Pemungutan suara internet tidak aman dan tidak boleh digunakan dalam pemilu publik

 (blog.citp.princeton.edu)
6 poin oleh GN⁺ 2026-01-23 | 4 komentar | Bagikan ke WhatsApp
  • Pemungutan suara internet adalah sistem yang secara teknis tidak dapat diimplementasikan dengan aman, dan belum ditemukan solusi bahkan setelah puluhan tahun penelitian
  • Manipulasi suara dimungkinkan melalui malware di smartphone atau komputer, peretasan server, dan penyusupan ke server pengelola pemilu, sehingga satu penyerang dapat melakukan kecurangan dalam skala besar
  • E2E-VIV (pemungutan suara internet yang dapat diverifikasi ujung ke ujung) juga memiliki kerentanan mendasar, seperti keandalan aplikasi verifikasi, pencegahan tanda terima, dan ketiadaan penyelesaian sengketa
  • VoteSecure dari Mobile Voting Foundation memikul semua masalah ini, dan bahkan para pengembangnya mengakui tidak adanya keamanan penuh maupun protokol penyelesaian sengketa
  • Para ilmuwan menekankan bahwa keandalan pemungutan suara internet harus diverifikasi hanya melalui riset yang ditelaah sejawat, bukan lewat liputan media atau materi promosi

Ketidakamanan mendasar pemungutan suara internet

  • Pemungutan suara internet memiliki risiko manipulasi yang jauh lebih tinggi dibanding pemungutan suara kertas
    • Malware dapat mengubah pilihan suara pada perangkat pemilih
    • Manipulasi oleh orang dalam pada server atau sistem pengelolaan pemilu juga dimungkinkan
    • Serangan melalui internet dapat dijalankan dalam skala besar dari mana saja di dunia
  • Pemungutan suara kertas memang tidak sempurna, tetapi kecurangan skala besar lebih mungkin terdeteksi dan dihukum
    • Sebaliknya, dalam pemungutan suara internet, satu serangan dapat mengubah sangat banyak suara

Batasan E2E-VIV (pemungutan suara internet yang dapat diverifikasi ujung ke ujung)

  • E2E-VIV dirancang agar pemilih dapat memeriksa apakah suara mereka dihitung dengan benar, tetapi memiliki masalah struktural berikut
    • Jika aplikasi verifikasi terinfeksi malware, aplikasi itu dapat menampilkan informasi palsu
    • Tanpa fitur bebas tanda terima (receipt-free), pembelian suara dalam skala besar menjadi mungkin
    • Sangat sulit merancang aplikasi yang sekaligus memenuhi keandalan dan pencegahan tanda terima
    • Aplikasi verifikasi harus dijalankan secara terpisah, tetapi dalam praktiknya hanya sangat sedikit pemilih yang melakukannya
    • Bahkan jika sebagian pemilih menemukan manipulasi, tidak ada cara untuk membuktikannya, sehingga pemilu tidak dapat dibatalkan
  • Karena itu, fungsi ‘verifikasi’ pada E2E-VIV tidak memberikan efek nyata dalam memperkuat keamanan
    • Di kalangan ilmiah, batasan ini sudah diakui sebagai pandangan bersama sejak beberapa tahun lalu

Analisis kasus VoteSecure

  • Mobile Voting Foundation milik Bradley Tusk mengumumkan telah mengembangkan SDK pemungutan suara internet bernama VoteSecure bersama Free and Fair
    • Dalam siaran pers, mereka mengklaim bahwa “pemungutan suara mobile yang aman dan dapat diverifikasi kini dimungkinkan”
  • Namun, sejumlah pakar keamanan menunjuk kerentanan serius pada VoteSecure
    • Para peneliti di pengembang Free and Fair juga mengakui bahwa “masalah yang ditunjukkan itu benar, dan kami tidak tahu cara yang lebih baik”
    • VoteSecure tidak memiliki fitur bebas tanda terima, protokol penyelesaian sengketa tidak memadai, dan verifikasi menjadi tidak berarti jika perangkat terinfeksi malware
    • Selain itu, terdapat kemungkinan serangan pembelian suara otomatis berskala besar dan perampasan suara (clash attack)
  • Free and Fair menjelaskan bahwa “VoteSecure bukan sistem pemungutan suara yang lengkap, melainkan pada tingkat inti kriptografi”

Konsensus ilmiah dan rekomendasi

  • Berdasarkan hasil penelitian selama puluhan tahun, tidak ada teknologi yang dapat membuat pemungutan suara internet aman
    • Riset E2E-VIV pun tidak mampu menyelesaikan masalah mendasar ini
  • Penyelenggara pemilu dan media harus berhati-hati terhadap ‘sains berbasis siaran pers’
    • Verifikasi keandalan hanya dapat dilakukan melalui riset akademik yang ditelaah sejawat
    • Siaran pers atau promosi perusahaan tidak dapat menjadi dasar untuk menilai keandalan sistem pemilu

Kelompok pakar yang menandatangani

  • Pernyataan ini ditandatangani bersama oleh 21 ilmuwan komputer di bidang keamanan pemilu
    • Para penandatangan mencakup peneliti utama seperti Andrew Appel (Princeton), Ronald Rivest (MIT), dan Bruce Schneier (Harvard)
    • Tanda tangan diberikan atas nama pribadi, bukan sebagai posisi resmi lembaga afiliasi mereka

Bacaan terkait

4 komentar

 
bbulbum 2026-01-23

Bagaimana jika blockchain digunakan??
 
bbulbum 2026-01-23

Ah, karena ini masalah kepercayaan end-to-end, sepertinya tidak terlalu berkaitan.
 
GN⁺ 2026-01-23
Komentar Hacker News

  • Saya tinggal di Australia. Di sini kami memilih dengan kertas dan pensil, di bilik dari karton. Biayanya memang naik secara linear, tetapi dari sisi kepercayaan komunitas, saya tetap merasa pemungutan suara berbasis kertas jauh lebih baik daripada mesin
    Di Inggris saya pernah mendapat usulan pemungutan suara jarak jauh, dan saya rasa saya akan menyambut pemungutan suara online aman berbasis kriptografi homomorfik. Saya sudah menyerahkan KYC ke pemerintah, jadi menurut saya tidak ada masalah verifikasi identitas
    Australia meninjau semua surat suara secara manual, dan partai-partai berhak mengawasi. Hampir tidak ada keraguan terhadap integritas pemilu, dan verifikasi dilakukan secara berkala. Untuk AS, saya rasa pertanyaan utamanya adalah, “Seberapa jauh ini bisa dibuat lebih baik daripada cara sekarang?”

    • Saya juga melakukan pemungutan suara lewat pos dengan pena. Penghitungan memakai pemindai optik, dan tetap ada rekaman yang bisa dibaca manusia. Sangat hemat biaya dan sulit dimanipulasi dalam skala besar. Saya sama sekali tidak percaya pada internet voting. Pena dan kertas sudah cukup
    • Masalahnya, jika pemilih bisa membuktikan bahwa suaranya dihitung dengan benar, maka ia juga bisa membuktikannya kepada pihak yang mengintimidasi. Artinya, ada risiko prinsip surat suara rahasia runtuh
    • Salah satu alasan terbesar mengapa “semuanya berjalan baik” adalah karena Australian Electoral Commission (AEC) independen dari pemerintah. Ditambah wajib memilih dan preferential voting, demokrasi tetap sehat
    • Saya dengar Komisi Pemilihan India juga menjalankan tugasnya dengan sangat serius. Sistem administrasi pemilu India cukup mengesankan
    • Sistem kertas gagal secara lokal dan terlihat jelas, sedangkan sistem internet gagal diam-diam dalam skala besar

  • Cara-cara kecurangan pada pemungutan suara kertas sudah dikenal selama berabad-abad. Karena itu, prosedur penanganannya juga sudah mapan. Kotak suara tersegel, pengawas netral, penghitungan terbuka, dan sebagainya membangun kepercayaan
    Sebaliknya, metode kecurangan dalam internet voting tidak dikenal luas oleh orang awam. Sekalipun benar-benar aman, tingkat kepercayaan tetap cenderung rendah. Selama surat suara rahasia itu wajib, pemungutan suara kertas tetap yang terbaik

    • Sebagai referensi, kasus Battle of Athens di Tennessee, AS pada 1946 menunjukkan apa yang bisa terjadi jika penghitungan curang dilakukan di ruang tertutup. Tautan Wikipedia
    • Jika pemilu sudah begitu terpolarisasi sampai tidak ada pengawas netral, cukup tempatkan pengawas dari tiap partai dan rekam proses penghitungan dengan kamera
    • Contoh lain adalah skandal Box 13. Tautan Wikipedia. Ada dugaan manipulasi surat suara kertas saat LBJ memenangkan kursi senator
    • Pemungutan suara kertas itu sederhana sehingga bisa diverifikasi siapa saja. Pemungutan suara elektronik itu buram, pemungutan suara jarak jauh sulit menjamin kebebasan kehendak, dan hanya surat suara rahasia yang bisa mencegah vote buying. Pada akhirnya, kepercayaan lahir dari “siapa pun bisa memeriksanya sendiri”
    • Saya justru berpikir sebaliknya. Jika sistem cukup transparan dan dapat diverifikasi, maka bisa dipercaya. Hanya saja, tantangan utamanya adalah pelestarian privasi

  • Unsur terpenting dalam pemilu adalah kepercayaan; efisiensi itu sekunder. Peralihan ke pemungutan suara elektronik telah merusak kepercayaan dan memudahkan pihak yang bermusuhan melakukan manipulasi. Internet voting akan memperburuknya. Kita harus kembali ke pemungutan suara kertas

    • AS pada dasarnya sudah memakai pemungutan suara kertas + penghitungan elektronik. Tidak perlu kembali ke mana-mana
    • Kita memang sudah memakai surat suara kertas. Kalau kembali sepenuhnya manual, justru kesalahan dan surat suara tidak sah akan bertambah. Ironisnya, pihak yang membuat orang tidak percaya pada mesin pemungutan suara dulu justru menghalangi penghitungan ulang
    • Lebih dari 95% pemilih AS memakai pemungutan suara berbasis kertas. Statistik Verified Voting
    • Di Georgia, jika Anda memilih lewat komputer, mesin akan mencetak tanda terima kertas, lalu dimasukkan ke pemindai untuk dihitung. Mesin Diebold lama rentan diretas
    • Verifikasi identitas pada voting lewat pos di California hanya didasarkan pada kemiripan tanda tangan. Pada praktiknya ini nyaris sistem kehormatan. Pasal hukum terkait

  • Kekhawatiran bahwa malware bisa mengubah suara di perangkat pemilih itu masuk akal. Tetapi smartphone sudah dipakai untuk sebagian besar transaksi aman sehari-hari.
    Ada juga risiko peretasan server, tetapi alasan pemerintah menyimpan data pribadi pada akhirnya juga soal analisis risiko versus imbalan.
    Saat ini, imbalan dari pemungutan suara online masih lebih kecil daripada risikonya, tetapi jika membayangkan model demokrasi partisipatif waktu nyata, ceritanya bisa berbeda. Namun masalah terbesar tetap ketidakpedulian dan rendahnya partisipasi

  • Internet voting memudahkan manipulasi dalam skala besar. Namun internet banking juga sama-sama berisiko. Pada akhirnya, kuncinya adalah menyeimbangkan kelebihan dan kekurangan. Apakah keunggulan internet voting bisa mengimbangi kelemahannya?

    • Peretasan bank hampir mustahil. Sistem seperti SWIFT membuat transaksi bisa dilacak dan dibatalkan. Pemilu tidak punya ruang toleransi kegagalan seperti itu. Pemilu yang diretas berarti runtuhnya demokrasi
    • Penipuan perbankan bisa dipulihkan lewat asuransi, tetapi kepercayaan terhadap pemilu tidak bisa dipulihkan
    • Internet banking tidak anonim, tetapi pemungutan suara harus anonim

  • Biaya dan inefisiensi dari pemungutan suara kertas justru merupakan kelebihannya. Itu membuat manipulasi lebih sulit dan mendorong warga terlibat langsung dalam proses pemilu, sehingga bobot keputusan terasa lebih besar

  • Pemungutan suara terdiri dari tiga tahap: memberi suara, menghitung, dan menyimpan. Ketiga tahap itu harus transparan dan dapat diaudit agar timbul kepercayaan.
    Kasus Meksiko adalah contoh yang baik.

    1. Semua orang memilih dengan kertas di TPS lokal
    2. Relawan dan pengawas partai menghitung di lokasi
    3. Hasilnya dikirim secara elektronik, dan hasil kertas dipasang selama seminggu
      Sistem pusat hanya menjumlahkan, dan siapa pun bisa membandingkan hasil di lapangan dengan hasil online.
      Berkat struktur terdistribusi ini, hasilnya cepat dan tingkat kepercayaannya tinggi. Namun, metode koersif seperti “carousel voting” masih tetap ada
    • Saya tidak paham kenapa hanya di AS prosedur pemungutan suara selalu jadi kontroversi seperti ini. Kalau menuntut pemungutan suara kertas disebut rasis, kalau membatasi tenggat penghitungan disebut xenofobik. Eropa menjalankannya jauh lebih rasional
    • Di Idaho, orang memilih dengan kertas lalu dihitung secara elektronik, dan jika perlu bisa dihitung ulang secara manual. Kombinasi ideal: cepat, bisa diaudit, dan tanpa koneksi internet
    • Jika kita melepaskan surat suara rahasia, banyak persoalan transparansi akan hilang. Namun itu adalah pilihan yang mengguncang fondasi demokrasi
    • Pemungutan suara elektronik juga bisa mencapai tingkat keandalan serupa jika diberi beberapa lapisan verifikasi (layer)
    • Prancis juga beroperasi dengan cara yang nyaris sama

  • Video Tom Scott tentang “mengapa pemungutan suara elektronik itu buruk” wajib ditonton
    Video bagian 1 / Video bagian 2

  • Masalahnya bukan teknologinya, melainkan aktor-aktor yang tidak dapat dipercaya. Pemungutan suara tidak menghasilkan uang, jadi sulit menggelontorkan investasi keamanan setingkat perbankan.
    Selain itu, manipulasi informasi dan aktivitas bot sudah mendistorsi opini publik. Pemungutan suara kertas lebih baik, tetapi kenyataannya kita sudah berada dalam kondisi kekacauan digital

    • Prediksi saya, pada 2026 pemerintahan Trump akan mencoba hanya mengizinkan pemungutan suara elektronik dengan dalih “keamanan pemilu”. Sistemnya akan disediakan perusahaan yang diuntungkan secara politik, gugatan hukum akan berlanjut, dan kekacauan akan berkepanjangan. Pada akhirnya ada risiko kedua partai sama-sama tidak percaya pada hasilnya

  • Saya adalah salah satu penulis artikel ini sekaligus profesor di Georgia Tech. Saya meneliti keamanan, privasi, dan kebijakan publik. Anda bisa melihat CV saya. Jika ada pertanyaan, saya akan menjawab

    • Saya penasaran apakah Anda pernah meninjau metode verifikasi pada sistem e-voting Swiss Post
    • Pemungutan suara harus dapat diverifikasi langsung oleh semua pemilih. Sistem yang lebih rumit daripada menghitung dengan tangan akan kehilangan kepercayaan
 
brilliant08 2026-01-23

Saya berpendapat bahwa sistem pemungutan suara elektronik tidak dapat menyelesaikan masalah verifikasi keandalan secara acak oleh publik luas. Verifikasi kode sistem hanya mungkin dilakukan oleh lapisan khusus yang terseleksi, dan kita juga tidak bisa benar-benar mempercayai apakah kode yang diverifikasi itu memang sama dengan kode yang digunakan di lapangan. Melihat kontroversi apa yang terjadi dan kekacauan sosial seperti apa yang muncul di Korea Selatan, yang hanya mengelektronisasi proses pengumpulan hasil surat suara kertas ke dalam sistem elektronik, tampaknya kita bisa secara kasar memperkirakan kekacauan sosial seperti apa yang akan terjadi jika sistem pemungutan suara elektronik penuh diperkenalkan.