43:12 - 43:14
    BitTorrenti klient...
  • 43:14 - 43:17
    Ma arvan, et see siin on piraatmuusika...
  • 43:17 - 43:18
    Oh, heldust!
  • 43:18 - 43:22
    See pole küll puhas ja turvaline masin!
  • 43:22 - 43:25
    Loodan, et siin ei tehta midagi olulist!
  • 43:25 - 43:26
    Ohhoo!
  • 43:26 - 43:28
    Nad allkirjastavad digitaalselt
  • 43:28 - 43:30
    ametlikku valimisklienti,
  • 43:30 - 43:32
    mida nad kavatsevad lasta kõigil
  • 43:32 - 43:34
    selles riigis alla laadida
  • 43:34 - 43:36
    ja oma arvutisse installeerida!
  • 43:36 - 43:38
    Oh, issand!
  • 43:38 - 43:40
    See on kõige ohtlikum asi -
  • 43:40 - 43:42
    hoida õiget kliendiprogrammi
  • 43:42 - 43:44
    potentsiaalselt nakatunud masinas.
  • 43:44 - 43:46
    Kui keegi nakatab selle masina,
  • 43:46 - 43:48
    siis saab ta oma pahavara
  • 43:48 - 43:50
    ametlikku valimiskliendi sisse
  • 43:50 - 43:52
    ja levitada seda iga Eesti valijani.
  • 43:53 - 43:55
    Hästi! Mis veel?
  • 43:55 - 43:57
    Hiljem samas masinas -
  • 43:57 - 43:58
    Siin on Tarvi nimi...
  • 43:58 - 44:01
    Usun, et see on Tarvi Martensi
    isiklik sülearvuti...
  • 44:01 - 44:02
    Oh! Hüva!
  • 44:02 - 44:07
    Siin sätivad nad üles üht serverit.
  • 44:07 - 44:10
    Nad logivad sisse oma peakasutajakontole.
  • 44:10 - 44:12
    Sa võid siin näha nende klahvivajutusi...
  • 44:12 - 44:15
    (naer ja aplaus)
  • 44:15 - 44:16
    Hästi!
  • 44:16 - 44:19
    Siin sisestab keegi oma ID-kaardi PIN-i...
  • 44:19 - 44:22
    See siin on andmekeskuses.
  • 44:22 - 44:24
    See on tõesti kasulik!
  • 44:24 - 44:27
    See suur võti siin avab
    andmekeskuse ukse...
  • 44:27 - 44:30
    (naer)
  • 44:30 - 44:32
    Kas kellelgi on 3D printerit?
  • 44:32 - 44:34
    (naer)
  • 44:34 - 44:35
    Hüva!
  • 44:35 - 44:37
    See ei tundu just olevat selline
  • 44:37 - 44:40
    operatiivse turvalisuse tase,
  • 44:40 - 44:42
    mida meile vaja oleks,
  • 44:42 - 44:44
    et kaitsta riigi tasemel ründajate vastu!
  • 44:44 - 44:46
    Aga ei taha olla nende vastu liiga karm.
  • 44:46 - 44:48
    Selline operatiivse turvalisuse tase
  • 44:48 - 44:51
    ongi riigiasutuse IT süsteemis tüüpiline.
  • 44:51 - 44:53
    Kuid see pole lihtsalt mingi suvaline
  • 44:53 - 44:55
    valitsusasutuse infosüsteem.
  • 44:55 - 44:57
    See määrab, kes saab olema uus juhtkond.
  • 44:57 - 45:01
    See on riikliku julgeoleku seisukohast
    kriitiline infosüsteem!
  • 45:01 - 45:03
    Hästi! Veel üks asi, mis juhtus.
  • 45:03 - 45:06
    Neil olid viimastel valimistel mõned
  • 45:06 - 45:09
    asjad valesti läinud, sealhulgas lõpus,
  • 45:09 - 45:12
    kui tuli kopeerida ametlikud tulemused
  • 45:12 - 45:15
    häälte lugemise serverist välja,
  • 45:15 - 45:18
    siis DVD kirjutaja ei toiminud.
  • 45:18 - 45:21
    Ja nad vaatasid ringi, kuidas seda teha.
  • 45:21 - 45:22
    Oli vaja kõik tulemused välja kopeerida
  • 45:22 - 45:24
    ja tuua teise süsteemi, et need
  • 45:24 - 45:27
    digitaalselt allkirjastada ja avaldada.
  • 45:27 - 45:30
    Siis võttis Tarvi Martens taskust mälupulga
  • 45:30 - 45:33
    ja pistis häälte lugemise serverisse,
  • 45:33 - 45:36
    ainsasse masinasse, mis näeb antud hääli,
  • 45:36 - 45:39
    ning seejärel oma Windowsi sülearvutisse,
  • 45:39 - 45:41
    allkirjastas hääled ja avaldas need.
  • 45:41 - 45:43
    See siin ilmus tema Windowsi sülearvutile
  • 45:43 - 45:45
    kui ta pistis selle USB pulga sisse...
  • 45:45 - 45:48
    Te võite näha, et see on olnud kõikjal!
  • 45:48 - 45:50
    Sellel on ettekanne valimissüsteemist,
  • 45:50 - 45:52
    mille ta oli seal teinud.
  • 45:52 - 45:54
    See polnud puhas USB-pulk!
  • 45:54 - 45:56
    Seega veel üks võimalik tee pahavara
  • 45:56 - 45:58
    pääsuks häälte lugemise serverisse.
  • 45:58 - 46:00
    [Avalikustamine]
  • 46:00 - 46:00
    Hüva!
  • 46:00 - 46:04
    Seega meie hinnang oli, et Eesti süsteem
  • 46:04 - 46:06
    oli tõsiste turbeprobleemidega,
  • 46:06 - 46:08
    eriti riigi tasemel vastase suhtes,
  • 46:08 - 46:10
    ja nende olemasolev operatiivne
  • 46:10 - 46:13
    turvalisus polnud mitte kuidagi valmis
  • 46:13 - 46:15
    sellele vastu seisma.
  • 46:15 - 46:17
    Ja me olime teatavas kimbatuses,
  • 46:17 - 46:20
    sest olime olnud Eestis mullu oktoobris
  • 46:20 - 46:22
    ja valimisametnikele üldjoontes rääkinud,
  • 46:22 - 46:25
    et meil on need mured, ja siis lahkusime
  • 46:25 - 46:28
    ja saime endi jaoks laboris kinnitust.
  • 46:28 - 46:33
    Nüüd olid Eestis tulemas uued valimised,
    mais 2014.
  • 46:33 - 46:35
    Me teadsime seda informatsiooni.
  • 46:35 - 46:37
    Mida me pidime sellega peale hakkama?
  • 46:37 - 46:38
    Me teadsime,
  • 46:38 - 46:40
    et valimisametnikud olid juba veendunud,
  • 46:40 - 46:42
    et süsteem on igati korralik.
  • 46:42 - 46:44
    Seega otsustasime info avaldada,
  • 46:44 - 46:47
    ja õnnetuseks, kuna meil kõigil oli käsil
  • 46:47 - 46:49
    palju projekte, lükkus see edasi,
  • 46:49 - 46:51
    kuni veel lähemale uutele valimistele,
  • 46:51 - 46:54
    kui see oleks mulle meeldinud.
  • 46:54 - 46:57
    Me naasime Eestisse kõigest u 10 päeva
  • 46:57 - 46:58
    enne nende järgmisi valimisi,
  • 46:58 - 47:00
    et teavitada avalikkust sellest,
  • 47:00 - 47:02
    mis me olime avastanud.
  • 47:03 - 47:04
    Niisiis me lendasime,
  • 47:04 - 47:07
    saime näha Tallinna imeilusat kesklinna,
  • 47:07 - 47:10
    panime püsti häkkeri baaslaagri
  • 47:10 - 47:12
    kenas suures AirBnB majutuskohas,
  • 47:12 - 47:14
    kuhu kogu meeskond ära mahtus.
  • 47:14 - 47:16
    Ja tegutsesime edasi,
  • 47:16 - 47:18
    et korraldada pressikonverents
  • 47:18 - 47:20
    ja teavitada oma avastustest.
  • 47:20 - 47:22
    Me panime üles veebilehekülje,
  • 47:22 - 47:24
    mis võttis need, nagu mina praegu,
  • 47:24 - 47:27
    tavainimesele mõistetavalt kokku.
  • 47:27 - 47:30
    Ja avaldasime detailse tehnilise aruande,
  • 47:30 - 47:33
    mis avaldati ka ACM CCS konverentsil.
  • 47:34 - 47:35
    Nüüd reaktsioonist...
  • 47:35 - 47:38
    Selle mõistmiseks on Eesti poliitikast
  • 47:38 - 47:40
    vaja teada kõigest kaht asja.
  • 47:40 - 47:44
    Esiteks, seal on kaks suuremat erakonda -
  • 47:44 - 47:47
    Reformierakond ja Keskerakond.
  • 47:47 - 47:50
    Reformierakond, kes on praegu valitsev,
  • 47:50 - 47:54
    toetab e-valimisi, see on nende kutsikas,
  • 47:54 - 47:57
    see on nende rahvusliku uhkuse allikas.
  • 47:57 - 48:00
    Nad tahavad seda turustada mujal Euroopas
  • 48:00 - 48:03
    ja näidata, kui silmapaistev ja modernne
    Eesti on.
  • 48:03 - 48:06
    Keskerakond, kes on olnud riigis võimul,
  • 48:06 - 48:09
    on praegu opositsioonis, kuid nad juhivad
  • 48:09 - 48:15
    Tallinna linna, mis on olemuselt linnriik
    selle riigi sees.
  • 48:15 - 48:18
    Nemad ei salli e-valimisi, võimalik,
  • 48:18 - 48:20
    et seepärast, et nad kaotasid valimistel.
  • 48:20 - 48:23
    Võimuta jäänud parteid ikka vihkavad või
  • 48:23 - 48:26
    kritiseerivad valimiste tehnoloogiat,
  • 48:26 - 48:28
    samas võimuerakonnad ei tee seda kunagi.
  • 48:28 - 48:32
    Igatahes, Keskerakond on süsteemi kaua
    kritiseerinud,
  • 48:32 - 48:34
    aga Reformierakond armastab seda.
  • 48:34 - 48:37
    Õnnetuseks, iga meediaväljaanne Eestis
  • 48:37 - 48:42
    näib olevat lähedalt seotud ühe või teise
    erakonnaga neist kahest.
  • 48:42 - 48:45
    Ja nii käsitlesid kõik meie esile toodud
  • 48:45 - 48:48
    potentsiaalseid ründeid kas tõendina,
  • 48:48 - 48:51
    et e-valimised oli pettus, või siis mõne
  • 48:51 - 48:54
    isiku katsena e-valimisi rünnata,
  • 48:54 - 48:58
    kuna nad töötavat vastaserakonna heaks.
  • 48:58 - 49:00
    Seega sattusime kõige selle keskele,
  • 49:00 - 49:02
    ja see oli üsna uskumatu,
  • 49:02 - 49:04
    kuid mitte just eriti lõbus.
  • 49:05 - 49:08
    See teema oli terve nädala peauudiseks
  • 49:08 - 49:10
    ja püsis igaõhtuste uudiste alguses.
  • 49:10 - 49:12
    Ma lendasin koju lennukis,
  • 49:12 - 49:15
    kus inimesed minu kõrvalridades
  • 49:15 - 49:18
    lugesid lehtedest sellest artikleid.
  • 49:18 - 49:20
    See oli üks minu elu veidramaid kogemusi.
  • 49:20 - 49:22
    Me kohtusime ka valimisametnikega
  • 49:22 - 49:23
    väga ametlikul kohtumisel,
  • 49:23 - 49:24
    kus viibis ka nende advokaat.
  • 49:24 - 49:27
    Tarvi Martens tänas meid väga ja ütles,
  • 49:27 - 49:30
    et nad on juba kõike seda arvesse võtnud
  • 49:30 - 49:33
    ja probleeme pole...
  • 49:34 - 49:34
    Hüva!
  • 49:34 - 49:38
    Me pidime tegema paar napsu ka valimiste
  • 49:38 - 49:40
    turbespetsialistidega, kes olid kindlad,
  • 49:40 - 49:44
    et kõik on korras. Sest, nagu nad väitsid,
  • 49:44 - 49:46
    õiged inimesed ju ikkagi võitsid!
  • 49:46 - 49:48
    (naer)
  • 49:48 - 49:51
    Ma küsisin neilt, mis juhtuks, kui mingi
  • 49:51 - 49:54
    jubeda vea tõttu võidaks valed inimesed,
  • 49:54 - 49:57
    vallandaks teid kõiki ja jätkaks selle
  • 49:57 - 50:00
    süsteemi praegusel kujul kasutamist?
  • 50:00 - 50:02
    Selle peale muutusid neil näod nukraks,
  • 50:02 - 50:05
    ja nad ütlesid, et see oleks päris paha.
  • 50:05 - 50:07
    (naer)
  • 50:07 - 50:09
    Ent hiljem Harri Hursti,
  • 50:09 - 50:11
    üks meie meeskonna liige,
  • 50:11 - 50:14
    kes on väga suurt kasvu soome mees
  • 50:14 - 50:17
    ja tuntud uskumatult vägeva napsusõbrana,
  • 50:17 - 50:19
    läks välja tõsisemale napsutamisele
  • 50:19 - 50:21
    koos selle väga kena vene kutiga,
  • 50:21 - 50:24
    kes on e-valimiste turbepealik.
  • 50:24 - 50:27
    Mulle räägiti, et selle õhtusöögi käigus
  • 50:27 - 50:30
    tarbis kumbki mees kaks pudelit viina,
  • 50:30 - 50:33
    pärast mida ei saanud enam miski
  • 50:33 - 50:36
    tõe eest peitu jääda.
  • 50:36 - 50:39
    Harri teatas, et õhtu lõpuks
  • 50:39 - 50:42
    oli ta joonud turbeülema seest välja
  • 50:42 - 50:44
    peakasutaja parooli.
  • 50:44 - 50:48
    (aplaus)
  • 50:48 - 50:51
    Ja siin ta on tagasi tulemas...
  • 50:51 - 50:54
    (aplaus)
  • 50:54 - 50:57
    Veel üks viimane asi sisse pakkida.
  • 50:57 - 51:00
    Eesti peaminister esines teles ja ütles,
  • 51:00 - 51:02
    et ta oli meie kohta Facebookis uurinud,
  • 51:02 - 51:04
    ja me töötavat tema vastaste heaks,
  • 51:04 - 51:06
    et e-valimisi diskrediteerida,
  • 51:06 - 51:09
    sest Jason Kitkati sõbraloendis oli keegi
  • 51:09 - 51:11
    linnavalitsuse töötaja.
  • 51:11 - 51:13
    Tema sõbraloendis oli ka rahandusminister
  • 51:13 - 51:15
    ja tal oli ka silmapaistev Facebooki
  • 51:15 - 51:17
    sõbrakutse peaministrilt,
  • 51:17 - 51:20
    kuid ilmselt ei võtnud ta seda vastu.
  • 51:20 - 51:22
    Lõpuks saime mõned väga huvitavad...
  • 51:23 - 51:25
    Mind pole kunagi varem rünnatud teles
  • 51:25 - 51:27
    NATO riigi peaministri poolt, eriti
  • 51:27 - 51:30
    veel selle pärast, kes on minu sõbrad.
  • 51:30 - 51:33
    Lõpuks saime mõned huvitavad ametlikud
  • 51:33 - 51:37
    vastused, mis avaldati internetis Eesti
    valimiskomisjoni poolt.
  • 51:37 - 51:39
    Nad ütlevad, et kontrollirakendus avastab
  • 51:39 - 51:42
    kogu pahatahtliku käitumise...
  • 51:42 - 51:44
    Jah, me ju rääkisime sellest rakendusest...
  • 51:44 - 51:46
    Nad ütlevad ka, et miks varastada hääli,
  • 51:46 - 51:48
    kui võib varastada raha,
  • 51:48 - 51:49
    kui sa oled selleks kõigeks suuteline?
  • 51:49 - 51:50
    (naer)
  • 51:50 - 51:52
    Ma ei võtaks ka seda tõsiselt.
  • 51:52 - 51:54
    Kuid kõige üllatavam asi oli,
  • 51:54 - 51:57
    et Eesti Sertifitseerimiskeskus avaldas
  • 51:57 - 52:02
    blogipostituse, mille võite netist leida
    ka inglise keeles.
  • 52:02 - 52:03
    Postituse pealkirjaks on nad pannud:
  • 52:03 - 52:06
    "E-valimised on (liiga) turvalised..."
  • 52:06 - 52:07
    Oh, heldust!
  • 52:07 - 52:11
    "Korralikel kodanikel, kes hoolivad
    arvutipuhtusest, ei ole viiruseid...",
  • 52:11 - 52:12
    nagu nad väidavad!
  • 52:12 - 52:17
    "Arvutiriskid on e-valimiste süsteemist
    praktiliselt kõrvaldatud..."
  • 52:17 - 52:19
    Minu meeskonna kohta kirjutati:
  • 52:19 - 52:25
    "Nad on siin mitte tehniliselt pädeva,
    vaid poliitilise, kuid tehniliselt
    ebakompetentse sõnumi pärast..."
  • 52:25 - 52:26
    Oh, heldust!
  • 52:27 - 52:30
    Ma ei usu, et meil oleks
  • 52:30 - 52:33
    palju lootust veenda Eestit
  • 52:33 - 52:36
    muutma oma valimissüsteemi.
  • 52:36 - 52:40
    Siiski saame siit võtta mõned õppetunnid
    teistele riikidele.
  • 52:40 - 52:43
    Eesti internetivalimiste süsteem pole
  • 52:43 - 52:46
    tegelikult turvaline mitme ohtu suhtes.
  • 52:46 - 52:48
    Riigi tasemel tegutsejad võivad
  • 52:48 - 52:51
    sihikule võtta kaasaegseid riike,
  • 52:51 - 52:53
    kes korraldavad internetivalimisi.
  • 52:53 - 52:57
    See on riikliku julgeoleku küsimus,
    mitte IT probleem.
  • 52:57 - 52:59
    Seega, kui sa isegi vaid mõtled sellise
  • 52:59 - 53:01
    süsteemi kasutuselevõtmisest,
  • 53:01 - 53:03
    siis pead sa tegelema hoopis teistsuguse
  • 53:03 - 53:05
    ohumudeli ja kaitsetasemega.
  • 53:05 - 53:08
    Poliitikud, kahjuks, nagu me nägime,
  • 53:08 - 53:10
    võivad varjata suuri tehnilisi probleeme.
  • 53:10 - 53:12
    Ja ka sinu riigis,
  • 53:12 - 53:14
    kui sinu riik kaalub sellise süsteemi
  • 53:14 - 53:16
    kasutuselevõttu, palun,
  • 53:16 - 53:17
    ole siis sellega ettevaatlik!
  • 53:17 - 53:19
    Meie soovitus on, et Eesti peaks lõpetama
  • 53:19 - 53:21
    oma e-valimiste süsteemi kasutamise,
  • 53:21 - 53:23
    kuni nende fundamentaalne turvalisus paraneb!
  • 53:23 - 53:25
    Kuid ma loodan...
  • 53:25 - 53:26
    (aplaus)
  • 53:26 - 53:28
    Mul pole üldse...
  • 53:28 - 53:29
    (aplaus)
  • 53:29 - 53:31
    Mul pole neile eriti abi anda.
  • 53:31 - 53:33
    Kuid lihtsalt kokkuvõtteks -
  • 53:33 - 53:36
    minu jaoks on internetivalimiste
  • 53:36 - 53:38
    fundamentaalne probleem selles,
  • 53:38 - 53:40
    et me tahame valimissüsteemi,
  • 53:40 - 53:44
    kuhu ei sina ega mina ega meie sõbrad ega
  • 53:44 - 53:48
    Tarvi Martens ega Vladimir Putin ega NSA
  • 53:48 - 53:50
    ei saaks lihtsalt sisse häkkida
  • 53:50 - 53:51
    ja muuta valimistulemust.
  • 53:51 - 53:53
    Nii lihtne see ongi!
  • 53:53 - 53:55
    Me tahame demokraatiat!
  • 53:55 - 54:03
    (aplaus)
  • 54:03 - 54:06
    Ulatuslik pettus peaks olema vähemalt
  • 54:06 - 54:09
    sama keeruline, kui pabervalimise korral.
  • 54:09 - 54:11
    Ükski tehnoloogia seda siiani ei taga.
  • 54:11 - 54:12
    Seepärast on minu seisukoht,
  • 54:12 - 54:14
    kuigi olen teadlik paljulubavatest
  • 54:14 - 54:16
    sellealastest uuringutest,
  • 54:16 - 54:18
    et enne kulub veel aastakümneid,
  • 54:18 - 54:20
    kui see üldse kunagi juhtub,
  • 54:20 - 54:21
    et internetivalimised saavad
  • 54:21 - 54:24
    oluliste riiklike valimiste jaoks
    piisavalt turvaliseks.
  • 54:24 - 54:26
    Ja seda ei juhtu ilma fundamentaalsete
  • 54:26 - 54:28
    arenguteta arvutiturbes.
  • 54:28 - 54:30
    Tänan teid väga!
  • 54:30 - 54:45
    (aplaus)
  • 54:45 - 54:48
    Suur tänu, professor, selle väga hirmsa
  • 54:48 - 54:50
    ja väga huvitava ettekande eest!
  • 54:52 - 54:54
    Me oleme pisut üle aja läinud,
  • 54:54 - 54:56
    kuid õnneks on meil selle ettekande järel
  • 54:56 - 54:58
    esimeses saalis tulemas vaheaeg,
  • 54:58 - 55:00
    seega, kui teil on küsimusi,
  • 55:00 - 55:04
    siis võtke sappa mõne mikrofoni taha
    neist kaheksast.
  • 55:06 - 55:08
    Jah, number neli, palun!
  • 55:08 - 55:12
    Tänan ettekande eest! Te uurisite,
  • 55:12 - 55:16
    kuidas rünnata häälte lugemise serverit,
  • 55:16 - 55:18
    kuid kas te olete uurinud,
  • 55:18 - 55:26
    kas saab rünnata teist valimisserverit?
  • 55:26 - 55:29
    Sest selles eemaldatakse digiallkirjad,
  • 55:29 - 55:31
    (kui ma mäletan õigesti?),
  • 55:31 - 55:35
    seega see server võib DVD-le kirjutada
  • 55:35 - 55:37
    suvalisi krüpteeritud hääli,
  • 55:37 - 55:40
    (kui ma õigesti aru sain?).
  • 55:40 - 55:42
    Jah, see on tõesti veel üks haavatavus.
  • 55:42 - 55:46
    Keskendusime häälte lugemise serverile,
  • 55:46 - 55:50
    sest see oli meie arvates kõige huvitavam
  • 55:50 - 55:53
    variant sellisest ründest, aga on muidki
  • 55:53 - 55:55
    kohti, mis on potentsiaalselt ahvatlevad,
  • 55:55 - 55:56
    sealhulgas ka see.
  • 55:56 - 55:59
    Arvan, et see jätaks rohkem asitõendeid.
  • 55:59 - 56:05
    Teame ka, et kliendiga suhtlevad serverid,
  • 56:05 - 56:08
    mida kasutati 2013. aastal,
  • 56:08 - 56:10
    olid haavatavad Heartbleedi turvaaugust,
  • 56:10 - 56:12
    mis avastati alles mitmeid kuid hiljem.
  • 56:12 - 56:15
    Ma kahtlustan, et need olid haavatavad
  • 56:15 - 56:17
    ka Shellshocki turvaaugu poolt.
  • 56:17 - 56:18
    See on tõesti probleem,
  • 56:18 - 56:20
    kui sellist süsteemi luua,
  • 56:20 - 56:23
    ükskõik kui ettevaatlik sa oled.
  • 56:28 - 56:30
    Küsimus number kolmelt, palun!
  • 56:30 - 56:34
    Jah! Minu küsimus on, kas toimus ka
  • 56:34 - 56:36
    häälte lugemise serveri testimist?
  • 56:36 - 56:39
    Ma kujutan ette, et näiteks saab
  • 56:39 - 56:42
    teha suure kuhja DVD-sid,
  • 56:42 - 56:45
    kus peal teada olevad hääled,
  • 56:45 - 56:47
    ja siis lasta need süsteemist läbi.
  • 56:47 - 56:50
    Võibolla isegi valimispäeval võiks öelda,
  • 56:50 - 56:52
    et siin on 10 DVD-d tõeliste häältega,
  • 56:52 - 56:56
    ja neid juhuslikus järjekorras mitu korda
  • 56:56 - 56:58
    läbi lasta ja kontrollida -
  • 56:58 - 57:02
    kui kõik näidis DVD-d summeeruvad õigesti
  • 57:02 - 57:04
    igas järjekorras, siis peaks ka õiged
  • 57:04 - 57:07
    hääled olema korras. Midagi sellist...
  • 57:08 - 57:11
    Nad ei kasuta selliseid protseduure.
  • 57:11 - 57:13
    Arvan, et nad mõtlevad selle lisamisele.
  • 57:13 - 57:15
    Aga siin tulevad mängu nüansid.
  • 57:15 - 57:18
    Kui sa ehitad sellist asja, pead tagama,
  • 57:18 - 57:20
    et pahavara ei suudaks kuidagi tuvastada,
  • 57:20 - 57:23
    kas käib audit või õige häältelugemine.
  • 57:24 - 57:27
    Sest kõrvalkanalitega või salamärguandega
  • 57:27 - 57:30
    saab panna näidisfailidesse signaali,
  • 57:30 - 57:34
    mis paneb serveri neid õigesti lugema.
  • 57:34 - 57:36
    Seega pead olema väga hoolikas sellise
  • 57:36 - 57:38
    süsteemi kavandamisel.
  • 57:39 - 57:41
    Minu mure pole mitte niivõrd selles,
  • 57:41 - 57:45
    et mõnda probleemi ei saakski kõrvaldada.
  • 57:45 - 57:48
    Aga kõrvaldades need kõik perfektselt,
  • 57:48 - 57:51
    saame tulemuseks süsteemi, mida on liiga
  • 57:51 - 57:52
    keeruline juhtida ja administreerida.
  • 57:52 - 57:56
    Tulemus oleks Rube Goldbergi süsteem.
  • 57:56 - 57:58
    Usun, et nende süsteem ongi selline,
  • 57:58 - 58:00
    nagu see on, kuna vajati kompromisse,
  • 58:00 - 58:02
    et süsteem ehitada piisavalt odavalt
  • 58:02 - 58:04
    ja piisavalt lihtsalt kasutatavaks.
  • 58:04 - 58:06
    Me võime igat komponenti parandada,
  • 58:06 - 58:09
    kuid kõigi aukude sulgemine tundub
  • 58:09 - 58:12
    äärmiselt keeruline, vähemalt minule.
  • 58:14 - 58:16
    Küsimus number neljalt, palun!
  • 58:17 - 58:18
    Tänan väga ettekande eest!
  • 58:18 - 58:20
    See oli väga inspireeriv!
  • 58:20 - 58:24
    Tahtsin küsida, mida te arvate sellest,
  • 58:24 - 58:27
    kas sellised süsteemid võivad kunagi
  • 58:27 - 58:30
    areneda piisavalt turvaliseks, sest näen,
  • 58:30 - 58:33
    et turbevaldkonnas toimuvad arengud on
  • 58:33 - 58:37
    alati põhjustatud häkkerite poolt?
  • 58:37 - 58:39
    Mitte ainult, kuid nii,
  • 58:39 - 58:43
    nagu turvaaukude lappimine toimub
  • 58:43 - 58:45
    alles pärast nende avastamist,
  • 58:45 - 58:47
    on see võistlus kahe poole vahel,
  • 58:47 - 58:50
    mis paneb süsteemi arenema.
  • 58:50 - 58:55
    Jah! See on hea küsimus!
  • 58:55 - 58:58
    See on paljutõotav uurimisvaldkond -
  • 58:58 - 59:02
    niinimetatud "otsast otsani valija poolt
    kontrollitav valimine",
  • 59:02 - 59:05
    mis põhineb keerukal krüptograafial.
  • 59:05 - 59:07
    Idee seisneb selles,
  • 59:07 - 59:09
    et on vaja süsteemi, mis tagaks,
  • 59:09 - 59:12
    et sinu hääl oleks antud nii,
    nagu sa soovisid,
  • 59:12 - 59:14
    et see oleks registreeritud sellisena,
    nagu see anti,
  • 59:14 - 59:16
    et kõik hääled oleks loetud,
    nagu need anti,
  • 59:16 - 59:18
    ja et iga valija saaks seda kinnitada.
  • 59:18 - 59:20
    Üks viis selle saavutamiseks on avaldada
  • 59:20 - 59:22
    ajalehes kõigi nimed ja tehtud valikud.
  • 59:22 - 59:24
    Õigus? Aga loomulikult me ei taha seda,
  • 59:24 - 59:26
    see poleks salajane hääletamine.
  • 59:26 - 59:28
    Kuid mõnede keerukamate krüptoversioonide
  • 59:28 - 59:33
    kasutamisega võime ka seda saavutada,
    uskuge või mitte.
  • 59:33 - 59:35
    See on tõesti loogikavastane,
  • 59:35 - 59:37
    et sul võivad olla kõik need omadused.
  • 59:37 - 59:39
    Sellised süsteemid on arenduses,
  • 59:39 - 59:42
    ja kui oled huvitatud nende häkkimisest
  • 59:42 - 59:44
    ja nende paremaks tegemisest,
  • 59:44 - 59:46
    siis tuleks alustada nendega tutvumisest.
  • 59:46 - 59:48
    Kuid nende aeg pole veel tulnud -
  • 59:48 - 59:50
    on palju küsitavusi kasutatavuse,
  • 59:50 - 59:52
    protokollide turvalisuse,
  • 59:52 - 59:53
    rakendamise keerukuse
  • 59:53 - 59:57
    ja riigi tasandil toimivuse osas.
  • 59:57 - 60:00
    Seega on uuringutest tulenevalt lootust,
  • 60:00 - 60:03
    kuid arvan, et kulub veel aastakümneid,
  • 60:03 - 60:05
    ja seda juhul, kui asjad lähevad hästi,
  • 60:05 - 60:07
    enne kui saabub nende õige aeg.
  • 60:07 - 60:08
    See oli siiski hea küsimus!
  • 60:08 - 60:10
    Kas võin vahele küsida lühikese küsimuse?
  • 60:10 - 60:14
    Kuidas teie arvates peaksid lõppkasutajad
  • 60:14 - 60:16
    üldse saama selliseid süsteeme usaldada,
  • 60:16 - 60:18
    kui nad pole arendajad, nagu meie siin?
  • 60:18 - 60:20
    Neil pole võimalust kontrollida,
  • 60:20 - 60:22
    et ei toimu pettust.
  • 60:22 - 60:24
    See on tõeliselt avatud küsimus.
  • 60:24 - 60:28
    Ainuüksi Ameerika kontekstile mõeldes
  • 60:28 - 60:30
    ma ei tea, kuidas reageeriks valijad, kui
  • 60:30 - 60:40
    nende lemmikraadio Bandit ütleks eetris,
    et "Valimised oli pettus!",
  • 60:40 - 60:42
    ja mingi nohikust krüptograaf oponeerib,
  • 60:42 - 60:48
    et "Ei olnud!", ja, et ta võib seda
    tõestada, sest "Selle süsteemi mingi
    veider omadus kinnitab seda..."
  • 60:48 - 60:50
    Ja teate, minu arvates ei oska me
  • 60:50 - 60:52
    seda probleemi veel lahendada.
  • 60:52 - 60:54
    Mõistliku usalduse tagamine on suureks
  • 60:54 - 60:58
    väljakutseks igale valimistehnoloogiale.
  • 60:58 - 60:59
    Suur tänu!
  • 60:59 - 61:00
    Tänan sind!
  • 61:00 - 61:02
    Number ühel on küsimus!
  • 61:02 - 61:04
    Kui need kiipkaardid allkirjastavad TLS
  • 61:04 - 61:06
    teatisi ja dokumente nõudmise peale,
  • 61:06 - 61:09
    kas nad on tõesti kindlad, et ükski TLS
  • 61:09 - 61:11
    käepigistus või dokument ei pääse läbi
  • 61:11 - 61:13
    krüpteeritud valimissedeli pähe?
  • 61:13 - 61:16
    On erinevad võtmed autentimiseks
  • 61:16 - 61:22
    ja allkirjastamiseks, ja loodetavasti on
  • 61:22 - 61:25
    nad mõelnud sellisele rünnakule,
  • 61:25 - 61:28
    aga see on huvitav küsimus, Adam.
  • 61:28 - 61:30
    Me ei uurinud seda. Tegelikult ütlesime,
  • 61:30 - 61:33
    et avaliku võtme infrastruktuuri
  • 61:33 - 61:37
    turvalisus oli väljaspool uuringu skoopi.
  • 61:37 - 61:40
    Kuid Tarvi Martens on ka Eesti avaliku
  • 61:40 - 61:42
    võtme infrastruktuuri isa, seega võid
  • 61:42 - 61:46
    temaga selle juurutamise ja kasutamise
    turvalisusest rääkida.
  • 61:46 - 61:48
    Mulle näib, et ta ei pruugi olla sellele
  • 61:48 - 61:51
    küsimusele täiesti avatud, aga tänan!
  • 61:52 - 61:54
    Number viiel on küsimus!
  • 61:54 - 61:56
    Hüva, see on midagi sarnast.
  • 61:56 - 61:58
    Isegi kui oleks märkimisväärseid
  • 61:58 - 62:01
    edasiminekuid krüptograafias, siis
  • 62:01 - 62:04
    kuidas saaks kodanikud olla süsteemis
  • 62:04 - 62:07
    kindlad, kui nad ei ole krüptograafid,
  • 62:07 - 62:10
    kes oskaks ise kontrollida?
  • 62:10 - 62:11
    Ja teine asi, kui me olime lapsed,
  • 62:11 - 62:13
    räägiti, et meil on demokraatia,
  • 62:13 - 62:15
    kuid kui sa kasvad suureks, siis mõistad,
  • 62:15 - 62:18
    et on palju kallutatud tulemusi,
  • 62:18 - 62:20
    mõned hääled loevad rohkem kui teised,
  • 62:20 - 62:22
    ja sa pead olema poliitikateadlane,
  • 62:22 - 62:24
    et mõista, kuidas hääli loetakse,
  • 62:24 - 62:26
    ja sa pead olema krüptograaf,
  • 62:26 - 62:28
    et mõista, et ülelugemine oli täpne.
  • 62:28 - 62:30
    Kas leidub mõni inimene,
  • 62:30 - 62:33
    kellel on kogu see teadmine olemas?
  • 62:33 - 62:36
    Ma tean, ma tean! Need on väga keerulised
  • 62:36 - 62:38
    küsimused ja mul pole neile vastuseid.
  • 62:38 - 62:42
    Võin öelda, et minu lühiarvamus on,
  • 62:42 - 62:46
    et valijad peaks saama valimistulemusi
  • 62:46 - 62:49
    usaldada ilma vajaduseta usaldada
  • 62:49 - 62:53
    valimisametnikke või mõnd spetsiaalset
  • 62:53 - 62:56
    inimrühma, sealhulgas nohikud,
  • 62:56 - 63:00
    krüptograafid või poliitikateadlased.
  • 63:00 - 63:04
    Igaüks peaks saama koos sõprade, rühma,
  • 63:04 - 63:07
    klubi või oma erakonnaga minna
  • 63:07 - 63:11
    valimisprotsessi vaatlema ja veenduda.
  • 63:11 - 63:13
    See peaks olema selliselt kavandatud.
  • 63:13 - 63:15
    Ma tean, et see on probleem ja tegelikult
  • 63:15 - 63:18
    saame mitmel moel tehnoloogiat kasutada,
  • 63:18 - 63:21
    et anda inimestele võimalus usalduse
    suurenemiseks,
  • 63:21 - 63:27
    sealhulgas kontrollides elektrooniliselt
    pabervalimisi.
  • 63:27 - 63:29
    On tehtud märkimisväärne hulk uurimusi
  • 63:29 - 63:31
    sel teemal, mis seda võimaldaks -
  • 63:31 - 63:33
    ilma arenenud tehnoloogiata,
  • 63:33 - 63:35
    ilma arenenud krüptograafiata,
  • 63:35 - 63:37
    palja statistika abil anda lisakindlust,
  • 63:37 - 63:39
    et valimistulemus on õige.
  • 63:39 - 63:41
    Seega on asju,
  • 63:41 - 63:43
    mida me saame teha tehnoloogiaga,
  • 63:43 - 63:45
    kuid mul ei ole kõiki vastuseid.
  • 63:46 - 63:46
    Number kaks, palun!
  • 63:47 - 63:49
    Tere! Ma tahaksin küsida,
  • 63:49 - 63:52
    kas te olete kursis sellega,
  • 63:52 - 63:54
    kuidas Bitcoin toimib?
  • 63:54 - 63:57
    Kas olete kaalunud sellist krüpteerimise
  • 63:57 - 64:03
    ja dekrüpteerimise mehhanismi kasutamist
    e-valimiste puhul?
  • 64:03 - 64:07
    Mõned inimesed on rääkinud valimisskeemi
  • 64:07 - 64:12
    rajamist mõnele Bitcoini protokolli
    variandile.
  • 64:12 - 64:15
    Minu arvates on see huvitav mõte.
  • 64:15 - 64:18
    Ma ei tea, kas me tahame usaldada
  • 64:18 - 64:21
    riiklike valimiste tulemust isegi
  • 64:21 - 64:24
    Bitcoini ökosüsteemile, sest võib olla,
  • 64:24 - 64:26
    et USA presidendivalimiste tulemus
  • 64:26 - 64:28
    on rohkem väärt kui Bitcoini majandus?
  • 64:28 - 64:30
    Ma ei tea veel, on see tõsi või mitte,
  • 64:30 - 64:33
    kuid see on midagi, millele mõelda.
  • 64:33 - 64:35
    Igatahes ma arvan,
  • 64:35 - 64:37
    et jaotatud avalik arvepidamine,
  • 64:37 - 64:39
    mida Bitcoin kasutab,
  • 64:39 - 64:41
    on potentsiaalselt väga huvitav idee
  • 64:41 - 64:43
    tuleviku valimiste jaoks,
  • 64:43 - 64:45
    kuid see tundub üsna kaugena,
  • 64:45 - 64:47
    võrreldes tänase seisuga.
  • 64:48 - 64:51
    Veelkord number kaks, palun!
  • 64:52 - 64:54
    Te leidsite üsna palju
  • 64:54 - 64:57
    erinevaid probleeme nende
  • 64:57 - 65:00
    valimissüsteemi juures.
  • 65:00 - 65:03
    Kas te hindaksite, mis osas on need üsna
  • 65:03 - 65:06
    lihtsalt parandatavad, ja mis osas pigem
  • 65:06 - 65:09
    sellele süsteemile sünnipäraselt omased,
  • 65:09 - 65:12
    ja mille kõrvaldamiseks on vaja suuremat
  • 65:12 - 65:15
    kogu süsteemi ümberkorraldamist?
  • 65:15 - 65:17
    Need sünnipärased asjad kõigi selliste
  • 65:17 - 65:19
    süsteemide puhul on, et need põhinevad
  • 65:19 - 65:21
    mingi masinas jooksva koodi korrektsele
  • 65:21 - 65:23
    ja turvalisele toimimisele, mida valijad
  • 65:23 - 65:26
    ei näe, ning häältele, mida sa ei saa
  • 65:26 - 65:29
    oma silmaga või käega kontrollida, sest
  • 65:29 - 65:32
    neid töödeldakse salajas arvuti poolt.
  • 65:32 - 65:34
    See musta kasti omadus on miskit,
  • 65:34 - 65:36
    mis viib väite juurde, et kui see arvuti
  • 65:36 - 65:38
    on kuidagi kompromiteeritud, näiteks
  • 65:38 - 65:41
    läbi tarneahela rünnaku või pahavara,
  • 65:41 - 65:44
    mis tuleb sisse usalduse usaldamise
  • 65:44 - 65:46
    mõtiskluse stiilis rünnakuga,
  • 65:46 - 65:49
    võib see viia valimistulemuste
    kompromiteerimiseni.
  • 65:49 - 65:51
    Ja seda on raske parandada.
  • 65:51 - 65:53
    See on see asi, mida otsast otsani
  • 65:53 - 65:55
    valija poolt kontrollitav krüptograafia
  • 65:55 - 65:57
    püüab kunagi parandada.
  • 65:57 - 65:59
    Väikesed asjad, turvaaugud,
  • 65:59 - 66:01
    käsureale süstimine...
  • 66:01 - 66:04
    Jah, need on lahendamiseks
    lihtsad probleemid,
  • 66:04 - 66:06
    kuid reaalselt, kui sa valimisi korraldad
  • 66:06 - 66:09
    ja suur turvaauk leidub tarkvarapaketis,
  • 66:09 - 66:10
    millele sinu süsteem toetub,
  • 66:10 - 66:12
    ja mis lapiti eelmisel öösel,
  • 66:12 - 66:14
    ja sul pole aega, et teha teste
  • 66:14 - 66:15
    ja auditeerida kogu koodi,
  • 66:15 - 66:18
    siis oled valiku ees, kas pakkuda midagi,
  • 66:18 - 66:20
    mida pole testitud või pakkuda midagi,
  • 66:20 - 66:23
    milles on teadaolevaid turvaauke.
  • 66:23 - 66:25
    Ma ei tea, kuidas meie turvapaikade
  • 66:25 - 66:27
    välja andmise tsükliga turvamaailmas
  • 66:27 - 66:30
    selliste probleemidega hakkama saada.
  • 66:30 - 66:32
    Ma arvan, et see on midagi, kus me tõesti
  • 66:32 - 66:34
    vajame fundamentaalseid edusamme viisis,
  • 66:34 - 66:36
    kuidas me käitume arvutiturbega,
  • 66:36 - 66:39
    enne kui me saame sellele hea lahenduse.
  • 66:40 - 66:43
    Seega põhimõtteliselt te ütlete,
  • 66:43 - 66:46
    et pole lootustki,
  • 66:46 - 66:49
    et sellist süsteemi saaks olla,
  • 66:49 - 66:53
    ja et paber ja pliiats on ikka paremad,
  • 66:53 - 66:56
    kui asi puudutab valimistelt
  • 66:56 - 67:00
    nõutud omaduste täitmist?
  • 67:00 - 67:03
    Paberil ja pliiatsil on väga tore omadus:
  • 67:03 - 67:06
    valijana saad veenduda, kuidas su valik
  • 67:06 - 67:08
    registreeriti, ja teised inimesed saavad
  • 67:08 - 67:10
    jälgida häälte lugemise protsessi.
  • 67:10 - 67:14
    Meil on sadade aastate pikkune kogemus
    pabervalimiste pettustega,
  • 67:14 - 67:16
    seega ma ei ütle, et tehnoloogia ei saaks
  • 67:16 - 67:18
    midagi teha olukorra parandamiseks.
  • 67:18 - 67:21
    Me saame seda teha, kuid ma arvan,
  • 67:21 - 67:23
    et kõige paljulubavamad viisid
  • 67:23 - 67:25
    pabervalimiste parandamiseks
  • 67:25 - 67:27
    ei alusta paberi ära viskamisest.
  • 67:27 - 67:30
    Need algavad paberiga, ja siis
  • 67:30 - 67:32
    lisavad mõned muud tehnoloogiad,
  • 67:32 - 67:34
    mis suudaks jälgida, salvestada,
  • 67:34 - 67:36
    aidata seda paberit auditeerida,
  • 67:36 - 67:40
    et tagada tulemuste usaldusväärsus.
  • 67:42 - 67:43
    Tänan!
  • 67:45 - 67:48
    Seega veel kaks või kolm küsimust!
  • 67:48 - 67:50
    Number kuus, palun!
  • 67:50 - 67:52
    Kas te arvate,
  • 67:52 - 67:54
    et oleks võimalik kavandada süsteemi,
  • 67:54 - 67:57
    mis garanteeriks nii häälte tervikluse
  • 67:57 - 68:00
    kui ka anonüümsuse, sest ma arvan,
  • 68:00 - 68:03
    et need kaks ei sobi üldse kokku?
  • 68:03 - 68:06
    Kindlasti on need vastuolus!
  • 68:06 - 68:09
    Need otsast otsani kontrollitavad
  • 68:09 - 68:11
    krüptosüsteemid püüavadki seda teha,
  • 68:11 - 68:13
    kuid nagu ma ütlesin,
  • 68:13 - 68:15
    on neil muid probleeme - kasutatavuse ja
  • 68:15 - 68:18
    rakendamisega, mis pole veel lahendatud.
  • 68:18 - 68:20
    See on kindlasti eesmärk, kuid see teeb
  • 68:20 - 68:22
    sellest keerulise probleemi, ja ma arvan,
  • 68:22 - 68:24
    et see on midagi sellist,
  • 68:24 - 68:26
    mida me kõik tahaks suuta ehitada.
  • 68:26 - 68:30
    Me ei tea, kuidas seda suurel skaalal
    praktikas teha.
  • 68:30 - 68:32
    Me töötame selle kallal,
  • 68:32 - 68:35
    kuid see pole garantii, et me kunagi need
  • 68:35 - 68:38
    probleemid mugavalt lahendame.
  • 68:38 - 68:40
    Ma tahaks vaid vahele teha kiire
  • 68:40 - 68:42
    ja häbematu reklaami oma tudengite ja
  • 68:42 - 68:46
    kolleegide ettekannetele muudel teemadel,
    millega me tegeleme.
  • 68:46 - 68:49
    Muuseas saate kuulata, kuidas me kasutame
  • 68:49 - 68:53
    ZMap skännimise tööriista, mille tegime,
    et uurida Heartbleedi.
  • 68:53 - 68:55
    Kuidas ostsime eBayst TSA alastiskänneri
  • 68:55 - 68:58
    ja avastasime ründevõimalusi selle vastu.
  • 68:58 - 69:00
    Ja kuidas ehitame koos EFF-i ja Mozillaga
  • 69:00 - 69:02
    tasuta sertifitseerimisasutust, millest
  • 69:02 - 69:05
    saaks meie katse veebi krüpteerimiseks.
  • 69:05 - 69:09
    See oli häbematu reklaam, tänan,
    et jäite seda kuulama!
  • 69:09 - 69:15
    (aplaus)
  • 69:15 - 69:17
    Number üks, palun!
  • 69:17 - 69:20
    Ma tahan Teid tänada ettekande eest,
  • 69:20 - 69:22
    aga ka oma uuringu internetis tasuta
  • 69:22 - 69:25
    Coursera kursusena "Turvalisuse vajadus
  • 69:25 - 69:27
    digitaalses demokraatias" jagamise eest!
  • 69:27 - 69:30
    Seega ma tean, et te ei taha ise omale
  • 69:30 - 69:32
    reklaami teha ja ma teen seda teie eest.
  • 69:32 - 69:34
    Nüüd, et teha sellest küsimus, siis
  • 69:34 - 69:36
    kas on sellele tulemas ka järge?
  • 69:36 - 69:38
    Hästi! Tänan väga! Jah, teen ikka,
  • 69:38 - 69:40
    kui olete huvitatud rohkem teada saama.
  • 69:40 - 69:42
    Mul on tasuta 5-nädalane võrgukursus
  • 69:42 - 69:48
    digitaalsest valimistehnoloogiast
    saadaval Courseras.
  • 69:48 - 69:51
    See on tasuta ja toimub varsti uuesti.
  • 69:51 - 69:53
    Tegelikult tegelen praegu sellega,
  • 69:53 - 69:57
    et lasta see välja internetitöövihikuna,
  • 69:57 - 70:00
    kus on võimalik lihtsalt minna ja
  • 70:00 - 70:02
    vaadata videoloenguid omas tempos,
  • 70:02 - 70:04
    seega kui sa tahad näha 10 loengulist
  • 70:04 - 70:06
    varianti sellest ettekandest,
  • 70:06 - 70:10
    siis võid selle leida Courserast
  • 70:10 - 70:13
    või leida lingi sellele minu kodulehelt.
  • 70:13 - 70:17
    Tänan väga, et selle üles tõstsid!
  • 70:18 - 70:19
    Tänan teid kõiki!
  • 70:19 - 70:23
    (aplaus)
  • 70:23 - 70:26
    Enne viimase küsimuseni jõudmist number
  • 70:26 - 70:28
    neljalt, tahaksin meenutada, et palun
  • 70:28 - 70:30
    võtke lahkumisel kaasa oma prügi,
  • 70:30 - 70:33
    ja et te võite tulla ja ettekandjale
  • 70:33 - 70:36
    küsimusi esitada ka pärastpoole.
  • 70:36 - 70:38
    Seega, palun, number neli!
  • 70:39 - 70:42
    Minu arusaam demokraatlikest valimistest on,
  • 70:42 - 70:45
    et need peavad olema vabad ja privaatsed,
  • 70:45 - 70:48
    ning isegi kui kõik need probleemid,
  • 70:48 - 70:51
    mida te mainisite, lahendatakse, kas
  • 70:51 - 70:56
    ei jää ikkagi probleemid seoses sellega,
  • 70:56 - 71:00
    et kodus valimine ei taga neid printsiipe?
  • 71:00 - 71:03
    Kujutage ette, et üks pereliige
  • 71:03 - 71:07
    sunnib teisi pereliikmeid valima nii,
    nagu ta tahab,
  • 71:07 - 71:11
    sest nad ei saa valida omaette kabiinis.
  • 71:12 - 71:13
    Ma nõustun teiega täielikult!
  • 71:13 - 71:16
    See on väga-väga raske probleem,
  • 71:16 - 71:18
    kuidas tagada valijale turvaline
  • 71:18 - 71:20
    ja survestamisvaba keskkond,
  • 71:20 - 71:22
    kui nad valivad eemalt,
  • 71:22 - 71:24
    üle interneti. Seega tõesti võib vabalt
  • 71:24 - 71:27
    ette kujutada abikaasat või tööandjat
  • 71:27 - 71:30
    kedagi survestamas valima kindlal viisil.
  • 71:30 - 71:32
    Ja Eesti lähenemine sellele probleemile
  • 71:32 - 71:35
    on huvitav - lasta isikul anda uus hääl,
  • 71:35 - 71:38
    mis teeb survestamise küll raskemaks,
  • 71:38 - 71:40
    kuid ei välista seda.
  • 71:40 - 71:42
    Näiteks survestaja võib isiku ID-kaardi
  • 71:42 - 71:46
    ära võtta, kuni valimised on möödas,
  • 71:46 - 71:49
    et takistada tal uuesti hääletada.
  • 71:49 - 71:52
    Ta võib viimse minutini oodata ja sundida
  • 71:52 - 71:54
    vahetult valimiste lõpu eel ümber valima.
  • 71:54 - 71:58
    Ma usun, et see on üks raske probleem,
  • 71:58 - 72:00
    ja see on üks kompromissidest,
  • 72:00 - 72:03
    mis tuleb demokraatiapõhimõtetega teha,
  • 72:03 - 72:05
    kui me otsustame,
  • 72:05 - 72:07
    et internetivalimised on see tee,
  • 72:07 - 72:09
    kuhu me tahame minna.
  • 72:09 - 72:12
    Võib-olla on tehnoloogilisi lähenemisi,
  • 72:12 - 72:15
    mis võivad seda püüda parandada,
  • 72:15 - 72:18
    kuid ma pole selles väga kindel.
  • 72:18 - 72:21
    Ma arvan, et see on avatud probleem.
  • 72:21 - 72:24
    Vastus on arvatavasti selles,
  • 72:24 - 72:26
    et survestamise oht on lihtsalt see,
  • 72:26 - 72:28
    mis saadakse vastu mugavuse eest,
  • 72:28 - 72:30
    mille annab internetis hääletamine.
  • 72:30 - 72:31
    Tänan teid!
  • 72:33 - 72:36
    Tänan teid väga!
  • 72:36 - 72:39
    Tänan! Aplausiraund veel kord, palun!
  • 72:39 - 72:40
    Tänan! Tänan!
  • 72:40 - 72:45
    (aplaus)
  • 72:45 - 72:49
    Eestikeelsed subtiitrid tõlkis ja lisas Sulev Švilponis
  • 72:49 - 72:58
    subtitles created by c3subtitles.de
    in the year 2017. Join, and help us!
Title:
J. Alex Halderman: Eesti internetihääletuse süsteemi turvaanalüüs
Description:

Eesti on ainus riik maailmas, kes kasutab märkimisväärses ulatuses internetihääletust õiguslikult siduvatel riiklikel valimistel — kuni 30% kõigist valijatest on oma hääle andnud interneti teel. See teeb Eesti internetihääletuse süsteemi turvalisuse huvipakkuvaks tehnoloogia asjatundjatele ja tavakodanikele üle kogu maailma. Viimase aasta jooksul aitasin ma juhtida selle süsteemi esimest ranget ja sõltumatut turvalisuse hindamist, mis põhines valimiste vaatlemisel, koodi läbivaatamisel ja laboratoorsetel testidel. Leiud on alarmeerivad: Eesti protseduurilises ja operatiivses turvalisuses on uskumatud lüngad ja süsteemi arhitektuur on jäänud avatuks võõrvõimude küberrünnakutele. Meie uuring kinnitas laboritingimustes selliste rünnakute võimalikkust, kuid Eesti valitsus on otsustanud neid alahinnata. Me soovitame tungivalt, et Eesti lõpetaks süsteemi kasutamise enne, kui riiki tabab suurem küberrünnak.

J. Alex Halderman

more » « less
Video Language:
English
Duration:
01:12:58

Estonian subtitles

Revisions Compare revisions