เจาะลึก i-Voting เอสโตเนีย เทคโนโลยีเลือกตั้งออนไลน์ หนึ่งเดียวในโลก ประชาชนตรวจสอบคะแนนเสียงของตัวเองได้
สาธารณรัฐเอสโตเนีย ถือเป็นประเทศหนึ่งเดียวในโลกที่ทำลายกำแพงความกลัวเรื่อง ‘การเลือกตั้งออนไลน์’ (i-Voting) ได้สำเร็จ ทั้งในระดับท้องถิ่นและระดับชาติ โดยมีสถิติผู้ใช้งานจริงแตะหลัก 50% ต่อเนื่อง และผ่านบทพิสูจน์ด้านความปลอดภัยมาแล้วกว่า 20 ปี บทความของ tarmjai.com วันนี้จะพาไปดูเบื้องหลังระบบนิเวศดิจิทัลที่ทำให้สิ่งที่เป็นไปไม่ได้ กลายเป็นมาตรฐานใหม่ของประชาธิปไตย
สถาปัตยกรรม “ซองจดหมายซ้อน 2 ชั้น” (Expertise)
หลักการหัวใจสำคัญของ i-Voting คือการจำลองการส่งบัตรเลือกตั้งทางไปรษณีย์มาอยู่ในโลกดิจิทัล โดยใช้เทคนิค Digital Double Envelope Scheme
Layer 1: The Infrastructure (สิ่งที่ต้องมีก่อน)
- Smart-ID / Mobile-ID: ประชาชนทุกคนต้องมี SIM card หรือแอปที่ผูกกับบัตรประชาชน ซึ่งภายในมีชิปเก็บกุญแจเข้ารหัสลับ (Private Key)
- Public Key Infrastructure (PKI): ระบบกุญแจคู่ (Public/Private Key) เพื่อใช้ในการเข้ารหัสและยืนยันตัวตน
Layer 2: The Process Flow (ขั้นตอนการทำงานอย่างละเอียด)
Step 1: Identification & Session Creation
ผู้ลงคะแนนเสียบบัตรประชาชน หรือใช้ Mobile-ID เข้าสู่ระบบ แอปพลิเคชันลงคะแนนจะตรวจสอบว่าผู้ใช้มีสิทธิ์เลือกตั้งหรือไม่ ผ่านฐานข้อมูลประชากร
Step 2: The Vote (ซองชั้นใน – Inner Envelope)
ในทางเทคนิค ขั้นตอนนี้คือกระบวนการ Client-Side Encryption (การเข้ารหัสที่ฝั่งผู้ใช้งาน) เพื่อให้มั่นใจว่าทันทีที่ข้อมูลออกจากคอมพิวเตอร์ของคุณ จะไม่มีใครในโลก (รวมถึงผู้ดูแลระบบเครือข่าย หรือ ISP) สามารถอ่านข้อมูลนั้นได้
กระบวนการทำงานเบื้องหลัง (Technical Workflow)
การเตรียมข้อมูล (Data Preparation & Padding)
- ทันทีที่คุณกดเลือกผู้สมัคร (สมมติว่าเลือก “เบอร์ 10”) ระบบไม่ได้ส่งเลข “10” ออกไปตรงๆ
- ระบบจะทำการสร้าง “ค่าสุ่ม” (Randomness / Nonce) ขึ้นมาจำนวนมหาศาลเพื่อนำมาผสมกับเบอร์ผู้สมัคร
- ทำไมต้องใส่ค่าสุ่ม? เพื่อป้องกันการเดาทางสถิติ
- ถ้าไม่ใส่: รหัสที่ถูกเข้ารหัสของ “เบอร์ 10” จะหน้าตาเหมือนกันทุกครั้ง แฮ็กเกอร์แค่นั่งดักจับข้อมูลก็รู้แล้วว่าใครเลือกเหมือนกันบ้าง
- เมื่อใส่ค่าสุ่ม: นาย A เลือกเบอร์ 10 และ นาย B เลือกเบอร์ 10 เหมือนกัน แต่ผลลัพธ์ที่เข้ารหัสแล้ว (Ciphertext) จะมีหน้าตาต่างกันโดยสิ้นเชิง
การเข้ารหัส (Encryption Process):
ระบบจะใช้กุญแจสาธารณะ (Public Key) ของคณะกรรมการการเลือกตั้งแห่งชาติ ในการล็อกข้อมูลชุดนี้ ผลลัพธ์ คือ เราจะได้ก้อนข้อมูลที่อ่านไม่รู้เรื่อง (Encrypted Ballot) เปรียบเสมือนการนำบัตรเลือกตั้งใส่ลงใน “ซองจดหมายทึบแสง” แล้วปิดผนึกกาวอย่างแน่นหนา
ความปลอดภัยระดับ Zero-Knowledge
- เนื่องจากใช้ Public Key ของคณะกรรมการฯ ในการล็อก ดังนั้นมีเพียงคณะกรรมการฯ เท่านั้น ที่จะเปิดซองนี้ได้ โดยใช้ Private Key ที่เก็บรักษาไว้อย่างเข้มงวดในห้องนิรภัย
- แม้แต่ตัวคุณเอง (Voter) หลังจากกดส่งไปแล้ว ก็ไม่สามารถเปิดดูเนื้อหาข้างในซองนั้นได้อีก
- แม้แต่ผู้ดูแลระบบที่ดูแลเซิร์ฟเวอร์รับคะแนน ก็เห็นเป็นแค่รหัสขยะไม่สามารถรู้ได้ว่าคุณเลือกใคร
Step 3: The Signature (ซองชั้นนอก – Outer Envelope)
ถ้าซองชั้นในคือการเก็บความลับ ซองชั้นนอก คือการประกาศตัวตน ขั้นตอนนี้เปรียบเสมือนการที่คุณนำซองบัตรเลือกตั้งที่ปิดผนึกแล้ว ใส่ลงในซองจดหมายอีกชั้นหนึ่ง แล้วจ่าหน้าซองระบุชื่อ-นามสกุลของคุณ เพื่อยืนยันว่าซองนี้มาจากผู้มีสิทธิ์เลือกตั้งตัวจริง
กระบวนการทำงานทางเทคนิค
ระบบจะนำก้อนข้อมูลที่เข้ารหัสแล้ว (Ciphertext) จาก Step 2 มาคำนวณหาค่า Hash (ลายนิ้วมือดิจิทัลของไฟล์) เพื่อให้มั่นใจว่าข้อมูลต้นฉบับไม่ได้ถูกเปลี่ยนแปลงแม้แต่บิตเดียว
เมื่อผู้ใช้งานใส่ PIN 2 (รหัสรับรองการเซ็นชื่อ) ระบบจะดึงกุญแจส่วนตัว (Private Key) ที่ฝังอยู่ในชิปบัตรประชาชน (Smart Card) หรือซิมมือถือ (Mobile-ID) ออกมา โดยกุญแจส่วนตัวนี้ มีเพียงเจ้าของบัตรคนเดียวในโลกที่ถืออยู่ (รัฐบาลหรือผู้ออกบัตรก็ไม่มีสำเนา) ระบบจะใช้ Private Key นี้ประทับตราลงไปบนก้อนข้อมูลคะแนนเสียง
ผลลัพธ์ คือ ซองจดหมายที่สมบูรณ์ (The Signed Container) ได้แก่ Encrypted Vote (ซองใน) คะแนนเสียงที่ถูกล็อก ไม่มีใครอ่านออก และ Digital Signature (ซองนอก) ข้อมูลระบุตัวตนที่ผูกติดกับคะแนนนั้น
หน้าที่สำคัญ 3 ประการของซองชั้นนอก
Authentication (ยืนยันตัวตน) : เมื่อซองนี้เดินทางไปถึงเซิร์ฟเวอร์เลือกตั้ง เจ้าหน้าที่จะตรวจสอบลายเซ็นดิจิทัลเพื่อเทียบกับฐานข้อมูล Public Key ของประชาชน และระบบจะรู้ทันทีว่า “คะแนนนี้ส่งมาจากนาย ก. ตัวจริง” โดยไม่ต้องเปิดดูว่านาย ก. เลือกใคร
ยืนยันความสมบูรณ์ของข้อมูล : คุณสมบัติพิเศษของ Digital Signature คือ ถ้าข้อมูลข้างในเปลี่ยน ลายเซ็นจะแตกทันที สมมติแฮ็กเกอร์แอบเปลี่ยนข้อมูลใน ซองชั้นในระหว่างทาง เมื่อไปถึงปลายทาง ระบบตรวจสอบลายเซ็นจะแจ้งเตือนว่า Invalid Signature และปฏิเสธคะแนนนั้นทันที (เสมือนซองจดหมายที่มีรอยฉีกขาด หรือตราประทับเสียหาย)
เตรียมพร้อมถูกฉีกทิ้ง : ระบบออกแบบมาให้ซองชั้นนอกนี้ลอกออกได้ เมื่อถึงเวลาปิดหีบและนับคะแนน ระบบจะทำการแยกส่วนที่เป็นลายเซ็นระบุตัวตนนี้ทิ้งไป ให้เหลือแต่ซองชั้นในเพียวๆ เพื่อส่งไปถอดรหัส กระบวนการนี้ทำให้การนับคะแนนเป็นเรื่องนิรนาม (Anonymous) อย่างสมบูรณ์ ไม่มีใครรู้ว่าคะแนนใบไหนมาจากใคร
สรุปง่ายๆ คือ ซองชั้นนอก คือโล่ป้องกันทางดิจิทัลที่ทำหน้าที่ 2 อย่างพร้อมกัน หนึ่ง คือเป็นบัตรผ่านทาง ยืนยันว่าคุณคือผู้มีสิทธิ์เลือกตั้งตัวจริง และ สอง คือเป็น ซีลนิรภัยที่รับประกันว่าคะแนนข้างในจะไม่ถูกแอบเปลี่ยนระหว่างทาง หากมีการแก้ไขแม้แต่นิดเดียว ซองนี้จะถือเป็นโมฆะทันที
ประชาชนมีสิทธิ์ตรวจสอบความถูกต้องของคะแนนเสียงตนเองได้
ในระบบ i-Voting ของเอสโตเนีย ประชาชนมีสิทธิ์ตรวจสอบความถูกต้องของคะแนนเสียงตนเองได้ผ่านกระบวนการที่เรียกว่า Individual Verifiability ซึ่งหัวใจสำคัญคือต้องใช้อุปกรณ์คนละเครื่อง (Cross-device verification) เพื่อป้องกันไม่ให้มัลแวร์ในคอมพิวเตอร์หลอกเรา
เมื่อคุณเลือกผู้สมัครและยืนยันตัวตนด้วย ID-Card/PIN เสร็จแล้ว บนหน้าจอคอมพิวเตอร์จะปรากฏ QR Code ขึ้นมา โดย QR Code นี้จะมีอายุอยู่แค่ช่วงเวลาสั้นๆ ประมาณ 15-30 นาที ซึ่งระบบเอสโตเนียออกแบบมาว่าการตรวจสอบทำได้แค่ ณ ขณะลงคะแนนเท่านั้น เพื่อยืนยันว่าเทคโนโลยีทำงานถูกต้อง แต่หลังจากนั้นจะไม่มีใครสามารถเปิดดูย้อนหลังได้ว่าคุณเลือกใคร เพื่อรักษาความลับและความปลอดภัยของคุณเอง
คุณหยิบสมาร์ทโฟนหรือแท็บเล็ต (iOS/Android) ที่ติดตั้งแอปพลิเคชัน Valimised (Election App) ของรัฐบาล เปิดแอปและสแกน QR Code บนหน้าจอคอมพิวเตอร์ แอปในมือถือจะส่งคำขอไปยังเซิร์ฟเวอร์เลือกตั้ง เพื่อถามว่า คะแนนที่เพิ่งส่งมาจากคอมพิวเตอร์เครื่องเมื่อกี้ คือเบอร์อะไร? ถ้าข้อมูลตรงกันแสดงว่าคอมพิวเตอร์ของคุณปลอดภัย ไม่มีการแอบเปลี่ยนคะแนนระหว่างทาง คุณก็ปิดแอปได้เลย จบกระบวนการ
ถ้าข้อมูลไม่ตรงกัน เช่น บนคอมกดเลือกเบอร์ 1 แต่มือถือโชว์เบอร์ 9 แสดงว่าคอมพิวเตอร์ของคุณอาจถูกแฮ็กหรือติดไวรัส ให้คุณรีบติดต่อเจ้าหน้าที่ทันที และไปลงคะแนนใหม่ที่คูหา (Paper Vote) เพื่อล้างคะแนนออนไลน์ทิ้ง
สรุป คือ การเช็คคะแนนในระบบ i-Voting ไม่ใช่การเช็คว่าฉันชนะไหม แต่เป็นการเช็คว่า “เสียงของฉันเดินทางไปถึงกล่องรับคะแนนอย่างถูกต้อง โดยไม่ถูกแฮ็กเกอร์หรือไวรัสคอมพิวเตอร์แอบเปลี่ยนกลางทาง”
การนับคะแนน
เมื่อปิดหีบ ระบบจะตัดการเชื่อมต่อจากโลกภายนอก (Offline Mode) และเริ่มกระบวนการเปลี่ยนข้อมูลดิบให้เป็นผลคะแนนที่โปร่งใสที่สุด เริ่มจาก
- คัดกรอง 1 คน 1 เสียง ระบบจะล้างข้อมูลซ้ำซ้อนทันที โดยยึดกฎเหล็ก Paper Vote ชนะทุกสิ่ง (ใครไปกาที่คูหา ระบบจะลบคะแนนออนไลน์ทิ้ง) และ นับเฉพาะครั้งล่าสุด ใครกดโหวตหลายรอบ จะเหลือแค่ใบสุดท้าย
- ฉีกซองและสลับไพ่ (Separation & Mix-net) เพื่อรักษาความลับสูงสุด ระบบจะ แยกลายเซ็นระบุตัวตนทิ้งไป ให้เหลือแต่ซองคะแนนที่เข้ารหัส แล้วใช้เทคนิค Mix-net (เหมือนการสับไพ่) เขย่าลำดับข้อมูลใหม่ทั้งหมด เพื่อไม่ให้ใครสืบย้อนกลับได้ว่าบัตรใบไหนเป็นของใคร
- รวมกุญแจเปิดเซฟ (Key Sharding & Decryption) การถอดรหัสคะแนนเพื่อนับผลทำคนเดียวไม่ได้ เพราะกุญแจลับ (Private Key) ถูกหั่นแบ่งให้คณะกรรมการหลายคนถือไว้ ต้องมารวมตัวกันเสียบกุญแจพร้อมกัน (Threshold Cryptography) ระบบถึงจะยอมเปิดเผยคะแนนออกมา
- พยานปากเอก (Blockchain Audit) ทุกขั้นตอนตั้งแต่การรับบัตร, การลบ, การสลับ, จนถึงการนับ จะถูกบันทึก “ลายนิ้วมือดิจิทัล” (Hash) ลงบน KSI Blockchain ทันที ทำให้ประชาชนตรวจสอบย้อนหลังได้ว่าไม่มีข้อมูลไหนถูกแอบแก้ไขแม้แต่บิตเดียว ส่วนผู้สังเกตการณ์การเลือกตั้งหรือโปรแกรมเมอร์จากพรรคการเมือง สามารถดาวน์โหลด Log ไฟล์มาตรวจสอบเทียบกับ Hash บน Blockchain ได้
ถ้ามีการโกง เช่น แอบลบบัตรออกไป 1 ใบ ค่า Hash ของทั้งระบบจะเปลี่ยนไปทันที และจะไม่ตรงกับที่บันทึกไว้ใน Blockchain ซึ่งจะถูกจับได้ในเสี้ยววินาที
สรุป คือ กระบวนการนับคะแนนไม่ใช่แค่การเปิดซองแล้วนับ แต่คือการ ล้างไพ่ (Mix-net) เพื่อลบตัวตน และใช้กุญแจที่ต้องไขพร้อมกันหลายคน (Key Sharding) เพื่อป้องกันอำนาจเบ็ดเสร็จ โดยมี Blockchain คอยจดบันทึกทุกฝีก้าว เพื่อให้มั่นใจว่าผลคะแนนที่ออกมา คือเจตจำนงที่แท้จริงของประชาชน ไม่ใช่มายากลของระบบคอมพิวเตอร์
การเลือกตั้งท้องถิ่นในปี 2025 ของเอสโตเนีย
การเลือกตั้งท้องถิ่นของเอสโตเนีย เมื่อวันที่ 19 ตุลาคม 2025 ซึ่งถือเป็นหมุดหมายสำคัญในประวัติศาสตร์ประชาธิปไตยดิจิทัลของโลก และถือเป็นการฉลองครบรอบ 20 ปี ของระบบ i-Voting ซึ่ง ผลลัพธ์ที่ออกมาตอกย้ำความเสถียรของระบบ ได้แก่
ผู้มีสิทธิ์ลงคะแนนเกือบครึ่งหนึ่ง เลือกใช้ช่องทางออนไลน์ ซึ่งใกล้เคียงกับสถิติสูงสุดในปี 2023 (51%) แสดงให้เห็นว่า i-Voting กลายเป็นความปกติใหม่ (New Normal) ไปแล้ว
Smart-ID Surge เป็นครั้งแรกที่แอปพลิเคชัน Smart-ID ถูกใช้งานอย่างถล่มทลายถึง 54% ของผู้ลงคะแนนออนไลน์ทั้งหมด แซงหน้าการใช้บัตรประชาชนเสียบเครื่องอ่านแบบเดิม สะท้อนถึงพฤติกรรมผู้ใช้ที่เปลี่ยนไปสู่ Mobile-first
Mobile Voting Pilot ช่วงต้นปี 2025 มีการทดสอบฟีเจอร์ลงคะแนนผ่านมือถือรูปแบบใหม่ (Mobile Voting) ซึ่งประสบความสำเร็จและถูกนำมาปรับใช้เพื่อความลื่นไหลในการเลือกตั้งครั้งนี้
อย่างไรก็ตาม แม้ระบบจะเสถียร แต่การเมืองย่อมมาคู่กับการตรวจสอบ ในช่วงก่อนการเลือกตั้ง พรรค EKRE (พรรคฝ่ายค้านขวาจัด) ได้ยื่นข้อร้องเรียนโดยอ้างว่า พบช่องโหว่ในการจัดการ กุญแจเข้ารหัส (Encryption Keys) ระหว่างการทดสอบระบบ และเรียกร้องให้ระงับ i-Voting ทันที
ซึ่งคณะกรรมการการเลือกตั้งแห่งชาติ (National Electoral Committee) ปฏิเสธข้อกล่าวหาพร้อมกางหลักฐานทางเทคนิคยืนยันว่ากระบวนการจัดการกุญแจ (Key Ceremony) เป็นไปตามมาตรฐานความปลอดภัยสูงสุด ผลลัพธ์ คือ การเลือกตั้งดำเนินต่อไปโดยไม่มีการหยุดชะงัก และไม่มีรายงานบัตรเสียหรือความผิดปกติทางเทคนิค
ขณะเดียวกันผู้สังเกตการณ์สากล คณะผู้แทนจาก Council of Europe ได้ออกแถลงการณ์ชื่นชมว่าการจัดการเลือกตั้งเป็นไปอย่าง โปร่งใส มีประสิทธิภาพ และมีการส่วนร่วมสูง โดยยอดผู้ออกมาใช้สิทธิ์รวม (Turnout) สูงถึง 59.2% สูงเป็นอันดับ 2 ในประวัติศาสตร์การเลือกตั้งท้องถิ่น
อ้างอิงจาก : Wikipedia , Estonianworld , e-Estonia , Cybernetica , Council of Europe
