Na sockách jsem v poslední době zaznamenal diskuse o korespondenčních a internetových volbách, ze kterých vyplynulo, že diskutující mnohdy ani netuší, jak technicky takové volby probíhají. Že prý není zaručená jejich tajnost, jednoznačnost a kontrolovatelnost a kdesi cosi. Tak si zkusme říct, jak takové volby na dálku probíhají.
Korespondenční volby
Volič dostane sadu volebních lístků, identifikační lístek, volební obálku a přepravní obálku. Volič vloží do volební obálky vybraný hlasovací lístek a uzavře ji. Pak do přepravní obálky vloží uzavřenou volební obálku a identifikační lístek, a odešle to volební komisi.
Volební komise po ukončení prezenčních voleb začne otevírat došlé přepravní obálky. Vyjme identifikační lístek a ověří, jestli tento volič už nevolil v prezenčních volbách. Pokud ano, tak jeho korespondenční hlas neplatí a komise jeho obálku odloží ke skartaci. A jestli je všechno v pořádku, tak komise jeho volební obálku vloží do urny, kde se smísí s ostatními. Na konci této procedury má komise seznam voličů, kteří platně odvolili a urnu s odevzdanými volebními obálkami. Je tedy na tom stejně jako jakákoliv jiná volební komise a další zpracovávání a sčítání hlasů probíhá standardním způsobem.
Internetové volby
Na začátku si povíme něco o tom, co je to kryptografie s veřejným klíčem. Zjednodušeně řečeno, je to systém, kdy k šifrovacímu systému existují dva odlišné klíče - šifrovací a dešifrovací. Přičemž tyto dva klíče nejsou nijak provázané, z šifrovacího klíče se nedá odvodit dešifrovací a naopak. Šifrovací klíč je "veřejný", dešifrovací je "tajný". Takže kdokoliv může nějakou zprávu zašifrovat, ale zpětně ji dešifrovat může jen držitel dešifrovacího klíče, nikdo jiný - a to ani ten, kdo tu zprávu zašifroval. Mechanicky si to můžeme představit jako bedničku se zámkem, který po uzamčení zaskočí a nemůže ho odemknout nikdo, ani ten, co ho zamknul. Odemknout ho může jen jediný držitel speciálního klíče.
Takže internetová volba probíhá tak, že se volič přihlásí do systému zaručenou identitou (e-občanka, mobilní klíč, bankovní identita atd.) a svojí volbou vytvoří datový záznam. Tento záznam obsahuje identifikaci voliče, časové razítko a zašifrovaný záznam o tom, koho volí. Přičemž, jak jsme si řekli v předchozím odstavci, záznam o odevzdaném hlasu může kdokoliv zašifrovat, ale dešifrovat ho může jen oprávněný držitel dešifrovacího klíče. Takže v tomto okamžiku systém, který nazvěme sběrač hlasů ví kdo odvolil, kdy odvolil, ale neví jak odvolil. Je to analogie standardní volební komise, která ví, kdo z voličů už byl u voleb, ale hlasy jsou bezpečně uzavřené v urně.
Po skončení voleb se datové záznamy předají dalšímu systému, který nazvěme "sčítač hlasů" a který má příslušný dešifrovací klíč, kterým si může "odemknout" příslušné hlasy. Ale pozor: tento systém nedostane kompletní záznamy, ale jen samotné zašifrované hlasy, bez identifikace voliče. Jinými slovy: sběrač hlasů ví, kdo volil, ale neví jak volil. Naopak sčítač hlasů zná jednotlivé hlasy, ale nemá informace o tom, kdo je pořídil. Je to technicky stejná situace jako při prezenčních volbách: komise ví, kdo přišel k volbám, má urnu s hlasy ale nemá možnost přiřadit konkrétní hlasovací lístek konkrétnímu voliči.
Ten můj popis je samozřejmě zjednodušený, ve skutečnosti se používají elektronické ekvivalenty obálek, kdy je každá příslušná informace digitálně "zabalená", zašifrovaná, digitálně podepsaná atd. Jednak do těch nejhlubších podrobností sám nevidím, jednak to ani není účelem článku. Důležitá je informace, že lze digitálně oddělit kdo volil a jak volil.
A samozřejmě jestliže technicky nebude použitá jen "nějaká databáze", ale technologie blockchainu, která v principu umožňuje dělat transparentní transakce, které není možné měnit a které jsou zpětně dohledatelné, tak jsou internetové volby z technického hlediska ještě více odolné případné manipulaci, než ty "papírové".
Problémy
Nejčastější námitkou proti korespondenčním a internetovým volbám je to, že volič při volbě není v "chráněném" prostření za plentou, ale že může být pod dohledem nebo dokonce pod nátlakem jiné osoby, čímž je porušená tajnost a svoboda volby. To je relevantní námitka, ale lze na ni reagovat několika způsoby:
- je na odpovědnosti samotného voliče, který takový nátlak odmítne nebo se mu rozhodne čelit
- u internetové volby je možnost volit opakovaně, přičemž každé nové hlasování ruší to předchozí. Takže volič může odvolit i pod nátlakem, ale následně může svoji volbu změnit. Teoreticky by taková možnost mohla být i u korespondenční volby, pokud by každá zásilka měla časové razítko a zpracování probíhalo v daném pořadí.
- vždycky je tu možnost volit i prezenčně, přičemž prezenční volba "přebíjí" tu distanční. Jinými slovy, volič má vždycky možnost odvolit klasicky - a pokud se dobrovolně rozhodne pro distanční volbu, tak se tím rozhoduje přijmout i eventuální rizika s tím spojená.
- poslední námitka je dost vachrlatá a neseriózní, ale přesto relevantní: pokud by docházelo k nějakým těm nátlakům a kupčením s hlasy, je i tak dost nepravděpodobné, že by to nějak zásadně zvrátilo výsledek voleb. Jednak je dost možné, že by k tomu docházelo na všech stranách, takže by se tyto problémy vzájemně eliminovaly, jednak si uvědomme, že i kdyby takových případů byly tisíce, tak volební účast se počítá řádově v miliónech hlasů.
Relevantní problém korespondenčních voleb je jejich časová náročnost. Totiž zpracování korespondenčních voleb může začít až po zpracování výsledků voleb prezenčních, z důvodů zjišťování, jestli některý volič nevolil v obojích. Definitivní výsledky voleb se tak můžou oddálit i o několik dní.
Dalším problémem je důvěryhodnost distančních voleb. I když je celý proces například internetové volby po technické stránce prakticky neprůstřelný, tak běžný občan do něj nevidí. Běžný občan si umí představit hromádku papírů, kterou někdo roztřídí na několik menších hromádek a ty sečte. Ale je mimo představu běžné veřejnosti problematika kryptografie, blockchainu a podobných technikálií. A čemu člověk nerozumí, co je mimo jeho představu a chápání, tomu holt člověk nevěří a má tendenci to zpochybňovat - i neprávem.
Vlastně ale, když o tom tak uvažuju, tak cokoliv, co se může stát při internetových volbách, může se stát i při klasických (a naopak). Dokonce si myslím, že ty internetové, resp. elektronické, jsou zabezpečené ještě lépe. Volební lístky se můžou "ztratit" mnohem snadněji, než se může "ztratit" blockchain.
Estonsko má internetové volby od roku 2007, tedy patnáct roků. A všechny problémy a námitky, které si umíme představit, tam samozřejmě byly také. Praxe ale ukázala, že internetové volby můžou fungovat a v posledních volbách takhle volila skoro čtvrtina voličů. Myslím, že bychom se z toho měli poučit, nevynalézat vynalezené a neřešit vyřešené.
Já myslím, že bychom měli od korespondenční volby odstoupit (nebo ji brát jako dočasné provizorium) a zaměřit se rovnou na možnost voleb po internetu. Co si o tom myslíte vy?
Pokoušel jsem se k tomuto článku vygenerovat přes starry.ai nějakou ilustraci, ale na nejrůznější klíčová slova ohledně elektronických voleb mi vycházely samé ptákoviny. Nejpřijatelnější mi připadla snad jen takováhle antropomorfní perzonifikace internetových voleb 😁
