- COMP.SEC.100
- 6. Yksityisyys ja oikeudet verkossa
- 6.5 Yksityisyysteknologiat ja demokraattiset arvot
Yksityisyysteknologiat ja demokraattiset arvot¶
Yksityisyydensuoja on ratkaisevan tärkeää arvoille, jotka tukevat demokraattisia yhteiskuntia. Daniel Solovea mukaillen: “Yksi ominaisuus, joka tekee yhteiskunnasta hyvän elää, on sen tarjoama vapaus muiden tunkeilevaisuudelta. Yhteiskunta ilman yksityisyydensuojaa olisi tukahduttava.” Tuollainen yhteiskunta vaikutti vielä jonkin aikaa sitten tieteiskirjallisuudelta, mutta esim. Facebookin Cambridge Analytica -tapaus (esim. tästä YLE:n uutisesta voit lukea aiheesta) osoittaa, kuinka tärkeää kansalaisten suojelemiseksi mielipidevaikuttamiselta ja manipuloinnilta on estää asiattomien pääsy heidän tietoihinsa. Yksityisyysteknologiat ovat tärkeitä sen varmistamiseksi, että oikeutta yksityisyyteen kunnioitetaan digitaalisessa maailmassa.
Yksityisyysteknologiat demokratian tukena¶
Elektronisten sovellusten lisääntyvä käyttö asiointiin hyödyttää yhteiskuntaa. Kun kansalaisilla on helppoja keinoja ilmaista mielipiteensä, kommentoida hallinnollisia aloitteita ja päätöksiä, tai äänestää, heidän osallistumisensa julkisessa päätöksenteossa lisääntyy. Tämä parantaa voimatasapainoa päätöksentekijöiden ja päätösten kohteina olevien välillä.
Jotta yllä oleva toimisi tehokkaasti, kansalaisilla pitää olla vapaus ja keinot mielipiteen ilmaisuun varmoina siitä, ettei mielipidettä muuteta tai hukata kesken prosessin. Tähän liittyy kuitenkin huolia valvonnasta ja manipuloinnista, esim. jos pilvipalveluita tai suojaamattomia verkkoja käytetään demokratiaa lisäävien sovellusten toteuttamiseen. Toteuttamiseen tarvitaan vahvoja yksityisyyttä suojaavia teknologioita, jotka suojaavat sekä käyttäjien identiteettiä että dataa, jonka he sovellukseen syöttävät.
Sähköinen äänestys: Sähköiset äänestysjärjestelmät pyrkivät mahdollistamaan reilut vaalit ympäristössä, jossa esim. manipulointi tai muu väärentäminen uhkaa tuloksia. Sähköisten äänestysjärjestelmien tulee toteuttaa:
- Vaalisalaisuus (ballot secrecy) eli hyökkääjä ei voi saada selville ketä henkilö äänesti.
- Universaali todennettavuus (universal verifiability) eli ulkopuolinen tarkkailija voi todentaa, että kaikki äänet on laskettu oikein. On olemassa myös heikompia protokollia, jotka toteuttavat yksilöllisen todennettavuuden (individual verifiability), jolla jokainen äänestäjä voi tarkistaa, että hänen äänensä on oikein laskettu.
- Kelpoisuuden todennettavuus (eligibility verifiability) eli ulkopuolinen tarkkailija voi todentaa, että vain kelpuutetut äänestäjät ovat antaneet ääniä ja että jokainen on antanut vain yhden.
- Lisäksi jotkin protokollat pyrkivät estämään pakotetun äänestämisen (coercion resistance).
Vaalisalaisuuden säilyttämiseksi yhteys äänestäjän ja hänen äänensä välillä täytyy katkaista. Fyysisessä äänestyksessä vaalisalaisuus toteutetaan pudottamalla samanlaiset äänestyslaput vaaliuurnaan. Tällöin laskentavaiheessa ei voida enää tietää, keneltä ääni tuli. Sähköisessä äänestyksessä vastaava toteutetaan esim. sekoitusverkoilla (mix networks), jossa äänet kulkevat useiden eri sekoitustapahtumien läpi. Sekoittajia on useita, jotta yksittäinen taho ei pysty jäljittämään äänestäjää annettuun ääneen. Lopuksi tulokset julkistetaan kaikkien tarkistettavaksi.
Äänten sekoittaminen tapahtuu, kun kaikki äänet on annettu. Tämä varmistaa, että kaikki äänet osallistuvat sekoitukseen ja saavutetaan maksimianonymiteetti. Universaalia todennettavuutta varten sekoitusverkon jokainen solmu tekee myös todennettavissa olevaa sekoitusta (verifiable shuffles), joka todistaa, että kaikki äänet sekoitetaan ja että sekoitus on satunnainen. Tässä käytetään nollatietotodistusta (zero-knowledge proof). Se mahdollistaa väitteen todistamisen siten, että ainoa todistuksessa paljastuva tieto on väitteen totuusarvo. Sillä tavoin toteutetaan myös kelpoisuuden todentaminen: äänestäjien pitää esittää nollatietotodistus kelpoisuudestaan.
Muita tapoja vaalisalaisuuden säilyttämiseen ovat digitaaliset allekirjoitukset (digital signature) ja homomorfinen salaus (homomorfic encryption). Digitaalisessa allekirjoituksessa viranomainen varmistaa äänestäjän kelpoisuuden ja tekee sokean allekirjoituksen annetulle äänelle eli viranomainen ei näe, mitä on äänestetty. Annetun äänen yhteydessä käyttäjä tekee nollatietotodistuksen siitä, että ääni on oikein annettu. Nämä lähetetään ääntenlaskentapalvelimelle anonyymia viestintäkanavaa pitkin. Tällöin järjestelmä ei pysty linkittämään ääntä ja sen antajaa toisiinsa.
Homomorfista salausta käytettäessä ääntenlaskentapalvelin tekee ilmoitustaulun, jossa on salattu paikka kaikille ehdokkaille ja aluksi paikoissa on nolla ääntä. Jokainen äänestäjä antaa äänensä jollekin ehdokkaalle ja samalla satunnaistaa salaukset siten, että minkään saman numeron salaukset eivät koskaan näytä samanlaisilta. Nollatietotodistuksia voidaan käyttää varmistamaan, että summat ja satunnaistaminen on tehty oikein.
Pakotettu äänestäminen voidaan estää esim. antamalla äänestäjille valetunnukset. Jos äänestäjää pakotetaan, hän voi noudattaa pakottajan tahtoa, mutta käyttää valetunnuksia. Ääntenlaskentapalvelin jättää valetunnuksilla annetut äänet laskematta. Toinen tapa on antaa tilaisuus äänestää uudelleen. Kun äänestäjä äänestää useamman kerran, täytyy määritellä sääntö siitä, mikä äänistä jää voimaan. Luonnollinen sääntö on, että viimeiseksi annettu ääni jää voimaan tai aikaisemmin annettu ääni merkitään jotenkin, eikä sitä käytetä laskentaan.
Suomessa sähköisestä äänestämisestä keskustellaan mediassa silloin tällöin, esimerkiksi aluevaalien 2022 yhteydessä. Lue YLE:n uutisesta sähköiseen äänestämiseen liittyvää keskustelua.
Anonyymit kansalaisaloitteet (petitions): Tässä kansalaisaloite tarkoittaa muodollista pyyntöä tai aloitetta, jonka on allekirjoittanut yksi tai useampia kansalaisia ja pyyntö esitetään esim. eduskunnalle. Aloitteiden julkisessa allekirjoittamisessa ongelmana voi olla, että allekirjoitus näkyy myös perheelle, naapureille, työtovereille jne. Julkisuus saattaa vähentää halukkuutta aloitteisiin.
Yksi tapa on anonyymien tunnisteiden (anonymous credentials) käyttö. Tällöin kansalainen voi rekisteröityä aloitejärjestelmän käyttäjäksi. Tässä yhteydessä viranomainen tarkistaa kansalaisen kelpoisuuden aloitteisiin ja antaa kansalaiselle anonyymin allekirjoitusavaimen, joka liittyy aloitteisiin, mutta ei sisällä tietoja kansalaisesta. Tällöin kansalainen voi allekirjoittaa aloitteen, mutta hänen henkilöllisyytensä ei paljastu. Tämän järjestelmän heikkous on sen vaatima luottamus viranomaiseen, joka rekisteröi käyttäjät. On kuitenkin olemassa myös kryptoprimitiiveihin perustuvia vaihtoehtoja, jotka poistavat luotetun (yhden) kolmannen osapuolen tarpeen. Esim. allekirjoitusavaimen rekisteröimiseen osallistuukin monta eri tahoa. Tällöin käyttäjän luottamus ei ole yhden toimijan varassa, vaan se hajautuu useille toimijoille.