1 00:00:09,000 --> 00:00:12,000 Tänan teid, ja tänan eriti selle eest, et 2 00:00:12,000 --> 00:00:15,500 olete siin nii varajasel hommikusel ajal. 3 00:00:15,500 --> 00:00:18,000 Tean, et CCC standardi järgi on veel 4 00:00:18,000 --> 00:00:19,500 varane koiduaeg. 5 00:00:19,500 --> 00:00:23,500 (aplaus) 6 00:00:24,000 --> 00:00:26,000 Niisiis, mina olen Alex Halderman. 7 00:00:26,000 --> 00:00:28,000 Ma olen arvutiteaduste professor 8 00:00:28,000 --> 00:00:30,000 Michigani ülikoolis, USA-s. 9 00:00:30,000 --> 00:00:34,000 Töö, millest hakkan teile täna rääkima, 10 00:00:34,000 --> 00:00:38,000 on olnud eelkõige koostöö teistega. 11 00:00:38,000 --> 00:00:41,000 Ma pean eriti tänama minu tudengeid - 12 00:00:41,000 --> 00:00:46,000 Drew Springall, Travis Finkenauer ja Zakir Durumeric, 13 00:00:46,000 --> 00:00:47,500 ning meie kaastöötajaid - 14 00:00:47,500 --> 00:00:50,000 Jason Kitcat, Harri Hursti ja Margaret MacAlpine. 15 00:00:50,000 --> 00:00:52,000 See töö poleks valminud ilma nendeta! 16 00:00:52,000 --> 00:00:54,000 Tegelikult on kolm minu tudengit, 17 00:00:54,000 --> 00:00:56,000 kellega ma e-valimiste uuringut tegin, 18 00:00:56,000 --> 00:00:57,500 täna koos minuga siin. 19 00:00:57,500 --> 00:01:00,500 Eric Wustrow, Zakir Durumeric, Drew Springall, 20 00:01:00,500 --> 00:01:03,000 kas te tõuseksite, palun, püsti! 21 00:01:04,000 --> 00:01:05,500 Hästi! Aplaus tudengitele! 22 00:01:05,500 --> 00:01:07,000 Nemad tegidki seda tööd! 23 00:01:07,500 --> 00:01:12,500 (aplaus) 24 00:01:13,500 --> 00:01:16,000 Hüva! Niisiis on e-valimised midagi, 25 00:01:16,000 --> 00:01:20,000 mis on mind huvitanud viimased 10 aastat. 26 00:01:20,000 --> 00:01:22,500 Ja see pakub mulle huvi eriti seetõttu, 27 00:01:22,500 --> 00:01:25,500 et see kõlab justkui midagi imelist, 28 00:01:25,500 --> 00:01:28,000 mis võimaldaks kasutada arvuteid 29 00:01:28,000 --> 00:01:30,000 häälte turvaliseks kokkulugemiseks, 30 00:01:30,000 --> 00:01:32,000 laseks valida üle interneti, 31 00:01:32,000 --> 00:01:34,000 koos kõigi mugavustega, 32 00:01:34,000 --> 00:01:35,500 mida see tehnoloogia kaasa toob. 33 00:01:35,500 --> 00:01:37,500 Võib-olla saaksime vähendada kulusid, 34 00:01:37,500 --> 00:01:40,000 võib-olla saaksime suurendada osavõttu. 35 00:01:40,000 --> 00:01:43,000 Samal ajal esitavad e-valimised 36 00:01:43,000 --> 00:01:46,000 mõned kõige raskemad väljakutsed 37 00:01:46,000 --> 00:01:48,000 andmeturbe vallas. 38 00:01:48,000 --> 00:01:51,000 Ja ma näen selles motiveerivat näidet 39 00:01:51,000 --> 00:01:53,000 ja motiveerivat probleemi 40 00:01:53,000 --> 00:01:56,000 kõiksugu edasiarenguteks krüptograafias, 41 00:01:56,000 --> 00:01:59,000 süsteemiehituses ja kasutatavuses. 42 00:01:59,000 --> 00:02:01,000 E-valimised on väga keeruline 43 00:02:01,000 --> 00:02:04,000 turbeprobleem ebaharilike nõuete tõttu. 44 00:02:04,000 --> 00:02:06,000 Turvalisteks e-valimisteks on 45 00:02:06,000 --> 00:02:09,000 ennekõike vaja kaht asja. 46 00:02:09,000 --> 00:02:11,000 Üks neist on terviklus, 47 00:02:11,000 --> 00:02:13,000 ja selle all pean silmas seda, 48 00:02:13,000 --> 00:02:16,000 et valimistulemus vastaks valija tahtele. 49 00:02:16,000 --> 00:02:19,000 See on üsna nõrk tervikluse definitsioon. 50 00:02:19,000 --> 00:02:22,500 Lihtsustatult: et õige kandidaat võidaks. 51 00:02:22,500 --> 00:02:24,000 See tähendab loomulikult, 52 00:02:24,000 --> 00:02:25,000 et hääled on antud 53 00:02:25,000 --> 00:02:26,500 vastavalt valija tahtele, 54 00:02:26,500 --> 00:02:28,500 ja et valimistulemus on kokku loetud 55 00:02:28,500 --> 00:02:30,500 vastavalt sellele, kuidas hääled anti. 56 00:02:30,500 --> 00:02:32,500 Kuid teine nõue, ja põhjus, 57 00:02:32,500 --> 00:02:34,500 miks see on palju keerulisem 58 00:02:34,500 --> 00:02:36,000 kui teised probleemid, 59 00:02:36,000 --> 00:02:38,000 millega me igapäevaselt tegeleme, 60 00:02:38,000 --> 00:02:42,000 nagu netipangad ja ostmine e-kaubanduses, 61 00:02:42,000 --> 00:02:44,500 seisneb selles, et meil on vaja tagada 62 00:02:44,500 --> 00:02:46,000 ka valimissaladuse nõue. 63 00:02:46,000 --> 00:02:49,000 Valimissaladus, mis on üheks tähtsaimaks 64 00:02:49,000 --> 00:02:51,000 tehnoloogiliseks edusammuks 65 00:02:51,000 --> 00:02:53,000 valimistehnoloogia ajaloos. 66 00:02:53,000 --> 00:02:56,000 Valimissaladus, mis kaitseb sind sunni 67 00:02:56,000 --> 00:02:58,000 eest anda oma hääl nõutud moel. 68 00:02:58,000 --> 00:03:01,500 Ja kaitseb meid sinu hääle müümise eest. 69 00:03:02,000 --> 00:03:04,500 Valimissaladuse nõude järgi ei tohi keegi 70 00:03:04,500 --> 00:03:07,000 teada saada, kuidas sa valisid, isegi, 71 00:03:07,000 --> 00:03:09,500 kui sa püüad talle oma valikut tõestada. 72 00:03:09,500 --> 00:03:12,000 Sellega tahame vältida valimiste 73 00:03:12,000 --> 00:03:14,500 survestamist ja takistada häälte müüki. 74 00:03:15,000 --> 00:03:17,500 Põhjus, mis teeb e-valimised keeruliseks, 75 00:03:17,500 --> 00:03:20,000 on suuresti selles, et need kaks omadust, 76 00:03:20,000 --> 00:03:22,000 terviklus ja valimissaladus, 77 00:03:22,000 --> 00:03:24,000 on vastandlikud. 78 00:03:24,000 --> 00:03:27,000 Paljud kaitsemeetmed, mida me tavaliselt 79 00:03:27,000 --> 00:03:30,000 püüaksime kasutada tervikluse tagamiseks, 80 00:03:30,000 --> 00:03:33,000 meetmed, mida me kasutame e-kaubanduses - 81 00:03:33,000 --> 00:03:36,000 saata kviitung või pangaväljavõte, 82 00:03:36,000 --> 00:03:39,000 või tehes arvepidamist suure tabeliga, 83 00:03:39,000 --> 00:03:42,000 kus kogu raha sisse ja välja liikumine 84 00:03:42,000 --> 00:03:44,000 on kokku võetud, ja me veendume, 85 00:03:44,000 --> 00:03:46,000 et kõik klapib. 86 00:03:46,000 --> 00:03:48,000 Selliseid asju on väga-väga keeruline 87 00:03:48,000 --> 00:03:50,500 või võimatu rakendada, kui me tahame 88 00:03:50,500 --> 00:03:53,000 hoida ranget valimissaladust, 89 00:03:53,000 --> 00:03:56,000 samal ajal kui püüame tagada terviklust. 90 00:03:56,000 --> 00:03:59,000 Seega vajame väga erinevaid mehhanisme, 91 00:03:59,000 --> 00:04:01,000 saavutamaks e-valimiste süsteemi, 92 00:04:01,000 --> 00:04:03,000 mis tagaks need kriitilised nõuded. 93 00:04:03,500 --> 00:04:06,000 Loomulikult pole see takistanud inimesi 94 00:04:06,000 --> 00:04:08,000 elektroonilisi valimissüsteeme ehitamast. 95 00:04:08,000 --> 00:04:10,000 Paljud riigid üle kogu maailma kasutavad 96 00:04:10,000 --> 00:04:12,000 elektroonilisi valimisi või on hakanud 97 00:04:12,000 --> 00:04:14,000 proovima internetivalimisi. 98 00:04:14,000 --> 00:04:18,000 Mul on viimastel aastatel olnud õnne 99 00:04:18,000 --> 00:04:20,500 osaleda mõnedes esimestes erinevate 100 00:04:20,500 --> 00:04:23,000 süsteemide praktilistes uuringutes. 101 00:04:23,000 --> 00:04:25,500 Näiteks 2007. aastal osalesin Princetonis 102 00:04:25,500 --> 00:04:28,000 meeskonnas, mis tegi esimest praktilist 103 00:04:28,000 --> 00:04:31,000 sõltumatu osapoole turvaanalüüsi USA 104 00:04:31,000 --> 00:04:33,000 valimistel kasutatud valimismasinale. 105 00:04:33,000 --> 00:04:36,000 See asjandus, Diebold AccuVote-TS, oli 106 00:04:36,000 --> 00:04:40,500 toona USA-s levinuim e-valimismasin. 107 00:04:41,000 --> 00:04:45,500 Selle tootja oli tehnoloogia osas väga salatsev. 108 00:04:45,500 --> 00:04:48,000 Nad veensid rahvast, et loomulikult on 109 00:04:48,000 --> 00:04:50,000 see täiesti turvaline, kuid seda, 110 00:04:50,000 --> 00:04:53,000 kuidas see töötab, hoiti saladuses. 111 00:04:54,000 --> 00:04:57,000 Loomulikult on see väga harva hea märk. 112 00:04:57,000 --> 00:05:00,000 Alles pärast mitmeid aastaid ilma fakte 113 00:05:00,000 --> 00:05:04,000 teadmata peetud arutelu, andis lõpuks 114 00:05:04,000 --> 00:05:07,000 keegi vilepuhuja ühe neist masinatest 115 00:05:07,000 --> 00:05:10,000 meie uurimisrühmale Princetonis. 116 00:05:10,000 --> 00:05:12,500 Ja mõned neist lugudest on sellised, 117 00:05:12,500 --> 00:05:15,000 et ise välja mõelda ei oskakski. 118 00:05:15,000 --> 00:05:17,500 Pärast eilset filmi Citizenfour, 119 00:05:17,500 --> 00:05:20,000 näib see pärinevat otse sellest filmist. 120 00:05:20,000 --> 00:05:22,000 Ma pidin minema sellele masinale järgi 121 00:05:22,000 --> 00:05:24,000 ja selle kätte saama otse allika käest. 122 00:05:24,000 --> 00:05:25,700 See kiskus naeruväärseks - 123 00:05:25,700 --> 00:05:27,500 pidin sõitma New Yorki, 124 00:05:27,500 --> 00:05:29,500 kus parkisin auto Times Square hotelli 125 00:05:29,500 --> 00:05:32,000 juures tänaval teise sõiduritta 126 00:05:32,000 --> 00:05:34,500 ja läksin hotelli taha teenindusteele, 127 00:05:34,500 --> 00:05:37,000 kus vihmamantlis mees andis mulle 128 00:05:37,000 --> 00:05:40,000 musta nahast kohvri valimismasinaga. 129 00:05:40,000 --> 00:05:45,000 (aplaus) 130 00:05:45,000 --> 00:05:47,500 Igatahes veetsime suve, töötades salaja 131 00:05:47,500 --> 00:05:49,500 masinat pöördkodeerides, ja ma ei tea, 132 00:05:49,500 --> 00:05:51,000 mis seal nii salajast oli - 133 00:05:51,000 --> 00:05:53,000 see oli olemuselt imelikus korpuses ja 134 00:05:53,000 --> 00:05:55,000 puuteekraaniga personaalarvuti, millel 135 00:05:55,000 --> 00:05:57,000 eemaldatav mälukaart sedelivormi üles 136 00:05:57,000 --> 00:05:59,000 ja häälte alla laadimiseks. 137 00:06:00,000 --> 00:06:04,000 Igatahes saime teada paar huvitavat asja selle turvalisuse kohta. 138 00:06:04,000 --> 00:06:06,000 Selgus, et sellel oli lihtsalt tavaline 139 00:06:06,000 --> 00:06:08,000 operatsioonisüsteemi tuum, ja rakendus, 140 00:06:08,000 --> 00:06:11,000 mis luges ja summeeris hääli. 141 00:06:11,000 --> 00:06:15,000 Tehes mälukaardiga paar lõbusat trikki, 142 00:06:15,000 --> 00:06:18,000 sai masina panna asendama oma tarkvara, 143 00:06:18,000 --> 00:06:20,000 millel puudusid krüptograafiakontrollid, 144 00:06:20,000 --> 00:06:23,000 ükskõik, mis tarkvaraga, mida sa tahtsid. 145 00:06:23,000 --> 00:06:26,500 Nii tulime välja rakendusega Stuffer (Koosseisuline Töötaja), 146 00:06:26,500 --> 00:06:29,000 mille sai masinasse laadida, 147 00:06:29,000 --> 00:06:31,000 mis näitas puuteekraanil ilusat liidest, 148 00:06:31,000 --> 00:06:33,500 lasi sul valida, kelle poolt hääletada 149 00:06:33,500 --> 00:06:35,000 ja mil määral, 150 00:06:35,000 --> 00:06:37,000 ning muutis siis vastavalt kõiki hääli, 151 00:06:37,000 --> 00:06:41,000 sest see masin hoidis hääli lihtsalt elektroonilises mälus. 152 00:06:41,000 --> 00:06:43,000 Sellisel viisil on võimalik korraldada 153 00:06:43,000 --> 00:06:45,000 valimised George Washingtoni 154 00:06:45,000 --> 00:06:48,000 ja Benedict Arnoldi (kuulus Ameerika revolutsiooni reetur) 155 00:06:48,000 --> 00:06:50,000 vahel selliselt, et ükskõik, 156 00:06:50,000 --> 00:06:52,000 millal me seda hääletust korraldame, 157 00:06:52,000 --> 00:06:53,500 võidab alati Benedict Arnold, 158 00:06:53,500 --> 00:06:55,500 sest oleme masinat salaja mõjutanud. 159 00:06:55,500 --> 00:06:57,500 Seda on nii lihtne teha, et minu juhtumil 160 00:06:57,500 --> 00:07:01,500 isegi kamp naiivseid bakatudengeid 161 00:07:01,500 --> 00:07:04,000 saaks mõne nädalaga hakkama, 162 00:07:04,000 --> 00:07:07,000 tänu valimiste automatiseerimisele. 163 00:07:08,000 --> 00:07:10,000 Me avastasime ka, et tänu selle 164 00:07:10,000 --> 00:07:12,000 tehnoloogia automatiseerimisele 165 00:07:12,000 --> 00:07:14,000 saame luua valimismasinaviiruse, 166 00:07:14,000 --> 00:07:16,500 mis levib nendel mälukaartidel 167 00:07:16,500 --> 00:07:18,000 masinast masinasse 168 00:07:18,000 --> 00:07:21,000 normaalse valimistsükli käigus. 169 00:07:21,000 --> 00:07:24,000 Seega saab keegi, kel õnnestub mõni minut 170 00:07:24,000 --> 00:07:26,000 mõne valimismasina juures omaette olla, 171 00:07:26,000 --> 00:07:29,000 muuta valimistulemust kogu osariigis. 172 00:07:30,000 --> 00:07:32,500 See on e-valimiste tõeline oht. 173 00:07:32,700 --> 00:07:34,500 Mitte lihtsalt see, 174 00:07:34,500 --> 00:07:36,000 et võltsimine on võimalik - 175 00:07:36,000 --> 00:07:39,000 ka paberhääletust on võimalik võltsida, 176 00:07:39,000 --> 00:07:41,500 kuid automatiseerimise pakutav võimsus 177 00:07:41,500 --> 00:07:44,000 võimaldab seda märksa ulatuslikumalt 178 00:07:44,000 --> 00:07:47,000 ja vaid väikse salasepitsuse teel, 179 00:07:47,000 --> 00:07:49,000 mida on ka väga raske avastada. 180 00:07:49,500 --> 00:07:51,500 Aga see pole ainus uuring, 181 00:07:51,500 --> 00:07:53,500 mis on näidanud e-valimiste probleeme. 182 00:07:53,500 --> 00:07:55,500 Ma olin osaline uuringus, mille tellis 183 00:07:55,500 --> 00:07:57,500 California osariigi kantsler Debra Bowen, 184 00:07:57,500 --> 00:08:00,000 samuti 2007. aastal, ja mis analüüsis 185 00:08:00,000 --> 00:08:03,000 kõiki e-valimiste tehnoloogiaid, 186 00:08:03,000 --> 00:08:05,000 mida Californias kasutatakse. 187 00:08:05,000 --> 00:08:09,000 Me uurisime kolme tootja masinaid: Hart, Sequoia ja Diebold. 188 00:08:09,000 --> 00:08:11,500 Uskuge või mitte, kuid kõik need masinad 189 00:08:11,500 --> 00:08:14,000 põhinesid lähtekoodil, mis koosnes 190 00:08:14,000 --> 00:08:17,000 sadadest tuhandetest koodiridadest. 191 00:08:17,000 --> 00:08:20,000 Liiga keeruline, et olla turvaline. 192 00:08:20,000 --> 00:08:22,000 Seega polnud üllatus, et kõiki neid 193 00:08:22,000 --> 00:08:25,000 masinaid ohustas häälte varastamise kood 194 00:08:25,000 --> 00:08:27,500 ja rünnakud, mis lasevad valimisametnikel 195 00:08:27,500 --> 00:08:30,000 rikkuda hääletamise salajasuse nõuet 196 00:08:30,000 --> 00:08:32,000 ja saada teada kuidas keegi hääletas. 197 00:08:32,000 --> 00:08:34,000 Uuringu tulemusena kaotasid need masinad 198 00:08:34,000 --> 00:08:38,000 sertifikaadi ja nende kasutamine keelati California osariigis. 199 00:08:38,000 --> 00:08:43,000 (aplaus) 200 00:08:43,000 --> 00:08:46,000 Kuid see pole vaid USA probleem. 201 00:08:46,000 --> 00:08:48,000 Ka Euroopas katsetatakse e-valimistega 202 00:08:48,000 --> 00:08:51,000 ja ühe esimese uuringu Euroopas 203 00:08:51,000 --> 00:08:53,500 korraldas minu sõber Rop Gonggrijp, 204 00:08:53,500 --> 00:08:55,500 kes istub siin esimeses reas. 205 00:08:55,500 --> 00:08:57,500 Aplausiraund Ropile! 206 00:08:57,500 --> 00:09:01,000 (aplaus) 207 00:09:01,000 --> 00:09:03,500 Niisiis Rop ja tema kaastöötajad uurisid 208 00:09:03,500 --> 00:09:06,000 Nedap ES3B masinaid, mis olid kasutusele 209 00:09:06,000 --> 00:09:10,000 võetud Hollandis, ja nad avastasid, 210 00:09:10,000 --> 00:09:13,000 et vahetades lihtsalt EEPROM-i kiibi, 211 00:09:13,000 --> 00:09:15,000 mis, nagu nad demonstreerisid, 212 00:09:15,000 --> 00:09:17,500 on hõlpsasti tehtav vähem kui minutiga, 213 00:09:17,500 --> 00:09:19,500 saavad nad panna masina varastama hääli, 214 00:09:19,500 --> 00:09:23,000 tegema sohki ja isegi mängima malet. 215 00:09:23,000 --> 00:09:25,000 (naer ja plaksutamine) 216 00:09:25,000 --> 00:09:30,000 Inspireerituna Ropist, võtsime kolleeg Ariel Feldmaniga masina, 217 00:09:30,000 --> 00:09:34,000 mis siiani kasutusel paljudes USA osades, 218 00:09:34,000 --> 00:09:40,500 ja mõned aastad hiljem muutsime selle päris heaks Pac-Mani masinaks. 219 00:09:40,500 --> 00:09:45,000 (naer ja plaksutamine) 220 00:09:45,000 --> 00:09:47,500 Kuid pole üksnes USA ja Euroopa. 221 00:09:47,500 --> 00:09:50,000 Ka India kasutab elektroonilisi valimisi. 222 00:09:50,000 --> 00:09:52,500 See on nii maailma suurim demokraatia 223 00:09:52,500 --> 00:09:55,000 kui ka suurim e-valimiste kasutaja. 224 00:09:55,000 --> 00:09:57,000 Neil on sellised kodumaised 225 00:09:57,000 --> 00:09:59,000 väga ilusad ja väga lihtsad 226 00:09:59,000 --> 00:10:01,500 varjatud süsteemiga valimismasinad. 227 00:10:01,500 --> 00:10:06,000 Läheks liiga pikale rääkida täna kogu lugu, 228 00:10:06,000 --> 00:10:10,500 kuid praeguseks umbes 4 aastat tagasi 229 00:10:10,500 --> 00:10:13,000 andis anonüümne allikas, vilepuhuja, 230 00:10:13,000 --> 00:10:15,500 ühe neist salajastest valitsuse tehtud masinatest 231 00:10:15,500 --> 00:10:19,000 uurimiseks sellele keskmisele mehele (Hari Prasad). 232 00:10:19,000 --> 00:10:21,000 Ja ta helistas mulle ja Ropile, 233 00:10:21,000 --> 00:10:25,000 ning me läksime Indiasse ja uurisime seda. 234 00:10:25,000 --> 00:10:27,500 Nagu ma ütlesin, läheks kogu lugu pikale, 235 00:10:27,500 --> 00:10:30,000 kuid lühidalt kokkuvõttes lõppes see nii, 236 00:10:30,000 --> 00:10:32,000 et Hari pandi mõneks ajaks vangi, 237 00:10:32,000 --> 00:10:35,000 Ropit ja mind oleks maalt peaaegu välja saadetud. 238 00:10:35,000 --> 00:10:38,000 Ja just äsja tegi India ülemkohus reegli, 239 00:10:38,000 --> 00:10:40,000 et nad peavad kasutusele võtma 240 00:10:40,000 --> 00:10:42,500 paberil väljatrüki, et India valijad 241 00:10:42,500 --> 00:10:45,500 saaks mõistliku tagatise, et nende hääled 242 00:10:45,500 --> 00:10:47,500 on turvaliselt kokku loetud. 243 00:10:47,500 --> 00:10:54,000 (aplaus) 244 00:10:54,000 --> 00:10:56,000 Aga internetivalimised? 245 00:10:56,500 --> 00:11:00,000 Kuid internetivalimine on veel keerulisem 246 00:11:00,000 --> 00:11:03,000 kui e-valimine eraldiseisvas masinas, 247 00:11:03,000 --> 00:11:04,500 mis asub valimisjaoskonnas, 248 00:11:04,500 --> 00:11:07,000 sest internetivalimistel on probleem, 249 00:11:07,000 --> 00:11:09,000 et valijad kasutavad oma arvuteid, 250 00:11:09,000 --> 00:11:11,000 väljaspool turvalist keskkonda, kus 251 00:11:11,000 --> 00:11:14,000 need võivad olla haavatavad survestamise, 252 00:11:14,000 --> 00:11:17,000 kasutajanimede ja paroolide varguse, 253 00:11:17,000 --> 00:11:20,000 valimisserverit teeskleva libaserveri, 254 00:11:20,000 --> 00:11:23,000 masinaid nakatava pahavara või isegi juba 255 00:11:23,000 --> 00:11:26,000 paljusid masinaid nakatanud botnettide 256 00:11:26,000 --> 00:11:30,000 poolt, kompromiteerides valimistulemust. 257 00:11:30,000 --> 00:11:32,000 Ja see pole veel kõik - 258 00:11:32,000 --> 00:11:33,500 ka server peab olema suuteline 259 00:11:33,500 --> 00:11:35,500 vastu pidama teenusetõkestusrünnetele. 260 00:11:35,500 --> 00:11:37,500 Pidagem meeles, et valimised toimuvad 261 00:11:37,500 --> 00:11:39,500 kindlal perioodil, seega ei saa öelda, 262 00:11:39,500 --> 00:11:41,500 et meie süsteem on sel nädalal maas 263 00:11:41,500 --> 00:11:43,500 ja me lükkame internetivalimiste osa 264 00:11:43,500 --> 00:11:45,000 edasi järgmisesse kuusse. 265 00:11:45,000 --> 00:11:46,500 See lihtsalt ei sobi! 266 00:11:46,500 --> 00:11:49,000 Tuleb muretseda siseringirünnakute pärast, 267 00:11:49,000 --> 00:11:51,000 välise sissetungi pärast 268 00:11:51,000 --> 00:11:53,000 ja veelgi keerukamate rünnakute pärast, 269 00:11:53,000 --> 00:11:55,000 nagu mõne riigi poolt toetatud ründed. 270 00:11:55,000 --> 00:11:57,000 Kui mitu riiki sinu arvates võib soovida 271 00:11:57,000 --> 00:12:01,000 mõjutada mõne suurriigi valimistulemusi? 272 00:12:01,000 --> 00:12:03,500 Sellise soovi ja võimetega arenenud 273 00:12:03,500 --> 00:12:06,500 riikide arv tõenäoliselt kasvab. 274 00:12:07,000 --> 00:12:09,500 Kuid samal ajal on internetivalimiste 275 00:12:09,500 --> 00:12:11,500 süsteeme keerukam uurida. 276 00:12:11,500 --> 00:12:14,000 Ei saa lihtsalt loota kellelegi, 277 00:12:14,000 --> 00:12:18,000 kes tooks sulle keset ööd ühe masina, kui sul raskeks läheb. 278 00:12:18,000 --> 00:12:21,500 Ei saa serverisse häkkida valimiste ajal. 279 00:12:21,500 --> 00:12:24,000 See oleks eetiliselt sobimatu: 280 00:12:24,000 --> 00:12:27,000 sest teadlasena, kes püüab parandada 281 00:12:27,000 --> 00:12:30,500 demokraatliku tehnoloogia olukorda, 282 00:12:30,500 --> 00:12:33,500 ei saa ma õigustada midagi, 283 00:12:33,500 --> 00:12:35,000 mis võiks sekkuda valimiste 284 00:12:35,000 --> 00:12:38,500 läbiviimisesse ja tulemustesse. 285 00:12:38,500 --> 00:12:41,500 Seepärast pidime otsima muid võimalusi 286 00:12:41,500 --> 00:12:43,000 ja üks parimaid näiteid, 287 00:12:43,000 --> 00:12:46,500 mis mul on õnnestunud siiani leida, 288 00:12:46,500 --> 00:12:48,500 on intsident aastast 2010, 289 00:12:48,500 --> 00:12:50,500 kus Washington DC otsustas 290 00:12:50,500 --> 00:12:53,500 juurutada internetivalimiste süsteemi. 291 00:12:53,500 --> 00:12:57,000 Nad said suure valitsuse toetuse, et seda ehitada. 292 00:12:57,000 --> 00:12:59,500 Ja see oli mõeldud sõjaväes 293 00:12:59,500 --> 00:13:01,500 ja välismaal viibivatele valijatele 294 00:13:01,500 --> 00:13:03,000 kodukohas mittevalija hääle andmiseks. 295 00:13:03,000 --> 00:13:06,000 Nad tegid palju asju õigesti - 296 00:13:06,000 --> 00:13:08,500 nad tegid avatud lähtekoodiga süsteemi, 297 00:13:08,500 --> 00:13:12,000 nad palkasid mõned suurte kogemustega veebiarendajad, 298 00:13:12,000 --> 00:13:14,500 nad kaasasid isegi turbeeksperte 299 00:13:14,500 --> 00:13:16,500 ja küsisid neilt, kuidas peaks uut 300 00:13:16,500 --> 00:13:19,000 internetivalimiste süsteemi tegema. 301 00:13:19,000 --> 00:13:21,000 Ja turbeeksperdid isegi hoiatasid, 302 00:13:21,000 --> 00:13:23,000 et internetihääletus on liiga ohtlik, 303 00:13:23,000 --> 00:13:25,000 et ei-ei, ärge tehke seda! 304 00:13:25,000 --> 00:13:26,500 Kuid DC tegi seda ikkagi. 305 00:13:26,500 --> 00:13:28,500 Kuid võib-olla kompromissina, 306 00:13:28,500 --> 00:13:32,000 võib-olla selleks, et meid paika panna, 307 00:13:32,000 --> 00:13:34,000 et tõestaksime oma väiteid, 308 00:13:34,000 --> 00:13:36,000 otsustasid nad korraldada avaliku 309 00:13:36,000 --> 00:13:37,500 katsetuse ja ütlesid, 310 00:13:37,500 --> 00:13:39,000 et nädal enne valimisi 311 00:13:39,000 --> 00:13:40,500 korraldatakse testhääletus, 312 00:13:40,500 --> 00:13:42,500 ja igaüks, kes tahab proovida sisse murda 313 00:13:42,500 --> 00:13:46,000 ja näidata, kui haavatav see süsteem on, võib seda teha. 314 00:13:46,000 --> 00:13:48,000 (naer) 315 00:13:48,000 --> 00:13:50,000 Mitte iga päev ei kutsuta sind 316 00:13:50,000 --> 00:13:52,000 häkkima valitsuse arvutitesse 317 00:13:52,000 --> 00:13:54,000 ilma vangi minemise ohuta. 318 00:13:54,000 --> 00:13:56,000 Ma sain kokku meeskonna oma tudengeid 319 00:13:56,000 --> 00:13:58,000 ja me otsustasime üleskutsele vastata. 320 00:13:58,000 --> 00:14:00,000 Niisiis, nende süsteem nägi välja nii: 321 00:14:00,000 --> 00:14:02,000 logid ilusa veebiliidese kaudu sisse, 322 00:14:02,000 --> 00:14:03,700 laed alla hääletussedeli, 323 00:14:03,700 --> 00:14:05,500 täidad selle PDF-Readeriga, 324 00:14:05,500 --> 00:14:07,000 laed selle taas üles, 325 00:14:07,000 --> 00:14:08,000 ja ongi kõik - 326 00:14:08,000 --> 00:14:10,000 "Täname hääletamast!" ja "Teata ka oma 327 00:14:10,000 --> 00:14:12,000 sõpradele Facebookis ja Twitteris!"... 328 00:14:12,000 --> 00:14:13,500 Ilus ja särav! See on... 329 00:14:13,500 --> 00:14:20,000 (naer ja aplaus) 330 00:14:20,000 --> 00:14:24,000 Igatahes nädal enne valimisi need kutid, 331 00:14:24,000 --> 00:14:26,000 Eric Wustrow, Scott Wolchok, ja mina, 332 00:14:26,000 --> 00:14:28,500 kogunesime ühel õhtul minu kabinetti, 333 00:14:28,500 --> 00:14:30,500 jäime üles päris kauaks, lugedes meile 334 00:14:30,500 --> 00:14:33,500 avaldatud lähtekoodi ja kena GitHubi kogu. 335 00:14:34,000 --> 00:14:37,000 Olime DC lähtekoodi paar tundi lugenud, 336 00:14:37,000 --> 00:14:40,000 umbes 3-4 paiku hommikul, kui uurisime 337 00:14:40,000 --> 00:14:42,000 seda protseduuri siin, mis on tehtud 338 00:14:42,000 --> 00:14:45,000 veebirakenduste raamistikus Ruby On Rails, 339 00:14:45,000 --> 00:14:48,000 mida keegi meist polnud varem näinud. 340 00:14:48,000 --> 00:14:51,000 Kuid suutsime siiski enamvähem aru saada. 341 00:14:51,000 --> 00:14:53,500 Sellest esiletõstetud reast siin selgub, 342 00:14:53,500 --> 00:14:56,000 et see valimissüsteem kasutab GPG-d 343 00:14:56,000 --> 00:14:58,500 üles laetava sedeli krüpteerimiseks, 344 00:14:58,500 --> 00:15:01,000 et see oleks turvaline ja salajane, 345 00:15:01,000 --> 00:15:03,500 kuni tuleb aeg häälte kokku lugemiseks. 346 00:15:03,500 --> 00:15:05,500 Siis liigutatakse need teise masinasse 347 00:15:05,500 --> 00:15:07,500 ja avatakse seal hoitava privaatvõtmega. 348 00:15:08,000 --> 00:15:11,000 Probleem peitub siin - nad kasutavad 349 00:15:11,000 --> 00:15:13,500 topelt jutumärke ühekordsete asemel. 350 00:15:13,500 --> 00:15:15,500 Sellest piisas, et me saime sisse häkkida 351 00:15:15,500 --> 00:15:17,000 ja varastada kõik hääled. 352 00:15:17,000 --> 00:15:18,000 (naer) 353 00:15:18,000 --> 00:15:20,000 Probleem on selles, et see võimaldab 354 00:15:20,000 --> 00:15:22,500 skriptisüstirünnakut, kuna see teek, 355 00:15:22,500 --> 00:15:24,500 mida kasutati, see versioon, 356 00:15:24,500 --> 00:15:26,500 mida kasutati, laseb lihtsalt koostada 357 00:15:26,500 --> 00:15:28,500 koodijupi ja kasutada süsteemipöördumist, 358 00:15:28,500 --> 00:15:31,000 et sisestada see käsureale. 359 00:15:31,000 --> 00:15:35,000 Hea seegi, et nad kontrollisid failinime põhiosagi, 360 00:15:35,000 --> 00:15:37,000 ent laiend jäi kontrollimata. 361 00:15:37,000 --> 00:15:39,300 Seega, kui sa kasutasid laiendit, 362 00:15:39,300 --> 00:15:41,000 mis sisaldas käsurea käske, 363 00:15:41,000 --> 00:15:43,500 siis põhjustas see nende käskude 364 00:15:43,500 --> 00:15:46,000 käivitumise veebiserveri protsessile 365 00:15:46,000 --> 00:15:48,000 antud kasutajaõigustes, 366 00:15:48,000 --> 00:15:51,000 mis olid: hääletussedelite vastuvõtt 367 00:15:51,000 --> 00:15:54,000 ja valimiste läbiviimine. 368 00:15:54,000 --> 00:15:59,000 See oli esimene asi, mida me proovisime, ja see toimis! 369 00:15:59,000 --> 00:16:00,000 Igatahes... 370 00:16:00,000 --> 00:16:04,500 (aplaus) 371 00:16:04,500 --> 00:16:07,000 Me leidsime samas võrgus ka teisi 372 00:16:07,000 --> 00:16:10,000 huvitavaid seadmeid, sealhulgas mitmeid 373 00:16:10,000 --> 00:16:12,000 veebikaameraid, mis polnud kasutajanime 374 00:16:12,000 --> 00:16:14,000 ja parooliga kaitstud. 375 00:16:14,000 --> 00:16:15,500 Need olid andmekeskuses, 376 00:16:15,500 --> 00:16:17,000 seega siin on masinad, 377 00:16:17,000 --> 00:16:19,000 millel käivad e-valimised, 378 00:16:19,000 --> 00:16:22,000 siin töötajad..., siin turvamees, 379 00:16:22,000 --> 00:16:25,000 kes ei tea, et me häkime serverisse... 380 00:16:25,000 --> 00:16:28,000 Kuid see oli tegelikult väga kasulik, 381 00:16:28,000 --> 00:16:30,500 sest me saime neid mehi jälgida, 382 00:16:30,500 --> 00:16:32,500 kas nad kahtlustavad, 383 00:16:32,500 --> 00:16:34,500 et miskit on puudu. 384 00:16:34,500 --> 00:16:37,000 Ja me nägimegi olulist muutust 385 00:16:37,000 --> 00:16:40,500 nende käitumises ja hoiakutes - 386 00:16:40,500 --> 00:16:43,000 kui nad viimaks avastasid, et olime 387 00:16:43,000 --> 00:16:46,000 saavutanud kontrolli süsteemi üle, 388 00:16:46,000 --> 00:16:48,500 siis polnud nad eriti õnnelikud. 389 00:16:48,500 --> 00:16:57,000 (naer ja aplaus) 390 00:16:57,500 --> 00:16:59,500 Igatahes, ma hüppan nüüd loos 391 00:16:59,500 --> 00:17:01,500 jupp maad edasi, viimaks oli aeg 392 00:17:01,500 --> 00:17:04,000 DC-s küps süsteemi ründamiseks. 393 00:17:04,000 --> 00:17:06,000 Seega ootasime kuni kella viieni, millal, 394 00:17:06,000 --> 00:17:08,500 nagu ma turvavideote põhjal teadsin, 395 00:17:08,500 --> 00:17:10,500 läksid süsteemiadministraatorid 396 00:17:10,500 --> 00:17:12,500 tavaliselt ööseks koju. 397 00:17:12,500 --> 00:17:14,500 Sellest hetkest hakkasime seda 398 00:17:14,500 --> 00:17:17,000 käsuliidese süstimise turvaauku kasutama, 399 00:17:17,000 --> 00:17:18,500 et käivitada väliseid käsklusi. 400 00:17:18,500 --> 00:17:21,500 Tegelikult me ehitasime mingit laadi 401 00:17:21,500 --> 00:17:23,000 simuleeritud käsuliidese, 402 00:17:23,000 --> 00:17:24,500 mis teeks vajalikke asju, 403 00:17:24,500 --> 00:17:27,500 et kompileerida miskit valimissedelile, 404 00:17:27,500 --> 00:17:29,500 laadida see üles, käivitada käsud 405 00:17:29,500 --> 00:17:31,500 ja lekitada see tagasi välja, 406 00:17:31,500 --> 00:17:34,000 pannes midagi veebiserveri avalikku kausta. 407 00:17:34,000 --> 00:17:36,000 Ja põhimõtteliselt luua mulje, 408 00:17:36,000 --> 00:17:38,000 nagu me oleksime käsureal. 409 00:17:38,000 --> 00:17:40,000 Igatahes jätkasime rünnet süsteemi vastu, 410 00:17:40,000 --> 00:17:42,500 mängides reaalse ründaja rolli. 411 00:17:43,000 --> 00:17:45,000 Niisiis, kui sa reaalse ründajana 412 00:17:45,000 --> 00:17:47,000 oled valimissüsteemi sisse häkkinud, 413 00:17:47,000 --> 00:17:49,000 siis mida sa esimesena teeksid, 414 00:17:49,000 --> 00:17:51,500 kas varastaksid kõik hääled? 415 00:17:51,500 --> 00:17:53,500 Ei! Esimese asjana varastaksid 416 00:17:53,500 --> 00:17:55,500 sa kõike muud, mida õnnestub, 417 00:17:55,500 --> 00:17:57,200 ja mis võib aidata sul 418 00:17:57,200 --> 00:17:59,000 süsteemi tagasi pääseda. 419 00:17:59,000 --> 00:18:01,000 Sa lood järjepidevuse. 420 00:18:02,000 --> 00:18:04,000 Alles teine asi, mis me tegime, 421 00:18:04,000 --> 00:18:06,000 oli kõigi häälte varastamine... 422 00:18:06,000 --> 00:18:08,000 (naer) 423 00:18:08,000 --> 00:18:10,500 Me asendasime need oma valimissedelitega, 424 00:18:10,500 --> 00:18:12,000 kus kõigil oli kandidaadiks 425 00:18:12,000 --> 00:18:13,500 nimekirjaväline kandidaat - 426 00:18:13,500 --> 00:18:15,500 ulmejutu või -filmi kuri robot, 427 00:18:15,500 --> 00:18:17,000 kes võiks olla see, 428 00:18:17,000 --> 00:18:18,500 kelle poolt arvutid hääletaks, 429 00:18:18,500 --> 00:18:20,000 kui nad tahaks võimule tulla. 430 00:18:20,000 --> 00:18:22,000 Siis seadistasime süsteemi asendama 431 00:18:22,000 --> 00:18:24,000 kõik uued hääled meie eelistusega. 432 00:18:24,000 --> 00:18:25,500 Siis lisasime tagaukse, 433 00:18:25,500 --> 00:18:28,500 mis teeks avalikuks kõigi teiste valijate 434 00:18:28,500 --> 00:18:30,500 salajased valimiseelistused, 435 00:18:30,500 --> 00:18:32,000 ja kustutasime logid, 436 00:18:32,000 --> 00:18:34,000 püüdes varjata oma tegevuse jälgi. 437 00:18:34,000 --> 00:18:36,000 Nüüd oli meil veel üks dilemma, 438 00:18:36,000 --> 00:18:38,000 mis seisnes selles, et olime saavutanud 439 00:18:38,000 --> 00:18:40,000 süsteemi üle täieliku kontrolli, 440 00:18:40,000 --> 00:18:41,500 kuid kuna pärisvalimised 441 00:18:41,500 --> 00:18:43,000 olid nädala pärast tulemas, 442 00:18:43,000 --> 00:18:47,000 siis tahtsime DC-le teada anda, mis on juhtunud. 443 00:18:47,200 --> 00:18:49,500 Aga me ei tahtnud neile helistada, 444 00:18:49,500 --> 00:18:51,500 sest arvasime, et oleks põnev testida, 445 00:18:51,500 --> 00:18:53,500 kui hästi suudavad valimisametnikud 446 00:18:53,500 --> 00:18:55,500 rünnakuid tuvastada ja neile 447 00:18:55,500 --> 00:18:58,000 simuleeritud valimiste käigus reageerida. 448 00:18:58,000 --> 00:19:02,000 Iial pole olnud head näidet ega uurimust, 449 00:19:02,000 --> 00:19:04,500 kuidas see välja mängitakse. 450 00:19:04,500 --> 00:19:07,000 Seega neile lihtsalt helistamise asemel 451 00:19:07,000 --> 00:19:10,000 otsustasime jätta oma arvates mitte eriti 452 00:19:10,000 --> 00:19:12,500 tagasihoidliku visiitkaardi. 453 00:19:12,500 --> 00:19:15,000 Niisiis muutsime valimisprotseduuri lõpus 454 00:19:15,000 --> 00:19:17,000 valijat tänava ja sõpru Facebookis ja 455 00:19:17,000 --> 00:19:19,500 Twitteris teavitada soovitava lehekülje 456 00:19:19,500 --> 00:19:22,000 koodi, lisades sinna mõne rea. Just siia! 457 00:19:22,000 --> 00:19:25,500 See käivitas valija arvutis mõnesekundise 458 00:19:25,500 --> 00:19:28,500 pausi järel Michigani ülikooli jalgpalli 459 00:19:28,500 --> 00:19:31,500 võitluslaulu "Tervitus võitjatele". 460 00:19:31,500 --> 00:19:38,000 (naer ja aplaus) 461 00:19:38,000 --> 00:19:40,000 Nii kulus ikkagi peaaegu kaks päeva, 462 00:19:40,000 --> 00:19:42,000 enne, kui valimisametnikud märkasid. 463 00:19:42,000 --> 00:19:43,500 Ja see juhtus alles siis, 464 00:19:43,500 --> 00:19:45,500 kui keegi helistas neile ja tõstis esile, 465 00:19:45,500 --> 00:19:47,000 et süsteem ise meeldib talle, 466 00:19:47,000 --> 00:19:49,000 kuid talle ei meeldi see muusika, 467 00:19:49,000 --> 00:19:50,000 mis lõpus mängib - see olevat häiriv! 468 00:19:50,000 --> 00:19:51,500 (naer) 469 00:19:51,500 --> 00:19:53,500 Arvan, et alles siis vaatasid nad ringi, 470 00:19:53,500 --> 00:19:55,000 said aru, et nad kõik on 471 00:19:55,000 --> 00:19:57,000 konkureeriva jalkameeskonna fännid. 472 00:19:57,000 --> 00:19:59,000 Ja tundsid siis jubedat uppumise tunnet. 473 00:19:59,000 --> 00:20:02,000 Igatahes tegi DC lõpuks targasti - 474 00:20:02,000 --> 00:20:05,000 nad loobusid internetivalimiste süsteemi 475 00:20:05,000 --> 00:20:07,000 häälte kogumiseks kasutamisest. 476 00:20:07,000 --> 00:20:09,000 Selle asemel lasid nad võõrsil viibivail 477 00:20:09,000 --> 00:20:12,000 valijatel õigeaegselt valida aitamiseks 478 00:20:12,000 --> 00:20:14,000 alla laadida tühja valimissedeli, 479 00:20:14,000 --> 00:20:15,500 selle välja printida, 480 00:20:15,500 --> 00:20:17,000 ja saata see tagasi postiga. 481 00:20:17,000 --> 00:20:20,000 Sellega kõrvaldasid nad enamiku riske 482 00:20:20,000 --> 00:20:22,000 ja tulid poolele teele vastu valijaile, 483 00:20:22,000 --> 00:20:24,000 kelle hääl vajas õigeaegset tagastamist. 484 00:20:25,000 --> 00:20:30,000 Hüva! See oli senini meie parim uuring. 485 00:20:30,000 --> 00:20:33,000 (aplaus) 486 00:20:33,000 --> 00:20:35,500 Ja see toob meid tänase ettekande 487 00:20:35,500 --> 00:20:36,500 peateema juurde. 488 00:20:36,500 --> 00:20:39,500 Internetivalimised Eestis. 489 00:20:40,000 --> 00:20:42,500 Eesti on väga-väga huvitav juhtum, 490 00:20:42,500 --> 00:20:45,500 ja olen aastaid jälginud, mis on toimunud 491 00:20:45,500 --> 00:20:48,500 Eesti internetivalimiste süsteemiga, sest 492 00:20:48,500 --> 00:20:51,000 Eesti on maailma riikidest enim suutnud 493 00:20:51,000 --> 00:20:54,000 internetivalimisi juurutada ja kasutada. 494 00:20:55,000 --> 00:20:58,000 Neile, kes ei tea, kus Eesti asub, 495 00:20:58,000 --> 00:21:01,000 sh enamik publikus olevaid ameeriklasi, 496 00:21:01,000 --> 00:21:03,000 siis see asub siin. 497 00:21:03,000 --> 00:21:05,000 Nagu näete, piirneb see Venemaaga. 498 00:21:05,000 --> 00:21:09,000 Ameeriklastele: see on ka Euroopa Liidu ja NATO liige. 499 00:21:09,000 --> 00:21:11,000 Niisiis, Eesti on tegelikult 500 00:21:11,000 --> 00:21:13,000 tehnoloogiliselt üsna arenenud riik. 501 00:21:13,000 --> 00:21:15,000 Nad on liidrid e-valitsuse osas, 502 00:21:15,000 --> 00:21:17,000 nad teevad palju huvitavaid katseid, 503 00:21:17,000 --> 00:21:20,500 kuidas pakkuda avalikke teenuseid üle interneti. 504 00:21:21,000 --> 00:21:25,000 Selles kontekstis on pisut vähem üllatav, 505 00:21:25,000 --> 00:21:28,000 et üks selline riik, nagu Eesti, 506 00:21:28,000 --> 00:21:31,000 eksperimenteerib internetivalimistega. 507 00:21:31,000 --> 00:21:34,000 Siiski on Eesti teinud rohkem, 508 00:21:34,000 --> 00:21:36,000 kui kõigest mõned katsed. 509 00:21:36,000 --> 00:21:39,000 Viimase kümne aastaga on nad, ma usun, 510 00:21:39,000 --> 00:21:42,000 korraldanud internetis seitse valimist, 511 00:21:42,000 --> 00:21:45,000 sealhulgas kõige hiljutisemad, mais 2014 512 00:21:45,000 --> 00:21:48,000 toimunud Euroopa parlamendi valimised, 513 00:21:48,000 --> 00:21:51,000 kus rohkem kui 30% kõigist häältest 514 00:21:51,000 --> 00:21:53,000 anti interneti teel. 515 00:21:53,000 --> 00:21:55,000 See on lihtsalt imeline! 516 00:21:55,000 --> 00:21:57,000 Mitte ükski teine riik ei saa lähedalegi 517 00:21:57,000 --> 00:22:00,000 nii tugeva internetist sõltumise poolest 518 00:22:00,000 --> 00:22:03,000 riiklikel valimistel - üle 30 protsendi! 519 00:22:04,000 --> 00:22:08,000 Ja ometi, kas Eesti süsteem on turvaline, 520 00:22:08,000 --> 00:22:13,000 on küsimus, millele pole antud adekvaatset vastust. 521 00:22:14,000 --> 00:22:19,000 Tegelikult polnud meie sinna sattumiseni 522 00:22:19,000 --> 00:22:21,500 sõltumatut rahvusvahelist uuringut, 523 00:22:21,500 --> 00:22:24,000 mis oleks detailselt kontrollinud 524 00:22:24,000 --> 00:22:27,000 seda tehnoloogiat ja selle turvalisust. 525 00:22:27,000 --> 00:22:29,000 Ja seepärast paljudes teistes riikides, 526 00:22:29,000 --> 00:22:31,500 sealhulgas minu kodumaal, oli inimesi, 527 00:22:31,500 --> 00:22:33,500 kes imetledes vaatasid: ohhoo, Eesti, 528 00:22:33,500 --> 00:22:35,500 vaadake seda, nad hääletavad internetis, 529 00:22:35,500 --> 00:22:36,500 miks meie seda teha ei saa? 530 00:22:36,500 --> 00:22:40,000 Kas poleks tore, kui me saaks internetis hääletada? 531 00:22:40,000 --> 00:22:42,000 Seepärast tahtsin ma teada saada, 532 00:22:42,000 --> 00:22:44,000 nagu ka mu tudengid ja paljud mu sõbrad, 533 00:22:44,000 --> 00:22:46,000 kas Eesti on tõesti lahendanud 534 00:22:46,000 --> 00:22:49,000 internetivalimiste turvalisuse probleemi? 535 00:22:49,000 --> 00:22:52,000 Kas nad on oma süsteemi loonud viisil, 536 00:22:52,000 --> 00:22:53,500 mis arvestab kõiki neid reaalsete 537 00:22:53,500 --> 00:22:56,000 ohtude liike, mida suured riigid 538 00:22:56,000 --> 00:22:58,000 valimiste korraldamisel kohtavad? 539 00:22:58,000 --> 00:23:03,000 Ja mida võiks minu riik, ja kõik teised, Eesti näitest õppida? 540 00:23:03,000 --> 00:23:06,000 Seega ootasin ma mitu-mitu aastat 541 00:23:06,000 --> 00:23:08,000 võimalust minna Eestisse, 542 00:23:08,000 --> 00:23:10,000 kohtuda seal nende inimestega, 543 00:23:10,000 --> 00:23:11,500 et uurida seda süsteemi 544 00:23:11,500 --> 00:23:14,000 ja püüda saada vastused neile küsimustele 545 00:23:14,000 --> 00:23:15,500 e-valimiste uuringu kontekstis. 546 00:23:17,500 --> 00:23:20,000 Viimaks oli mul see võimalus, 547 00:23:20,000 --> 00:23:24,000 oktoobris 2013, kui mind kutsuti kaasa 548 00:23:24,000 --> 00:23:27,000 rahvusvahelise teadlaste meeskonnaga 549 00:23:27,000 --> 00:23:29,500 Tallinna linnavalitsuse poolt - 550 00:23:29,500 --> 00:23:31,000 et tulla Eestisse, 551 00:23:31,000 --> 00:23:34,000 rääkida meie kogemustest e-valmistega 552 00:23:34,000 --> 00:23:37,000 ja olla riiklike valimiste vaatleja, 553 00:23:37,000 --> 00:23:39,500 et reaalselt näha seda e-valimiste 554 00:23:39,500 --> 00:23:42,000 süsteemi administreerimise protsessi. 555 00:23:43,000 --> 00:23:47,000 Seega olime valimiste ametlikud akrediteeritud vaatlejad. 556 00:23:47,000 --> 00:23:50,000 Me pidime külastama andmekeskust, 557 00:23:50,000 --> 00:23:55,000 kus majutatakse valimiste servereid. 558 00:23:55,000 --> 00:23:58,500 Me pidime kohtuma süsteemi arendajatega 559 00:23:58,500 --> 00:24:01,000 ja intervjueerima neid põhjalikult, 560 00:24:01,000 --> 00:24:04,000 sealhulgas süsteemi isa Tarvi Martensit, 561 00:24:04,000 --> 00:24:06,000 kes tegelikult tegi sellest ettekande ka 562 00:24:06,000 --> 00:24:09,000 vist 25. C3 kongressil aastaid tagasi. 563 00:24:09,000 --> 00:24:12,000 Tarvi on üks juhtivatest arendajatest, 564 00:24:12,000 --> 00:24:15,000 see on tema lapsuke ja mul oli hea meel 565 00:24:15,000 --> 00:24:18,000 temaga silmast silma pikemalt vestelda, 566 00:24:18,000 --> 00:24:20,000 veeta koos temaga üks päev 567 00:24:20,000 --> 00:24:22,000 ja tutvuda süsteemi toimimisega. 568 00:24:22,000 --> 00:24:25,000 Saime tutvuda ka lähtekoodiga, sest Eesti 569 00:24:25,000 --> 00:24:28,000 avaldas just eelmisel aastal esmakordselt 570 00:24:28,000 --> 00:24:31,000 osa oma valimissüsteemi lähtekoodist. 571 00:24:31,000 --> 00:24:33,000 Nad avaldasid serveripoolse lähtekoodi. 572 00:24:33,000 --> 00:24:36,000 Kliendi lähtekood on endiselt kinnine. 573 00:24:36,000 --> 00:24:39,000 Nad paluvad sul oma arvutisse paigaldada 574 00:24:39,000 --> 00:24:42,000 suletud koodiga rakendus, et vältida sama 575 00:24:42,000 --> 00:24:44,000 ilmega ebaausa libarakenduse loomist 576 00:24:44,500 --> 00:24:46,500 või vähemalt teha see raskemaks. 577 00:24:47,000 --> 00:24:50,000 Me pidime ka läbi vaatama, ja see on väga 578 00:24:50,000 --> 00:24:52,000 huvitav asi, mis nad teevad, me pidime 579 00:24:52,000 --> 00:24:55,000 vaatama kümneid tunde videosalvestisi, 580 00:24:55,000 --> 00:24:57,000 mida Eesti valimiste ajal teeb. 581 00:24:57,000 --> 00:25:00,000 Näiteks valimiseelne serverite seadistus 582 00:25:00,000 --> 00:25:03,000 ja igapäevane varundamine andmekeskuses. 583 00:25:03,000 --> 00:25:06,000 Tõesti huvitav, et nad seda pakuvad, 584 00:25:06,000 --> 00:25:09,000 see võimaldas meil täita mitmeid lünki, 585 00:25:09,000 --> 00:25:12,000 kuidas süsteemi tegelikult kasutatakse. 586 00:25:13,000 --> 00:25:16,000 [Valija kogemused] 587 00:25:16,500 --> 00:25:18,500 Järgmise asjana tahan teile näidata, 588 00:25:18,500 --> 00:25:22,000 milline see süsteem näeb välja valija vaatenurgast. 589 00:25:22,500 --> 00:25:24,500 Kui sa oled Eesti valija, 590 00:25:24,500 --> 00:25:27,500 kes kavatseb oma e-hääle anda, 591 00:25:27,500 --> 00:25:30,000 siis on sul selleks umbes nädal aega 592 00:25:30,000 --> 00:25:33,000 enne kohaleminemisega valimispäeva. 593 00:25:34,000 --> 00:25:36,000 Sa logid oma arvutist sisse, 594 00:25:36,000 --> 00:25:37,500 laadid alla rakenduse, 595 00:25:37,500 --> 00:25:39,500 ja on vaid üks asi sellel pildil, 596 00:25:39,500 --> 00:25:42,000 mis võib tunduda teistele ebatavaline. 597 00:25:42,000 --> 00:25:44,000 Ja see on see asi! Mis see on? 598 00:25:44,000 --> 00:25:47,000 Eestis on üks väga huvitav asi nende poolt 599 00:25:47,000 --> 00:25:50,000 arvutitehnoloogia vallas tehtu seas - 600 00:25:50,000 --> 00:25:53,000 kõik nende ID-kaardid on kiipkaardid 601 00:25:53,000 --> 00:25:56,000 ja igal kodanikul on selline ID-kaart, 602 00:25:56,000 --> 00:25:59,000 mille kiibis on RSA võtmepaar. 603 00:26:00,000 --> 00:26:04,000 Neid saab kasutada autentimiseks veebis, 604 00:26:04,000 --> 00:26:08,500 kasutades HTTPS TLS klienti Auth. 605 00:26:08,500 --> 00:26:10,000 Nad on ainuke riik, 606 00:26:10,000 --> 00:26:13,000 kus see on laialt kasutusele võetud. 607 00:26:13,500 --> 00:26:15,500 Või dokumentide allkirjastamiseks, 608 00:26:15,500 --> 00:26:18,000 ja neil on seaduslik, riigi tunnustatud 609 00:26:18,000 --> 00:26:21,000 elektroonilise dokumendi vorming, 610 00:26:21,000 --> 00:26:24,000 mis toetab selle kaardiga antud allkirju. 611 00:26:24,000 --> 00:26:27,000 Mitu riiki on püüdnud sellist asja teha, 612 00:26:27,000 --> 00:26:30,000 kuid Eesti on ainulaadne, sest seal on 613 00:26:30,000 --> 00:26:32,000 see laialt kasutusel - paljud inimesed, 614 00:26:32,000 --> 00:26:36,000 suur osa eestlastest, kasutab seda kaarti 615 00:26:36,000 --> 00:26:38,000 internetipangas, nad kasutavad seda 616 00:26:38,000 --> 00:26:40,000 tuludeklaratsiooni esitamiseks, 617 00:26:40,000 --> 00:26:42,500 nad kasutavad seda, et pääseda ligi 618 00:26:42,500 --> 00:26:44,000 online tervishoiuteenustele. 619 00:26:44,000 --> 00:26:46,500 See on tõesti laialt kasutusel, 620 00:26:46,500 --> 00:26:48,500 ja minu arvates on see fantastiline, 621 00:26:48,500 --> 00:26:50,500 et neil on õnnestunud luua rahvuslik 622 00:26:50,500 --> 00:26:52,500 avaliku võtme infrastruktuur 623 00:26:52,500 --> 00:26:54,500 ja näha selle omaks võtmist. 624 00:26:54,500 --> 00:26:57,500 Seega pole üldse üllatav, et nad rajasid 625 00:26:57,500 --> 00:27:00,500 kogu valimissüsteemi ülesehituse nende 626 00:27:00,500 --> 00:27:03,500 kaartide võimetele ja funktsioonidele. 627 00:27:04,000 --> 00:27:06,000 Seega tuleb e-valima mineva eestlasena 628 00:27:06,000 --> 00:27:09,000 esmalt ametlikust veebist alla laadida 629 00:27:09,000 --> 00:27:12,000 kliendirakendus, ja see on saadaval 630 00:27:12,000 --> 00:27:14,000 Windowsile, Macile ja Linuxile. 631 00:27:14,500 --> 00:27:17,000 Siis paigaldada see oma arvutisse 632 00:27:17,000 --> 00:27:19,000 ja edasi järgida rakenduse juhiseid, 633 00:27:19,000 --> 00:27:21,500 kasutada oma kiipkaarti, riiklikku ID-d, 634 00:27:21,500 --> 00:27:23,000 et anda oma hääl. 635 00:27:23,000 --> 00:27:26,000 Siin on see, kuidas see käib: 636 00:27:26,000 --> 00:27:29,000 Esmalt käivitad sa rakenduse, 637 00:27:29,000 --> 00:27:32,000 ja see küsib sinult neljakohalist koodi. 638 00:27:32,000 --> 00:27:36,000 See kood on vajalik kiipkaardile, 639 00:27:36,000 --> 00:27:41,000 et aktiveerida kaardi autentimis- ja allkirjastamisfunktsioonid, 640 00:27:41,000 --> 00:27:43,000 ning lubada kasutada võtmeid. 641 00:27:43,000 --> 00:27:46,000 Pärast seda ühendub see valimisserveriga, 642 00:27:46,000 --> 00:27:48,000 autendib TLS kliendiga Auth, 643 00:27:48,000 --> 00:27:50,000 otsib välja, kus sa elad, 644 00:27:50,000 --> 00:27:52,000 ja saadab rakendusele valimissedeli. 645 00:27:52,000 --> 00:27:54,000 Sa pead rakenduses lihtsalt valima, 646 00:27:54,000 --> 00:27:56,000 kelle poolt sa hääletad. 647 00:27:57,000 --> 00:28:00,000 Muide, igaks valimiseks on uus rakendus. 648 00:28:01,000 --> 00:28:04,000 Siis klõpsad nuppu "Valin", ja edasi 649 00:28:04,000 --> 00:28:08,000 tarkvara tegeleb natuke krüpteerimisega. 650 00:28:08,000 --> 00:28:11,000 Siin on see, mida see teeb - kaht asja. 651 00:28:11,000 --> 00:28:15,000 Esiteks krüpteerib see su valimissedeli, 652 00:28:15,000 --> 00:28:19,000 kasutades RSA-d ja kliendi genereeritud 653 00:28:19,000 --> 00:28:22,000 juhuslikku polsterdavat teksti. 654 00:28:22,000 --> 00:28:25,000 Siis võtab see selle krüpteeritud sedeli 655 00:28:25,000 --> 00:28:27,500 ja allkirjastab digitaalselt 656 00:28:27,500 --> 00:28:30,000 sinu ametliku ID-kaardiga. 657 00:28:31,000 --> 00:28:33,500 Seega teine, allkirjastamise etapp, 658 00:28:33,500 --> 00:28:35,500 annab tulemuseks allkirjastatud 659 00:28:35,500 --> 00:28:37,500 krüpteeritud valimissedeli. 660 00:28:37,500 --> 00:28:40,000 Allkirjastatud krüpteeritud valimissedel 661 00:28:40,000 --> 00:28:42,500 läheb valimisserverisse, mis hoiab seda, 662 00:28:42,500 --> 00:28:44,500 kuni on aeg hääled kokku lugeda. 663 00:28:44,500 --> 00:28:47,500 See on valimiseprotseduuri lühiülevaade, väga lihtne! 664 00:28:48,500 --> 00:28:50,500 Järgmisena on Eestil siiski iseärasus, 665 00:28:50,500 --> 00:28:53,000 mida rakendati alles viimastel aastatel, 666 00:28:53,000 --> 00:28:55,000 ja mis laseb sul teha midagi, 667 00:28:55,000 --> 00:28:57,000 mida nad kutsuvad kontrollimiseks. 668 00:28:57,000 --> 00:28:58,500 Viimane asi, 669 00:28:58,500 --> 00:29:00,500 mida valimiste klientrakendus teeb, 670 00:29:00,500 --> 00:29:02,500 on sellise QR koodi näitamine. 671 00:29:03,000 --> 00:29:06,000 See QR kood sisaldab kaht asja: 672 00:29:06,000 --> 00:29:09,000 sedeli tunnust ja enne RSA krüpteerimist 673 00:29:09,000 --> 00:29:13,000 sedeli polsterdamisel kasutatud juhuteksti. 674 00:29:13,500 --> 00:29:18,000 Nende abil saad nutitelefonirakendusega, 675 00:29:18,000 --> 00:29:21,000 mis on saadaval iOS-ile ja Androidile, 676 00:29:21,000 --> 00:29:26,000 skaneerida selle QR koodi, misjärel teeb 677 00:29:26,000 --> 00:29:28,000 rakendus päringu valimisserverisse 678 00:29:28,000 --> 00:29:29,500 ja server saadab tagasi 679 00:29:29,500 --> 00:29:31,000 krüpteeritud valimissedeli, 680 00:29:31,000 --> 00:29:33,000 millelt on eemaldatud digiallkiri. 681 00:29:33,000 --> 00:29:38,000 Server väidab, et see on see sedel, mille ta sinult sai. 682 00:29:39,000 --> 00:29:42,000 Hüva! Siis, kasutades seda juhuteksti, 683 00:29:42,000 --> 00:29:45,000 mis saadi QR koodist, püüab nutirakendus 684 00:29:45,000 --> 00:29:49,000 jõuga lahti murda sinu sedelit, proovides 685 00:29:49,000 --> 00:29:52,000 läbi kõik võimalused, kuni leiab selle, 686 00:29:52,000 --> 00:29:54,000 mis šifreerub samaks tekstiks. 687 00:29:54,000 --> 00:29:57,000 Hüva! Siis leiab see kokkusobivuse 688 00:29:57,000 --> 00:30:00,000 ja kuvab tulemuseks saadud kandidaadi. 689 00:30:01,000 --> 00:30:04,000 Sunnivastase abinõuna saab valideerimist 690 00:30:04,000 --> 00:30:08,000 teha vaid kuni kolm korda ja seda kuni 691 00:30:08,000 --> 00:30:11,000 30 minuti jooksul pärast hääletamist. 692 00:30:11,000 --> 00:30:15,000 Muidu saaks sinu survestaja alati nõuda, 693 00:30:15,000 --> 00:30:17,000 et näitaksid talle oma sedeli kontrolli. 694 00:30:17,500 --> 00:30:21,000 Huvitav, et ühe meetmena survestamise 695 00:30:21,000 --> 00:30:23,000 vastu on sul võimalus oma hääl ära muuta 696 00:30:23,000 --> 00:30:25,000 nii palju kordi kui sa tahad, 697 00:30:25,000 --> 00:30:28,000 kuni kohaleminekuga valimise päevani. 698 00:30:28,000 --> 00:30:30,000 Selleks lihtsalt korda seda protseduuri, 699 00:30:30,000 --> 00:30:33,000 ning su uus valik asendab varasema ja 700 00:30:33,000 --> 00:30:35,500 vaid kõige viimane hääl võetakse arvesse. 701 00:30:36,000 --> 00:30:38,000 Hüva, selline on kontrolliprotsess. 702 00:30:38,000 --> 00:30:40,000 Nüüd aga kuidas toimub häälte lugemine? 703 00:30:40,500 --> 00:30:43,000 Eesti e-häälte kokku lugemine on huvitav, 704 00:30:43,000 --> 00:30:46,000 sest põhimõtteliselt on püütud teha 705 00:30:46,000 --> 00:30:48,000 krüptograafiline analoog 706 00:30:48,000 --> 00:30:51,000 topeltümbrikuga eelhääletamisele, 707 00:30:51,000 --> 00:30:54,000 mida kasutatakse paljudes riikides. 708 00:30:54,000 --> 00:30:57,000 Topeltümbrikuga eelhääletamisel on sul 709 00:30:57,000 --> 00:31:00,000 sisemine turvaümbrik, milles on su sedel, 710 00:31:00,000 --> 00:31:05,000 ja väline ümbrik sinu nime ja allkirjaga. 711 00:31:05,000 --> 00:31:07,500 Kui tuleb aeg hääled kokku lugeda, 712 00:31:07,500 --> 00:31:10,000 olles kontrollinud, et sa hääletasid vaid 713 00:31:10,000 --> 00:31:12,000 ühe korra ja et sul on valimisõigus, 714 00:31:12,000 --> 00:31:13,500 eemaldatakse nimi ja allkiri, 715 00:31:13,500 --> 00:31:15,500 ning eraldatakse sisemised turvaümbrikud, 716 00:31:15,500 --> 00:31:16,500 aetakse need segi, 717 00:31:16,500 --> 00:31:18,500 et neid ei saaks nimedega seostada, 718 00:31:18,500 --> 00:31:21,000 avatakse siis, ja loetakse hääled kokku. 719 00:31:21,000 --> 00:31:24,000 Eesti süsteemis tehakse väga sarnaselt. 720 00:31:24,000 --> 00:31:27,000 Valimisserverid hoiavad hääli, kuni jõuab 721 00:31:27,000 --> 00:31:30,000 aeg hääled kokku lugeda. Ja siis võetakse 722 00:31:30,000 --> 00:31:33,000 digiallkirjastatud krüpteeritud sedelid, 723 00:31:33,000 --> 00:31:36,000 vabastatakse need digiallkirjadest 724 00:31:36,000 --> 00:31:38,500 ja kirjutatakse siis DVD-le. 725 00:31:38,500 --> 00:31:42,500 Selle DVD-ga viiakse krüpteeritud hääled 726 00:31:42,500 --> 00:31:45,000 füüsiliselt eraldatud võrguta masinasse, 727 00:31:45,000 --> 00:31:48,000 mida hüütakse häälte lugemise serveriks, 728 00:31:48,000 --> 00:31:51,500 ja vaid see saab ligi privaatvõtmele, 729 00:31:51,500 --> 00:31:55,000 mida kasutatakse häälte dešifreerimiseks. 730 00:31:55,000 --> 00:31:57,000 Seega on hääl krüpteeritud kogu tee sinu 731 00:31:57,000 --> 00:31:59,000 kliendist kuni häälte lugemise serverini, 732 00:31:59,000 --> 00:32:01,000 ja häälte lugemise server saab need 733 00:32:01,000 --> 00:32:03,000 dešifreerida ja näha hääli, 734 00:32:03,000 --> 00:32:05,000 kuid see ei näe mitte kunagi allkirju, 735 00:32:05,000 --> 00:32:07,000 mis need hääled identifitseeriks. 736 00:32:07,000 --> 00:32:11,000 Sellisel viisil püütakse hoida valimissaladust. 737 00:32:12,000 --> 00:32:16,000 Häälte lugemise serveri väljundiks on lihtsalt valimistulemused. 738 00:32:16,000 --> 00:32:18,000 Ehk kandidaatide häältesummad 739 00:32:18,000 --> 00:32:20,000 ja võitjaks tulnud kandidaadid. 740 00:32:20,500 --> 00:32:23,000 Niisiis, selline on Eesti valimisprotsess 741 00:32:23,000 --> 00:32:26,500 ja oli väga huvitav teada saada, kuidas see toimib. 742 00:32:26,500 --> 00:32:29,500 Pole avaldatud ingliskeelseid kirjeldusi, 743 00:32:29,500 --> 00:32:32,500 mis kõike kajastaks, enne meie uurimust. 744 00:32:32,500 --> 00:32:35,500 Pidime küsitlema ja uurima lähtekoodi, 745 00:32:35,500 --> 00:32:39,000 kõike seda selleks, et saada aimu, mis tegelikult toimub. 746 00:32:39,000 --> 00:32:40,000 [Ohud?] 747 00:32:40,000 --> 00:32:41,500 Järgmine küsimus pärast süsteemi 748 00:32:41,500 --> 00:32:43,500 toimimise selgeks saamist on: 749 00:32:43,500 --> 00:32:45,500 millised ohud seda ähvardavad? 750 00:32:45,500 --> 00:32:48,500 Tegelikult me oleme juba käsitlenud 751 00:32:48,500 --> 00:32:51,500 mõningaid internetivalimiste probleeme. 752 00:32:51,500 --> 00:32:53,500 Tead ju küll - siseringi rünnakud 753 00:32:53,500 --> 00:32:55,500 ebaausate valimisametnike poolt, 754 00:32:55,500 --> 00:32:58,500 valijate sundimine, pahavara kliendis... 755 00:32:58,500 --> 00:33:01,500 Aga kes veel sooviks rünnata sellist süsteemi? 756 00:33:02,000 --> 00:33:07,000 Eesti toob meelde mõned erilised näited, 757 00:33:07,000 --> 00:33:10,000 sest esiteks rünnati Eestit 758 00:33:10,000 --> 00:33:13,000 väga silmapaistvalt 2007. aastal 759 00:33:13,000 --> 00:33:16,000 ühe kõige varajasema näitena sellest, 760 00:33:16,000 --> 00:33:19,000 mida mitmed vaatlejad peavad 761 00:33:19,000 --> 00:33:22,000 riikidevaheliseks kübersõjaks, 762 00:33:22,000 --> 00:33:24,000 kui nad kannatasid ulatusliku 763 00:33:24,000 --> 00:33:27,000 teenusetõkestusründe all riigi 764 00:33:27,000 --> 00:33:30,000 infrastrukruuri vastu, rühmituste poolt, 765 00:33:30,000 --> 00:33:32,500 keda seostatakse Moskvaga. 766 00:33:32,500 --> 00:33:37,000 Teiseks, möödunud suvel olid Ukrainas 767 00:33:37,000 --> 00:33:41,000 revolutsioonijärgsed valimised. 768 00:33:41,000 --> 00:33:45,000 Ja nende kestel oli ulatuslikke ründeid 769 00:33:45,000 --> 00:33:48,000 valimiste infrastruktuuri vastu. 770 00:33:48,000 --> 00:33:51,000 Need valimised ei toimunud internetis, 771 00:33:51,000 --> 00:33:54,000 kuid häälte tabelitesse ajamise protsess, 772 00:33:54,000 --> 00:33:57,000 protsess üle kogu riigi kõigi tulemuste 773 00:33:57,000 --> 00:34:00,000 kokku võtmiseks, tugines arvutivõrgule 774 00:34:00,000 --> 00:34:02,000 häälte arvu vastuvõtmisel 775 00:34:02,000 --> 00:34:05,000 ja kokkuvõtete internetis avaldamisel. 776 00:34:05,000 --> 00:34:08,000 Kuuldavasti ründasid ka seda protsessi 777 00:34:08,000 --> 00:34:12,000 rühmitused, keda seostatakse ka Venemaaga 778 00:34:12,000 --> 00:34:14,000 ja kes püüdsid valimisi diskrediteerida, 779 00:34:14,000 --> 00:34:15,000 ja ma lugesin, 780 00:34:15,000 --> 00:34:18,000 et püüdsid isegi avaldada valetulemusi. 781 00:34:18,000 --> 00:34:21,000 Kõik see sai avalikuks eelmisel suvel. 782 00:34:21,000 --> 00:34:24,000 See paneb mind uskuma, et õige ohumudel 783 00:34:24,000 --> 00:34:27,000 internetivalimiste jaoks peab sisaldama 784 00:34:27,000 --> 00:34:30,000 kogenud riigi tasemel ründajaid, 785 00:34:30,000 --> 00:34:32,500 kes võivad tahta tulemusi mõjutada. 786 00:34:32,500 --> 00:34:34,500 Ja sellise riigi puhul, nagu Eesti, 787 00:34:34,500 --> 00:34:36,000 kes, teate ju küll, 788 00:34:36,000 --> 00:34:38,000 on Venemaaga piirnev EL ja NATO liige, 789 00:34:38,000 --> 00:34:40,000 on ilmselt palju osavaid 790 00:34:40,000 --> 00:34:42,000 riigi tasemel ründajaid 791 00:34:42,000 --> 00:34:46,000 kes võivad tahta kaasa rääkida selle tulevastes sihtides. 792 00:34:47,000 --> 00:34:49,000 Hüva! Seda ohumudelit meeles pidades 793 00:34:49,000 --> 00:34:52,000 hinnakem Eesti süsteemi ülesehitust. 794 00:34:52,000 --> 00:34:54,000 On kaks Eesti disaini osa, 795 00:34:54,000 --> 00:34:57,000 mille kohta juba disainiga tutvumisel 796 00:34:57,000 --> 00:35:00,000 võib öelda, et need on 797 00:35:00,000 --> 00:35:02,000 kõhklematult usaldatavad komponendid. 798 00:35:02,000 --> 00:35:04,000 Ja kui me turvalisuse puhul ütleme, 799 00:35:04,000 --> 00:35:06,000 et miski on usaldatav, siis peame 800 00:35:06,000 --> 00:35:08,000 silmas seda, et kui see on häkitud, 801 00:35:08,000 --> 00:35:10,000 siis oleme suures jamas. 802 00:35:10,000 --> 00:35:13,000 Niisiis, seda mõtleme me usaldatava all. 803 00:35:13,000 --> 00:35:16,000 Need kaks komponenti on valija klient 804 00:35:16,000 --> 00:35:18,000 ja häälte lugemise server. 805 00:35:18,000 --> 00:35:21,000 Ja las ma ütlen teile, miks need mõlemad 806 00:35:21,000 --> 00:35:25,000 on potentsiaalsed või tõsised haavatavad 807 00:35:25,000 --> 00:35:27,000 kohad Eesti disaini juures. 808 00:35:27,000 --> 00:35:30,000 Alustame kliendist. 809 00:35:30,000 --> 00:35:32,000 Eesti valimiste klientrakendus võib 810 00:35:32,000 --> 00:35:34,000 potentsiaalselt saada kompromiteeritud 811 00:35:34,000 --> 00:35:36,000 kliendipoolse pahavara poolt. 812 00:35:36,000 --> 00:35:38,000 Siin on lihtne pahavara disain, 813 00:35:38,000 --> 00:35:40,000 mida me reaalselt laboris ka rakendasime. 814 00:35:40,000 --> 00:35:42,000 Muide, nende rünnete rakendamiseks 815 00:35:42,000 --> 00:35:45,000 me tekitasime oma laboratooriumisse 816 00:35:45,000 --> 00:35:47,000 Eesti süsteemi täieliku koopia, 817 00:35:47,000 --> 00:35:49,000 kasutades nende serveripoole lähtekoodi, 818 00:35:49,000 --> 00:35:51,000 nende dokumenteeritud protseduure 819 00:35:51,000 --> 00:35:53,000 ja klientrakenduse pöördkodeerimist, 820 00:35:53,000 --> 00:35:55,000 et panna see suhtlema meie serveritega 821 00:35:55,000 --> 00:35:57,000 ja kasutama meie võtmeid ametlike asemel. 822 00:35:57,000 --> 00:35:59,000 Me seadsime oma laborisse üles 823 00:35:59,000 --> 00:36:01,000 täieliku valimiste testsüsteemi 824 00:36:01,000 --> 00:36:03,000 ja meil on kodulehel virtuaalmasina 825 00:36:03,000 --> 00:36:05,000 tõmmised, kui keegi tahab proovida 826 00:36:05,000 --> 00:36:07,000 mängida sellega oma laboris. 827 00:36:07,000 --> 00:36:09,000 Igatahes, kujuta ette, et omad valimiste 828 00:36:09,000 --> 00:36:11,000 klientrakendust ja oled võimeline 829 00:36:11,000 --> 00:36:13,000 sellesse panema mingi pahavara. 830 00:36:13,000 --> 00:36:15,000 See pahavara võib lihtsalt sekkuda 831 00:36:15,000 --> 00:36:17,000 valimiste kliendi protsessi 832 00:36:17,000 --> 00:36:19,500 ja varastada valija PIN koodi, 833 00:36:19,500 --> 00:36:23,000 kui see valimiste käigus sisestatakse. 834 00:36:23,000 --> 00:36:25,000 Hiljem, järgmisel korral kui valija 835 00:36:25,000 --> 00:36:27,000 sisestab oma ID-kaardi näiteks 836 00:36:27,000 --> 00:36:30,000 internetipanka minekul, siis see pahavara 837 00:36:30,000 --> 00:36:33,000 saab taustal nähtamatult seda varastatud 838 00:36:33,000 --> 00:36:36,000 PIN-i kasutada, et anda uus hääl. 839 00:36:36,000 --> 00:36:39,000 Valija ei saa iial aimu hääle muutmisest. 840 00:36:39,000 --> 00:36:45,000 Ründaja aga saab selle protseduuriga varastada ühe hääle. 841 00:36:45,500 --> 00:36:48,500 Nüüd on siin kaks suurt küsimust: 842 00:36:48,500 --> 00:36:51,000 kuidas nakatada kliente 843 00:36:51,000 --> 00:36:54,000 ja kuidas ära petta kontrollirakendus? 844 00:36:54,000 --> 00:36:56,000 Kuidas nakatada kliente? 845 00:36:56,000 --> 00:36:59,000 Me peame selle jätma ettekujutuse valda, 846 00:36:59,000 --> 00:37:01,500 sest meil polnud mängimiseks botnetti, 847 00:37:01,500 --> 00:37:05,000 mis koosneks tuhandetest nakatunud arvutitest Eestis. 848 00:37:05,000 --> 00:37:07,000 Kuid kellelgi teisel on, 849 00:37:07,000 --> 00:37:09,000 ja see on üks võimalus, 850 00:37:09,000 --> 00:37:11,000 mida on lihtne ette kujutada 851 00:37:11,000 --> 00:37:13,000 tuhandete häälte muutmiseks. 852 00:37:13,000 --> 00:37:16,000 Teine viis on näiteks, kui sa oled NSA, 853 00:37:16,000 --> 00:37:19,000 sul on Zero-Day turvaauguga arvutite varu 854 00:37:19,000 --> 00:37:21,500 ja sa lihtsalt ründad mõnd populaarset 855 00:37:21,500 --> 00:37:24,000 veebilehte või rakendust, mida Eestis 856 00:37:24,000 --> 00:37:26,500 kasutatakse, ja nakatad sellega inimeste 857 00:37:26,500 --> 00:37:28,000 klientrakendused pahavaraga. 858 00:37:28,000 --> 00:37:31,000 Kolmas võimalus on sokutada paheline kood 859 00:37:31,000 --> 00:37:32,500 ametlikku valimisrakendusse, 860 00:37:32,500 --> 00:37:34,500 mille kohta me teame, et kõik, 861 00:37:34,500 --> 00:37:36,500 kes Eestis internetis valivad, 862 00:37:36,500 --> 00:37:39,000 paigaldavad selle oma masinasse enne valimist. 863 00:37:39,000 --> 00:37:42,500 Igatahes on mitmeid viise klientide nakatamiseks. 864 00:37:42,500 --> 00:37:45,000 Kuidas ära petta kontrollirakendus? 865 00:37:45,000 --> 00:37:48,000 Tuleb välja, et see pole üldse keeruline, 866 00:37:48,000 --> 00:37:51,000 sest survestamisvastaste meetmete tõttu, 867 00:37:51,000 --> 00:37:54,000 (tuletame meelde seda vastuolu tervikluse 868 00:37:54,000 --> 00:37:55,700 ja valimissaladuse nõude vahel), 869 00:37:55,700 --> 00:37:58,000 tänu neile survestamisvastastele meetmetele, 870 00:37:58,000 --> 00:38:01,000 saab kontrollirakendust kasutada vaid 871 00:38:01,000 --> 00:38:04,000 kuni 30 minuti jooksul pärast valimist. 872 00:38:04,000 --> 00:38:09,000 Seega pärast hääle andmist on vaja vaid oodata... 873 00:38:09,000 --> 00:38:12,000 Kui see ei toimi või on liiga kahtlane, 874 00:38:12,000 --> 00:38:15,000 siis võime proovida ka hübriidrünnet, 875 00:38:15,000 --> 00:38:18,000 mis sisaldab pahelist androidirakendust 876 00:38:18,000 --> 00:38:20,000 ja valimiskliendi nakatamist. 877 00:38:20,000 --> 00:38:22,000 Tänu nende platvormide lähenemisele 878 00:38:22,000 --> 00:38:24,000 ei ole enam nii raske uskuda, 879 00:38:24,000 --> 00:38:26,000 et keegi võib samaaegselt 880 00:38:26,000 --> 00:38:28,000 ja seostatult rünnata mõlemat. 881 00:38:28,000 --> 00:38:30,000 Igatahes on erinevaid viise nende 882 00:38:30,000 --> 00:38:32,000 mõlema asja tegemiseks. 883 00:38:32,000 --> 00:38:35,500 Me võime minna edasi ja vaadata ka serveri poolt. 884 00:38:36,000 --> 00:38:39,500 Serveri poolel on süsteemi achilleuse kannaks 885 00:38:39,500 --> 00:38:41,500 häälte lugemise server, 886 00:38:41,500 --> 00:38:45,000 mis ainsana saab manipuleerida krüpteerimata hääli. 887 00:38:45,000 --> 00:38:48,000 Ja mitte keegi ei näe kunagi neid hääli - 888 00:38:48,000 --> 00:38:50,000 näha on vaid väljundid, seega, 889 00:38:50,000 --> 00:38:52,000 kui häälte lugemise server petab, 890 00:38:52,000 --> 00:38:55,000 võib see lihtsalt oma suva järgi öelda, 891 00:38:55,000 --> 00:38:57,500 milline on valimistulemus. 892 00:38:57,500 --> 00:39:00,000 Kuid nad tegid häälte lugemise serveri 893 00:39:00,000 --> 00:39:02,000 manipuleerimise päris keeruliseks. 894 00:39:02,000 --> 00:39:03,500 See on võrguühenduseta... 895 00:39:03,500 --> 00:39:05,000 See ehitatakse enne valimisi... 896 00:39:05,000 --> 00:39:06,500 See on kinni pitseeritud... 897 00:39:06,500 --> 00:39:08,000 See asub kuskil turvahoidlas... 898 00:39:08,000 --> 00:39:10,000 Peame arvestama, et see on üsna raske! 899 00:39:10,000 --> 00:39:12,000 Seega kuidagi tuleb leida viis, kuidas 900 00:39:12,000 --> 00:39:15,000 mõjutada koodi toimimist selles masinas. 901 00:39:15,000 --> 00:39:19,000 Me proovisime ja lõime selleks vahendid, 902 00:39:19,000 --> 00:39:22,000 et seda masinat kompromiteerida, isegi, 903 00:39:22,000 --> 00:39:25,000 kui rakendati nende turvameetmeid. 904 00:39:25,000 --> 00:39:29,000 Meie tööriistaahel põhineb Ken Thompsoni 905 00:39:29,000 --> 00:39:33,000 "Mõtisklused usalduse usaldamisest" 906 00:39:33,000 --> 00:39:35,000 pärit ideel, mis ütleb, et isegi, 907 00:39:35,000 --> 00:39:37,000 kui üks süsteem on turvaline, 908 00:39:37,000 --> 00:39:39,500 on selle ehitamiseks vaja teist süsteemi, 909 00:39:39,500 --> 00:39:41,500 ja on vaja veel üht süsteemi, 910 00:39:41,500 --> 00:39:43,000 et ehitada seda teist süsteemi. 911 00:39:43,000 --> 00:39:45,000 Seega järgides seda ahelat, 912 00:39:45,000 --> 00:39:47,000 jõuad sa lõpuks kohani, 913 00:39:47,000 --> 00:39:49,500 millele ründajal on juurdepääs. 914 00:39:49,500 --> 00:39:52,000 Oma uurimuses me leidsime selle viisi, 915 00:39:52,000 --> 00:39:54,000 kuidas nad selle masina 916 00:39:54,000 --> 00:39:56,000 häälte lugemise serveriks ehitasid. 917 00:39:56,000 --> 00:40:00,000 See jookseb minu arvates mingil Debiani variandil. 918 00:40:00,000 --> 00:40:02,000 Ja see on paigaldatud DVD-lt, 919 00:40:02,000 --> 00:40:05,000 mis on kõrvetatud eraldi arendusmasinas, 920 00:40:05,000 --> 00:40:07,000 mis on ehitatud enne valimisi 921 00:40:07,000 --> 00:40:10,000 ja mis reaalselt laadib veebist alla 922 00:40:10,000 --> 00:40:12,000 värske Debiani koopia 923 00:40:12,000 --> 00:40:14,500 ja kõrvetab selle DVD-le. 924 00:40:15,000 --> 00:40:17,500 Seega oletame, et me saame astuda mõned 925 00:40:17,500 --> 00:40:20,000 sammud tagasi häälte lugemise serverist 926 00:40:20,000 --> 00:40:22,500 ja kompromiteerime seda arendusserverit. 927 00:40:22,500 --> 00:40:24,000 See on internetti ühendatud... 928 00:40:24,000 --> 00:40:26,000 See on ehitatud enne seda, kui algab 929 00:40:26,000 --> 00:40:28,000 valimisprotseduuride videosalvestus... 930 00:40:28,000 --> 00:40:29,500 Oletame, et meil õnnestub 931 00:40:29,500 --> 00:40:31,000 mingi pahavara sinna sokutada... 932 00:40:31,000 --> 00:40:35,000 Niisiis ehitasime demo, kus see pahavara 933 00:40:35,000 --> 00:40:39,000 nakatab selle kirjutatava paigaldus-DVD, 934 00:40:39,000 --> 00:40:46,000 kasutab käomuna, et valetada ISO-tõmmise SHA-1 räsi kohta, 935 00:40:46,000 --> 00:40:48,000 sest nad kontrollivad seda. 936 00:40:48,000 --> 00:40:51,000 Ja siis see nakatunud DVD paigaldab mingi 937 00:40:51,000 --> 00:40:55,000 tagauksekoodi häälte lugemise serverisse, kui seda ehitatakse. 938 00:40:55,000 --> 00:40:58,000 Sel juhul on häälte muutmine väga lihtne. 939 00:40:58,000 --> 00:41:00,000 Meil on vaja vaid sekkuda häälte 940 00:41:00,000 --> 00:41:03,000 lugemise serveri koodi, mis kasutab 941 00:41:03,000 --> 00:41:06,000 lisatud riistvaralist turvamoodulit 942 00:41:06,000 --> 00:41:08,000 kõigi häälte dešifreerimiseks, 943 00:41:08,000 --> 00:41:10,000 ja põhimõtteliselt vaadata, 944 00:41:10,000 --> 00:41:12,500 mis tuleb sellelt turvamoodulilt tagasi, 945 00:41:12,500 --> 00:41:15,000 ja asendada see oma eelistatud häältega. 946 00:41:15,000 --> 00:41:18,000 Sel viisil võtab see umbes paraja aja, 947 00:41:18,000 --> 00:41:20,000 mil turvamoodul dešifreerib õigeid hääli, 948 00:41:20,000 --> 00:41:22,500 kuid tulemused on võltsitud. 949 00:41:23,000 --> 00:41:24,500 Hüva! Need on kaks rünnet, 950 00:41:24,500 --> 00:41:27,500 mis tuginevad pisut mõnele võimele, 951 00:41:27,500 --> 00:41:30,000 mida meil pole, nagu juurdepääs 952 00:41:30,000 --> 00:41:32,000 Zero-Days turvaauguga masinatele 953 00:41:32,000 --> 00:41:34,000 või botnetile, või siseringi juurdepääs. 954 00:41:34,000 --> 00:41:37,000 Kõik need asjad on tõelistel ründajatel siiski olemas. 955 00:41:37,000 --> 00:41:39,000 Kuid võib siiski olla võimalik, 956 00:41:39,000 --> 00:41:42,000 et Eesti operatiivne turvalisus on nii hea, 957 00:41:42,000 --> 00:41:44,000 et neil oskuslikel ründajatel 958 00:41:44,000 --> 00:41:46,000 on probleeme masinate nakatamisega. 959 00:41:46,000 --> 00:41:49,000 Seega, kui hea on nende operatiivne turvalisus? 960 00:41:49,000 --> 00:41:51,000 See oli suur küsimus meie töös ja miski, 961 00:41:51,000 --> 00:41:53,000 millele me kulutasime palju aega 962 00:41:53,000 --> 00:41:54,500 vaadates läbi videoid, 963 00:41:54,500 --> 00:41:56,000 tehes intervjuusid, 964 00:41:56,000 --> 00:41:58,000 et seda kõike välja selgitada. 965 00:41:58,000 --> 00:42:01,000 Hüva! See mees, Eesti president, ütleb, 966 00:42:01,000 --> 00:42:04,000 et nende turvalisus on parem kui Googlel. 967 00:42:04,000 --> 00:42:06,000 See on siis see standard, 968 00:42:06,000 --> 00:42:08,500 mille nad on endile seadnud! 969 00:42:08,500 --> 00:42:10,000 See on hea, see on miski, 970 00:42:10,000 --> 00:42:11,000 mille poole pürgida. 971 00:42:11,000 --> 00:42:14,000 Vaatame, milline nende turvalisus tegelikult on, 972 00:42:14,000 --> 00:42:16,000 tuginedes ametlikele videotele, 973 00:42:16,000 --> 00:42:18,000 mis nad on avaldanud valimiste jooksul. 974 00:42:18,000 --> 00:42:21,000 Hüva! See on Tarvi Martens, 975 00:42:21,000 --> 00:42:27,000 ja siin, tema pea kohal, on nende WiFi võrgu SSID ja parool... 976 00:42:27,000 --> 00:42:34,000 (naer ja aplaus) 977 00:42:34,000 --> 00:42:37,000 Hüva! Siin ehitavad nad mingit tarkvara 978 00:42:37,000 --> 00:42:40,000 ja servereid ja konfiguratsiooni 979 00:42:40,000 --> 00:42:42,000 reaalsetele masinatele. 980 00:42:42,000 --> 00:42:44,000 Suumime sellele ekraanile sisse! 981 00:42:44,000 --> 00:42:45,000 Oh, heldust! Hästi! 982 00:42:45,000 --> 00:42:48,000 Nad kasutavad mingit Windowsi jaosvara, 983 00:42:48,000 --> 00:42:50,000 mida nad laadivad alla üle HTTP, 984 00:42:50,000 --> 00:42:53,500 et kirjutada serverite konfifaile... 985 00:42:54,000 --> 00:42:55,500 See ei paista hea! 986 00:42:56,000 --> 00:43:00,000 Hästi, lähme edasi! Siin on teine arvuti, 987 00:43:00,000 --> 00:43:03,000 sellel kuvatõmmisel nad testivad klientrakendust. 988 00:43:03,000 --> 00:43:04,000 Suumime sisse... 989 00:43:04,000 --> 00:43:06,000 Töölaud paistab päris hästi. 990 00:43:06,000 --> 00:43:07,000 Üks hetk! 991 00:43:07,000 --> 00:43:10,000 Mis ikoonid need siin töölaual on? 992 00:43:10,000 --> 00:43:12,000 Siin on mingi pokkeriveeb... 993 00:43:12,000 --> 00:43:14,000 BitTorrenti klient... 994 00:43:14,000 --> 00:43:17,000 Ma arvan, et see siin on piraatmuusika... 995 00:43:17,000 --> 00:43:18,000 Oh, heldust! 996 00:43:18,000 --> 00:43:22,000 See pole küll puhas ja turvaline masin! 997 00:43:22,000 --> 00:43:25,000 Loodan, et siin ei tehta midagi olulist! 998 00:43:25,000 --> 00:43:26,000 Ohhoo! 999 00:43:26,000 --> 00:43:28,000 Nad allkirjastavad digitaalselt 1000 00:43:28,000 --> 00:43:30,000 ametlikku valimisklienti, 1001 00:43:30,000 --> 00:43:32,000 mida nad kavatsevad lasta kõigil 1002 00:43:32,000 --> 00:43:34,000 selles riigis alla laadida 1003 00:43:34,000 --> 00:43:36,000 ja oma arvutisse installeerida! 1004 00:43:36,000 --> 00:43:37,500 Oh, issand! 1005 00:43:37,500 --> 00:43:40,000 See on kõige ohtlikum asi - 1006 00:43:40,000 --> 00:43:42,000 hoida õiget kliendiprogrammi 1007 00:43:42,000 --> 00:43:44,000 potentsiaalselt nakatunud masinas. 1008 00:43:44,000 --> 00:43:46,000 Kui keegi nakatab selle masina, 1009 00:43:46,000 --> 00:43:48,000 siis saab ta oma pahavara 1010 00:43:48,000 --> 00:43:50,000 ametlikku valimiskliendi sisse 1011 00:43:50,000 --> 00:43:52,500 ja levitada seda iga Eesti valijani. 1012 00:43:53,000 --> 00:43:55,000 Hästi! Mis veel? 1013 00:43:55,000 --> 00:43:57,000 Hiljem samas masinas - 1014 00:43:57,000 --> 00:43:58,000 Siin on Tarvi nimi... 1015 00:43:58,000 --> 00:44:01,000 Usun, et see on Tarvi Martensi isiklik sülearvuti... 1016 00:44:01,000 --> 00:44:02,000 Oh! Hüva! 1017 00:44:02,000 --> 00:44:07,000 Siin sätivad nad üles üht serverit. 1018 00:44:07,000 --> 00:44:10,000 Nad logivad sisse oma peakasutajakontole. 1019 00:44:10,000 --> 00:44:12,000 Sa võid siin näha nende klahvivajutusi... 1020 00:44:12,000 --> 00:44:15,000 (naer ja aplaus) 1021 00:44:15,000 --> 00:44:16,000 Hästi! 1022 00:44:16,000 --> 00:44:19,000 Siin sisestab keegi oma ID-kaardi PIN-i... 1023 00:44:19,000 --> 00:44:22,000 See siin on andmekeskuses. 1024 00:44:22,000 --> 00:44:24,000 See on tõesti kasulik! 1025 00:44:24,000 --> 00:44:27,000 See suur võti siin avab andmekeskuse ukse... 1026 00:44:27,000 --> 00:44:30,000 (naer) 1027 00:44:30,000 --> 00:44:32,000 Kas kellelgi on 3D printerit? 1028 00:44:32,000 --> 00:44:34,000 (naer) 1029 00:44:34,000 --> 00:44:35,000 Hüva! 1030 00:44:35,000 --> 00:44:37,000 See ei tundu just olevat selline 1031 00:44:37,000 --> 00:44:40,000 operatiivse turvalisuse tase, 1032 00:44:40,000 --> 00:44:41,500 mida meile vaja oleks, 1033 00:44:41,500 --> 00:44:44,000 et kaitsta riigi tasemel ründajate vastu! 1034 00:44:44,000 --> 00:44:46,000 Aga ei taha olla nende vastu liiga karm. 1035 00:44:46,000 --> 00:44:48,000 Selline operatiivse turvalisuse tase 1036 00:44:48,000 --> 00:44:51,000 ongi riigiasutuse IT süsteemis tüüpiline. 1037 00:44:51,000 --> 00:44:53,000 Kuid see pole lihtsalt mingi suvaline 1038 00:44:53,000 --> 00:44:55,000 valitsusasutuse infosüsteem. 1039 00:44:55,000 --> 00:44:57,000 See määrab, kes saab olema uus juhtkond. 1040 00:44:57,000 --> 00:45:01,000 See on riikliku julgeoleku seisukohast kriitiline infosüsteem! 1041 00:45:01,000 --> 00:45:03,000 Hästi! Veel üks asi, mis juhtus. 1042 00:45:03,000 --> 00:45:06,000 Neil olid viimastel valimistel mõned 1043 00:45:06,000 --> 00:45:09,000 asjad valesti läinud, sealhulgas lõpus, 1044 00:45:09,000 --> 00:45:12,000 kui tuli kopeerida ametlikud tulemused 1045 00:45:12,000 --> 00:45:15,000 häälte lugemise serverist välja, 1046 00:45:15,000 --> 00:45:18,000 siis DVD kirjutaja ei toiminud. 1047 00:45:18,000 --> 00:45:21,000 Ja nad vaatasid ringi, kuidas seda teha. 1048 00:45:21,000 --> 00:45:22,500 Oli vaja kõik tulemused välja kopeerida 1049 00:45:22,500 --> 00:45:24,000 ja tuua teise süsteemi, et need 1050 00:45:24,000 --> 00:45:27,000 digitaalselt allkirjastada ja avaldada. 1051 00:45:27,000 --> 00:45:30,000 Siis võttis Tarvi Martens taskust mälupulga 1052 00:45:30,000 --> 00:45:33,000 ja pistis häälte lugemise serverisse, 1053 00:45:33,000 --> 00:45:36,000 ainsasse masinasse, mis näeb antud hääli, 1054 00:45:36,000 --> 00:45:39,000 ning seejärel oma Windowsi sülearvutisse, 1055 00:45:39,000 --> 00:45:41,000 allkirjastas hääled ja avaldas need. 1056 00:45:41,000 --> 00:45:43,000 See siin ilmus tema Windowsi sülearvutile 1057 00:45:43,000 --> 00:45:45,000 kui ta pistis selle USB pulga sisse... 1058 00:45:45,000 --> 00:45:48,000 Te võite näha, et see on olnud kõikjal! 1059 00:45:48,000 --> 00:45:50,000 Sellel on ettekanne valimissüsteemist, 1060 00:45:50,000 --> 00:45:52,000 mille ta oli seal teinud. 1061 00:45:52,000 --> 00:45:54,000 See polnud puhas USB-pulk! 1062 00:45:54,000 --> 00:45:56,000 Seega veel üks võimalik tee pahavara 1063 00:45:56,000 --> 00:45:58,000 pääsuks häälte lugemise serverisse. 1064 00:45:58,000 --> 00:46:00,000 [Avalikustamine] 1065 00:46:00,000 --> 00:46:00,500 Hüva! 1066 00:46:00,500 --> 00:46:03,500 Seega meie hinnang oli, et Eesti süsteem 1067 00:46:03,500 --> 00:46:05,500 oli tõsiste turbeprobleemidega, 1068 00:46:05,500 --> 00:46:07,500 eriti riigi tasemel vastase suhtes, 1069 00:46:07,500 --> 00:46:10,000 ja nende olemasolev operatiivne 1070 00:46:10,000 --> 00:46:13,000 turvalisus polnud mitte kuidagi valmis 1071 00:46:13,000 --> 00:46:15,000 sellele vastu seisma. 1072 00:46:15,000 --> 00:46:17,000 Ja me olime teatavas kimbatuses, 1073 00:46:17,000 --> 00:46:20,000 sest olime olnud Eestis mullu oktoobris 1074 00:46:20,000 --> 00:46:22,500 ja valimisametnikele üldjoontes rääkinud, 1075 00:46:22,500 --> 00:46:25,000 et meil on need mured, ja siis lahkusime 1076 00:46:25,000 --> 00:46:28,000 ja saime endi jaoks laboris kinnitust. 1077 00:46:28,000 --> 00:46:33,000 Nüüd olid Eestis tulemas uued valimised, mais 2014. 1078 00:46:33,000 --> 00:46:35,000 Me teadsime seda informatsiooni. 1079 00:46:35,000 --> 00:46:37,000 Mida me pidime sellega peale hakkama? 1080 00:46:37,000 --> 00:46:38,000 Me teadsime, 1081 00:46:38,000 --> 00:46:40,000 et valimisametnikud olid juba veendunud, 1082 00:46:40,000 --> 00:46:42,000 et süsteem on igati korralik. 1083 00:46:42,000 --> 00:46:44,000 Seega otsustasime info avaldada, 1084 00:46:44,000 --> 00:46:47,000 ja õnnetuseks, kuna meil kõigil oli käsil 1085 00:46:47,000 --> 00:46:49,000 palju projekte, lükkus see edasi, 1086 00:46:49,000 --> 00:46:51,000 kuni veel lähemale uutele valimistele, 1087 00:46:51,000 --> 00:46:54,000 kui see oleks mulle meeldinud. 1088 00:46:54,000 --> 00:46:57,000 Me naasime Eestisse kõigest u 10 päeva 1089 00:46:57,000 --> 00:46:58,000 enne nende järgmisi valimisi, 1090 00:46:58,000 --> 00:47:00,500 et teavitada avalikkust sellest, 1091 00:47:00,500 --> 00:47:02,500 mis me olime avastanud. 1092 00:47:03,000 --> 00:47:04,500 Niisiis me lendasime, 1093 00:47:04,500 --> 00:47:07,000 saime näha Tallinna imeilusat kesklinna, 1094 00:47:07,000 --> 00:47:10,000 panime püsti häkkeri baaslaagri 1095 00:47:10,000 --> 00:47:12,000 kenas suures AirBnB majutuskohas, 1096 00:47:12,000 --> 00:47:14,500 kuhu kogu meeskond ära mahtus. 1097 00:47:14,500 --> 00:47:16,500 Ja tegutsesime edasi, 1098 00:47:16,500 --> 00:47:18,500 et korraldada pressikonverents 1099 00:47:18,500 --> 00:47:20,500 ja teavitada oma avastustest. 1100 00:47:20,500 --> 00:47:22,000 Me panime üles veebilehekülje, 1101 00:47:22,000 --> 00:47:24,500 mis võttis need, nagu mina praegu, 1102 00:47:24,500 --> 00:47:27,000 tavainimesele mõistetavalt kokku. 1103 00:47:27,000 --> 00:47:30,000 Ja avaldasime detailse tehnilise aruande, 1104 00:47:30,000 --> 00:47:33,000 mis avaldati ka ACM CCS konverentsil. 1105 00:47:34,000 --> 00:47:35,000 Nüüd reaktsioonist... 1106 00:47:35,000 --> 00:47:38,000 Selle mõistmiseks on Eesti poliitikast 1107 00:47:38,000 --> 00:47:40,500 vaja teada kõigest kaht asja. 1108 00:47:40,500 --> 00:47:44,000 Esiteks, seal on kaks suuremat erakonda - 1109 00:47:44,000 --> 00:47:47,000 Reformierakond ja Keskerakond. 1110 00:47:47,000 --> 00:47:50,000 Reformierakond, kes on praegu valitsev, 1111 00:47:50,000 --> 00:47:54,000 toetab e-valimisi, see on nende kutsikas, 1112 00:47:54,000 --> 00:47:57,000 see on nende rahvusliku uhkuse allikas. 1113 00:47:57,000 --> 00:48:00,000 Nad tahavad seda turustada mujal Euroopas 1114 00:48:00,000 --> 00:48:03,000 ja näidata, kui silmapaistev ja modernne Eesti on. 1115 00:48:03,000 --> 00:48:06,000 Keskerakond, kes on olnud riigis võimul, 1116 00:48:06,000 --> 00:48:09,000 on praegu opositsioonis, kuid nad juhivad 1117 00:48:09,000 --> 00:48:15,000 Tallinna linna, mis on olemuselt linnriik selle riigi sees. 1118 00:48:15,000 --> 00:48:18,000 Nemad ei salli e-valimisi, võimalik, 1119 00:48:18,000 --> 00:48:20,000 et seepärast, et nad kaotasid valimistel. 1120 00:48:20,000 --> 00:48:23,000 Võimuta jäänud parteid ikka vihkavad või 1121 00:48:23,000 --> 00:48:26,000 kritiseerivad valimiste tehnoloogiat, 1122 00:48:26,000 --> 00:48:28,000 samas võimuerakonnad ei tee seda kunagi. 1123 00:48:28,000 --> 00:48:32,000 Igatahes, Keskerakond on süsteemi kaua kritiseerinud, 1124 00:48:32,000 --> 00:48:34,000 aga Reformierakond armastab seda. 1125 00:48:34,000 --> 00:48:37,000 Õnnetuseks, iga meediaväljaanne Eestis 1126 00:48:37,000 --> 00:48:42,000 näib olevat lähedalt seotud ühe või teise erakonnaga neist kahest. 1127 00:48:42,000 --> 00:48:45,000 Ja nii käsitlesid kõik meie esile toodud 1128 00:48:45,000 --> 00:48:48,000 potentsiaalseid ründeid kas tõendina, 1129 00:48:48,000 --> 00:48:51,000 et e-valimised oli pettus, või siis mõne 1130 00:48:51,000 --> 00:48:54,000 isiku katsena e-valimisi rünnata, 1131 00:48:54,000 --> 00:48:58,000 kuna nad töötavat vastaserakonna heaks. 1132 00:48:58,500 --> 00:49:00,500 Seega sattusime kõige selle keskele, 1133 00:49:00,500 --> 00:49:02,000 ja see oli üsna uskumatu, 1134 00:49:02,000 --> 00:49:04,000 kuid mitte just eriti lõbus. 1135 00:49:05,000 --> 00:49:07,500 See teema oli terve nädala peauudiseks 1136 00:49:07,500 --> 00:49:09,500 ja püsis igaõhtuste uudiste alguses. 1137 00:49:09,500 --> 00:49:12,500 Ma lendasin koju lennukis, 1138 00:49:12,500 --> 00:49:15,000 kus inimesed minu kõrvalridades 1139 00:49:15,000 --> 00:49:17,500 lugesid lehtedest sellest artikleid. 1140 00:49:17,500 --> 00:49:19,500 See oli üks minu elu veidramaid kogemusi. 1141 00:49:20,000 --> 00:49:21,500 Me kohtusime ka valimisametnikega 1142 00:49:21,500 --> 00:49:23,000 väga ametlikul kohtumisel, 1143 00:49:23,000 --> 00:49:24,500 kus viibis ka nende advokaat. 1144 00:49:24,500 --> 00:49:27,000 Tarvi Martens tänas meid väga ja ütles, 1145 00:49:27,000 --> 00:49:30,000 et nad on juba kõike seda arvesse võtnud 1146 00:49:30,000 --> 00:49:33,000 ja probleeme pole... 1147 00:49:33,500 --> 00:49:34,500 Hüva! 1148 00:49:34,500 --> 00:49:37,500 Me pidime tegema paar napsu ka valimiste 1149 00:49:37,500 --> 00:49:40,500 turbespetsialistidega, kes olid kindlad, 1150 00:49:40,500 --> 00:49:44,000 et kõik on korras. Sest, nagu nad väitsid, 1151 00:49:44,000 --> 00:49:46,500 õiged inimesed ju ikkagi võitsid! 1152 00:49:46,500 --> 00:49:48,000 (naer) 1153 00:49:48,000 --> 00:49:51,000 Ma küsisin neilt, mis juhtuks, kui mingi 1154 00:49:51,000 --> 00:49:54,000 jubeda vea tõttu võidaks valed inimesed, 1155 00:49:54,000 --> 00:49:57,000 vallandaks teid kõiki ja jätkaks selle 1156 00:49:57,000 --> 00:49:59,500 süsteemi praegusel kujul kasutamist? 1157 00:50:00,000 --> 00:50:02,500 Selle peale muutusid neil näod nukraks, 1158 00:50:02,500 --> 00:50:05,000 ja nad ütlesid, et see oleks päris paha. 1159 00:50:05,000 --> 00:50:07,000 (naer) 1160 00:50:07,000 --> 00:50:09,000 Ent hiljem Harri Hursti, 1161 00:50:09,000 --> 00:50:11,000 üks meie meeskonna liige, 1162 00:50:11,000 --> 00:50:14,000 kes on väga suurt kasvu soome mees 1163 00:50:14,000 --> 00:50:17,000 ja tuntud uskumatult vägeva napsusõbrana, 1164 00:50:17,000 --> 00:50:19,000 läks välja tõsisemale napsutamisele 1165 00:50:19,000 --> 00:50:21,000 koos selle väga kena vene kutiga, 1166 00:50:21,000 --> 00:50:24,000 kes on e-valimiste turbepealik. 1167 00:50:24,000 --> 00:50:27,000 Mulle räägiti, et selle õhtusöögi käigus 1168 00:50:27,000 --> 00:50:30,000 tarbis kumbki mees kaks pudelit viina, 1169 00:50:30,000 --> 00:50:33,000 pärast mida ei saanud enam miski 1170 00:50:33,000 --> 00:50:36,000 tõe eest peitu jääda. 1171 00:50:36,000 --> 00:50:39,000 Harri teatas, et õhtu lõpuks 1172 00:50:39,000 --> 00:50:42,000 oli ta joonud turbeülema seest välja 1173 00:50:42,000 --> 00:50:44,000 peakasutaja parooli. 1174 00:50:44,000 --> 00:50:48,000 (aplaus) 1175 00:50:48,000 --> 00:50:51,000 Ja siin ta on tagasi tulemas... 1176 00:50:51,000 --> 00:50:54,000 (aplaus) 1177 00:50:54,000 --> 00:50:57,000 Veel üks viimane asi sisse pakkida. 1178 00:50:57,000 --> 00:51:00,000 Eesti peaminister esines teles ja ütles, 1179 00:51:00,000 --> 00:51:02,500 et ta oli meie kohta Facebookis uurinud, 1180 00:51:02,500 --> 00:51:04,500 ja me töötavat tema vastaste heaks, 1181 00:51:04,500 --> 00:51:06,500 et e-valimisi diskrediteerida, 1182 00:51:06,500 --> 00:51:09,000 sest Jason Kitkati sõbraloendis oli keegi 1183 00:51:09,000 --> 00:51:11,000 linnavalitsuse töötaja. 1184 00:51:11,000 --> 00:51:13,000 Tema sõbraloendis oli ka rahandusminister 1185 00:51:13,000 --> 00:51:15,000 ja tal oli ka silmapaistev Facebooki 1186 00:51:15,000 --> 00:51:17,000 sõbrakutse peaministrilt, 1187 00:51:17,000 --> 00:51:19,500 kuid ilmselt ei võtnud ta seda vastu. 1188 00:51:20,500 --> 00:51:22,500 Lõpuks saime mõned väga huvitavad... 1189 00:51:23,000 --> 00:51:25,000 Mind pole kunagi varem rünnatud teles 1190 00:51:25,000 --> 00:51:27,000 NATO riigi peaministri poolt, eriti 1191 00:51:27,000 --> 00:51:29,500 veel selle pärast, kes on minu sõbrad. 1192 00:51:30,500 --> 00:51:33,000 Lõpuks saime mõned huvitavad ametlikud 1193 00:51:33,000 --> 00:51:37,000 vastused, mis avaldati internetis Eesti valimiskomisjoni poolt. 1194 00:51:37,000 --> 00:51:39,000 Nad ütlevad, et kontrollirakendus avastab 1195 00:51:39,000 --> 00:51:42,000 kogu pahatahtliku käitumise... 1196 00:51:42,000 --> 00:51:44,000 Jah, me ju rääkisime sellest rakendusest... 1197 00:51:44,500 --> 00:51:46,500 Nad ütlevad ka, et miks varastada hääli, 1198 00:51:46,500 --> 00:51:47,500 kui võib varastada raha, 1199 00:51:47,500 --> 00:51:49,000 kui sa oled selleks kõigeks suuteline? 1200 00:51:49,000 --> 00:51:50,000 (naer) 1201 00:51:50,000 --> 00:51:52,000 Ma ei võtaks ka seda tõsiselt. 1202 00:51:52,000 --> 00:51:54,500 Kuid kõige üllatavam asi oli, 1203 00:51:54,500 --> 00:51:57,000 et Eesti Sertifitseerimiskeskus avaldas 1204 00:51:57,000 --> 00:52:01,500 blogipostituse, mille võite netist leida ka inglise keeles. 1205 00:52:01,500 --> 00:52:03,000 Postituse pealkirjaks on nad pannud: 1206 00:52:03,000 --> 00:52:06,000 "E-valimised on (liiga) turvalised..." 1207 00:52:06,000 --> 00:52:07,000 Oh, heldust! 1208 00:52:07,000 --> 00:52:11,000 "Korralikel kodanikel, kes hoolivad arvutipuhtusest, ei ole viiruseid...", 1209 00:52:11,000 --> 00:52:12,000 nagu nad väidavad! 1210 00:52:12,000 --> 00:52:17,000 "Arvutiriskid on e-valimiste süsteemist praktiliselt kõrvaldatud..." 1211 00:52:17,000 --> 00:52:19,000 Minu meeskonna kohta kirjutati: 1212 00:52:19,000 --> 00:52:25,000 "Nad on siin mitte tehniliselt pädeva, vaid poliitilise, kuid tehniliselt ebakompetentse sõnumi pärast..." 1213 00:52:25,000 --> 00:52:26,000 Oh, heldust! 1214 00:52:27,000 --> 00:52:30,000 Ma ei usu, et meil oleks 1215 00:52:30,000 --> 00:52:33,000 palju lootust veenda Eestit 1216 00:52:33,000 --> 00:52:36,000 muutma oma valimissüsteemi. 1217 00:52:36,000 --> 00:52:40,000 Siiski saame siit võtta mõned õppetunnid teistele riikidele. 1218 00:52:40,000 --> 00:52:43,000 Eesti internetivalimiste süsteem pole 1219 00:52:43,000 --> 00:52:46,000 tegelikult turvaline mitme ohtu suhtes. 1220 00:52:46,000 --> 00:52:48,000 Riigi tasemel tegutsejad võivad 1221 00:52:48,000 --> 00:52:51,000 sihikule võtta kaasaegseid riike, 1222 00:52:51,000 --> 00:52:53,000 kes korraldavad internetivalimisi. 1223 00:52:53,000 --> 00:52:57,000 See on riikliku julgeoleku küsimus, mitte IT probleem. 1224 00:52:57,000 --> 00:52:59,000 Seega, kui sa isegi vaid mõtled sellise 1225 00:52:59,000 --> 00:53:01,000 süsteemi kasutuselevõtmisest, 1226 00:53:01,000 --> 00:53:03,000 siis pead sa tegelema hoopis teistsuguse 1227 00:53:03,000 --> 00:53:05,000 ohumudeli ja kaitsetasemega. 1228 00:53:05,000 --> 00:53:07,500 Poliitikud, kahjuks, nagu me nägime, 1229 00:53:07,500 --> 00:53:10,000 võivad varjata suuri tehnilisi probleeme. 1230 00:53:10,000 --> 00:53:12,000 Ja ka sinu riigis, 1231 00:53:12,000 --> 00:53:14,000 kui sinu riik kaalub sellise süsteemi 1232 00:53:14,000 --> 00:53:15,500 kasutuselevõttu, palun, 1233 00:53:15,500 --> 00:53:17,000 ole siis sellega ettevaatlik! 1234 00:53:17,000 --> 00:53:19,000 Meie soovitus on, et Eesti peaks lõpetama 1235 00:53:19,000 --> 00:53:21,000 oma e-valimiste süsteemi kasutamise, 1236 00:53:21,000 --> 00:53:23,000 kuni nende fundamentaalne turvalisus paraneb! 1237 00:53:23,000 --> 00:53:25,000 Kuid ma loodan... 1238 00:53:25,000 --> 00:53:26,500 (aplaus) 1239 00:53:26,500 --> 00:53:27,500 Mul pole üldse... 1240 00:53:27,500 --> 00:53:29,000 (aplaus) 1241 00:53:29,000 --> 00:53:31,000 Mul pole neile eriti abi anda. 1242 00:53:31,000 --> 00:53:33,000 Kuid lihtsalt kokkuvõtteks - 1243 00:53:33,000 --> 00:53:35,500 minu jaoks on internetivalimiste 1244 00:53:35,500 --> 00:53:38,000 fundamentaalne probleem selles, 1245 00:53:38,000 --> 00:53:40,500 et me tahame valimissüsteemi, 1246 00:53:40,500 --> 00:53:44,000 kuhu ei sina ega mina ega meie sõbrad ega 1247 00:53:44,000 --> 00:53:47,500 Tarvi Martens ega Vladimir Putin ega NSA 1248 00:53:47,500 --> 00:53:49,500 ei saaks lihtsalt sisse häkkida 1249 00:53:49,500 --> 00:53:51,000 ja muuta valimistulemust. 1250 00:53:51,000 --> 00:53:53,000 Nii lihtne see ongi! 1251 00:53:53,000 --> 00:53:55,000 Me tahame demokraatiat! 1252 00:53:55,000 --> 00:54:03,000 (aplaus) 1253 00:54:03,000 --> 00:54:06,000 Ulatuslik pettus peaks olema vähemalt 1254 00:54:06,000 --> 00:54:09,000 sama keeruline, kui pabervalimise korral. 1255 00:54:09,000 --> 00:54:11,000 Ükski tehnoloogia seda siiani ei taga. 1256 00:54:11,000 --> 00:54:12,500 Seepärast on minu seisukoht, 1257 00:54:12,500 --> 00:54:14,500 kuigi olen teadlik paljulubavatest 1258 00:54:14,500 --> 00:54:16,000 sellealastest uuringutest, 1259 00:54:16,000 --> 00:54:18,000 et enne kulub veel aastakümneid, 1260 00:54:18,000 --> 00:54:19,500 kui see üldse kunagi juhtub, 1261 00:54:19,500 --> 00:54:21,000 et internetivalimised saavad 1262 00:54:21,000 --> 00:54:24,000 oluliste riiklike valimiste jaoks piisavalt turvaliseks. 1263 00:54:24,000 --> 00:54:26,000 Ja seda ei juhtu ilma fundamentaalsete 1264 00:54:26,000 --> 00:54:27,500 arenguteta arvutiturbes. 1265 00:54:28,000 --> 00:54:30,000 Tänan teid väga! 1266 00:54:30,000 --> 00:54:45,000 (aplaus) 1267 00:54:45,000 --> 00:54:48,000 Suur tänu, professor, selle väga hirmsa 1268 00:54:48,000 --> 00:54:50,000 ja väga huvitava ettekande eest! 1269 00:54:52,000 --> 00:54:54,000 Me oleme pisut üle aja läinud, 1270 00:54:54,000 --> 00:54:56,000 kuid õnneks on meil selle ettekande järel 1271 00:54:56,000 --> 00:54:58,000 esimeses saalis tulemas vaheaeg, 1272 00:54:58,000 --> 00:55:00,000 seega, kui teil on küsimusi, 1273 00:55:00,000 --> 00:55:04,500 siis võtke sappa mõne mikrofoni taha neist kaheksast. 1274 00:55:06,000 --> 00:55:08,000 Jah, number neli, palun! 1275 00:55:08,000 --> 00:55:12,000 Tänan ettekande eest! Te uurisite, 1276 00:55:12,000 --> 00:55:16,000 kuidas rünnata häälte lugemise serverit, 1277 00:55:16,000 --> 00:55:18,000 kuid kas te olete uurinud, 1278 00:55:18,000 --> 00:55:26,000 kas saab rünnata teist valimisserverit? 1279 00:55:26,000 --> 00:55:29,000 Sest selles eemaldatakse digiallkirjad, 1280 00:55:29,000 --> 00:55:31,000 (kui ma mäletan õigesti?), 1281 00:55:31,000 --> 00:55:35,000 seega see server võib DVD-le kirjutada 1282 00:55:35,000 --> 00:55:37,000 suvalisi krüpteeritud hääli, 1283 00:55:37,000 --> 00:55:40,000 (kui ma õigesti aru sain?). 1284 00:55:40,000 --> 00:55:42,500 Jah, see on tõesti veel üks haavatavus. 1285 00:55:42,500 --> 00:55:45,500 Keskendusime häälte lugemise serverile, 1286 00:55:45,500 --> 00:55:50,000 sest see oli meie arvates kõige huvitavam 1287 00:55:50,000 --> 00:55:53,000 variant sellisest ründest, aga on muidki 1288 00:55:53,000 --> 00:55:55,000 kohti, mis on potentsiaalselt ahvatlevad, 1289 00:55:55,000 --> 00:55:56,000 sealhulgas ka see. 1290 00:55:56,000 --> 00:55:59,000 Arvan, et see jätaks rohkem asitõendeid. 1291 00:55:59,000 --> 00:56:05,000 Teame ka, et kliendiga suhtlevad serverid, 1292 00:56:05,000 --> 00:56:07,500 mida kasutati 2013. aastal, 1293 00:56:07,500 --> 00:56:10,000 olid haavatavad Heartbleedi turvaaugust, 1294 00:56:10,000 --> 00:56:12,500 mis avastati alles mitmeid kuid hiljem. 1295 00:56:12,500 --> 00:56:15,000 Ma kahtlustan, et need olid haavatavad 1296 00:56:15,000 --> 00:56:17,000 ka Shellshocki turvaaugu poolt. 1297 00:56:17,000 --> 00:56:18,500 See on tõesti probleem, 1298 00:56:18,500 --> 00:56:20,500 kui sellist süsteemi luua, 1299 00:56:20,500 --> 00:56:23,000 ükskõik kui ettevaatlik sa oled. 1300 00:56:27,500 --> 00:56:29,500 Küsimus number kolmelt, palun! 1301 00:56:30,000 --> 00:56:33,500 Jah! Minu küsimus on, kas toimus ka 1302 00:56:33,500 --> 00:56:36,500 häälte lugemise serveri testimist? 1303 00:56:36,500 --> 00:56:39,000 Ma kujutan ette, et näiteks saab 1304 00:56:39,000 --> 00:56:42,000 teha suure kuhja DVD-sid, 1305 00:56:42,000 --> 00:56:45,000 kus peal teada olevad hääled, 1306 00:56:45,000 --> 00:56:47,000 ja siis lasta need süsteemist läbi. 1307 00:56:47,000 --> 00:56:50,000 Võibolla isegi valimispäeval võiks öelda, 1308 00:56:50,000 --> 00:56:52,500 et siin on 10 DVD-d tõeliste häältega, 1309 00:56:52,500 --> 00:56:56,000 ja neid juhuslikus järjekorras mitu korda 1310 00:56:56,000 --> 00:56:58,000 läbi lasta ja kontrollida - 1311 00:56:58,000 --> 00:57:01,500 kui kõik näidis DVD-d summeeruvad õigesti 1312 00:57:01,500 --> 00:57:04,500 igas järjekorras, siis peaks ka õiged 1313 00:57:04,500 --> 00:57:07,000 hääled olema korras. Midagi sellist... 1314 00:57:07,500 --> 00:57:11,000 Nad ei kasuta selliseid protseduure. 1315 00:57:11,000 --> 00:57:13,000 Arvan, et nad mõtlevad selle lisamisele. 1316 00:57:13,000 --> 00:57:15,000 Aga siin tulevad mängu nüansid. 1317 00:57:15,000 --> 00:57:17,500 Kui sa ehitad sellist asja, pead tagama, 1318 00:57:17,500 --> 00:57:19,500 et pahavara ei suudaks kuidagi tuvastada, 1319 00:57:19,500 --> 00:57:23,000 kas käib audit või õige häältelugemine. 1320 00:57:23,500 --> 00:57:27,000 Sest kõrvalkanalitega või salamärguandega 1321 00:57:27,000 --> 00:57:30,000 saab panna näidisfailidesse signaali, 1322 00:57:30,000 --> 00:57:33,500 mis paneb serveri neid õigesti lugema. 1323 00:57:33,500 --> 00:57:36,000 Seega pead olema väga hoolikas sellise 1324 00:57:36,000 --> 00:57:38,000 süsteemi kavandamisel. 1325 00:57:39,000 --> 00:57:41,000 Minu mure pole mitte niivõrd selles, 1326 00:57:41,000 --> 00:57:45,000 et mõnda probleemi ei saakski kõrvaldada. 1327 00:57:45,000 --> 00:57:48,000 Aga kõrvaldades need kõik perfektselt, 1328 00:57:48,000 --> 00:57:51,000 saame tulemuseks süsteemi, mida on liiga 1329 00:57:51,000 --> 00:57:52,000 keeruline juhtida ja administreerida. 1330 00:57:52,000 --> 00:57:56,000 Tulemus oleks Rube Goldbergi süsteem. 1331 00:57:56,000 --> 00:57:58,000 Usun, et nende süsteem ongi selline, 1332 00:57:58,000 --> 00:58:00,000 nagu see on, kuna vajati kompromisse, 1333 00:58:00,000 --> 00:58:02,000 et süsteem ehitada piisavalt odavalt 1334 00:58:02,000 --> 00:58:04,000 ja piisavalt lihtsalt kasutatavaks. 1335 00:58:04,000 --> 00:58:06,000 Me võime igat komponenti parandada, 1336 00:58:06,000 --> 00:58:09,000 kuid kõigi aukude sulgemine tundub 1337 00:58:09,000 --> 00:58:12,500 äärmiselt keeruline, vähemalt minule. 1338 00:58:14,000 --> 00:58:15,500 Küsimus number neljalt, palun! 1339 00:58:17,000 --> 00:58:18,500 Tänan väga ettekande eest! 1340 00:58:18,500 --> 00:58:20,000 See oli väga inspireeriv! 1341 00:58:20,000 --> 00:58:24,000 Tahtsin küsida, mida te arvate sellest, 1342 00:58:24,000 --> 00:58:27,000 kas sellised süsteemid võivad kunagi 1343 00:58:27,000 --> 00:58:30,000 areneda piisavalt turvaliseks, sest näen, 1344 00:58:30,000 --> 00:58:33,000 et turbevaldkonnas toimuvad arengud on 1345 00:58:33,000 --> 00:58:37,000 alati põhjustatud häkkerite poolt? 1346 00:58:37,000 --> 00:58:39,000 Mitte ainult, kuid nii, 1347 00:58:39,000 --> 00:58:43,000 nagu turvaaukude lappimine toimub 1348 00:58:43,000 --> 00:58:45,000 alles pärast nende avastamist, 1349 00:58:45,000 --> 00:58:47,000 on see võistlus kahe poole vahel, 1350 00:58:47,000 --> 00:58:50,500 mis paneb süsteemi arenema. 1351 00:58:50,500 --> 00:58:55,000 Jah! See on hea küsimus! 1352 00:58:55,000 --> 00:58:57,500 See on paljutõotav uurimisvaldkond - 1353 00:58:57,500 --> 00:59:02,000 niinimetatud "otsast otsani valija poolt kontrollitav valimine", 1354 00:59:02,000 --> 00:59:05,000 mis põhineb keerukal krüptograafial. 1355 00:59:05,000 --> 00:59:07,000 Idee seisneb selles, 1356 00:59:07,000 --> 00:59:09,000 et on vaja süsteemi, mis tagaks, 1357 00:59:09,000 --> 00:59:11,500 et sinu hääl oleks antud nii, nagu sa soovisid, 1358 00:59:11,500 --> 00:59:14,000 et see oleks registreeritud sellisena, nagu see anti, 1359 00:59:14,000 --> 00:59:16,000 et kõik hääled oleks loetud, nagu need anti, 1360 00:59:16,000 --> 00:59:18,000 ja et iga valija saaks seda kinnitada. 1361 00:59:18,000 --> 00:59:20,000 Üks viis selle saavutamiseks on avaldada 1362 00:59:20,000 --> 00:59:22,000 ajalehes kõigi nimed ja tehtud valikud. 1363 00:59:22,000 --> 00:59:24,000 Õigus? Aga loomulikult me ei taha seda, 1364 00:59:24,000 --> 00:59:26,000 see poleks salajane hääletamine. 1365 00:59:26,000 --> 00:59:28,000 Kuid mõnede keerukamate krüptoversioonide 1366 00:59:28,000 --> 00:59:33,000 kasutamisega võime ka seda saavutada, uskuge või mitte. 1367 00:59:33,000 --> 00:59:35,000 See on tõesti loogikavastane, 1368 00:59:35,000 --> 00:59:37,000 et sul võivad olla kõik need omadused. 1369 00:59:37,000 --> 00:59:39,000 Sellised süsteemid on arenduses, 1370 00:59:39,000 --> 00:59:41,500 ja kui oled huvitatud nende häkkimisest 1371 00:59:41,500 --> 00:59:43,500 ja nende paremaks tegemisest, 1372 00:59:43,500 --> 00:59:45,500 siis tuleks alustada nendega tutvumisest. 1373 00:59:45,500 --> 00:59:47,500 Kuid nende aeg pole veel tulnud - 1374 00:59:47,500 --> 00:59:50,000 on palju küsitavusi kasutatavuse, 1375 00:59:50,000 --> 00:59:51,500 protokollide turvalisuse, 1376 00:59:51,500 --> 00:59:53,000 rakendamise keerukuse 1377 00:59:53,000 --> 00:59:57,000 ja riigi tasandil toimivuse osas. 1378 00:59:57,000 --> 01:00:00,000 Seega on uuringutest tulenevalt lootust, 1379 01:00:00,000 --> 01:00:03,000 kuid arvan, et kulub veel aastakümneid, 1380 01:00:03,000 --> 01:00:05,000 ja seda juhul, kui asjad lähevad hästi, 1381 01:00:05,000 --> 01:00:07,000 enne kui saabub nende õige aeg. 1382 01:00:07,000 --> 01:00:08,000 See oli siiski hea küsimus! 1383 01:00:08,000 --> 01:00:10,500 Kas võin vahele küsida lühikese küsimuse? 1384 01:00:10,500 --> 01:00:14,000 Kuidas teie arvates peaksid lõppkasutajad 1385 01:00:14,000 --> 01:00:16,000 üldse saama selliseid süsteeme usaldada, 1386 01:00:16,000 --> 01:00:18,000 kui nad pole arendajad, nagu meie siin? 1387 01:00:18,000 --> 01:00:20,000 Neil pole võimalust kontrollida, 1388 01:00:20,000 --> 01:00:22,000 et ei toimu pettust. 1389 01:00:22,000 --> 01:00:24,500 See on tõeliselt avatud küsimus. 1390 01:00:24,500 --> 01:00:28,000 Ainuüksi Ameerika kontekstile mõeldes 1391 01:00:28,000 --> 01:00:30,000 ma ei tea, kuidas reageeriks valijad, kui 1392 01:00:30,000 --> 01:00:40,000 nende lemmikraadio Bandit ütleks eetris, et "Valimised oli pettus!", 1393 01:00:40,000 --> 01:00:42,000 ja mingi nohikust krüptograaf oponeerib, 1394 01:00:42,000 --> 01:00:48,000 et "Ei olnud!", ja, et ta võib seda tõestada, sest "Selle süsteemi mingi veider omadus kinnitab seda..." 1395 01:00:48,000 --> 01:00:50,000 Ja teate, minu arvates ei oska me 1396 01:00:50,000 --> 01:00:52,000 seda probleemi veel lahendada. 1397 01:00:52,000 --> 01:00:54,000 Mõistliku usalduse tagamine on suureks 1398 01:00:54,000 --> 01:00:58,000 väljakutseks igale valimistehnoloogiale. 1399 01:00:58,000 --> 01:00:59,000 Suur tänu! 1400 01:00:59,000 --> 01:01:00,000 Tänan sind! 1401 01:01:00,000 --> 01:01:02,000 Number ühel on küsimus! 1402 01:01:02,000 --> 01:01:04,000 Kui need kiipkaardid allkirjastavad TLS 1403 01:01:04,000 --> 01:01:06,000 teatisi ja dokumente nõudmise peale, 1404 01:01:06,000 --> 01:01:09,000 kas nad on tõesti kindlad, et ükski TLS 1405 01:01:09,000 --> 01:01:11,000 käepigistus või dokument ei pääse läbi 1406 01:01:11,000 --> 01:01:13,000 krüpteeritud valimissedeli pähe? 1407 01:01:13,000 --> 01:01:15,500 On erinevad võtmed autentimiseks 1408 01:01:15,500 --> 01:01:22,000 ja allkirjastamiseks, ja loodetavasti on 1409 01:01:22,000 --> 01:01:25,000 nad mõelnud sellisele rünnakule, 1410 01:01:25,000 --> 01:01:28,000 aga see on huvitav küsimus, Adam. 1411 01:01:28,000 --> 01:01:30,000 Me ei uurinud seda. Tegelikult ütlesime, 1412 01:01:30,000 --> 01:01:33,000 et avaliku võtme infrastruktuuri 1413 01:01:33,000 --> 01:01:37,000 turvalisus oli väljaspool uuringu skoopi. 1414 01:01:37,000 --> 01:01:40,000 Kuid Tarvi Martens on ka Eesti avaliku 1415 01:01:40,000 --> 01:01:42,000 võtme infrastruktuuri isa, seega võid 1416 01:01:42,000 --> 01:01:46,000 temaga selle juurutamise ja kasutamise turvalisusest rääkida. 1417 01:01:46,000 --> 01:01:48,500 Mulle näib, et ta ei pruugi olla sellele 1418 01:01:48,500 --> 01:01:51,000 küsimusele täiesti avatud, aga tänan! 1419 01:01:52,000 --> 01:01:54,000 Number viiel on küsimus! 1420 01:01:54,500 --> 01:01:56,500 Hüva, see on midagi sarnast. 1421 01:01:56,500 --> 01:01:58,000 Isegi kui oleks märkimisväärseid 1422 01:01:58,000 --> 01:02:01,000 edasiminekuid krüptograafias, siis 1423 01:02:01,000 --> 01:02:04,000 kuidas saaks kodanikud olla süsteemis 1424 01:02:04,000 --> 01:02:07,000 kindlad, kui nad ei ole krüptograafid, 1425 01:02:07,000 --> 01:02:09,500 kes oskaks ise kontrollida? 1426 01:02:09,500 --> 01:02:11,000 Ja teine asi, kui me olime lapsed, 1427 01:02:11,000 --> 01:02:13,000 räägiti, et meil on demokraatia, 1428 01:02:13,000 --> 01:02:15,000 kuid kui sa kasvad suureks, siis mõistad, 1429 01:02:15,000 --> 01:02:18,000 et on palju kallutatud tulemusi, 1430 01:02:18,000 --> 01:02:20,000 mõned hääled loevad rohkem kui teised, 1431 01:02:20,000 --> 01:02:22,000 ja sa pead olema poliitikateadlane, 1432 01:02:22,000 --> 01:02:24,000 et mõista, kuidas hääli loetakse, 1433 01:02:24,000 --> 01:02:26,000 ja sa pead olema krüptograaf, 1434 01:02:26,000 --> 01:02:28,000 et mõista, et ülelugemine oli täpne. 1435 01:02:28,000 --> 01:02:30,000 Kas leidub mõni inimene, 1436 01:02:30,000 --> 01:02:33,000 kellel on kogu see teadmine olemas? 1437 01:02:33,000 --> 01:02:35,500 Ma tean, ma tean! Need on väga keerulised 1438 01:02:35,500 --> 01:02:38,000 küsimused ja mul pole neile vastuseid. 1439 01:02:38,000 --> 01:02:42,000 Võin öelda, et minu lühiarvamus on, 1440 01:02:42,000 --> 01:02:46,000 et valijad peaks saama valimistulemusi 1441 01:02:46,000 --> 01:02:49,000 usaldada ilma vajaduseta usaldada 1442 01:02:49,000 --> 01:02:53,000 valimisametnikke või mõnd spetsiaalset 1443 01:02:53,000 --> 01:02:56,000 inimrühma, sealhulgas nohikud, 1444 01:02:56,000 --> 01:03:00,000 krüptograafid või poliitikateadlased. 1445 01:03:00,000 --> 01:03:04,500 Igaüks peaks saama koos sõprade, rühma, 1446 01:03:04,500 --> 01:03:07,000 klubi või oma erakonnaga minna 1447 01:03:07,000 --> 01:03:11,000 valimisprotsessi vaatlema ja veenduda. 1448 01:03:11,000 --> 01:03:13,000 See peaks olema selliselt kavandatud. 1449 01:03:13,000 --> 01:03:15,000 Ma tean, et see on probleem ja tegelikult 1450 01:03:15,000 --> 01:03:18,000 saame mitmel moel tehnoloogiat kasutada, 1451 01:03:18,000 --> 01:03:21,000 et anda inimestele võimalus usalduse suurenemiseks, 1452 01:03:21,000 --> 01:03:27,000 sealhulgas kontrollides elektrooniliselt pabervalimisi. 1453 01:03:27,000 --> 01:03:29,000 On tehtud märkimisväärne hulk uurimusi 1454 01:03:29,000 --> 01:03:31,000 sel teemal, mis seda võimaldaks - 1455 01:03:31,000 --> 01:03:33,000 ilma arenenud tehnoloogiata, 1456 01:03:33,000 --> 01:03:35,000 ilma arenenud krüptograafiata, 1457 01:03:35,000 --> 01:03:37,000 palja statistika abil anda lisakindlust, 1458 01:03:37,000 --> 01:03:39,000 et valimistulemus on õige. 1459 01:03:39,000 --> 01:03:41,000 Seega on asju, 1460 01:03:41,000 --> 01:03:43,000 mida me saame teha tehnoloogiaga, 1461 01:03:43,000 --> 01:03:45,000 kuid mul ei ole kõiki vastuseid. 1462 01:03:45,500 --> 01:03:46,500 Number kaks, palun! 1463 01:03:47,000 --> 01:03:49,000 Tere! Ma tahaksin küsida, 1464 01:03:49,000 --> 01:03:52,000 kas te olete kursis sellega, 1465 01:03:52,000 --> 01:03:54,000 kuidas Bitcoin toimib? 1466 01:03:54,000 --> 01:03:57,000 Kas olete kaalunud sellist krüpteerimise 1467 01:03:57,000 --> 01:04:03,000 ja dekrüpteerimise mehhanismi kasutamist e-valimiste puhul? 1468 01:04:03,000 --> 01:04:07,000 Mõned inimesed on rääkinud valimisskeemi 1469 01:04:07,000 --> 01:04:12,000 rajamist mõnele Bitcoini protokolli variandile. 1470 01:04:12,000 --> 01:04:15,000 Minu arvates on see huvitav mõte. 1471 01:04:15,000 --> 01:04:18,000 Ma ei tea, kas me tahame usaldada 1472 01:04:18,000 --> 01:04:21,000 riiklike valimiste tulemust isegi 1473 01:04:21,000 --> 01:04:24,000 Bitcoini ökosüsteemile, sest võib olla, 1474 01:04:24,000 --> 01:04:26,000 et USA presidendivalimiste tulemus 1475 01:04:26,000 --> 01:04:28,000 on rohkem väärt kui Bitcoini majandus? 1476 01:04:28,000 --> 01:04:30,000 Ma ei tea veel, on see tõsi või mitte, 1477 01:04:30,000 --> 01:04:33,000 kuid see on midagi, millele mõelda. 1478 01:04:33,000 --> 01:04:35,000 Igatahes ma arvan, 1479 01:04:35,000 --> 01:04:37,000 et jaotatud avalik arvepidamine, 1480 01:04:37,000 --> 01:04:39,000 mida Bitcoin kasutab, 1481 01:04:39,000 --> 01:04:41,000 on potentsiaalselt väga huvitav idee 1482 01:04:41,000 --> 01:04:43,000 tuleviku valimiste jaoks, 1483 01:04:43,000 --> 01:04:45,000 kuid see tundub üsna kaugena, 1484 01:04:45,000 --> 01:04:47,000 võrreldes tänase seisuga. 1485 01:04:48,000 --> 01:04:51,000 Veelkord number kaks, palun! 1486 01:04:52,000 --> 01:04:54,000 Te leidsite üsna palju 1487 01:04:54,000 --> 01:04:57,000 erinevaid probleeme nende 1488 01:04:57,000 --> 01:05:00,000 valimissüsteemi juures. 1489 01:05:00,000 --> 01:05:03,000 Kas te hindaksite, mis osas on need üsna 1490 01:05:03,000 --> 01:05:06,000 lihtsalt parandatavad, ja mis osas pigem 1491 01:05:06,000 --> 01:05:09,000 sellele süsteemile sünnipäraselt omased, 1492 01:05:09,000 --> 01:05:12,000 ja mille kõrvaldamiseks on vaja suuremat 1493 01:05:12,000 --> 01:05:15,000 kogu süsteemi ümberkorraldamist? 1494 01:05:15,000 --> 01:05:17,000 Need sünnipärased asjad kõigi selliste 1495 01:05:17,000 --> 01:05:19,000 süsteemide puhul on, et need põhinevad 1496 01:05:19,000 --> 01:05:21,000 mingi masinas jooksva koodi korrektsele 1497 01:05:21,000 --> 01:05:23,000 ja turvalisele toimimisele, mida valijad 1498 01:05:23,000 --> 01:05:26,000 ei näe, ning häältele, mida sa ei saa 1499 01:05:26,000 --> 01:05:29,000 oma silmaga või käega kontrollida, sest 1500 01:05:29,000 --> 01:05:32,000 neid töödeldakse salajas arvuti poolt. 1501 01:05:32,000 --> 01:05:34,000 See musta kasti omadus on miskit, 1502 01:05:34,000 --> 01:05:36,500 mis viib väite juurde, et kui see arvuti 1503 01:05:36,500 --> 01:05:38,500 on kuidagi kompromiteeritud, näiteks 1504 01:05:38,500 --> 01:05:41,000 läbi tarneahela rünnaku või pahavara, 1505 01:05:41,000 --> 01:05:43,500 mis tuleb sisse usalduse usaldamise 1506 01:05:43,500 --> 01:05:46,000 mõtiskluse stiilis rünnakuga, 1507 01:05:46,000 --> 01:05:49,000 võib see viia valimistulemuste kompromiteerimiseni. 1508 01:05:49,000 --> 01:05:51,000 Ja seda on raske parandada. 1509 01:05:51,000 --> 01:05:53,000 See on see asi, mida otsast otsani 1510 01:05:53,000 --> 01:05:55,000 valija poolt kontrollitav krüptograafia 1511 01:05:55,000 --> 01:05:57,000 püüab kunagi parandada. 1512 01:05:57,000 --> 01:05:59,000 Väikesed asjad, turvaaugud, 1513 01:05:59,000 --> 01:06:01,000 käsureale süstimine... 1514 01:06:01,000 --> 01:06:03,500 Jah, need on lahendamiseks lihtsad probleemid, 1515 01:06:03,500 --> 01:06:06,000 kuid reaalselt, kui sa valimisi korraldad 1516 01:06:06,000 --> 01:06:09,000 ja suur turvaauk leidub tarkvarapaketis, 1517 01:06:09,000 --> 01:06:10,500 millele sinu süsteem toetub, 1518 01:06:10,500 --> 01:06:12,000 ja mis lapiti eelmisel öösel, 1519 01:06:12,000 --> 01:06:13,500 ja sul pole aega, et teha teste 1520 01:06:13,500 --> 01:06:15,000 ja auditeerida kogu koodi, 1521 01:06:15,000 --> 01:06:18,000 siis oled valiku ees, kas pakkuda midagi, 1522 01:06:18,000 --> 01:06:20,500 mida pole testitud või pakkuda midagi, 1523 01:06:20,500 --> 01:06:23,000 milles on teadaolevaid turvaauke. 1524 01:06:23,000 --> 01:06:25,000 Ma ei tea, kuidas meie turvapaikade 1525 01:06:25,000 --> 01:06:27,000 välja andmise tsükliga turvamaailmas 1526 01:06:27,000 --> 01:06:30,000 selliste probleemidega hakkama saada. 1527 01:06:30,000 --> 01:06:32,000 Ma arvan, et see on midagi, kus me tõesti 1528 01:06:32,000 --> 01:06:34,000 vajame fundamentaalseid edusamme viisis, 1529 01:06:34,000 --> 01:06:36,000 kuidas me käitume arvutiturbega, 1530 01:06:36,000 --> 01:06:39,000 enne kui me saame sellele hea lahenduse. 1531 01:06:40,000 --> 01:06:43,000 Seega põhimõtteliselt te ütlete, 1532 01:06:43,000 --> 01:06:46,000 et pole lootustki, 1533 01:06:46,000 --> 01:06:49,000 et sellist süsteemi saaks olla, 1534 01:06:49,000 --> 01:06:53,000 ja et paber ja pliiats on ikka paremad, 1535 01:06:53,000 --> 01:06:56,000 kui asi puudutab valimistelt 1536 01:06:56,000 --> 01:06:59,500 nõutud omaduste täitmist? 1537 01:07:00,000 --> 01:07:03,000 Paberil ja pliiatsil on väga tore omadus: 1538 01:07:03,000 --> 01:07:06,000 valijana saad veenduda, kuidas su valik 1539 01:07:06,000 --> 01:07:08,000 registreeriti, ja teised inimesed saavad 1540 01:07:08,000 --> 01:07:10,000 jälgida häälte lugemise protsessi. 1541 01:07:10,000 --> 01:07:14,000 Meil on sadade aastate pikkune kogemus pabervalimiste pettustega, 1542 01:07:14,000 --> 01:07:16,500 seega ma ei ütle, et tehnoloogia ei saaks 1543 01:07:16,500 --> 01:07:18,500 midagi teha olukorra parandamiseks. 1544 01:07:18,500 --> 01:07:21,000 Me saame seda teha, kuid ma arvan, 1545 01:07:21,000 --> 01:07:23,000 et kõige paljulubavamad viisid 1546 01:07:23,000 --> 01:07:25,000 pabervalimiste parandamiseks 1547 01:07:25,000 --> 01:07:27,000 ei alusta paberi ära viskamisest. 1548 01:07:27,000 --> 01:07:30,000 Need algavad paberiga, ja siis 1549 01:07:30,000 --> 01:07:32,000 lisavad mõned muud tehnoloogiad, 1550 01:07:32,000 --> 01:07:34,000 mis suudaks jälgida, salvestada, 1551 01:07:34,000 --> 01:07:36,000 aidata seda paberit auditeerida, 1552 01:07:36,000 --> 01:07:40,000 et tagada tulemuste usaldusväärsus. 1553 01:07:42,000 --> 01:07:43,000 Tänan! 1554 01:07:45,000 --> 01:07:48,000 Seega veel kaks või kolm küsimust! 1555 01:07:48,000 --> 01:07:50,000 Number kuus, palun! 1556 01:07:50,000 --> 01:07:52,000 Kas te arvate, 1557 01:07:52,000 --> 01:07:54,500 et oleks võimalik kavandada süsteemi, 1558 01:07:54,500 --> 01:07:57,000 mis garanteeriks nii häälte tervikluse 1559 01:07:57,000 --> 01:08:00,000 kui ka anonüümsuse, sest ma arvan, 1560 01:08:00,000 --> 01:08:03,000 et need kaks ei sobi üldse kokku? 1561 01:08:03,000 --> 01:08:06,000 Kindlasti on need vastuolus! 1562 01:08:06,000 --> 01:08:09,000 Need otsast otsani kontrollitavad 1563 01:08:09,000 --> 01:08:11,000 krüptosüsteemid püüavadki seda teha, 1564 01:08:11,000 --> 01:08:13,000 kuid nagu ma ütlesin, 1565 01:08:13,000 --> 01:08:15,000 on neil muid probleeme - kasutatavuse ja 1566 01:08:15,000 --> 01:08:18,000 rakendamisega, mis pole veel lahendatud. 1567 01:08:18,000 --> 01:08:20,000 See on kindlasti eesmärk, kuid see teeb 1568 01:08:20,000 --> 01:08:22,000 sellest keerulise probleemi, ja ma arvan, 1569 01:08:22,000 --> 01:08:24,000 et see on midagi sellist, 1570 01:08:24,000 --> 01:08:26,000 mida me kõik tahaks suuta ehitada. 1571 01:08:26,000 --> 01:08:30,000 Me ei tea, kuidas seda suurel skaalal praktikas teha. 1572 01:08:30,000 --> 01:08:32,000 Me töötame selle kallal, 1573 01:08:32,000 --> 01:08:35,000 kuid see pole garantii, et me kunagi need 1574 01:08:35,000 --> 01:08:38,000 probleemid mugavalt lahendame. 1575 01:08:38,000 --> 01:08:40,000 Ma tahaks vaid vahele teha kiire 1576 01:08:40,000 --> 01:08:42,000 ja häbematu reklaami oma tudengite ja 1577 01:08:42,000 --> 01:08:46,500 kolleegide ettekannetele muudel teemadel, millega me tegeleme. 1578 01:08:46,500 --> 01:08:49,000 Muuseas saate kuulata, kuidas me kasutame 1579 01:08:49,000 --> 01:08:53,000 ZMap skännimise tööriista, mille tegime, et uurida Heartbleedi. 1580 01:08:53,000 --> 01:08:55,000 Kuidas ostsime eBayst TSA alastiskänneri 1581 01:08:55,000 --> 01:08:57,500 ja avastasime ründevõimalusi selle vastu. 1582 01:08:57,500 --> 01:09:00,000 Ja kuidas ehitame koos EFF-i ja Mozillaga 1583 01:09:00,000 --> 01:09:02,500 tasuta sertifitseerimisasutust, millest 1584 01:09:02,500 --> 01:09:05,000 saaks meie katse veebi krüpteerimiseks. 1585 01:09:05,000 --> 01:09:09,000 See oli häbematu reklaam, tänan, et jäite seda kuulama! 1586 01:09:09,000 --> 01:09:15,000 (aplaus) 1587 01:09:15,000 --> 01:09:17,000 Number üks, palun! 1588 01:09:17,000 --> 01:09:19,500 Ma tahan Teid tänada ettekande eest, 1589 01:09:19,500 --> 01:09:22,000 aga ka oma uuringu internetis tasuta 1590 01:09:22,000 --> 01:09:25,000 Coursera kursusena "Turvalisuse vajadus 1591 01:09:25,000 --> 01:09:27,000 digitaalses demokraatias" jagamise eest! 1592 01:09:27,000 --> 01:09:29,500 Seega ma tean, et te ei taha ise omale 1593 01:09:29,500 --> 01:09:31,500 reklaami teha ja ma teen seda teie eest. 1594 01:09:31,500 --> 01:09:33,500 Nüüd, et teha sellest küsimus, siis 1595 01:09:33,500 --> 01:09:35,500 kas on sellele tulemas ka järge? 1596 01:09:35,500 --> 01:09:37,500 Hästi! Tänan väga! Jah, teen ikka, 1597 01:09:37,500 --> 01:09:40,000 kui olete huvitatud rohkem teada saama. 1598 01:09:40,000 --> 01:09:42,500 Mul on tasuta 5-nädalane võrgukursus 1599 01:09:42,500 --> 01:09:47,500 digitaalsest valimistehnoloogiast saadaval Courseras. 1600 01:09:47,500 --> 01:09:51,000 See on tasuta ja toimub varsti uuesti. 1601 01:09:51,000 --> 01:09:53,000 Tegelikult tegelen praegu sellega, 1602 01:09:53,000 --> 01:09:57,000 et lasta see välja internetitöövihikuna, 1603 01:09:57,000 --> 01:09:59,500 kus on võimalik lihtsalt minna ja 1604 01:09:59,500 --> 01:10:02,000 vaadata videoloenguid omas tempos, 1605 01:10:02,000 --> 01:10:04,500 seega kui sa tahad näha 10 loengulist 1606 01:10:04,500 --> 01:10:06,000 varianti sellest ettekandest, 1607 01:10:06,000 --> 01:10:09,500 siis võid selle leida Courserast 1608 01:10:09,500 --> 01:10:13,000 või leida lingi sellele minu kodulehelt. 1609 01:10:13,000 --> 01:10:17,000 Tänan väga, et selle üles tõstsid! 1610 01:10:17,500 --> 01:10:19,000 Tänan teid kõiki! 1611 01:10:19,000 --> 01:10:23,000 (aplaus) 1612 01:10:23,000 --> 01:10:25,500 Enne viimase küsimuseni jõudmist number 1613 01:10:25,500 --> 01:10:28,000 neljalt, tahaksin meenutada, et palun 1614 01:10:28,000 --> 01:10:30,500 võtke lahkumisel kaasa oma prügi, 1615 01:10:30,500 --> 01:10:33,000 ja et te võite tulla ja ettekandjale 1616 01:10:33,000 --> 01:10:35,500 küsimusi esitada ka pärastpoole. 1617 01:10:35,500 --> 01:10:38,000 Seega, palun, number neli! 1618 01:10:39,000 --> 01:10:42,000 Minu arusaam demokraatlikest valimistest on, 1619 01:10:42,000 --> 01:10:45,000 et need peavad olema vabad ja privaatsed, 1620 01:10:45,000 --> 01:10:48,000 ning isegi kui kõik need probleemid, 1621 01:10:48,000 --> 01:10:51,000 mida te mainisite, lahendatakse, kas 1622 01:10:51,000 --> 01:10:55,500 ei jää ikkagi probleemid seoses sellega, 1623 01:10:55,500 --> 01:11:00,000 et kodus valimine ei taga neid printsiipe? 1624 01:11:00,000 --> 01:11:03,000 Kujutage ette, et üks pereliige 1625 01:11:03,000 --> 01:11:07,000 sunnib teisi pereliikmeid valima nii, nagu ta tahab, 1626 01:11:07,000 --> 01:11:11,000 sest nad ei saa valida omaette kabiinis. 1627 01:11:11,500 --> 01:11:13,000 Ma nõustun teiega täielikult! 1628 01:11:13,000 --> 01:11:16,000 See on väga-väga raske probleem, 1629 01:11:16,000 --> 01:11:17,500 kuidas tagada valijale turvaline 1630 01:11:17,500 --> 01:11:20,500 ja survestamisvaba keskkond, 1631 01:11:20,500 --> 01:11:22,000 kui nad valivad eemalt, 1632 01:11:22,000 --> 01:11:23,500 üle interneti. Seega tõesti võib vabalt 1633 01:11:23,500 --> 01:11:27,000 ette kujutada abikaasat või tööandjat 1634 01:11:27,000 --> 01:11:30,000 kedagi survestamas valima kindlal viisil. 1635 01:11:30,000 --> 01:11:32,000 Ja Eesti lähenemine sellele probleemile 1636 01:11:32,000 --> 01:11:35,000 on huvitav - lasta isikul anda uus hääl, 1637 01:11:35,000 --> 01:11:38,000 mis teeb survestamise küll raskemaks, 1638 01:11:38,000 --> 01:11:39,500 kuid ei välista seda. 1639 01:11:39,500 --> 01:11:42,500 Näiteks survestaja võib isiku ID-kaardi 1640 01:11:42,500 --> 01:11:46,000 ära võtta, kuni valimised on möödas, 1641 01:11:46,000 --> 01:11:49,000 et takistada tal uuesti hääletada. 1642 01:11:49,000 --> 01:11:52,000 Ta võib viimse minutini oodata ja sundida 1643 01:11:52,000 --> 01:11:54,500 vahetult valimiste lõpu eel ümber valima. 1644 01:11:54,500 --> 01:11:57,500 Ma usun, et see on üks raske probleem, 1645 01:11:57,500 --> 01:12:00,000 ja see on üks kompromissidest, 1646 01:12:00,000 --> 01:12:03,000 mis tuleb demokraatiapõhimõtetega teha, 1647 01:12:03,000 --> 01:12:05,000 kui me otsustame, 1648 01:12:05,000 --> 01:12:07,000 et internetivalimised on see tee, 1649 01:12:07,000 --> 01:12:09,000 kuhu me tahame minna. 1650 01:12:09,000 --> 01:12:12,000 Võib-olla on tehnoloogilisi lähenemisi, 1651 01:12:12,000 --> 01:12:15,000 mis võivad seda püüda parandada, 1652 01:12:15,000 --> 01:12:18,000 kuid ma pole selles väga kindel. 1653 01:12:18,000 --> 01:12:21,000 Ma arvan, et see on avatud probleem. 1654 01:12:21,000 --> 01:12:24,000 Vastus on arvatavasti selles, 1655 01:12:24,000 --> 01:12:26,000 et survestamise oht on lihtsalt see, 1656 01:12:26,000 --> 01:12:28,000 mis saadakse vastu mugavuse eest, 1657 01:12:28,000 --> 01:12:30,000 mille annab internetis hääletamine. 1658 01:12:30,000 --> 01:12:31,000 Tänan teid! 1659 01:12:33,000 --> 01:12:36,000 Tänan teid väga! 1660 01:12:36,000 --> 01:12:39,000 Tänan! Aplausiraund veel kord, palun! 1661 01:12:39,000 --> 01:12:40,000 Tänan! Tänan! 1662 01:12:40,000 --> 01:12:45,000 (aplaus) 1663 01:12:45,000 --> 01:12:52,000 Eestikeelsed subtiitrid tõlkis ja lisas Sulev Švilponis