BLOG

Aktualizovaná verzia, ktorá obsahuje aj návrh toho ako by malo vyzerať bezpečnejšie sčítanie ako je teraz.

Dnes som si prečítal viacero článkov týkajúce sa toho ako sa môže veľmi ľahko stať, že najbližšie sčítanie obyvateľstva nebude anonymné – (NE)Anonymita sčítania ľudu 2011, Vylepšené praktiky ŠtB – sčítanie obyvateľov, domov a bytov 2011.

Podľa oficiálneho vyjadrenia ide o anonymné sčítanie.

Každý človek na základe svojho mena a dátumu narodenia dostane formulár s unikátnym identifikačným kódom, ktorý v prípade elektronického hlasovania používa ako login, v prípade papierového hlasovanie sa tento identifikačný kód lepí na samotný sčítací formulár.

Vzhľadom k tomu, že človek dostane obálku s daným identifikačným kódom na svoju adresu (ktorý musí ďalej použiť minimálne v prípade elektronického hlasovania ako svoj login), logicky nejde o anonymné hlasovanie – štát dokáže prirodzene každý identifikačný kód jednoducho spárovať s daným menom človeka a jeho presnou adresou (a udržiavať si vlastnú databázu všetkých občanov vs. ich náhodný pridelený identifikátor). Súčasne dokáže jednoducho spárovať všetky Vaše údaje, ktoré uvediete v samotnom sčítacom formulári s Vašou konkrétnou osobou. Tomu, že to štát nerobí môžete alebo nemusíte veriť (minimálne takú možnosť má).

Nakoľko štátu ide o agregované štatistiky (nie o konkrétne údaje konkrétneho občana), popíšem jednoduchý spôsob ako dosiahnuť vyšší stupeň anonymity a znemožniť prípadné neželané korelácie medzi Vašou osobu a tým, čo ste do sčítacieho formuláru uviedli:

1. Vytvorí sa veľká databáza všetkých jedinečných identifikátorov (ktoré sa používajú ako login pri registráci pri elektronickom sčítaní) – samozrejme uvedená databáza bude mimo kontrolu štátu (napríklad bude v správe nejakej transparentnej dôveryhodnej organizácie). Každý, kto sa bude chcieť zúčastniť elektronického sčítania, len do nej prispeje svojim prideleným identifikátorom a takto sa samotná databáza naplní.

2. Webová aplikácia potom každému používateľovi len pridelí platný identifikátor nejakého náhodného človeka, ktorý svoj identifikátor do databázy pridal a označí si, že daný identifikátor bol už použitý (a už ho pridelovať nebude, aby nenastávali duplicity). V rámci paranoie je možné k uvedenej aplikácii pristupovať anonymne (napríklad cez TOR).

Slovensky povedané – aplikácia dané identifikátory osôb len náhodne premieša.

Čo sa týka technických detailov, tak by to mohlo fungovať napríklad takto:

1. Do nejakého dátumu/času (napríklad deň pred oficiálnym sčítaním) sa bude len plniť databáza. Každý bude môcť zadať svoj identifikátor, ktorý oficiálne obdržal poštou.

2. Od tohto dátumu/času bude možne dodatočné plnenie databázy ako už aj prideľovanie náhodného identifikátora každému, kto zadal do systému svoj pôvodný pridelený identifikátor. Pričom prideľovanie náhodného identifikátora bude fungovať spôsobom, že používateľ zadá svoj pôvodný identifikátor, ktorý zadal v kroku č.1 (tým sa vlastne autentifikuje) a na oplátku mu aplikácia automaticky pridelí platný identifikátor náhodne vybraného človeka. Súčasne si aplikácia zaznačí, že daný identifikátor bol už použitý (a ďalej ho neprideľuje) ako aj súčasne znemožní opakované prihlásenie používateľa použitím svojho pôvodného identifikátora (nakoľko mu k nemu už bol pridelený príslušný náhodny identifikátor).

Samozrejme, že systém nie je nijako chránený voči viacnásobnému vkladaniu neplatných identifikátorov – vďaka nim bude môcť ktokoľvek získať aj ďalšie platné identifikátory.

Toto je ale riziko, ktorí používatelia tohto “anonymného” systému jednoducho musia akceptovať. Nejde o Internet banking, ani nič kritické, tak myslím, že veľa ľudí s tým nebude mať problém.
Nesporné výhody tohto systému:

1. Nakoľko pri sčítaní použijete identifikátor náhodného človeka (napríklad Jožka Mrkvičku z Hornej dolnej) a naopak Váš identifikátor použije niekto úplne iný o kom neviete, tak úplne znemožníte pofidérne (aj ked stále nepotvrdené) korelácie ohrozujúce súkromie občanov.

2. Nakoľko každý vyplní adekvátne údaje potrebné pri sčítaní (len pod iným identifikátorom), celkové agregované štatistiky by sa nijako nemali zmeniť (a súčasne hlasovanie bude podstatne viac anonymné). Je možné protiargumentovať, že ľudia, ktorí budú hlasovať pod iným identifikátorom ako svojim, tak budú viac inklinovat k poskytovaniu nesprávnych údajov – toto je v princípe možné už aj teraz (v prípade množstva vypĺňaných údajov), keď si s nikým svoj identifikátor nevymeníte (inými slovami – ak chce niekto mariť sčítanie, tak ho bude mariť už aj teraz).

3. Štatistici prehlasujú, že ide o anonymné sčítanie, citujem zo stránky Štatistického Úradu Sčítanie po prvý krát aj elektronicky:

Sčítať sa elektronicky umožní tzv. identifikátor. Pôjde o bezvýznamové, náhodne vygenerované číslo, ktoré každej osobe doručí sčítací komisár spolu s overovacím heslom.

Logicky predpokladám, že bezvýznamové, náhodne vygenerované čísla si môžem s kýmkoľvek vymeniť a štátu by uvedená výmena nemala nijako vadiť (a ak mu bude vadiť, tak niekde je problém, napríklad v tom, že štát zbiera osobné údaje o ľudoch, ktorí sa zúčastnia daného hlasovania).

4. Elektronické hlasovanie po náhodnom  zmiešaní identifikátorov bude normálne všetkým fungovať, nakoľko budete uvádzať vždy validný identifikátor (nie síce svoj, ale náhodne vybranej osoby).

Samozrejme, že v tomto systéme je veľké množstvo bezpečnostných problémov – čo ak niekto bude do databázy zadávať nevalidné identifikátory, používať ich viackrát atď.

Úplne uznávam, že je tam množstvo potencialných problémov, takmer všetky sa dajú odstrániť tým ak celá výmena vzájomných identifikátorov bude v rámci nejakej komunity, ktorá si navzájom verí a nebude podvádzať (kamaráti, firma apod), aj ked to samozrejme istým spôsobom bude na úkor anonymity (ale určite to bude lepšie ako je to teraz).

Vzhľadom k tomu, že v prípade sčítania nejde o život a anonymita pri sčítaní je pre množstvo ľudí dôležitejšia ako spoľahlivé, za to ale neanonymné hlasovanie, myslím si, že veľa ľudí bude preferovať popisovaný anonymný systém náhodnej výmeny identifikátorov aj so všetkými jeho prípadnými rizikami.

Anonymné agregované štatistiky sú obzvlásť dôležité, ak štatistický úrad chce uvedené informácie predávať tretím stranám, čo momentálne môže, citujem:

§ 31

Poskytovanie štatistických informácií

…

(3) Okrem prípadov uvedených v odseku 1 a 2 je úrad oprávnený poskytovať štatistické informácie získané štatistickým zisťovaním za cenu dohodnutú v súlade s cenovými predpismi, a to každému, kto o ne požiada.

Bohužiaľ súčasný systém nie je navrhnutý tak, aby poskytoval zaručene anonymné agregované štatistiky.

Návrh bezpečnejšej verzie sčítania:

Štatistický úrad argumentuje, že potrebujú unikátny identifikátor práve na to, aby znemožnili duplicitné hlasovanie tým istým človekom, čo je pochopiteľné špeciálne v prípade elektronického sčítania.

Ak by tie hárky distribuovali nasledujúcim spôsobom, tak je to podľa mňa určite bezpečnejšie ako je to teraz:

1. Občan si môže vyzdvihnúť sčítací hárok na ľubovoľnom pridelenom mieste (napríklad na miestnom, či obecnom úrade v ľubovoľnom slovenskom meste). Ak si nemôže, tak požiada o to sčítacieho komisára.

2. Občan sa preukáže svojim občianskym preukazom alebo pasom, dotyčný úrad (alebo komisár) si len zaznačí, že daný človek si už vyzdvihol sčítací hárok (a teda vie, že mu ho už nemôže vydať druhýkrát). Na toto overenie si stačí zaznačiť len hash tohto človeka.

3. Občan obdrží od úradu kompletne zapečatenú neotvorenú obálku s unikátnym identifikátorom. Úrad nemá ako tento identifikátor odhaliť, nakoľko je uložený v zapečatenej obálke (ktoré sú distribuované na jednotlivé úrady). Nedokáže teda nijako zasociovať hodnotu tohto identifiktáora s človekom, ktorý si daný sčítací hárok práve vyzdvihol.
Samozrejme podmienka musí byť, aby všetky úrady / komisári boli online a okamžite zdieľali informácie o tom, že niekomu už bol vydaný daný harok alebo nie.