Použití počítačů ve volbách může být podle Spolkového ústavního soudu protiústavní („Wahlcomputer-Urteil“)
Spolkový ústavní soud (dále „soud“) rozhodl minulý týden (rozsudek 2. senátu ze dne 3. 3. 2009, sp. zn. 2 BvC 3/07, 2 BvC 4/07, úplné znění zde ) o tom, že použití některých počítačů ve volbách do Spolkového sněmu konaných v roce 2005 bylo protiústavní. Toto rozhodnutí považuji za velmi zajímavé v celé řadě ohledů a je proto určitě dobré se s ním seznámit podrobněji.
Především, i v České republice se delší dobu vedou diskuse o tom, že stávající způsob hlasování a následného sčítání hlasovacích lístků je zastaralý a zdlouhavý a je proto namístě uvažovat o technické změně. Citovaný „Wahlcomputer-Urteil“ budiž v tomto směru i jakýmsi mementem, které by nás mělo varovat před určitými ústavně právními riziky, číhajícími na této neodvratné cestě technického pokroku.
O co vlastně šlo? Podle ustanovení § 35 německého volebního zákona je možné „za účelem ulehčení odevzdávání a sčítání hlasování namísto hlasovacích lístků a volebních uren používat volební přístroje.“ Tyto přístroje musí být oficiálně připuštěny ministerstvem vnitra a musí zejména zaručovat zachování tajnosti hlasování. Ministerstvo vnitra bylo současně zákonem zmocněno k vydání prováděcí vyhlášky za účelem stanovení podrobných pravidel pro používání těchto přístrojů (způsob jejich přezkoušení, instalace atd.). Tato vyhláška byla vydána a ke sčítání hlasů začaly být v praxi využívány přístroje. Nejprve se jednalo o přístroje mechanické – a jak konstatoval soud – nedošlo k jejich výraznějšímu rozšíření, jelikož náklady na výrobu, transport, skladování a údržbu byly tak vysoké, že jejich použití nebylo příliš výhodné. Tyto nedostatky mělo odstranit nasazení elektronických přístrojů, s jejichž nabídkou přišla nizozemská firma N. V. Nederlandsche Apparatenfabriek (Nedap). Počítače od této firmy byly použity ve volbách do Spolkového sněmu konaných v roce 2005 a jejich prostřednictvím volilo přibližně 2 mil. voličů (v zemích Braniborsko, Hesensko, Severní Porýní-Vestfálsko, Sasko-Anhaltsko). Rozsudek uvádí, že počítače byly vybaveny mikroprocesorem a byly řízeny softwarovým programem. Fungovaly tak, že odevzdané hlasy byly uloženy výhradně v elektronické podobě a spočteny byly na závěr voleb elektronicky; následně byly výsledky vytištěny na připojených tiskárnách.
Tento způsob zpracování hlasů voličů shledal soud protiústavním – odporujícím čl. 38 ve spojení s čl. 20 odst. 1, 2 Základního zákona. Podle čl. 38 odst. 1 jsou poslanci voleni ve všeobecných, přímých, svobodných, rovných a tajných volbách; čl. 20 odst. 1, 2 definuje SRN jako demokratický a sociální spolkový stát, kde veškerá moc vychází z lidu a ten ji vykonává prostřednictvím zákonodárných, výkonných a soudních orgánů Podstata rozhodnutí soudu spočívá v právním názoru, že jedním ze základních principů voleb je jejich veřejnost, transparentnost (Öffentlichkeit) v tom smyslu, že všechny podstatné kroky činěné ve volbách musejí být přezkoumatelné. Prováděcí ministerská vyhláška, podle které byly počítače nasazeny, proto byla shledána protiústavní, jelikož dostatečně nezajišťovala použití pouze takových počítačů, které by tento ústavní princip garantovaly. Nasazení elektronických volebních přístrojů je totiž ústavně souladné toliko tehdy, jestliže „jsou přezkoumatelné všechny podstatné kroky volebního rozhodování a zpracování výsledků způsobem, který je spolehlivý a nevyžaduje žádné zvláštní znalosti.“ Soud výslovně uvedl, že zatímco v dřívějších volbách byla případná manipulace s hlasovacími lístky či falšování volebních výsledků spojena se značným rizikem prozrazení, jsou programové chyby v softwaru či dokonce úmyslné falšování výsledků voleb prostřednictvím softwaru jen velmi obtížně zjistitelné. Toto riziko představuje ohrožení zmíněného principu veřejnosti voleb.
Soud proto konstatoval, že zákonodárce může při sčítání volebních výsledků sice používat počítače, to však za splnění ústavně předpokládané podmínky spolehlivé kontroly správnosti. Volič totiž musí mít jistotu, že jeho odevzdaný hlas byl správně započítán. Nepostačuje proto, jestliže počítač poskytne písemné vyhotovení pouze výsledku voleb. Kontrola tedy musí být proveditelná i jiným způsobem, než výhradně prostřednictvím elektronické úschovy volebního výsledku.
Použití předmětných počítačů v 16. volbách do Spolkového sněmu konaných v roce 2005 tedy soud označil ze shora nastíněných důvodů za protiústavní, nicméně z této skutečnosti nedovodil též neplatnost samotných voleb, která byla namítána (šlo o případ tzv. konkrétní kontroly norem). Soud totiž dospěl k závěru, že zájem na důvěře ve zvolený zastupitelský orgán v daném případě převažuje nad volebním pochybením, k němuž došlo tím, že volební počítače mohly fungovat chybně, resp. mohlo dojít i k účelovým manipulacím. K dané situaci totiž došlo za nejasné právní situace a další existence zvoleného zastupitelstva „se nejeví jako neúnosná“ (nicht unerträglich). [Drobná poznámka: pojem „neúnosnosti“ je ustáleným termínem, jehož smyslem je vymezit tak intenzivní porušení volebního práva, že převažuje nad zájmem na právní jistotě, spočívajícím v respektování výsledků voleb. Jinými slovy jde o případy, kdy zjištěné pochybení je natolik závažné, že zpochybňuje dosažené volební výsledky jako celek.]
Co říci závěrem?
Předně, soud potvrdil, že sčítání hlasů zásadně lze provádět i za pomoci počítačů, takže klasickému vhazování lístků do volební urny může být definitivně odzvoněno. Nicméně, je nutné zajistit jakousi paralelní kontrolu (zřejmě jedině) v listinné podobě, což však prakticky znamená, zda je vůbec smysluplné za těchto okolností hlasovat prostřednictvím počítačů. To však přenechávám k bližším úvahám povolanějším a technicky zdatnějším, než jsem já. V každém případě však je třeba při úvahách o „computerizaci“ voleb zachovávat maximální míru opatrnosti.
Z právně teoretického hlediska považuji dále za velmi zajímavé, že soud vymezil princip otevřenosti (v naší terminologii by bylo asi přesnější používat termín „přezkoumatelnost volebních výsledků“, aby nedocházelo k nepochopení spojení tohoto principu s principem tajnosti hlasování) jako samostatný ústavní princip a výhradně pro rozpor s ním prohlásil prováděcí právní úpravu za protiústavní. Jistě, deklaroval rozpor se dvěma články Základního zákona, nicméně z jejich obsahu je patrno, že princip otevřenosti vůbec nezmiňují a jedná se tedy o typický příklad dovození závazného ústavního principu teprve soudní judikaturou.
Poněkud škodolibě vyznívajícím uklidňujícím sdělením do našich luhů a hájů budiž skutečnost, že soud definitivně rozhodl o platnosti voleb konaných v roce 2005 teprve v roce 2009, tj. prakticky po čtyřech letech. Jakkoliv nelze přehlédnout, že tato délka řízení nespadá výhradně na vrub soudu (ještě předtím totiž rozhodoval samotný Spolkový sněm, zejm. tzv. Wahlprüfungsauschuss), je zjevné, že se i ve SRN potýkají se zcela podobnými problémy jako u nás: se smysluplností a efektivitou soudního přezkumu s ohledem na velké průtahy v řízení.
Právě touto skutečností byl soud zjevně ovlivněn, když dospěl k závěru o protiústavnosti hodnocené situace, nicméně svoje rozhodnutí formuloval toliko preventivně, bez jakýchkoliv praktických dopadů na zpochybněné volební výsledky. Jakkoliv rozumím tomu, že asi skutečně nemělo smysl za daných okolností volby rušit, kriticky uvádím, že z tohoto poměrně dlouhého rozhodnutí, strukturovaného do 163 bodů, se vysvětlením důvodů, pro které soud nakonec volby nezrušil, zabývá pouze ve třech krátkých odstavcích, a to v podstatě bez jakékoliv konkretizace na okolnosti daného případu; toliko paušálním odkazem na zásadu minimalizace zásahů soudu a vyvažování legitimních zájmů. Dle mého měl být soud upřímnější a vysvětlit, že v této situaci prostě již nemělo žádný rozumný smysl volby rušit, protože se stejně blíží volby nové.
Pro sběratele kuriozit doporučuji si povšimnout toho, že přímo ve výrokové části rozsudku (bod 2.) je popsáno technické označení volebního přístroje včetně jeho výrobce. Skutečného pochybení se však zjevně nedopustil výrobce, nýbrž ty státní orgány, které použití předmětných přístrojů povolily.
33 komentářů:
Nevím, zda se mám pokládat za technicky zdatného, nicméně si myslím, že soud zde vytýká technice něco, co je její imanentní vlastností. Zajímalo by mne, jak konkrétně by si soud představoval, že budou volby automatizovány počítači a zároveň budou zpětně ručně přepočítatelné. Tvrdit, že to musí jít zpětně přepočítat neznamená ni jiného než říci, že elektronické hlasování není možné. Elektronické hlasování nevede k ničemu jinému než k elektronickému záznamu o tom, jak bylo hlasováno. Žádná lepší forma podle mě neexistuje. Kdo chce ruční přepočítatelnost, musí mít lístky. (Klidně ty děrovací snadno sčítatelná jako mají ve Spokojených Státech.)
DD: Myslim, ze neni zadny problem po odvoleni vytisknout na onom pocitaci hlasovaci listek, ktery volic po kontrole pro ucely pripadneho rucniho prepocitavani nasledne vhodi do urny. Listkum se tak sice nevyhneme, ale rucni kontola je bez problemu mozna a o zadne vyhody elektronickeho zpracovani taky neprijdeme.
Derne stitky po zkusenostech z prezidentskych voleb doporucit urcite nelze. Mimochodem, Stewart v. Blackwell je velmi zajimave cteni (bohuzel jakehokoliv konkretniho rozsudku se jiz nedockame, nebot zaloba byla nakonec jako "ciste teoreticka" ("moot") odmitnuta v dusledku toho, ze predmetne hlasovaci stroje se prestaly pouzivat.
Mně zas ihned napadla varianta pokladní pásky: počítač bude vypadat jako pokladna v supermarketu, ovšem s tím, že bude mít pro voliče jen tři tlačítka PRO-PROTI-ZDRŽEL SE (případně víc, bude-li se hlasovat pro více variant či strany) a výsledek se okamžitě vytiskne na roli pásky za sklem, která se po chvilce posune, aby další volič neviděl předchozí hlas. Určitě pak nebude problém vymyslet skener pro roličky pásek, takže bude možné i automatické zkontrolování výsledků na nezávislém stroji. Případné reklamace by se taky daly snadno řešit (např. klasickým ručním lístkem, ovšem na obálku se napíše číslo hlasu, který se zneplatňuje).
Především chci poděkovat za tenhle spot: protože si s němčinou zrovna netykám, četl jsem zatím jen anglický abstrakt rozhodnutí a některé důležité momenty v něm nebyly popsané. Poděkování by si ale zasloužil také Spolkový ústavní soud, protože svým rozhodnutím pozitivně ovlivní i postupy v dalších zemích, nás nevyjímaje.
Požadavek paralelní papírové verze na druhou stranu není nijak zvlášť nový, obsahuje ho už například Help America Vote Act, který byl ve Spojených státech přijat v roce 2002 v reakci na problémy s hlasováním a starými hlasovacími stroji v duelu Bush vs Gore (zejména) na Floridě. Podle § 301 (2):
"The voting system shall produce a permanent paper record with a manual audit capacity for such system. (...) The voting system shall provide the voter with an opportunity to change the ballot or correct any error before the permanent paper record is produced. The paper record (...) shall be available as an official record for any recount conducted with respect to any election in which the system is used.
"
Současně s tím se v USA vyžaduje poměrně přísná certifikace hlasovacích strojů, která zahrnuje přístup k veškerým zdrojovým kódům apod. Úplnou jistotu, že systém neobsahuje záměrnou, nebo i nezáměrnou chybu, však nelze mít nikdy: proto je nějaký kontrolní mechanismus, který vytváří paralelní záznam o průběhu hlasování, podle mne nezbytný. A nic lepšího než papír nemáme.
Jestli má za těchto podmínek elektronizace hlasování smysl je samozřejmě věc k diskusi. Já si myslím, že určitě ano. Kdyby šlo jen jen o komfort samotného hlasování a rychlost následného sečtení hlasů, bylo to asi málo. Elektronizace hlasování by ale umožnila řadu dalších věcí, o kterých si dnes můžeme nechat zdát. Například je to centrální evidence voličů, díky níž bychom mohli hlasovat ve kterékoliv volební místnosti i bez nutnosti žádat o vydání volebního průkazu. Nebo dřívější hlasování, které by probíhalo ve zvláštních volebních "stanovištích" na frekventovaných místech už třeba týden před dnem voleb a kdokoliv by tam mohl odevzdat svůj hlas třeba cestou do práce. Samostatnou otázkou je samozřejmě distanční hlasování po Internetu: pokud bude někdy zavedeno, bude nejspíš z technických důvodů nutné alespoň do určité míry elektronizovat i klasickou proceduru ve volebních místnostech.
Program není nic jiného než seznam příkazů, který je obecně a veřejně kontrolovatelný. To, že je k tomu potřeba jistá specifická znalost, na tom nic nemění. U voleb daleko více selhává lidský faktor a podvést se dá obojí.
Výhody PC voleb (nikoliv pouze automatů ve vol. místnostech) je snadná, levná a rychlá opakovatelnost v případě jejich neplatnosti, příp. možnost konfirmace. Pokud mají být volby tajné, pak jde jen těžko požadovat nějakou relevantní konfirmaci papírem.
Je na tom ale hezky vidět, k jaké zrůdné formálnosti dospěly dnešní společnosti a především kontinentální soudy a jak se mentálně opožďují za vývojem poznání a technologií. Společnost stejně rychle dospěje do stadia, že chodit někam kvůli hození lístku do urny je nesmysl. Podobné to bylo i s objednáváním zboží na netu před 10 lety.
Karel Výborný řekl:
Program není nic jiného než seznam příkazů, který je obecně a veřejně kontrolovatelný. To, že je k tomu potřeba jistá specifická znalost, na tom nic nemění.
V dobách Confickera a spol. to pokládám za krajně idealistický výrok. :-)
Pokud mají být volby tajné, pak jde jen těžko požadovat nějakou relevantní konfirmaci papírem.
Pokud bude papírovým dokladem pokladní páska, kde bude vytištěno "datum-čas-pořadové číslo hlasu-výsledek" a nebude pořadí hlasu přiřaditelné konkrétní osobě (například dnes si volební komise ručně odškrtávají voliče v seznamu bez uvedení času), pak bude tajnost hlasování zachována a současně bude možné svůj hlas zneplatnit v případě chyby (nutno požádat volební komisi o papírovou obálku a komise na ni napíše poslední číslo hlasu).
Ad Karel Výborný
Jsme na právním blogu, takže si dovoluji ocitovat dva zákony. Murphyho zákony. :-)
1. Každý program obsahuje chybu.
2. Softwarová záplata je kus kódu, který staré chyby nahrazuje novými.
Ani otevřené zdrojové kódy nezaručují, že v programu nebude nějaká chyba: podívejte se třeba na Firefox, kolik chyb (i bezpečnostních) se v něm najde každou chvíli. Obecně výhodou open source projektů není, že by v nich chyby nebyly, ale že když se na ně přijde, měla by oprava přijít rychleji.
Problém je v tom, že pokud se přijde na chybu v hlasovacích strojích, dá se zpětně napravit dost obtížně. Vidím vlastně jen dvě možnosti. První možnost je opakování voleb; a tady nesdílím optimismus o snadnosti takového procesu. Druhá možnost je zpětné ověření výsledků, z nějakého paralelního záznamu. Aneb, trochu se asi opakuju, ale papír je papír. :-)
Ano, vím, že jsem na právnickém webu a také jsem si všiml faktu, že spousta právníků má se základní matematikou a statistikou celkem slušný problém.
Neznám jedinný případ platebního příkazu zadaného přes netbanking, který by byl zpracován chybně nebo byla narušena bezpečnost přenosu (v ČR). Papír je tedy papír, jak tvrdí MA, ale občas už k ničemu. Že má program chyby ? Od toho je testování a ne papír ze stroje. Soukromý sektor evidentně umí realizovat službu velice efektivně, a pokud je mi známo, tak severské státy dělaly nějaké referenda přes web.
Nechci vám brát iluze ale představa, že podle papírku s hodinou někdo najde v závadu v součtu je sice možná, ale v praxi nesmyslná. Navíc pokud si stroj bude pamatovat čas a tomu odpovídající volbu, pak volba není tajná, protože je zjistitelné, jak kdo volil. Současně jde o nadstandard, dnes spoléháte na klasickou bankovní kontrolu min. čtyř očí z lidí z volební komise a kontrolovatelné potvrzení o volbě nebo času volby nemáte žádné.
Dále jsem neměl na mysli open source, ale možnost kontroly SW soudem stanoveným znalcem v případě pochybností.
Jsem IŤák, konsultant, v právu amatér, ale baví mne číst Vaše příspěvky. Párkrát jsem za studií byl ve volební komisi.
Považuji, v souladu se spolkovým ústávním soudem, za důležité mít možnost jednoduše posoudit správný výsledek voleb nejen pomocí nějaké elitní skupiny znalců, ale obecnou veřejností. Volby jsou, na rozdíl od sofistikovaných soudních kauz vyžadujících znalce, něčím, v čem by měl mít možnost mít každý jistotu, že nedošlo k systematické chybě či podvodu, včetně "vzpoury mozků".
Už třeba proto, že zásadně zmanipulovaný výsledek voleb je zásadní (i když ne jedinou) podmínkou opravňující vzít do ruky zbraň a jít bojovat proti systému.
Není problém například tisknou nikoli datum a čas, ale tisknout hlas na více tiskárničkách, jedna bude náhodně zvolená. Případně pododně ukládat (a pro voliče zobrazovat) volbu na odděleném systému ve stylu registrační daňové tiskárny, jenže místo tiskárny by zde byl velmi jednoduchý systém souborového logu. To by bylo podle mne proporcionální potřebě jednoduché kontroly. Systém, na bázi klíčku v počítači (za sklem) na němž se rozsvítí číslo volební strany apod.
S dnešní technologií enkrypce je alec možné zajistit i opačný přístup: to, aby byl elektronickou občankou každý hlas podepsaný, při použití cílového klíče čitelný, nikdo nemohl vědět kdo ho podepsal, přitom bylo možné ověřit, že je podepsán platně. Přitom lze zabránit duplicitě. A navíc, aby si každý opět svoji občankou mohl hlas otevřít a později zkontrolovat. Třeba i zničením nějakého jiného klíče zajistit, že se data stanou již nečitelná. (Klíč může být chráněnn např. může rozdělením mezi volební činitele na čipech, které se považují za bezpečné.)
Tak nevím, co bych zvolil.
Se svým konzervativismem spíše systém magnetických či děrných štítků vhozených do urny, které budou mít i čitelný potisk. Elektronický výsledek pak bude pod doměnkou pravdivosti, pokud se někdo nedomůže papírového přepočítání.
Potíž ale může nastat v situacích, kdy např. MHMP neschválí rozdělení na volební obvody a 70 zastupitelů bude voleno i s preferencemi na 1 plachtě, čili potřeba vyznačit až 70 hlasů na papír, na štítek apod.
Karel Vážný
Ad) Karel Výborný
tiež milujem technológie ale netreba z nich robiť modlu. Nie som bezpečnostný expert ale Stephen Spoonamore :
http://www.youtube.com/watch?v=BRW3Bh8HQic
by Vás mohol presvedčiť prečo Spolkový ústavný súd formuloval takúto myšlienku. Pripájam sa k Marekovi Antošovi a ďakujem za preklad :)
Soukromý sektor evidentně umí realizovat službu velice efektivně, a pokud je mi známo, tak severské státy dělaly nějaké referenda přes web. Súkromný sektor počíta so stratami. Podľa Vás sa ma na rovnakú cestu vydať volebné zákonodárstvo? Podobne ako napr. Fínsko, ktorého Helsinský správny súd vyhlásil, že a failure rate of slightly over 2 percent does not, as such, indicate that the election authorities would have acted in error.
http://www.effi.org/blog/2009-01-29-finland-evoting-ruling.html
Súhlasím s Marekom Antošom a Karlom Vážnym, že elektronizácia volieb má zmysel aj napriek tejto požiadavke.
ad Huťko. Nikdo z technologií modlu nedělá, spíše ji někdo dělá z papíru. Jen tvrdím, že není problém v technologii jako takové, příp. její možné zneužitelnosti ale v nepoznání ze strany soudu nebo části naší generace. Připodobnil bych to k situaci, kdyby v době objevu a rozšíření papíru soud trval po podpisu na papíře stále na nutnosti živých svědků, protože Bohové slyší ale číst neumí. Jde prostě o dvě různé kvality a nemá smysl je těžkopádně srovnávat ale zajistit, aby plnily stanovený účel, papír bude dokazovat skutečnost svoji existenci papírem a bit bitem.
Možná by se mohl někdo zamyslet nadtím, jakou chybu dělá při sčítání cca 8 mil hlasů člověk a jakou PC. A nebudete mi snad tvrdit, že zfalšovat nečí soukromý klíč je snažší než občanku.
Možná by se mohl někdo zamyslet nadtím, jakou chybu dělá při sčítání cca 8 mil hlasů člověk a jakou PC. A nebudete mi snad tvrdit, že zfalšovat nečí soukromý klíč je snažší než občanku.
Pri vsi ucte, vy tomu proste nerozumite. Ve volnem case se venuji vyvoji open source softwaru, takze bych si dovolil nekolik poznamek.
Program není nic jiného než seznam příkazů, který je obecně a veřejně kontrolovatelný.
...
Dále jsem neměl na mysli open source, ale možnost kontroly SW soudem stanoveným znalcem v případě pochybností.
Closed-source kod neni "obecne a verejne" kontrolovatelny vubec. Vyse uvedene tvrzeni je bohapustou generalizaci bez znalosti problematiky. Ani open-source SW neni zarukou toho, ze chyba (byt se ex post treba jevi jako zcela trivialni a evidentni) bude vcas odhalena, dukazem jsou bug trackery tisicu open-source projektu. Closed-source SW je pro podobne ucely jako jsou volby naprosto neprijatelny, protoze pojmove vylucuje jakoukoliv verejnou kontrolu. Opravdu chcete, aby o platnosti voleb rozhodovali kymsi vybrani soudni znalci, vytvarejici posudky na jakysi program, ktere si nikdo nemuze overit?
U voleb daleko více selhává lidský faktor a podvést se dá obojí.
...
Možná by se mohl někdo zamyslet nadtím, jakou chybu dělá při sčítání cca 8 mil hlasů člověk a jakou PC.
Opravdu si troufnete tvrdit, ze pri rucnim pocitani hlasovacich listku dosahuje chybovost az tri procent? Mate pro to nejaky seriozni podklad nebo dokonce dukaz? Jen pro ilustraci - chybovost technologii zalozenych na optickem skenovani je pod jedno procento, chybovost mechanickych hlasovacich zarizeni je az dve procenta, chybovost hlasovani s pouzitim dernych "stitku" se pohybuje mezi dvema az tremi procenty. Viz relevantni prameny odkazovane vyse v kauze Stewart et al. v. Blackwell et al.
Je na tom ale hezky vidět, k jaké zrůdné formálnosti dospěly dnešní společnosti a především kontinentální soudy a jak se mentálně opožďují za vývojem poznání a technologií. Společnost stejně rychle dospěje do stadia, že chodit někam kvůli hození lístku do urny je nesmysl.
Spolecnost muze dospet i k tomu, ze svobodne volby jsou samy o sobe nesmysl. Takovy priklad jsme tu vsichni meli, trvalo to 40 let. Pozadavek na kontrolovatelnost vysledku voleb neni "mentalni opozdenosti" ani "zrudnym formalismem", to je proste zcela zasadni vec, bez niz si muzeme na demokracii jenom tak hrat.
Že má program chyby ? Od toho je testování a ne papír ze stroje.
A proto se den co den vydavaji stovky zaplat. Testovani? No, holt se na to vcas neprislo. A to nemusi byt nutne nedbalosti nebo lenosti vyvojaru, to jsou proste veci, ktere se zjisti az pote, co danou vec otestuji desitky tisic uzivatelu a za urcitych specifickych okolnosti a podminek se jednoduse dana chyba projevi. Vyvojar aplikace se svymi nutne omezenymi prostredky k testovani to proste nema sanci zjistit. Samo odhalovani pricin chyb v SW je vyrazne netrivialni zalezitosti, nekolik let jsem se tomu ve volnem case venoval, takze skutecne vim, o cem mluvim. Jednalo se o linuxovou distribuci, denni prumer poctu nahlasenych chyb se pohyboval mezi stovkou a dvema sty.
Nechci vám brát iluze ale představa, že podle papírku s hodinou někdo najde v závadu v součtu je sice možná, ale v praxi nesmyslná.
Co je na tom nesmyslneho? V praxi bohuzel nikdo nic lepsiho nevymyslel, a jak Marek Antos vyse citoval, tuto notorietu posleze reflektovali i zakonodarci. Umite navrhnout lepsi zpusob kontroly bez pouziti papiru?
Soukromý sektor evidentně umí realizovat službu velice efektivně
Ale no tak, tohle bychom si zde mohli snad opravdu odpustit. Soukromy sektor s tim nema co delat, chyby v softwaru delaji vyvojari bez ohledu na to, zda pracuji v soukromem sektoru ci nikoliv.
papír bude dokazovat skutečnost svoji existenci papírem a bit bitem.
Skutecne nechapu, co jste tim chtel rici. Nejedna se o dukaz existence, ale dukaz spravnosti. Jak si predstavujete dokazovani toho, ze dany bit ma mit skutecne hodnotu jedna a ne nula?
Ad Jakub Moc : Nebavím se o Unix/Linux ani jakékoliv open-source a nemám neutuchající potřebu s vámi diskutovat skrze injektiva. Pokud chcete ze sebe udělat chlapa, existují i jiné způsoby a jiná místa.
K politologickým důvodům na přesnost voleb se vyjadřovat nebudu - takové téma mě nezajímá.
Chybovost při podobně primitivní úloze jakým je provedení plaťáku v netbankovnictví nulová. Chyby dělá jen obsluha, když pošle třeba do ČNB "pásku" dvakrát nebo když obsluha tyto informace přepisuje např. do SWIFTu. Pokud tvrdí někdo, že chybovost při elektronické volbě je 2%, pak tam existuje objektivní důvod a pravděpodobně systematická chyba, proč tomu tak je. Podle mého názoru je to ale pitomost a problém bude mezi PC a stolem, což ale objektivní problém je. Chybovost v papírových volbách existuje (tuším někde ve Finsku to v 70.letech někde zcela projeli dvakrát a rozdíl byl v průměru 1%), problém ale je, co volební proces, to jiný druh systematické chyby. Navíc nelze přesně určit vzhledem k nemožnosti sledovat proces , co je chyba systematická a co náhodná.
Že firmy dělají záplaty, ok. To se ale bavíme o programech, které dělají trochu složitější operace než jen zaznamenávají a sčítavají hlasy. Stejně tak se ale "vylepšovaly" procesy papírových voleb. Dále si troufám tvrdit, že existuje příkaz, kterým se dá zcela objektivně zjistit hodnota dané adresy paměti.
Studie srovnávající databázové zpracování informací člověkem a PC existují. Naposledy jsem je četl někdy na konci 80.let při prezentaci FoxPra a dBase a od té doby je nikdo nepovažuje za nutné zopakovat ze zcela zřejmých důvodů.
Možná se ale spíš než v názorech lišíme ve "vizích". Podle mě budou volby zcela elektronické a právo se tomu jen přizpůsobí a nebude odkazovat na předchozí papírový proces (něco jako změna paradigmatu s příchodem nové generace). Můj osobní vztak k tomuto vývoji je zcela neutrální.
Podle mě budou volby zcela elektronické a právo se tomu jen přizpůsobí
Nejak takhle si to predstavujete? Ono to celkem vycerpavajicim zpusobem shrnuje problem elektronickych voleb, takze dalsiho komentare asi netreba.
Starý ale dobrý ....
Kdybyste se člověk lépe učil, pochopil by právě z vašeho příkladu, že PC fungují bezchybně, tj. podle programu. Nic si nepřidají a nic neuberou (narozdíl od lidí ve volební komisi). Navíc jak vidět,zvolil Homer zcela správně :-). Jako analfabetu by mu hrozilo riziko při papírové volbě, že by lístek snědl, nepřečetl anebo v nejhorším případě dokonce přečetl.
A kdyby byl pisatel trochu starší, věděl by, že to je jen předělávka 4 roky staré daleko lepší klasiky z dob Bushe. Že z videa chce pistatel něco vyvozovat, je už jenom dobrý pro téma dalších dílů seriálu.
PC fungují bezchybně, tj. podle programu. Nic si nepřidají a nic neuberou (narozdíl od lidí ve volební komisi).
Vazne? :-)
"The central finding of this investigation is that manually counted paper ballots have the
lowest average incidence of spoiled, uncounted, and unmarked ballots, followed closely by lever machines and optically scanned ballots. Punchcard methods and systems using direct recording electronic devices (DREs) had significantly higher average rates of spoiled, uncounted, and unmarked ballots than any of the other systems.
Pramen: Caltech/MIT Voting Technology Project, Residual Votes Attributable to Technology: An Assessment of the Reliability of Existing Voting Equipment
ad Jakub Moc : Vy jste protestant ?
Ad KV: Obavam se, ze vase myslenka zustala nepochopena, pripadne ze jste vyslovit vubec zadnou myslenku k tematu ve vasem predchozim komentari nezamyslel? Jinak jsem ateista, pokud je to ten spravny vyraz.
Jsem se ptal proto, že protestanté věří ve svatost (pro vás to zjednoduším na pojem pravdivost) Bible, které nadřazují logice věci (např. přírodní zákony nebo matematická výroková logika), a proto mají problém v Genesis s evolucí.
Jinými slovy podle mě vaše citace není dostatečným argumentem proti současnému poznání. Buď tedy přejdeme na protestantský (nebo islámský) web a budeme se mlátit citacemi nebo se přidržíme ověřitelného faktu, že lze udělat takový program,který bude bezchybný. Dokonce nalezneme několik důkazů v SW sektoru o tom, že nejde už jenom o axoim.
Ještě jednodušeji. Pokud napíše někdo špatnou smlouvu neznamená to, že nelze napsat dobrou. Pokud tedy někdo někde udělal špantej program, neznamená to, že ......
Koukám, že naroubováním informatických komentářů na právní blog vzniká něco opravdu jedinečného.
Mně tedy připadá "protestantský" v naznačeném smyslu naopak přístup p. Výborného.
A abych byl trochu více ontopic, jsem proti volbám po internetu ze dvou důvodů: 1. možnost kupování hlasů 2. nutnost čtvrthodinové vycházky k urně se mi jeví jako ideální "regulační poplatek" zajišťující, že volební právo bude vykonáváno zodpovědně.
Jsem se ptal proto, že protestanté věří ve svatost (pro vás to zjednoduším na pojem pravdivost) Bible, které nadřazují logice věci
Obavam se, ze jste presne nepochopil onen odkaz na Bibli a rozdil mezi protestanty a katoliky - pro blizsi vysvetleni viz sola scriptura. Timto koncim off-topic debatu.
nebo se přidržíme ověřitelného faktu, že lze udělat takový program,který bude bezchybný. Dokonce nalezneme několik důkazů v SW sektoru o tom, že nejde už jenom o axoim.
Ale ty konkretni dukazy nam asi neposkytnete, ze? A specialne pro vas, ne, aplikace typu "hello world" se vazne nepocita. :-P
Mimochodem, kazda aplikace bezi pod nejakym operacnim systemem. Bezchybny operacni system hledam marne jiz zhruba 15 let, zatim se nezdarilo...
ad kupování hlasů : Komunisté to zvládli celkem hezky i bez PC.
ad zvážení volby : viz. volby 1946-1989, příp. prakticky všechny současné volby v zemi Huga Ch.
Tuším, že v tom nebude mezi způsoby volby rozdílu.
K Sola Scriptura : v čem jsem nepochopil váš nefunkční odkaz ? Princip inteligentního designu je ukázkou podobného myšlení, kdy citace je víc než prokazatelná skutečnost a na této citaci se staví protestantská teorie. Vy argumentujete citací. Až najdu jinou (opačnou) citaci, budu mít pravdu ?
K SW: Uvedl jsem příklad z bankovního sektoru (např. Erste/KBC/Banco Santander), kde SW běží pod různými OS.
K Sola Scriptura : v čem jsem nepochopil váš nefunkční odkaz ?
Odkaz je bez problemu funkcni, patrne bude problem ve vasem internetovem prohlizeci, coz je ovsem divne - vzdyt je to "seznam příkazů, který je obecně a veřejně kontrolovatelný". ;-) Kde udelali soudruzi z NDR chybu?
citace je víc než prokazatelná skutečnost a na této citaci se staví protestantská teorie. Vy argumentujete citací. Až najdu jinou (opačnou) citaci, budu mít pravdu ?
Obavam se, ze jste stale nepochopil, o co jde. Narozdil od katoliku protestante povazuji za jediny, dokonaly a vycerpavajici zdroj pravdy o Bohu Bibli (norma normujici) a odmitaji cirkevni tradice (norma normovana) jakozto dalsi zdroj teto pravdy. S rozpory mezi Bibli a logikou/vedeckym poznanim sveta to nema absolutne nic spolecneho. Analogicky napr. iuspositivismus vs. iusnaturalismus.
K SW: Uvedl jsem příklad z bankovního sektoru (např. Erste/KBC/Banco Santander), kde SW běží pod různými OS.
Konkretni priklad hledam bohuzel stale marne, a je mi jasne, ze nadale marne hledat budu. Ktereze jsou to ty konkretni bezchybne aplikace a bezchybne operacni systemy? Vsude sama mlha...
Jiz jsme tuto diskusi zamorili dost, takze ja koncim.
a) Proč jste Solu Scripuru vymezil vůči katolíkům ? Protestanská teologie sama se už od Tridentu od kat. teologie neodvozuje a nakonec už má paradoxně svou vlastní tradici. Já psal o její nesmyslné vaší aplikaci při dokazování pravdivosti tvrzení. Ve věci ID to je právě věc kruciální. Pokud budete trvat na tom, že se chybovost systému zjištuje ze soudního rozhodnutí, tak se nedohodneme.
b) Váš odkaz je nefunkční. Co myslíte, lze zjistit, proč nefunguje ? :-)
c) to chcete, abych vám napsal jednotlivé názvy netbankingu ? např. : https://www.gruposantander.es/bog/sbi
Ad a/ Soudni rozhodnuti je zalozeno na dukazech. Jednim z techto dukazu je prave ona citovana studie Caltech/MIT, metodika je v ni podrobne popsana, takze mozna by nezaskodilo si ji precist.
Ad b/ Asi jste si to tady spletl s technickou podporou, budete se muset obratit jinam.
Ad c/ Netbanking ma byt prikladem one "bezchybne aplikace"? To myslite jako fakt vazne? Aplikace, jejiz klientska cast zavisi na notoricky deravych prohlizecich bezicich v notoricky deravem operacnim systemu, ktery navic muze byt zavirovany? Co se tyce serverove casti, OpenSolaris bugzilla, IBM HTTP server je jen mirne upraveny Apache webserver. V obojim je pochopitelne chyb jako maku. Samotne rozhrani onoho internetoveho bankovnictvi hodnotit nemohu, nebot jaksi nemam konto u prislusne banky, nicmene vyse uvedene uplne postaci k vyvraceni naivnich predstav o tom, jak je neco bezchybne.
To, ze vy si elektronicke volby predstavujete jako idealni bezchybnou aplikaci bezici patrne ve vakuu opravdu neni dostacujicim duvodem k tomu, abychom se zbavili kontrolovatelnosti a overitelnosti vysledku a procesu hlasovani.
ad soudní rozhodnutí : my se bavíme o důkazech při soudních rozhodnutích ? Zpochybňoval jsem vaše zdůvodňování vašeho tvrzení.
ad link : to byla narážka na to, že lze nefunkčnost SW zjistit stejně jako zjistíte, že volební urně chybí dno.
ad netbanking : v tom se neshodneme. Linux se na vás těžce podepsal :-) Podle vaší teorie by neměly jezdit vlaky, protože by mohly přijet pozdě.
Zpochybňoval jsem vaše zdůvodňování vašeho tvrzení.
Aha, takze kdyz nekdo odkaze na podporu sveho tvrzeni na obsahlou studii renomovane univerzity, tak je to pochybne a spatne, zatimco kdyz nekdo jen tak nepodlozene obecne placa a sva tvrzeni neni pres opakovane vyzvy schopen podporit zadnymi konkretnimi argumenty, tak to je v poradku. To vse obalene perlami jako "vaše citace není dostatečným argumentem proti současnému poznání.". Pane Vyborny, timto stylem debatu opravdu dal nepovedu, to nikam nevede.
lze nefunkčnost SW zjistit stejně jako zjistíte, že volební urně chybí dno.
Cetl jste vubec onen clanek, ke kteremu je zde diskuse? Konkretne tu cast, kde rozsudek pozaduje, aby byly "přezkoumatelné všechny podstatné kroky volebního rozhodování a zpracování výsledků způsobem, který je spolehlivý a nevyžaduje žádné zvláštní znalosti. Ani vy sam si nemyslite, ze najit chybu (neumyslnou ci dokonce zamernou) v aplikaci (nedejboze closed source) je stejne snadne jako vzit proste volebni listky a rucne je zkontrolovat a prepocitat.
Podle vaší teorie by neměly jezdit vlaky, protože by mohly přijet pozdě.
Podle jake moji teorie? Zadnou teorii jsem tady nevytvoril, pozadoval jsem, abyste uvedl konkretni priklady onech vami tvrzenych bezchybnych programu, nacez jste mi sdelil, ze bezchybnym softwarem je jakysi obecny "netbanking". Kdyz vam toto tvrzeni vyvratim, tak tady misto konkretnich argumentu zase zacnete vytvaret off-topic polemiky a nesmyslne analogie. To vas to nestacilo jednou s temi protestanty? Fakt me tenhle styl diskuse nebavi.
To se nedivím. Vy už máte studii a soudní rozhodnutí a to berete jako studnici pravdy. Jsem říkal,že sola scriptura je mimo diskusi, proto je nakonec tolik protestantských církví.
Ohledně chybovosti platí to, co jsem uvedl. Co na tom stále nechápete ? Narozdíl od soudního výroku si myslím, že je požadavek na laickou kontrolu z principu nesmyslný, že stačí, že ho může kvalifikovaná osoba zkontrolovat. Koukám, že jsem se dostali za se na začátek.
To se nedivím. Vy už máte studii a soudní rozhodnutí a to berete jako studnici pravdy.
Zatimco vy nemate nic a kdyz vam nekdo oponuje, tak zasadne zadne konkretni protiargumenty, studie ani cokoliv podobneho neuvedete, vy proste rikate opak a tak to tak musi byt, tecka hotovo dvacet. Pripadny oponent je pak ve vasich ocich nesvepravny jedinec mdleho rozumu.
Ohledně chybovosti platí to, co jsem uvedl. Co na tom stále nechápete ?
Vy jste krom sveho nicim nepodlozeneho (a mnou vyvraceneho) tvrzeni neuvedl zhola nic. Vyvratte mi vysledky te studie uvedenim prinejmensim stejne duveryhodnych podkladu, ktere dokazuji opak, pak se muzeme bavit dal.
Narozdíl od soudního výroku si myslím, že je požadavek na laickou kontrolu z principu nesmyslný, že stačí, že ho může kvalifikovaná osoba zkontrolovat.
Stale marne cekam na to, jakym konkretnim zpusobem byste to overovani prubehu a vysledku voleb chtel presne zajistit, kdyz papir tak zasadne odmitate. Vy mate svoje data v pocitaci, a tim to konci. Jak konkretne chcete overit, ze jsou ta data spravna a odpovidaji tomu, jak volic hlasoval? Ta data nemuseji byt vadna jen proto, ze by byla chyba v aplikaci (na kterou stejne ona vase "kvalifikovana osoba" nemusi prijit, kdyz na ni neprisli sami vyvojari) - ona mohou byt vadna v dusledku (docasne/nahodne) chyby hardwaru, chyby v ovladaci zarizeni, chyby v operacnim systemu nebo z desitek dalsich duvodu. Jak to chcete konkretne overit, kdyz nic jineho nez ten pocitac a data v nem nemate?
Jako databázista, vývojář a konzultant v oboru, pracující na velkých podnikových i státních databázích bych se rád nejprve sdílel o svém pocitu, že období software odladěného tak, aby byl bezchybný skončilo někdy začátkem 90.let zavedením paralelního a pseudoparalelního programování. Od vzniku event-driven programování se do software dostal prvek časové souvislosti mezi (pseudo)paralelně běžícími procesy, a složitost tak překročila míru lidské schopnosti exaktně přesně software pochopit a odladit. Ale o tohle až tak nejde. Jde o dva typy chyb, které mohou vzniknout a se kterými se na projektech setkávám dnes a denně.
Jeden typ chyby lze nazvat nedomyšlenost. Možná tímto způsobem při některém přechodu dat mezi systémy přišel kamarád o záznam v evidenci ŘP. Policisté ho na ulici zadrželi a nechali si ho 24h v cele, než ověřili, že doklad není fyzicky padělán. A pak ještě dlouhé měsíce trvalo, než někde v okrese našli (naštěstí) papírovou kopii karty řidiče, jinak by dělal zkoušky znovu.
Druhý typ je záměrná chyba experta. V každém systému budou části, které budou i přes veškeré testování one-man-show a možná i já bych dokázal napsat kód tak, že by dělal něco, co by 95% odborné veřejnosti nepostřehlo. A tato vlastnost se může projevit až na určité konfiguraci systému, při dostatečně velkém (= reálném) vzorku dat atd. Normálně je řešení především loajalita zaměstnance a jeho vnitřní integrita. Ale tam jde "jen o peníze", politika je o něčem jiném. (V roce 1990 se v prvnívh volbách v jednom esenbáckém okrsku pokusil jeden jinak docela rozumný člověk stopit asi desítky komunistických hlasů, když viděl, že mají kolem 60% hlasů. Myslel, že je to v celé republice... Předpokládám, že odešel s podmínkou...)
Proto bych se také klonil k papírové verifikaci.
Kromě toho, elektronické volby z domova popírají základní fakt, že volby jsou SVÁTEK demokracie. Je to stejné, jako když si dáte pivo a v trenkách si pustíte film doma, nebo na něj jdete s rodinou do kina...
Karel Vážný
To dnes a denně je pouze k tomu prvnímu typu chyby... Podvody dnes a denně nevidím, ale často si jejich vrátka s kolegy uvědomujeme...
Karel Vážný
Zajímavé pojednání o elektronických volbách v americkém kontextu obsahuje monografie Alvarez-Hall: Electronic Elections. The Perils and Promise of Electronic Democracy, Princeton Univ. Press, 2008. jsou tam aspekty technicke, právní i politické. Z hlediska těch posledních autoři vidí potenciální přínos, i když je z celé knihy vidět, jak moc to závisí na technické realizaci, která prakticky nikdy nebyla dodržena. Aspekt přezkoumání z právního hlediska je tam na řadě míst pojednán v podobném duchu, jako to pojal německý ústavní soud. Přidávají k tomu ještě otázku důvěryhodnosti výsledku voleb, při které osobní lidská přítomnost ve volebních komisích vytváří distribuované vědomí korektnosti průběhu voleb, které se ztrácí v okamžiku, kdy je věc svěřena stroji bez možnosti "nahlédnout" obsah té činnosti. Měl jsem z toho dojem, že autoři speciálně vyzdvihují otázku potřeby voleb dojít v konečném čase k důvěryhodnému a jasnému výsledku, přičemž selhání může vést v zemi typu Spojených států k potenciálně ničivým důsledkům. Vycházel mi z toho závěr, že je relativně bezpečné nechat elektronické halsování v malých celcích, kde se "o moc" nejedná, například v municipálních nebo okresních volbách, kde z povahy věci občanská válka jako výsledek vážně zpochybněných voleb nehrozí (nebo je snadno zastavitelná zásahem zvenčí).
Opatřní typu systémů na bázi otevřeného zdrojového kódu nejsou dostatečná; hlavní problémy právní i politologické však vytváří způsob technické realizace systému, přes který se hlasuje. Z analýzy velkých amerických elektronických hlasování v Michiganu a Ohiu vyplývají docela zásadní problémy (Balzarotti et al.: Are Your Votes Really Counted? Testing the Security of Real-world Electronic Voting Systems, 2008), následující jsou skutečně zjištěné problémy a nutná opatřená, která dělána v reálu nebyla:
Špatná integrace ohrožuje bezpečnost. Systém složený z částí od různých dodavatelů nemá ani společný návrh ani koherentní strukturu. Užívají se různé jazyku, vlastní datové struktury, celková analýza systému a toku dat se stává prakticky nemožnou.
-> Použití části kódu z jiného systému musí být spojeno s analýzou celého systému.
Kryptografie se s obtížemi používá správně. Užití kryptografie je často jen naivní, špatné nebo žádné. Existují systémy se správným užitím silné kryptografie, nicméně si ukládají klíč do vlastních datových struktur. Často chybí zakódování všech dat z průběhu volby.
-> Promyšlené užití kryptografických technik je podmínkou, zabezpečeny musí být i klíče.
Neopodstatněné předpoklady o důvěryhodnosti dat ohrožují bezpečnost. Prakticky užívané systémy vesměs činí předpoklady o důvěryhodnosti některých zdrojů dat, například se užijí jen kontrolní součty, nikoli elektronický podpis. Data od různých komponent systému často nejsou testována na hraniční situace.
-> Bezpečný hlasovací systém nesmí nikde činist předpoklady o důvěryhodnosti dat bez vyčerpávající kontroly všech vstupů.
Současné certifikace a standardy nestačí. Dnes užívané standardy nejsou dostatečně orientovány na bezpečnost, resp. nestačí jen výčtová kontrola splnění jejich požadavků.Konkrétní případy se týkají přetečení vyrovnávacích pamětí – standard sice předepíše kontrolu před každým zápisem, nezaručí však korektnost této kontroly.
-> Hlasovací systémy vyžadují důkladnější bezpečnostní analýzu, než je v současné době standardně dělaná.
Vestavěné testování dává klamný pocit bezpečnosti. Testování správnosti se opírá o testovací mód systému, který však nelze použít během faktické činnosti. Tím že systém ví o tom, že jede v testovacím módu, se kód, který ho napadl, může účelově deaktivovat.
-> Testování logiky činnosti i přesnosti musí vyloučit, že by software nebo firmware měl dostupnou informaci o tom, že systém funguje v testovacím módu.
Hlasovací procedury podceňují vynalézavost protivníků/narušitelů. Bezpečnost často závisí na konkrétní proceduře užití systému. Fyzické zabezpečení je však často možné překonat. Dodavatelé často nechápou, že zabudovaná vnitřní bezpečnost je spolehlivější, než předpoklady o způsobu použití.
-> Procedury nebo konkrétní způsob užití nemohou být nikdy složkou bezpečnosti systému. Každá komponenta systému musí mít vlastní zabezpečení nezávislé na způsobu užití.
V národních volbách v Estonsku v březnu 2007 hlasovalo přes internet pouhých 5,7 procenta hlasujících - potřebné náklady na těch 30 tisíc hlasů by podle mého soudu byly neospravedlnitelé, pokud by již dávno před tím nebyl každý Estonec povinně vybaven obecně užívanou elektronickou identifikací nahrazující různé průkazy a sloužící i pro elektronický podpis. Zajímavostí tam bylo vcelku rozvnoměrné rozložení elektronicky hlasujících přes různé skupiny a věk voličů, hlasovalo se ve třech dnech 26.-28.2., ve kterých přišlo postupně 12907, 9421 a 8736 hlasů. Největší špičková zátěž přišla v poslední hodině, což by při větším celkovém počtu hlasujících mohlo při nedokonale realizovaném systému udělat docela problém. (http://www.vvk.ee/english/Ivoting%20comparison%202005_2007.pdf)
Další literatura včetně různých názorů je zde : http://en.wikipedia.org/wiki/Electronic_voting#References
Praxe bude asi opačná, země jako USA, Čína nebo Indie sáhnou po PC z důvodu praktičnosti.
Okomentovat