เมื่อวันที่ 3 มี.ค.69 ผศ.ดร.นพดล กรรณิกา อาจารย์ประจำวิชา Cybersecurity วิทยาลัยเทคโนโลยีสยาม โพสต์ข้อความผ่านเฟซบุ๊ก มิสตอร์ จิม เนื้อหาระบุว่า ทางรอดของ กกต. คำถามของผมที่จะถามตัวเอง คือ จะช่วยให้คณะกรรมการการเลือกตั้ง “รอดปลอดภัย” จากการทดลองหรือการทดสอบระบบ ทั้งในทางกฎหมายและทางเทคนิคอย่างไร คำตอบเชิงวิชาการคือ ต้องทำให้ระบบ “แข็งแรงโดยโครงสร้าง” ไม่ใช่เพียงป้องกันการตรวจสอบ แต่ต้องตรวจสอบแล้วไม่พบช่องโหว่

ผมขอชวนคิดชวนคุยเป็น 3 มิติหลัก คือ กฎหมาย เทคนิค และความเชื่อมั่นสาธารณะ ดังต่อไปนี้ ครับ

ผศ.ดร.นพดล กรรณิกา

มิติที่ 1 : ทางกฎหมาย

วัตถุประสงค์คือ ทำให้ไม่สามารถพิสูจน์การละเมิดหลักความลับของการลงคะแนนได้ แม้มีการทดสอบ

1.ออกระเบียบรับรองความไม่สามารถย้อนรอยได้

ถ้าผมเป็น กกต. โดยผมจะออกเอกสารเป็นลายลักษณ์อักษรว่า
– ไม่มีการจัดเก็บข้อมูลเชื่อมโยงระหว่างผู้ใช้สิทธิกับหมายเลขบัตร
– ไม่มีฐานข้อมูลใดที่ทำหน้าที่จับคู่บุคคลกับบัตร
– ไม่มีระบบบันทึกที่สามารถเชื่อมโยงย้อนหลังได้
– ไม่มีการจัดเก็บข้อมูลส่วนบุคคลผู้มาใช้สิทธิออนไลน์

เมื่อเป็นระเบียบอย่างเป็นทางการ เจ้าหน้าที่ใดฝ่าฝืนย่อมมีความผิดทางวินัยหรือกฎหมาย

2. บัญญัติหลัก “ห้ามออกแบบระบบที่สามารถพิสูจน์ย้อนกลับได้”

ผมจะเขียนชัดเจนในระเบียบว่า ห้ามออกแบบหรือใช้ระบบที่เปิดช่องให้สามารถเชื่อมโยงผลการลงคะแนนกับตัวบุคคลได้ ไม่ว่าโดยตรงหรือโดยอ้อม

3. ขอความเห็นทางกฎหมายจากผู้เชี่ยวชาญอิสระแท้จริง มากกว่า กลุ่มผลประโยชน์มีส่วนได้เสียกับ กกต. ทั้งทางตรงและอ้อม ให้คณะนิติศาสตร์จากหลายมหาวิทยาลัยให้ความเห็นเป็นลายลักษณ์อักษรว่า โครงสร้างระบบไม่ขัดต่อหลักความลับของการลงคะแนนตามกฎหมายไทยและกฎหมายระหว่างประเทศ

มิติที่ 2 : ทางเทคนิค

วัตถุประสงค์คือ ทำให้เห็นว่า “แม้จะพยายามทดลอง ก็ไม่สามารถพิสูจน์ย้อนกลับได้จริง” คือทำให้ “การทดลองก็พิสูจน์ย้อนกลับไม่ได้” นั่นเอง

นี่คือหัวใจสำคัญ

1. เปลี่ยนจากหมายเลขเรียงลำดับ เป็นรหัสแบบสุ่มทางคณิตศาสตร์ หมายเลขเรียงลำดับมีลำดับเวลา

ลำดับเวลาอาจถูกนำไปเชื่อมโยง แต่รหัสที่สร้างแบบสุ่มตามหลักคณิตศาสตร์ขั้นสูง จะไม่มีรูปแบบ ไม่มีลำดับ และไม่สามารถคาดเดาได้

คือว่าเราเลิกใช้ Serial มาใช้ใช้ Random Cryptographic Token เมื่อ token สุ่มแบบ cryptographic-grade ผลที่ตามมา คือ ไม่สามารถคาดเดา หรือจับคู่ลำดับเวลาได้

2. ห้ามมีสถาปัตยกรรมออกแบบการเก็บข้อมูลเชื่อมโยง ต้องยืนยันว่า
– ไม่มีการบันทึกลำดับแจกบัตร
– ไม่มีการสแกนบัตรก่อนแจก
– ไปม่มีฐานข้อมูลที่ผูกบัตรกับรายชื่อผู้ใช้สิทธิ
– ไม่มีข้อมูลที่สามารถนำไปจับคู่กับกล้องวงจรปิดหรือเวลาการเข้าคูหา

ถ้าไม่มีข้อมูลตั้งต้น ก็ไม่สามารถวิเคราะห์ย้อนกลับได้

3. วิธีแจกบัตรแบบไม่เรียงลำดับ ใช้วิธีหยิบบัตรแบบสุ่ม ไม่เรียงลำดับ ไม่บันทึกลำดับ แม้บัตรจะมีรหัส ก็ไม่รู้ว่าใบใดตกถึงผู้ใด

4. กำหนดขั้นตอนทำลายข้อมูลชั่วคราว หากมีข้อมูลใดเกิดขึ้นระหว่างกระบวนการ ต้องกำหนดให้ทำลายทันทีเมื่อหมดความจำเป็น และมีบันทึกการทำลายอย่างตรวจสอบได้

มิติที่ 3 : ความเชื่อมั่นสาธารณะ

ในยุคปัญญาประดิษฐ์และการวิเคราะห์ข้อมูลขนาดใหญ่ ความเสี่ยงไม่ได้มีเฉพาะด้านเทคนิค แต่มีด้านความรับรู้ของประชาชนด้วย

1. เปิดเผยโครงสร้างระบบอย่างโปร่งใส จัดทำเอกสารอธิบายว่า รหัสบัตรเข้ารหัสอะไร ไม่มีข้อมูลส่วนบุคคล ไม่มีฐานข้อมูลเชื่อมโยง

2. เชิญผู้เชี่ยวชาญภายนอกมาทดลองอย่างเป็นทางการ ถ้าทดลองแล้วพิสูจน์ไม่ได้ ความเชื่อมั่นจะเพิ่มขึ้นมากกว่าการปฏิเสธ

3. ให้มหาวิทยาลัยอิสระตรวจสอบและเผยแพร่รายงาน รายงานจากหลายสถาบันจะช่วยเพิ่มความน่าเชื่อถือ

กล่าวโดยสรุปเชิงยุทธศาสตร์ เพื่อฟื้นฟูความเชื่อมั่นศรัทธาให้ กกต.

การทำให้คณะกรรมการการเลือกตั้ง “รอดปลอดภัยและสามารถฟื้นึความเชื่อมั่นศรัทธาได้ ต้องอาศัย 3 หลักพร้อมกัน
หลักที่ หนึ่ง คือ ปิดช่องโหว่จริงทางเทคนิค
หลักที่ สอง ปิดความเสี่ยงทางกฎหมาย และ
หลักที่ สาม สร้างความโปร่งใสเพื่อลดความสงสัยของสาธารณะ

ระบบเลือกตั้งไม่ควรอยู่รอดเพราะป้องกันการตรวจสอบ แต่ควรอยู่รอดเพราะตรวจสอบแล้วไม่พบจุดอ่อน ครับ