Hollandske erfaringer bremser e-valg i Danmark

...men en hollandsk beslutning om at skifte tilbage til papir har gjort indtryk.

MEN MEN!?? ... hvorfor gør det ikke indtryk at folk, der arbejder med kryptologi og protokoller siger at det ikke kan lade sig gøre?!?... hvorfor er det først når Hollænderne bliver i tvivl?!

...efter at der opstod tvivl om, at det kunne gøres anonymt

HVAD? ... der har da ALTID været tvivl om det kunne gøres anonymt. Faktisk har ingen (mig bekendt) nogensinde demonstreret en protokol, der kan sikre alle de krav (bl.a. anonymitet) som vi sætter til et valg som skalerer til størrelse af folkeafstemninger.

Der må da være nogle embedsmænd der har til ansvar at kommunikere faglig fakta videre til politikerne et sted?
Laver de noget? ... og hvis de gør - Hvorfor er det vigtigere hvad der sker i Holland end hvad de siger?

Hej Peter

Jeg tror at du måske har misforstået noget. Sådan som jeg læser det har man elektroniske valgmaskiner ude på valgstedet.

Der er altså ikke tale om valg over nettet. Du skal stadig ind bag et forhæng. Åbenbart har man så kunne aflæse skærmen bag forhænget.

I USA har man indsamlet en erfaringsmasse om stemmemaskiner, se fx http://www.freedom-to-tinker.com/tags/voting

Især er der store problemer med de maskiner, som optæller direkte uden at der er et papirspor.

Hertil kommer veldokumenteret, massiv skødesløshed ved omgangen med maskinerne.

Varianten, hvor der genereres papirstemmer, som efterfølgende tælles maskinelt ser ud til at kunne bringes til at fungere.

Der skal så bare være det fornødne antal maskiner på det fornødne antal valgsteder - og der bør følges op på det hollandske problem.

Men jeg tror at de teknologiglade kommuner mere drømmer om eValg, hvor hver borger stemmer hjemme fra sin egen PC. Dette kan aldrig blive hemmeligt og sikkert, slet ikke på same tid.

/esni

Hej Peter

Der findes faktisk en glimrende protokol til elektronisk valg, som hedder VVPAT: http://en.wikipedia.org/wiki/VVPAT. I mine øjne vil det nu mest være en økonomisk byrde i Danmark, og den eneste reelle fordel er, at vi får resultatet et par timer tidligere. Jeg kan forstå motivationen i USA, hvor stemmesedlen er meget mere kompleks, og hvor man ønsker maskiner for at undgå ugyldige stemmesedler.

Det, de holldandske forskere opdagede, var Van Eck phreaking: http://en.wikipedia.org/wiki/Van_Eck_phreaking. Det har være t kendt længe, men åbenbart ikke af producenterne af stemmemaskiner. Løsningen er at man træder ind i et faraday-bur for at stemme, eller at man bruger særligt udstyr til formålet (til priser, der mest rimer på det amerikanske militær).

Det, de holldandske forskere opdagede, var Van Eck phreaking: http://en.wikipedia.org/wiki/Van_Ec.... Det har være t kendt længe, men åbenbart ikke af producenterne af stemmemaskiner. Løsningen er at man træder ind i et faraday-bur for at stemme, eller at man bruger særligt udstyr til formålet (til priser, der mest rimer på det amerikanske militær).

LCD displays, har ikke helt samme problem, og er ikke så simple at aftaste. Der udsendes elektromagnetisk stråling, men du kan ikke umiddelbart omsætte det til et billed, der viser hvad der ses på skærmen. Hvis man udvælger LCD skærme, og hvordan billedet skal se ud, udfra elektromagnetisk udstråling, kan sikkert nemt opnås at finde skærme, der ikke lader sig aftaste.

Ved elektronisk afstemning, bør man altid sikre, at der er flere uafhængige maskiner, som optæller stemmerne. Det kan være et problem, hvis trykker du på en berøringsfølsom LCD skærm. Knapper, med individuelle output, til to forskellige maskiner, produceret af uafhængige producenter, med totalt uafhængigt software (må ikke være open source, da de ikke må tage efter hinanden, men sourcen kan evt. godt stilles til rådighed for offentligheden til verifikation kun), tror jeg er et bedre valg. Politikkeren kan vælges, udfra nummeret på en sædvanlig stemmeseddel, og "return".

Hvis skærmen ikke kan aftastes, kan eventuelt være to skærme, der bekræfter valget, så vælgeren kan læse hvilken politikker der er tastet ind, og trykke bekræft, eller et nyt nummer. Dette burde kunne gøres med uafhængige maskiner, hvis det er deffineret på forhånd, hvordan tastaturet skal fungere. Med to skærme, kan vælgeren også sikre sig, at de to maskiner "gør det samme".

Tja ifølge wikipedia artiklen kan det nu også gøres for LCD-skærme med udstyr for under 2000$US...

Hej Jens

Ved elektronisk afstemning, bør man altid sikre, at der er flere uafhængige maskiner, som optæller stemmerne.

Jeg vil stadig påstå, at uanset hvor smart du laver maskinerne og hvor mange uvildige maskiner du sætter op, vil elektronisk stemmeafgivning på et valgsted kun kunne afgives og optælles på betryggende vis, hvis der er et vælger-kontrollerbart audit trail på et WORM (write-once-read-many) medie.

Man kunne godt udtænke et system med mange parallelle stemmemaskiner (f.eks. én pr. parti), hvor man så afgiver sin stemme i samtlige maskinerne. På den måde vil én maskine have svært ved at snyde. Til gengæld vil det være så let som ingenting for vælgeren at ødelægge valgresultatet ved at afgive forskellige stemmer på hver maskine.

Ang. VVPAT.

Ja - og som nævnt kan det sikkert også komme til at fungere nogenlunde med det eneste resultat at vi har resultatet lidt tidligere.
Men er det det værd i forhold den de problemer er ganske rigtig også nævnes i artiklen?
Hvordan overbeviser du Fru Jensen om at ingen med noget teknik hun ikke kender til og ikke forstår holder øje med hvad hun stemmer? Hvordan beviser du overfor folk, der går ind i stemmeboksen at deres brug af boksen ikke synkronisered med hvad maskinen husker?

... og så er der jo LAAAANGT fra den lille optimering til et egentligt valg over internettet.

Man kunne godt udtænke et system med mange parallelle stemmemaskiner (f.eks. én pr. parti), hvor man så afgiver sin stemme i samtlige maskinerne. På den måde vil én maskine have svært ved at snyde. Til gengæld vil det være så let som ingenting for vælgeren at ødelægge valgresultatet ved at afgive forskellige stemmer på hver maskine.

Det er meningen, at maskinerne skal fungere på samme måde brugermæssigt, og at tasterne er fælles for maskinerne. Mange taster, har to modsatte outputs, så hvis den ene valgmaskine detekterer for åben, og den anden for lukket tast, vil tastens to output kunne bruges. Der findes også taster, med flere kontakter. Da taster er low-tech mekanisk, teknologi, vil en simpel røntgenfotografering kunne sikre at der ikke er snyd.

Vælgeren vil ikke kunne snyde, hvis tasterne er af god kvalitet. Sker snyd, skyldes det, at en tast er deffekt, og ikke detekterer valget korrekt.

Hvordan overbeviser du Fru Jensen om at ingen med noget teknik hun ikke kender til og ikke forstår holder øje med hvad hun stemmer? Hvordan beviser du overfor folk, der går ind i stemmeboksen at deres brug af boksen ikke synkronisered med hvad maskinen husker?

Det er altid svært at overbevise om, der ikke er indbygget skjulte kameraer, der kan afsløre hvor der stemmes. Men det gamle system med papirstemmer, er klart mest sikkert.

I det gamle grækenland stemmede man ved at bruge småsten, der blev lagt i stemmekrukker. Når afstemningen var færdig blev krukkerne tømt og småstenene talt op.

Kan man ikke gøre noget lignende her i danmark?

Når en vælger møder op på et valgsted, så giver man vælgeren et lille plastik stemme-token. Vælgeren går ind i stemmeboksen og placerer sit token i en boks hørende til det parti/den kanditat, som vælgeren ønsker at stemme på. Ved at placerer hver boks på en digital vægt kan en "valgcomputer" løbende aflæse et foreløbigt valgresultat. Men det endelige resultat kan selvfølgelig først afgøres når boksene låses op og der foretages en fintælling af tokens (der samtidig kan tjene som kontrol af, at der kun er puttet gyldige tokens i boksen).

Man kunne godt udtænke et system med mange parallelle stemmemaskiner (f.eks. én pr. parti), hvor man så afgiver sin stemme i samtlige maskinerne. På den måde vil én maskine have svært ved at snyde. Til gengæld vil det være så let som ingenting for vælgeren at ødelægge valgresultatet ved at afgive forskellige stemmer på hver maskine.

Ved hjælp af distribueret kryptografi kan man faktisk godt løse netop dette problem, dvs. beskytte fortrolighed og integritet af den afgivne stemmem når først den er inde i systemet. Det løser dog desværre ikke en lang række andre problemer som påpeges igen og igen i disse debatter om elektroniske valg.

Det er besnærende med elektroniske valg, men hvis sikkerheden skal være i orden virker det langt fra oplagt at der vil være økonomiske fordele ved et e-valg fremfor den gode gammeldags papirudgave. Og det er vel det der skulle være målet.