Rozwiązania tego typu powinny oferować te funkcje bez konieczności zawierzania stronie trzeciej np. w procesie wprowadzania danych, czy firmie implementującej rozwiązanie, jak ma to miejsce w stosowanych obecnie systemach (estońskim, szwajcarskim, amerykańczkim czy holenderskim). Sam proces wdrożenia musi wiązać się z edukacją wyborców. Systemy elektroniczne powinny również zapewnić możliwość wglądu i audytowalność na poziomie zbliżonym do dotychczasowych procedur wyborczych. "Bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości oprogramowania, sprzętu, określonej osoby lub grupy osób" - uważa prof. Mirosław Kutyłowski i jego współpracownik Filip Zagórski. W przeciwnym razie pojawia się ryzyko fałszerstwa głosów lub wyników w komisjach, a więc na etapie zbierania głosów, a także infekcji komputerów wyborców "złośliwym kodem" lub wbudowania mechanizmów tzw. malicious cryptography, które pozwoliłoby atakującemu na kontrolę działań podejmowanych na komputerze. Umożliwiałoby to fałszerstwo nie do wykrycia zarówno z punktu widzenia głosującego, jak i organów powołanych do kontroli. Zabezpieczenie przed taką ewentualnością oznaczałoby konieczność audytu kodu źródłowego systemu, kompilatora, wykorzystywanych bibliotek i systemów operacyjnych. W praktyce jest to niewykonalne.

"System wyborczy powinien funkcjonować w sposób prawidłowy, nawet gdy poszczególne komponenty starają się działać lub działają w sposób nieuczciwy, a wszelkie nieuczciwe i nieprawidłowe działanie powinno być łatwo wykrywalne" - mówią przedstawiciele Politechniki Wrocławskiej. "Rozwiązanie musi opierać się na założeniu, że każdy komponent systemu może być nieuczciwy, a każdy przypadek nieuczciwości wychodzi na jaw ze znaczącym prawdopodobieństwem" - dodają. Oznacza to konieczność pogodzenia ze sobą sprzecznych na pierwszy rzut oka wymagań funkcjonalnych, np. weryfikowalność z tajnością, a więc stworzenia mechanizmu, w którym komputer "nie wie", co wybrał wyborca, a sam wyborca nie może tego udowodnić.

System powinien również uniemożliwiać uzyskanie informacji o tym, jak kto głosował (poza informacjami wynikającymi wprost z wyników), a także udowodnienie przez wyborcę jak głosował. Tylko w ten sposób można zapobiec sprzedaży głosów. System powinien również zapewniać weryfikowalność wyników, zwłaszcza sprawdzenie, czy wynik ogłoszony i wynik rzeczywisty są takie same. Zdaniem ekspertów Dagsuhl Accord, tych rygorystycznych wymogów nie spełnia żaden z opracowanych do tej pory systemów. Ani jeden z rozlicznych systemów do głosowania elektronicznie - przy pomocy maszyn ustawionych w lokalach wyborczych, znany np. z niektórych hrabstw w Stanach Zjednoczonych, czy głośny, oparty na podpisie elektronicznym, system estoński - nie daje gwarancji ochrony przed wszystkimi znanymi zagrożeniami, m.in. takimi jak atak na komputery czy komunikację. Problemem pozostaje także możliwość wpływu na rozproszonych wyborców.

System estoński, co prawda, spełnia część wytycznych stawianych przed tego typu rozwiązaniami. Zapewnia asymetryczny sposób zaszyfrowania kluczem publicznym komisji wyborczej i odszyfrowania prywatnym (tajnym) kluczem komisji wyborczej. Pozwala wyborcy na unieważnienie głosu, przekazanego przez Internet i głosowanie metodą tradycyjną, co zapobiega sprzedaży głosów online. Specjaliści a także komisja OBWE, która oceniała przebieg ostatnich wyborów, zwrócili jednak uwagę, że system nie daje użytkownikom pełnej kontroli nad tym, co zakodował komputer. Nadmierne uprawnienia mają natomiast komisje wyborcze, które przy dużym wysiłku mogą odtworzyć wyniki głosowania.

O krok bliżej

Być może zamiast doświadczeń estońskich już wkrótce będziemy mogli pochwalić się własnym rozwiązaniem do głosowania przez Internet. Na etapie weryfikacji jest koncepcja opracowywana przez prof. Mirosława Kutyłowskiego i Filipa Zagórskiego z Politechniki Wrocławskiej. Dzięki przyjętemu modelowi matematyczno-kryptograficznemu, rozwiązanie gwarantuje bezpieczeństwo procesu oddawania głosu oraz całkowitą poufność danych. W szczególności uniemożliwia powiązanie informacji o decyzjach podjętych przez pojedynczych wyborców organom odpowiedzialnym za zbieranie głosów. Równocześnie daje wyborcom możliwość weryfikacji, czy oddany przez nich głos został zarejestrowany poprawnie. To novum w stosunku do stanu obecnego.

"W tradycyjnych wyborach sprawdzenie, czy nasz głos został zarejestrowany poprawnie jest niemożliwe i jeśli nie zabierzemy ze sobą karty do głosowania - której brak komisja powinna odnotować - nie mamy pewności, że nasz głos został sprawdzony" - mówi Szymon Kogut, wiceprezes stowarzyszenia Polska Młodych, działającego na rzecz upowszechnienia wyborów elektronicznych. Co więcej, nowa metoda pozwala wyborcom na udowodnienie, w sposób nie pozostawiający wątpliwości, ewentualnych manipulacji podejmowanych przez organy odpowiedzialne za zbieranie głosów. Oprócz samego głosu do komisji wyborczej przesyłane są kody kontrolne nieodróżnialne od głosów. W sytuacji, w której komisja dopuszcza się manipulacji podczas dekodowania, wyborca może po prostu ujawnić swój unikalny, złożony kod kontrolny.

Całe rozwiązanie zaledwie w nieznacznym stopniu modyfikuje obecny kształt systemu wyborczego. Najważniejszą zmianą jest rozszerzenie charakteru zaangażowania komitetów wyborczych w weryfikację oddanych głosów. Nawet ta unikalna koncepcja nie rozwiązuje jednak problemów związanych z autentykacją i autoryzacją wyborców, które wobec "ułomności" bazy PESEL są kluczowe dla powodzenia takiego projektu. Jeśli zatem metoda opracowana przez naukowców z Politechniki Wrocławskiej zostanie pozytywnie zweryfikowana, będziemy o krok bliżej do możliwości głosowania przez Internet. Wciąż jednak tylko jeden krok bliżej.