בעת ששורות אלה נכתבות, לא ידוע עדיין האם המאמץ להקים ממשלת אחדות נשא תוצאות, או נכשל, ואנו בדרך לבחירות רביעיות. גם לא ידוע עדיין כמה זמן תימשך המגפה, ועם אלו מגבלות נצטרך להישאר לזמן רב מכפי שהיינו רוצים. אבל גם אם אין צורך דחוף להיערך לבחירות דיגיטליות באמצעות הטלפון הסלולרי, הגיע הזמן להיערך לכך.
במאמר זה יובאו כמה רעיונות כיצד ניתן ליישם זאת באופן מוצלח. ברור כי יכולים להיות עוד הרבה רעיונות אחרים, ואולי כמה מהרעיונות שלהלן לא כל-כך מוצלחים, אבל אני מקווה שהתהליך יותנע, רעיונות יתגלגלו, והאפשרות לקיים בחירות דיגיטליות תהפוך למציאות. אקדים ואומר שהאמצעים לביצוע הבחירות הדיגיטליות ראוי שיפותחו בשיטת הקוד הפתוח. כך תובטח שקיפות מלאה.
שלב ההיערכות
כהכנה לבחירות הדיגיטליות כל אזרח יוריד למכשיר הטלפון שלו את האפליקציה שנועדה לביצוע ההצבעה. לאחר התקנתה, הוא יבצע רישום על-ידי הכנסת מספר תעודת הזהות שלו. בתהליך הרישום הוא יודיע למעשה שהוא מתכוון להצביע באמצעות הטלפון המסוים הזה. השרת שיקבל את הרישום יוודא מול המחשבים של חברות הסלולר, שבעל תעודת הזהות הזו הוא אכן בעליו של מספר המנוי שממנו התקבלה הבקשה, ואם כך הדבר, הוא יעביר לאפליקציה של הטלפון הספציפי הזה באופן מאובטח תעודה מוצפנת שתאפשר הצבעה לבעל תעודת הזהות מהטלפון הזה בלבד.
אם המנוי יחליף טלפון מסיבה כלשהי הוא יחזור על הליך הרישום עם הטלפון החדש, והתעודה המוצפנת שנשלחה לטלפון הקודם תאבד את תוקפה. כל אחד יוכל להצביע רק בטלפון האחרון שבו הוא נרשם. ליתר ביטחון, למשל, למקרה שהמכשיר ייאבד או ייגנב ומישהו אחר ינסה להצביע באמצעותו, יש להגן על השימוש באפליקציית ההצבעה באמצעות קוד סודי או טביעת אצבע במכשירים שתומכים בכך.
כדי לענות על האפשרות של בני משפחה שאין להם טלפון אישי, או למקרה שהטלפונים של המשפחה רשומים על שם אחד מבני המשפחה למרות שאחרים משתמשים בהם, יאפשר הליך ההרשמה להכניס שני מספרי תעודת זהות - של בעל המכשיר ושל המצביע. השרת שמקבל את ההרשמה הזו יוודא שאכן יש קרבת משפחה מדרגה ראשונה בין שני בעלי מספר תעודת הזהות, ושהם רשומים כגרים באותה כתובת בפנקס הבוחרים.
למי שלא הבין, ההקפדה על קשר בין המכשיר לבין המצביע נועד למנוע אפשרות של "קבלני קולות", וגם להבטיח ככל האפשר את סודיות ההצבעה.
ביום הבחירות
ביום הבחירות יוכנס עוד מנגנון להליך הרישום למקרים של החלפת מכשיר. אם מישהו יירשם במכשיר שונה במהלך יום הבחירות, השרת יבטל תחילה את התוקף של התעודה שניתנה למכשיר הישן, וכך יחסום את אפשרות ההצבעה למשך זמן מה. רק לאחר כמות זמן מספקת שתאפשר בוודאות עידכון של בסיס הנתונים גם במצב של עומס קיצוני, יבדוק השרת שאכן לא בוצעה הצבעה באמצעות המכשיר הישן, ורק אז יישלח תעודה חדשה למכשיר החדש, ויודיע למשתמש שהוא יכול להצביע.
ביום ההצבעה בשעות שיועדו לכך, תיפתח למשתמשי האפליקציה האפשרות להצביע. כאמור, כל אזרח יוכל להצביע רק בטלפון שבו הוא נרשם. לאחר שהוא הצביע וההצבעה נקלטה, האפשרות להצביע פעם נוספת תחסם גם באפליקציה וגם בשרת.
גם כאן יש צורך באמצעים שימנעו זיופים או יפגעו בסודיות ההצבעה או בחופשיותה. הצעתי היא שבעת שההצבעה מבוצעת תופעל מצלמת הסלפי של הטלפון, וכמינימום הכרחי היא תוודא שמול הטלפון מופיע רק פרצוף אחד. אפשרות נוספת היא להיעזר במאגר הנתונים הביומטרי כדי לוודא את זהות המצביע על-ידי נתונים ביומטריים של פניו. זה כמובן יעבוד רק עבור מי שהוציא תעודה ביומטרית.
גם אם אין זיהוי ביומטרי, את תמונת המצביע ניתן לשמור בבסיס הנתונים של שרת ההצבעה, וזאת לצורך בירור בהמשך של תלונות על הצבעה לא חוקית, וכאמצעי מרתיע מפני הצבעה כזאת. זה המקום לציין שבעתיד כשלתעודות הזהות הביומטריות ולכל הטלפונים יהיו יכולות N.F.C., ניתן יהיה לשכלל את הליך הווידוא של זהות המצביע, וזאת אף בלי להסתמך על הנתונים במאגר.
דרך נוספת לוודא את זהות המצביע בזמן ההצבעה היא על-ידי שימוש בפרטי כרטיס האשראי (עם או בלי שימוש ביכולת N.F.C.של הכרטיס), וזאת כמובן בלי לחייב אותו.
לאחר ווידוא הזהות של המצביע והזכות שלו להצביע, השרת יעביר את ההצבעה עצמה באופן מאובטח לשרת אחר, שהגישה אליו בכל דרך אחרת תהיה חסומה, ובו יאגרו כל ההצבעות של כלל האזרחים ללא נתון מזהה לגביהם. לכל היותר לצרכים סטטיסטיים, תרשם בצד ההצבעה רק שם היישוב של המצביע.
צד שלישי אופציונאלי
אם הדבר יידרש, ורק אם באמת רוצים בכך, דרך מתוחכמת לאפשר ביטול הצבעות בלתי-חוקיות בדיעבד, מבלי לחשוף את זהות המצביעים ולמי הם הצביעו יכולה להיעשות על-ידי שימוש בשרת צד שלישי, שבו יירשמו שני מפתחות (בשיטת SSL), האחד כלפי שרת המצביעים, והשני כלפי שרת ההצבעות. (כמובן שבכל מקום בו נכתב שרת, אין הכוונה דווקא לשרת פיזי בודד אלא לענן שנותן יכולת מספיקה לכמות העיבוד והנתונים הנחוצה בזמן אמת לפי הצורך). אפשר כמובן להציע כאן פתרונות יותר יצירתיים, אולי עם טכנולוגיות בלוקצ'יין וכו'. הגישה בין שלושת השרתים תהיה מאובטחת ורק לצורך מחיקה של הצבעות לא חוקיות בשלב הערעורים. לאחר סיום שלב הערעורים השרת השלישי ייגרס, וכך תימנע סופית האפשרות לדעת מי הצביע מה.
לאחר שמועד ההצבעה יגיע לסיומו. יינעל שרת המצביעים להצבעות נוספות, ושרת ההצבעות יבצע סיכום של ההצבעות ויציג את התוצאה. אם בחרנו באפשרות של שימוש בשרת השלישי. שרת ההצבעות יינעל שוב, ויוכל להציג את התוצאה שוב רק לאחר סיום כל הערעורים.
עוד נקודה שחשוב לציין. כמובן שגם בעידננו יש עדיין אנשים שאין להם ולא לשום איש ממשפחתם שגר עימם טלפון חכם. עבור אנשים כאלה יש להקים מכונות הצבעה ציבוריות, שתוצבנה בתאי הצבעה במקומות ציבוריים. הצבעה במכונות אלה תתאפשר רק למי שלא נרשם בטלפון הסלולרי, ורק לאחר זיהוי ביומטרי חד-משמעי באמצעות תעודה ביומטרית. שאר התהליך יהיה זהה לזה של הצבעה בטלפון.
כל האמצעים והטכנולוגיות שציינתי לעיל אינם חדשניים, והם כבר קיימים כיום. לא המצאתי כאן שום פטנט, וגם אם במקרה בלי משים יש פה משהו כזה, הרי הוא כעת נחלת הציבור.