Wybory, wybory i po wyborach, a tematem, który znowu pojawił się na tapecie, jest wprowadzenie systemu do głosowania elektronicznego. Jak zwykle w internetach największymi zwolennikami są „eksperci od programowania”. W dupie byli, gówno widzieli, a kombinację AI i blockchain traktują jako remedium na wszelkie problemy. Swoistą kombinację srebrnej kuli wbijanej złotym młotkiem. Dziś popatrzymy, co można zrobić i dlaczego ten pomysł jest słaby.

Chwila teorii

W ogólności wybory, w których uczestniczymy czy to do parlamentu, czy to na Prezydenta, czy to samorządowe, są pięcioprzymiotnikowe:

  • Powszechne – każdy obywatel, który nie jest pozbawiony prawa wyborczego lub ubezwłasnowolniony, oraz jest w odpowiednim wieku, może głosować.
  • Proporcjonalne – w przypadku wyborów do zgromadzeń, każdy komitet wyborczy otrzymuje liczbę mandatów proporcjonalną do otrzymanych głosów.
  • Równe – każdy głosujący może oddać jeden głos.
  • Bezpośrednie – każdy uprawniony głosuje osobiście.
  • Tajne – karty do głosowania nie można przypisać do wyborcy.

Jak zapewne zauważyłeś, kolejność jest trochę inna niż ta, o której mówią na WOSie. Zrobiłem to specjalnie, ponieważ odwzorowuje ona „siłę” poszczególnych reguł, powszechny konsensus co do ich działania i przede wszystkim to jak ciężko je zrealizować w głosowaniu elektronicznym. Przyjrzyjmy się poszczególnym regułom.

Powszechność

Reguła ta określa, kto może głosować. Co do zasady głosować mogą wszyscy obywatele. I tu zaczyna się robić ciekawie. Po pierwsze nie we wszystkich wyborach głosują tylko obywatele. Przykładowo w wyborach samorządowych mogą głosować wszyscy mieszkańcy obywatele, jak i obcokrajowcy. Po drugie sprzeczne z tą regułą są wszelkiego rodzaju cenzusy. Jednak we współczesnym świecie przyjęto, że istnienie cenzusu wieku oraz cenzusu pełni władz umysłowych jest akceptowalnym odstępstwem. Osobnym aspektem jest pozbawienie praw publicznych wyrokiem sądu.

Z punktu widzenia głosowania elektronicznego jest to najprostsza do spełnienia reguła. Można przyjąć, że jeżeli masz dostęp do systemu e-nierząd, to można sprawdzić, czy masz prawo do głosowania. Szczegóły będą później.

Proporcjonalność

Na początek ważna uwaga. Nie ma dobrej ordynacji proporcjonalnej. Każda metoda liczenia głosów będzie faworyzowała w jakiś sposób tę czy inną grupę wyborców.

Reguła ta mówi, że komitet wyborczy otrzymuje liczbę mandatów proporcjonalną do otrzymanych głosów. Mamy tutaj dwa problemy. Po pierwsze na etapie przygotowawczym ordynacja wymaga zebrania określonej, minimalnej liczby głosów (podpisów) poparcia dla danej listy. To eliminuje z głosowania najmniejsze komitety. Drugim jest próg wyborczy, który eliminuje komitety ze zbyt niskim poparciem. Nie można odrzucić głosów oddanych na te komitety, więc należy je rozdysponować w jakiś sposób.

Jak wcześniej wspominałem, nie ma dobrej metody, która by pozwalała na uczciwy (cokolwiek to znaczy) podział. W przypadku e-głosowania możemy jednak pokusić się o wybranie metody, która jest żmudniejsza przy przeliczeniu. W końcu robi to za nas komputer.

Równość

Każdy głos wart tyle samo. W tym przypadku głównym problemem jest zapewnienie takiego podziału na okręgi wyborcze, żeby w każdym z nich mandat odpowiadał mniej więcej takiej samej liczbie głosów. Wydaje się to bardzo proste, ale w przypadku e-głosowania może okazać się znacznie bardziej skomplikowane. Wyborca nadal musi być przypisany do jakiegoś okręgu. Nadal okręg ten i kandydaci powinni w jakiś sposób być powiązani geograficznie. Reguła ta bardzo mocno przywiązuje nas do „reala” wyborów.

Bezpośredniość

Każdy głosuje samodzielnie. Znowuż niby coś prostego, ale nie do końca. Po pierwsze mamy możliwość głosowania przez pełnomocnika. Pomysł miał swoje korzenie gdzieś na styku prawa do oddania głosu, a możliwości zapewnienia głosowania. Gminy mają obowiązek zorganizować transport, ale nie zawsze obywatel może z niego skorzystać. Nie da się też zorganizować mobilnych komisji.

W świecie e-głosowania będzie to jeszcze trudniejsze do zapewnienia. Z kilku powodów. Chociażby związanych z rzeczywistą bezpośredniością. Obecnie w komisjach dba się o to, żeby każdy sam głosował. Co głosowanie spotykam się z sytuacją, gdzie członkowie komisji, dość dyskretnie i kulturalnie pacyfikują pary emerytów, w których jedno prosi drugie, by mu pomóc przy stawianiu krzyżyków. Ciekawie wygląda ten problem na tle statystyk z DPSów, które delikatnie rzecz ujmując, są statystycznie wątpliwe.

Tajność

Nie da się powiązać karty do głosowania z konkretnym wyborcą. W przypadku e-głosowania nie ma możliwości zapewnienia tajności głosowania. Dlaczego? Opowiem za chwilę. Ta reguła jest też najczęściej rozważana przez zwolenników e-głosowania, a pytani o to, jak zapewnić tajność wymyślają skomplikowane reguły, które zakładają, że nikt nie loguje zdarzeń, albo odwołują się do mantry, że wystarczy zrobić to open source. Nie, niestarczy. O tym też będzie dalej.

Teraz czas na krótką lekcję historii.

9 Symfonia Republiki Weimarskiej

W historii jest kilka „magicznych” liczb. Klub 27 jest chyba najbardziej znaną. 9 Symfonia oznacza zazwyczaj dzieło ukończone tuż przed śmiercią albo którego pisanie śmierć przerwała. Ładnie zjawisko to nazywa się Klątwą dziewiątej symfoniiW.

Dziewiąte i ostanie wybory w Republice Weimarskiej odbyły się 5 marca 1933r. W tym czasie krajem rządził już Adolf Hitler, a same wybory były ustawione. Dochodziło do licznych fałszerstw, a jeszcze przed wyborami aresztowano przeciwników NSDAP. Jednak nie o tym dzisiaj chcę opowiedzieć. Po wyborach nastąpiła druga fala aresztowań. Tym razem represje dotknęły nie działaczy, a zwykłych obywateli, którzy głosowali niezgodnie z myślą władzy. Pytanie, w jaki sposób identyfikowano wyborcę i wiązano go z daną kartą? Mechanizm był bardzo prosty. Karty znakowano za pomocą mleka. Praktycznie każda karta miała unikalny identyfikator i można ją było przypisać do wyborcy. Nie spotkałem się nigdzie z dokładnym opisem procedury, ale przypuszczam, że „w celach statystycznych” obok nazwiska osoby głosującej zapisywano kolejny numer. Karty były też kolejno numerowane, wyborcy o numerze N wydawano kartę o numerze N. Zapewne były też jakieś dodatkowe znaczniki. Metoda ta ma jednak pewną wadę. Jest czaso- i zasobochłonna. jednak w systemie totalitarnym, nie pieniądz jest ważny, a możliwość pozbycia się opozycji.

Dlaczego o tym piszę? Ponieważ w systemach e-głosowania identyfikacja karty I wyborcy wyklucza tajność. Zanim jednak przejdziemy do opisu takiego systemu, zobaczmy, w jaki sposób komputery mogą pomóc przy głosowaniu.

Komputery i wybory – co można zrobić?

Istnieje kilka „poziomów”, na których można wykorzystać komputery w czasie wyborów. Przyjrzyjmy sie zatem tym poziomom, a następnie przejdziemy do omówienia samych wyborów jako pewnego mechanizmu.

Komputerowe wsparcie procesów okołowyborczych

Czyli mniej więcej to, co mamy obecnie w Polsce. mObywatel pozwala na identyfikację wyborcy (e-dowód). PKW zbiera i publikuje dane w sieci w czasie rzeczywistym. Możemy też na bieżąco śledzić frekwencję.

Taki system ma też elementy niewidoczne dla wyborcy. Aktualizacja spisu wyborców jest obecnie dość sprawna. Pobieramy zaświadczenie o prawie do głosowania, a nasze nazwisko „magicznie” znika ze spisu. Można go też swobodnie rozszerzać. Elektroniczny spis wyborców, czy zaświadczenie w aplikacji mObywatel, to przykłady z naszego podwórka. Znacznie ciekawiej robi się w momencie, gdy chcemy zastosować bardziej złożone reguły ordynacji proporcjonalnej. Połączenie otwartoźródłowego oprogramowania z możliwością zliczania głosów na bieżąco pozwala na znacznie bardzie „sprawiedliwe” podejście do problemu proporcjonalności.

Jednak taki system ma wady. Wymaga stabilnego działania wielu komponentów. Pamiętacie fakap z 2014r, kiedy system wyborczy KBW po prostu przestał działać? Nie? Zmieńcie pamięć. Tak? A wiecie, że nikogo za to nie rozliczono? Na całe szczęście system jest „open source” i można sobie jego kawałek obejrzeć na githubie.

Komputerowe wsparcie głosowania

Na tym poziomie procedura oddawania głosu jest wspierana przez komputer. Możemy zrealizować ja na kilka sposobów. Dwa najpopularniejsze, które są używane w USA, to system łączący tradycyjną kartę do głosowania ze skanerem wyposażonym w OCR oraz system działający na zasadzie tablicy elektronicznej, który zlicza głosy, a wyborca otrzymuje wydruk – kartę ze swoimi wyborami. Dzięki czemu może zweryfikować działanie maszyny.

Trochę więcej w poniższym wideo:

Oczywiście i tutaj możemy rozszerzać system. Możemy zrezygnować z kart papierowych na rzecz karty elektronicznej. Możemy oczywiście zliczać głos w momencie oddania. W końcu taki system pozwala na policzenie i podsumowanie wyników w momencie zakończenia głosowania. Pojawiają się jednak nowe zagrożenia. Urządzenia będą znacznie bardziej podatne na ataki i zakłócenia. Musimy też zapewnić wyborcy możliwość weryfikacji oddanego głosu. To możemy zrobić jedynie poprzez karty papierowe. W dodatku każda nawet najmniejsza awaria urządzenia oznacza konieczność przełączenia całego systemu w tryb papierowy. A przecież mamy jeszcze cały zestaw problemów związanych z obsługą urządzeń przez osoby o niskich umiejętnościach cyfrowych. Nadal też potrzebujemy komisji wyborczych, które będą nadzorowały pracę maszyn.

Głosowanie przez internet

Mówiąc o e-głosowaniu mamy zazwyczaj na myśli właśnie głosowanie w całości realizowane w formie elektronicznej. System taki działa w Estonii i jest obiektem powszechnej krytyki. Sposób realizacji samego procesu głosowania może być jednak zaimplementowany na różne sposoby. Jednakże wszystkie mają podobne wady, a różnią się jedynie specyficznymi metodami pozwalającymi na naruszenie reguł wyborów. Większość problemów, które wskazują badacze, to problemy z bezpieczeństwem oprogramowania oraz weryfikowalnością głosu. Inaczej mówiąc, wyborca nie ma możliwości sprawdzenia, czy głos, który oddał na danego kandydata, został rzeczywiście zaliczony temu kandydatowi.

Jednak problemów jest więcej, ale najpierw przyjrzyjmy się tradycyjnej procedurze głosowania.

Głosowanie

Tradycyjna procedura głosowania może zostać podzielona na trzy części. Ważne jest, że każda z tych części jest niezależna od pozostałych. Jedynym czynnikiem, który je łączy jest kolejność. Przyjrzyjmy się tym elementom.

Identyfikacja i wydanie karty

Pierwszym etapem głosowania jest identyfikacja wyborcy oraz potwierdzenie jego prawa do głosowania. Ujmując to w języku bliższym IT mamy do czynienia z identyfikacją i autoryzacją. Nie ma tu elementu uwierzytelniania (ang. authentication), a jego rolę, pełni podpis na liście wyborców. Swoją drogą podpis ten powinien być weryfikowany przez osobę wydającą kartę, ale nie jest. Cóż to jest ból, ale jest jeszcze zdjęcie, a i sam dokument, którego używamy, jest całkiem nieźle zabezpieczony.

Następnie otrzymujemy kartę do głosowania. Karta powinna mieć pieczęć PKW i komisji, w której została wydana. Żeby to ładnie zadziałało, to pieczęć powinna być przystawiona w momencie wydania karty. W ten sposób karty niewydane nie mają pieczęci i nie można ich będzie policzyć (łatwo je zidentyfikować). Oczywiście komisje idą w uproszczenia i stemplują karty na zapas, ale pamiętajmy, że w czasie liczenia głosów weryfikuje się ilość kart wydanych z ilością wyjętych z urny. O tym później.

Najważniejsze jest jednak to, że karta nie ma żadnych znaków identyfikacyjnych. Żadnych numerów seryjnych, losowych itp. Jako że jest fizycznym bytem, to łatwo ją zidentyfikować, bo jest. I nie trzeba nic więcej. Nie ma więc możliwości powiązania karty z konkretnym wyborcą. Przy czym jak wspomniałem wcześniej, można znakować karty. Wymaga to znacznego nakładu środków.

Oddanie głosu

Drugi etap to oddanie głosu. Idziemy do „miejsca odosobnienia”, gdzie zaznaczamy odpowiednią kratkę, a następnie podchodzimy do urny i wrzucamy kartę.

Niby prosta czynność, ale skrywa w sobie dwa bardzo ważne elementy. Pierwszy to zapewnienie tajność. Punkt wyborczy powinien być zorganizowany w taki sposób, żeby nikt poza głosującym nie wiedział, na co oddał głos. Wychodzimy z kabiny, ze złożoną kartą i nikt nie wie, jak głosowaliśmy. Drugi element to weryfikowalność głosu. Jeżeli wrzucamy głos do urny, to mamy pewność, że karta, którą otrzymaliśmy i wypełniliśmy, jest tą samą kartą, która trafia do urny. Nie istnieje element, który mógłby zakłócić ten proces. Inaczej mówiąc, mamy pewność, że nasz głos nie będzie zmodyfikowany, a nad jego prawidłowym policzeniem czuwają obserwatorzy.

Zliczanie głosów i ogłoszenie wyników

Trzeci i ostatni etap to zliczanie głosów i ogłoszenie wyników. Jest on stosunkowo prosty, bo jedną z niewielu rzeczy, jakie nauczyła nas historia, jest konieczność kontrolowania komisji wyborczych. Zatem proces zliczania głosów jest bardzo pracochłonny, bo każda karta musi zostać kilkukrotnie „dotknięta” przez różnych członków komisji. Jednocześnie na każdym etapie sprawdzana jest poprawność głosowania. Zliczane są karty dostarczone do komisji, wydane wyborcom, wyjęte z urny. Następnie karty sortuje się, jeżeli jest kilka głosowań w jednym terminie i znowu przelicza. Następnie sa grupowane według oddanych głosów, grupowanie jest weryfikowane, głosy są przeliczane, sumowane i znowu porównywane z ilością wydanych kart. Na koniec sporządzany jest protokół, który razem z kartami wędruje do „wyższej instancji”, gdzie następuje kolejna weryfikacja. I tak aż PKW otrzyma informację ze wszystkich komisji. Nad całością czuwają dwa niezależne audyty. Pierwsze ze strony przedstawicieli komitetów wyborczych, a drugi międzynarodowy.

Dlaczego to działa?

Tradycyjne głosowanie działa z kilku powodów. Powszechność, bezpośredniość, równość i proporcjonalność dość łatwo zapewnić dzięki odpowiedniemu nadzorowi nad procesem głosowania oraz dzięki przepisom. Tajność jest zapewniana w zupełnie inny sposób.

  1. Karty nie są znaczone.
  2. Karta w momencie wydania traci swoją identyfikowalność z punktu widzenia komisji. Odzyska ja po wyjęciu z urny.
  3. Wyborca jest w stanie zweryfikować swój głos przed wrzuceniem do urny.
  4. Proces liczenia głosów jest nadzorowany, więc szansa na modyfikację głosu (nie policzenie, błędne policzenie) jest bardzo niska.
  5. W przypadku problemów mamy prawo do zgłoszenia protestu zarówno do komisji, jak i do sądu.

Jak to wygląda w przypadku głosowania przez internet

O ile procesy wspierające głosowanie i procedury okołowyborcze są zazwyczaj dość łatwe w implementacji i nie wymagają elementu tajności, to w przypadku pełnego głosowania przez internet sprawa wygląda zupełnie inaczej.

Do naszych rozważań przyjmijmy, że wyborca będzie korzystać ze swojego smartfonu, a głosowanie odbywa się w aplikacji podobnej do mObywatela.

Identyfikacja i wydanie karty

Pierwszy krok głosowania przebiega podobnie jak w tradycyjnym modelu. Głosujący loguje się do aplikacji, a w systemie ewidencji wyborców potwierdzamy jego prawo do głosowania. Następnie należy wygenerować kartę i tu pojawia się pierwszy problem.

Karta elektroniczna MUSI być identyfikowalna. Musimy zatem nadać jej jakiś unikalny identyfikator. Może być losowy, może być sekwencyjny, ale musi być. Tym samym karta opuszczając „komisję” (czyli serwer PKW) może zostać przypisana do wyborcy. Tajność poszła się jebać po raz pierwszy. W dodatku, w całym tym procesie istnieje krok, w którym oznaczamy, że dany wyborca pobrał kartę. W klasycznym podejściu jest to podpis na liście, który nie jest związany z kartą. W świecie cyfrowym jedyną gwarancją braku takiego powiązania jest dobra wola po stronie operatora systemu.

Do pewnego stopnia możemy zapobiec temu problemowi, przesyłając do wyborcy jedynie szablon karty, na podstawie którego wygeneruje on kartę i nada jej identyfikator. Jednak jest to tylko przesunięcie problemu, bo powiązanie wyborcy i karty nadal jest możliwe, ale odbywa się w innym miejscu. Nadal musimy też obsłużyć sytuację, gdy karta ma kolizję identyfikatora. Jest jeszcze jeden sposób, ale o tym później.

Oddanie głosu

Procedura oddania głosu w przypadku głosowania elektronicznego uwidacznia problem weryfikowalności. Samo zabezpieczenie karty w czasie transmisji z telefonu na serwer jest stosunkowo proste. Mamy odpowiednie narzędzia. Problemem jest zapewnienie, że głos w niezmienionej formie trafi do mechanizmu zabezpieczającego transmisję. Jako że cała operacja odbywa się na standardowym urządzeniu, to istnieje szereg metod, które pozwalają na ingerowanie w głos. Można pokusić się o weryfikację głosu po jego odebraniu w „urnie”, ale w ten sposób musimy zapewnić połączenie głosującego i głosu po stronie serwera. Tajność poszła się jebać po raz drugi.

Kolejnym problemem jest samo połączenie weryfikacji wyborcy i głosowania na jednym urządzeniu. Mając głos, który trzeba w końcu zliczyć oraz identyfikator urządzenia, tajność opiera się jedynie na założeniu, że operator systemu nie chce przechowywać tych danych razem.

Trzeci problem jest związany z duplikacją głosu w czasie transmisji. W procedurze fizycznego głosowania otrzymujemy jedną kartę, która trafia do urny. Nikt nie może jej skopiować, żeby wygenerować dodatkowy głos. W przypadku głosowania elektronicznego można kartę zduplikować w dowolnym punkcie transmisji i odłożyć ją „na później”. W ten sposób karty są poza jakąkolwiek kontrolą.

Zliczanie głosów i ogłoszenie wyników

Tutaj wracamy do problemu identyfikacji głosu. Każda karta musi mieć unikalny identyfikator. Identyfikator ten jest jedyną rzeczą, która pozwala na jednoznaczne zidentyfikowanie karty. Jednoznaczne zidentyfikowanie karty jest jedyną metodą, żeby zagwarantować sobie pojedyncze zliczenie głosu. Bez takiego mechanizmu nie mamy możliwości zapewnienia równości głosowania.

Jeżeli przyjmiemy, że identyfikator jest (pseudo)losowy i jest nadawany po stronie głosującego, to musimy obsłużyć procedurę kolizji identyfikatorów. Sytuacji, gdy dwóch głosujących nada taki sam identyfikator. Co możemy zrobić?

Po pierwsze możemy poprosić o powtórne wygenerowanie identyfikatora. A co jeżeli głosujący nie jest już dostępny? Formalnie oddał ważny głos, więc nie możemy zmusić go do powtórnego głosowania. Pamiętajmy, że proces głosowania, to nie tylko zaznaczenie kratki, ale też dostarczenie głosu do urny.

Po drugie możemy samodzielnie zmienić identyfikator. To będzie ingerowanie w głos, zatem trzeba to zrobić w cwany sposób np. opakować głos w dodatkową „kopertę”. W takim podejściu trzeba opakować każdy głos. W tym momencie identyfikator składa się z elementu wyborcy i elementu urny.

Po trzecie możemy nadawać identyfikator tylko kartom przychodzącym… pod warunkiem że ufamy operatorowi, że nie będzie zapisywać informacji o źródle głosu i identyfikatora. W dodatku wyborca nie ma tu możliwości zweryfikowania głosu.

Dlaczego to nie działa?

Jak pokazują różne wydarzenia na świecie, wybory tradycyjne można sfałszować. Jeżeli władze są odpowiednio zmotywowane, to nie będą miały z tym żadnych problemów. Jednak w systemach demokratycznych, gdy przestrzegane są procedury, to do fałszerstw nie dochodzi. Jest to po prostu zbyt skomplikowany proces, żeby utrzymać go w cieniu. Obserwatorzy i weryfikacja na każdym kroku, pozwalają wyłapywać nieścisłości. W przypadku głosowania elektronicznego, przez internet, jest zbyt dużo elementów, które pozostają poza nadzorem. Począwszy od urządzeń wyborców, poprzez sieć teleinformatyczną, a na rzeczywiście wdrożonym systemie do głosowania kończąc. Za dużo punktów, które mogą spowodować problemy. Za dużo założeń „dobrej woli operatora”, za mało kontroli procesów i możliwości weryfikacji. W dodatku naruszenie zasad jest znacznie łatwiejsze i wymaga znacznie mniej nakładów. Dodatkowe proxy, które odkłada cały ruch „na boku”, jest znacznie prostsze do wdrożenia niż fałszowanie kart.

Głosowanie przez internet i Open Source Software

Na zakończenie jeszcze jeden aspekt tego problemu, czyli wykorzystanie otwartoźródłowego oprogramowania. Często poruszaną kwestią jest wykorzystanie otwartego oprogramowania do przeprowadzenia wyborów. Czy jednak jest to wystarczające? Moim zdaniem nie. Istnieją przesłanki, które w znaczącym stopniu ograniczają możliwości OSS. Po pierwsze sam kod niewiele daje. Pozwala na analizę i wyłapanie błędów, ale nie mamy gwarancji, że opublikowany kod, to kod, który rzeczywiście został wdrożony. Po drugie poza kodem jest też szereg elementów poza naszą kontrolą. Dużo mówiłem tu o transmisji informacji. Nie mamy kontroli nad siecią ani możliwości sprawdzenia, czy gdzieś na boku nie dzieją się niepokojące rzeczy. Po trzecie nie mamy gwarancji, że opublikowany kod jest kompletny tzn. że zawiera wszystkie elementy, które uczestniczą w procesie. Nie ma gwarancji, że nie istnieją dodatkowe, nieopublikowane fragmenty albo, że nie działa dodatkowe oprogramowanie.

I tak, model OSS musi być podstawowym przy takich systemach, ale nie daje on gwarancji, że wszystko pójdzie gładko.

Podsumowanie

Głosowanie przez internet ma pewne zalety. Pozwala na szybsze przeliczanie głosów według reguł gwarantujących lepsze zachowanie równości głosów i proporcjonalności wyników. Jednak sama wirtualna natura tego procesu powoduje, że wybory takie tracą przymiot tajności i możliwość weryfikacji głosu przez wyborcę. Kraje takie jak Estonia od wielu lat udostępniają jako opcję głosowanie zdalne. Nie cieszy się ono popularnością, taką opcję wybiera około 5-6% wyborców, a jednocześnie jest przedmiotem krytyki zarówno ze strony organizacji obywatelskich, jak i specjalistów od bezpieczeństwa.

Moim zdaniem w przeciągu kolejnych trzech, czterech dekad zmieni się model polityczny na taki, w którym tajność głosowania będzie trzeciorzędnym problemem. Politycy zarówno w Unii, jak i USA od lat próbują ograniczyć możliwości związane z poufną komunikacją w sieci. Próba zakazania szyfrowania end-to-end, to jeden z przykładów. Innym niech będzie chęć wprowadzenia gwarancji uznania certyfikatów rządowych na równi z typowymi CA. W takim świecie głosowanie przez internet będzie pozbawione tajności, a tym samym wyborcy będą zdani na łaskę zwycięzców.