Stem på en chip: Kan RFID erstatte blyantkrydset?

Små skridt er gode, især taget i betragtning ved at risikoen for at kompromitere demokratiet er enorme.

Jeg har et kritisk spørgsmål til den beskrevne model: Fra hvilken afstand kan jeg aflæse din stemmeseddel? Kan den valgtilforordnede der står ved valgurnen for eksempel aflæse den med hyldevareelektronik?

Derudover den sædvanlige økonomiske betragtning. Kan det overhovedet betale sig med vores nuværende valgmodel? Hvad koster det og hvad får vi ud af det, ud over at kunne få det foreløbige valgresultat allerede 20:30 istedet for at skulle vente til omkring midnat?

Hvis man ser på http://www.youtube.com/watch?v=hBhCsdhfBRo kan man se at det umiddelbart er samme maskine som beskrevet ovenfor. Tænk hvor meget en anmeldelse som ovenstående kunne have forbedret systemet, men desværre valgte Version2 i stedet at blot præsentere et par udtalelser der ikke fortalte noget om selve måden maskinen fungerede. Men vi kan da håbe at holdet bag maskinen lytter efter og får lavet en bedre brugerflade før maskinerne bliver indført.

Stemmen på RFID-kortet er forhåbentlig krypteret

Hej Peter

Urnen er forseglet, så den ikke kan aflæses udefra. Læseafstanden er pt 5 cm, læseren er placeret længere nede i urnen.

Mikkel / Assembly Voting, partner i DemTech

Jeps, der skrives unikke kryptogrammer til hvert kort

Vi laver en større undersøgelse og evaluering på baggrund af de tests, vi har udført i forbindelse med Folketingsvalget (Vi har testet på Frederiksberg, i Aarhus og 2 steder i København). Så selvfølgelig rettes der på brugerflade og papkortene etc. Mht. farver, så har det været vendt og drejet mange gange, og der er store problemer forbundet med det, da de politiske partier associeres med farver. Så ex. selv en lille tone af rødt bliver straks opfattet som havende Socialdemokratiske tendenser.

Vi tester systemet igen på valgdagen på Frederiksberg Rådhus i Rådhussalen sideløbende med det "rigtige" valg.

Hvor er de 5 centimeter specificeret?

Er det maximumsafstanden hvor leverandøren garanterer at chippen kan aflæses eller er det minumumsafstanden hvor leverandøren garanterer at kortet ikke kan aflæses?

At indholdet af chippen umidelbart er krypteret øger bare kompleksiteten af det naive angreb til at man også skal have adgang til valgurnens indhold når afstemningen er afsluttet. Altså kan man i ro og mag pare borger og stemmeseddel under fintællingen.

Grundlæggende set er jeg tilhænger af at vi ser på maskinlæsbare stemmesedler og metoder så borgeren kan få valideret sin stemmeseddel. Derfor vil jeg på ingen måde udråb denne slags afstemninger til en katastrofe på samme måde som alt det andet folk lægger i hatten 'digitale afstemninger'.

Hej igen Peter

Er det maximumsafstanden hvor leverandøren garanterer at chippen kan aflæses eller er det minumumsafstanden hvor leverandøren garanterer at kortet ikke kan aflæses?

Jeg er dig svar skyldig, men undersøger lige sagen. Aflæseren befinder sig midt i en "ælser" forsejlet urne. Kortene føres forbi læseren midt i urnen. Vi arbejder pt på flere forskellgie måder at føre kortene forbi læseren.

At indholdet af chippen umidelbart er krypteret øger bare kompleksiteten af det naive angreb til at man også skal have adgang til valgurnens indhold når afstemningen er afsluttet. Altså kan man i ro og mag pare borger og stemmeseddel under fintællingen.

Du kan ikke parre borger og stemme på noget tidspunkt. Kortet er ligeså anonymt som den stemmeseddel du får udleveret idag. Der er intet på kortet der henviser til den enkelte borger.

Grundlæggende set er jeg tilhænger af at vi ser på maskinlæsbare stemmesedler og metoder så borgeren kan få valideret sin stemmeseddel. Derfor vil jeg på ingen måde udråb denne slags afstemninger til en katastrofe på samme måde som alt det andet folk lægger i hatten 'digitale afstemninger'.

Helt enig!

/Mikkel

ælser = læser :)

I dag er det ikke muligt at spore en stemmeseddel tilbage til en vælger fordi alle stemmesedler bliver smidt ned i en forseglet valgurne

Hvordan kan vi være sikre på at dette e-valg bliver lige så hemmeligt?

Jeg går ud fra at RFID papkortet vil blive udleveret ved en eller anden form for fysisk (ikke-computer) randomisering?

Men selv i denne situation vil der formentlig eksistere en log med hvornår den enkelte vælger ankommer og stemmesedlen udleveres (det gør der måske allerede i dag, da man mange steder bruger computere i stedet for manuel afkrydsning som i de gode gamle dage).

Hvis der samtidig eksisterer en timestamped log med hvornår stemmerne bliver afgivet (aflæst i valgurnen), vil man kunne sammenholde de to logfiler og få en god ide om hvad den enkelte vælger har stemt. Lidt svarende til at man kunne åbne stemmeurnen hver gang der er lagt en stemmeseddel derned (det kan man ikke i dag fordi urnen er forseglet).

Kommentaren er inspireret af denne artikel:
http://www.freedom-to-tinker.com/blog/felten/e-voting-ballots-not-secret...

Så krypterings rolle er at forhindre/besværliggøre at udefrakommende aflæser RFID-kortet hvis du nu skulle komme tættere på end 5 cm eller have udstyr der er lidt mere fintfølende end forventet?

Er der egentlig en grund til at bruge RFID i stedet for en teknologi der kræver "kontakt" for at blive aflæst?

Arne

Jeg må indrømme, at jeg har meget svært ved at se, hvilken værdi en RFID chip bibringer til løsningen, som en printet stregkode ikke ville kunne løse.
Desuden introducerer den et 'usikkerheds moment' for vælgeren, som højst sandsynligt ikke er vant til den type teknologi. En stregkode derimod er folk vant til at bruge, f.eks. når de køber grønsager, eller frugt i deres supermarked, hvor de vejer en vare og printer en strejkode med pris informationen i.

// Jesper

I dag er det ikke muligt at spore en stemmeseddel tilbage til en vælger fordi alle stemmesedler bliver smidt ned i en forseglet valgurne

Hvordan kan vi være sikre på at dette e-valg bliver lige så hemmeligt?

Jeg går ud fra at RFID papkortet vil blive udleveret ved en eller anden form for fysisk (ikke-computer) randomisering?

Der er frit valg, hvis du hellere vil have et stemmekort midt i bunken, så tager du det.

Men selv i denne situation vil der formentlig eksistere en log med hvornår den enkelte vælger ankommer og stemmesedlen udleveres (det gør der måske allerede i dag, da man mange steder bruger computere i stedet for manuel afkrydsning som i de gode gamle dage).

Det findes allerede idag

Hvis der samtidig eksisterer en timestamped log med hvornår stemmerne bliver afgivet (aflæst i valgurnen), vil man kunne sammenholde de to logfiler og få en god ide om hvad den enkelte vælger har stemt. Lidt svarende til at man kunne åbne stemmeurnen hver gang der er lagt en stemmeseddel derned (det kan man ikke i dag fordi urnen er forseglet).

Urnen timestamper ikke. Netop for at undgå denne problematik. Ex. hvis man har et meget lille valgsted, ville det skabe store problemer. Endvidere shuffles de kryptogrammer urnen modtager.

I forhold til den nuværende valgmetode skal vi investere en masse penge i nye IT-systemer, der bruges mindre end en gang om året, og stemmesedler der består af pap og RFID vil sikkert også være dyrere end de nuværende stemmesedler.

Stemmerne skal stadig optælles manuelt.

Det bliver sværere at overbevise borgerne om at valghandlingen er hemmelig, som grundloven jo foreskriver.

Eneste fordel, som jeg kan se, er at valgresultatet er tilgængeligt kl 20:01 i stedet for ved midnat (eller ofte efter en time eller to med gode prognoser).

Umiddelbart vil min vurdering af dette være dyrere og dårligere. Vi skal ikke lave digitale valg bare fordi vi kan.

Forhåbentlig ikke tilgængeligt klokken 20:01.

Hvis der er kø på valgstedet kl 20:00 så får alle i køen lov at stemme - så vi må ikke kende resultatet før alle køer er afviklet på alle afstemningssteder.

Arne

Hej Jesper. Faktisk er stemmekortet m. RFID lidt billigere end den special fremstillede stemmeseddel, du får udleveret idag :) Det overvejes pt, om der også kommer en stregkode m, så man også kan lave en hurtig optælling denne vej.

Vi er 100% dedikerede til at lave "den gode løsning", at dette måske ikke kan lade sig gøre, kan også være en konklusion, men lad os nu se. En ting, som sjældent bliver diskuteret er, at det system vi har i dag langt fra er ufejlbarligt. Den største fordel ved det, er at vi generelt stoler på systemet. Vores indgangsvinkel har hele tiden været, at se om vi kan lave et elektronisk system, der også vil have legitimitet i befolkningen. Fint nok, hvis vi laver en legal valghandling efter bogen, men hvis vi ikke har den nødvendige tillid hos vælgerpopulationen, så kan det være ret ligegyldigt.

Ja, som overskriften antyder - så blev du rigtigt fuppet. Stemmen på RFID kortet, blev registreret forkert, og er nu havnet hos de røde. Opdagede du det?

Først, tak til Mikkel Svendstrup for at svare på vores spørgsmål, rart med mulighed for svar af teknisk karakter.

Jeg er ikke nogen haj til RFID, men er det ikke rigtigt at man kan skrive til RFID kort på afstand?
I så fald, er det så muligt med denne løsning at overskrive stemmesedlerne, enten før der kommer en stemme på kortet eller efter stemme-afgivelse?

Jeg forestiller mig et scenarie hvor en person overskriver alle stemmesedlerne med blanke stemmer (sabotage).

Først, tak til Mikkel Svendstrup for at svare på vores spørgsmål, rart med mulighed for svar af teknisk karakter.

No problem

Jeg er ikke nogen haj til RFID, men er det ikke rigtigt at man kan skrive til RFID kort på afstand? I så fald, er det så muligt med denne løsning at overskrive stemmesedlerne, enten før der kommer en stemme på kortet eller efter stemme-afgivelse? Jeg forestiller mig et scenarie hvor en person overskriver alle stemmesedlerne med blanke stemmer (sabotage).

Det er worm chips. Så hvis man skulle lave et eller andet i den dur, skal man ud i noget reverse oriented programming, og du vil stadig ikke kunne lave makromanipulation. Jeg har dog aldrig set eller hørt om et sådan scenarie i forbindelse med RFID. Det er udført som eksperiment på nogle bios.

Det er ganske rigtigt en tidligere version af vores system /Mikkel

En stor tak til Mikkel for hans deltagelse her. Jeg er dog ikke helt sikker på at vi er enige om hvad mit "angreb" går ud på. Lad mig derfor prøve at gengive det en hel del mere detaljeret.

Formål

• At opnå viden om hvad en konkret borger stemmer uden borgerens deltagelse.

Antagelser

• Visuel identifikation af borgerne er tilstrækkelig
• Når stemmesedlen afleveres indeholder den en unik aflæsbar token

Angreb

I det borgeren aflevere stemmesedlen kan en valgtilforordnet uden at vække opsigt komme tæt nok på stemmesedlen til at afleæse stemmesedlens token. Efter valghandlingens afslutning (for eksempel under en kontroloptælling) har en stemmetæller mulighed for samtidigt at aflæse stemmesedlens token og den udprintede stemme. Q.E.D.

Diskussion

Det relevante er ikke hvornår og hvordan den officielle aflæsning af stemmesedlen foregår eller hvordan tokens bliver genereret. Det eneste spørgsmål er om en uautoriseret aflæsning af stemmesedlens token kan finde sted.

Jeg tror at de omtalte 5 centimeter er afstanden hvor leverandøren vil garantere at chippen både kan læses og skrives fra med standardudstyr. Det vi har brug for er en garanti for at stemmesedlends token ikke kan aflæses fra større afstand med specialudstyr.

Udvidet angreb

Jeg antager at RFID chippens token indeholder selve stemmen således at der ikke er behov for anden kommunikation mellem stemmeboks og stemmetæller. Er det dokumenteret hvor meget information det kræves for at kompromitere denne kryptering? (Ikke nødvendigvis offentligt tilgængelig dokumentation)

Hvis vi tillige kan skrive til chippen kan vi lave en stemmeseddel der ikke kan maskinaflæses. Med visuel identifikation kan vi målerette dette angreb mod folk vi regner med at stemme på en bestemt måde. Hvordan mon det håndteres korrekt, hvor stort skal omfanget være for at falde tilbage på en manuel afstemning? (Spørgsmålet er nærmest ud i luften, ikke så meget til DemTech)

Kan vi generere tokens der ser valide ud, er systemet fuldstændig kompromiteret uden kontroloptælling.

Konklussion

Jeg vil foretrække et system hvor maskinaflæsningen er mere gennemskuelig. Det forudsætter nok at aflæsning (og skrivning) kræver kontakt, måske endda en visuel aflæsning.

Et system der basere sig på udbredt kontroloptælling giver ingen økonomisk gevinst. Muligvis vil det gøre valghandlingen dyere da der kræves en del hardware ud over en blyant og en plastikkasse. I så fald er gevinsten minimal.

I sig selv vil jeg ikke udtale mig om hvorvidt dette angreb er værre eller bedre end mængden af mulige angreb mod det nuværende system. Det er mere ment som en opfordring til at finde det værste angreb mod ethvert tænkeligt system. Det er vores eneste mulighed for at foretage en valid risikoanalyse.

Det kunne for eksempel også være interessant at foretage en sammenligning af konkrete angreb mod det eksisterende system. For eksempel, hvor let er det at smugle to stemmer ned i afstemningsurnen samtidigt?

ObXKCD

Det er en grundlæggende egenskab ved RFID'er at de kan aflæses på afstand. Efter min mening er løsningen ikke at undersøge hvordan vi kan skærme os imod at den egenskab bliver brugt til at kompromitere systemet. Løsningen er helt at fjerne denne ummidelbart unødvendige egenskab.

Er det virkelig nødvendigt at jeg finder den rette XKLCD-stribe frem? Nå pyt: http://xkcd.com/463/

Hvis stemmeafgivelse (som er skrevet på chip) er krypteret forsvarligt (dvs. den faktiske stemme + en eller anden SALT) er det vel i princippet ligegyldigt om den kan aflæses på afstand?

Sludder med SALT. Mente selvfølgelig at stemmen krypteres med random værdi så ingen genkendelse er mulig.

Jeg har lige en betænkning mere. Mikkel Svendstrup skriver tidligere i tråden at løsningen med RFID papkortet er billigere end den traditionelle stemmeseddel. Men hvis der er et stort strømafbrud på valgdagen, kan det være nødvendigt at stemme på den gamle måde og så er vi nødt til at bestille stemmesedler alligevel. Så jeg kan ikke se nogen besparelse der.
Eller vil man have nødgeneratorer ved alle stemmesteder?

Jeg kan som mangeårig valgtilforordnet ikke helt forstå, at man ikke laver en eller anden mellemteknologisk løsning som at skanne alle stemmesedlerne, således at alle de stemmesedler, som er umiddelbart læselige, tælles automatisk, og de resterende overdrages til manuel optælling.

Hvis danske spil kan lave elektonisk registrering af (mine gamle hærgede og genbrugte) lottokuponer, og man kan lave ocr af skrift, må man også kunne identificerer krydser på en stemmeseddel.

Dette ville bevare de let gennemskuelige stemmesedler, som alligevel skal fintælles, men det ville spare en masse tilforordnede en masse tid på valgaftenen.

På mit valgsted havde man i øvrigt indført skanning af valgkortet med en stregkode og en håndholdt pistol, således at der i stedet for 3 dedikerede valgborde á 3 tilforordnede kun var 2 á 2, med frit valg. Min kone og jeg valgte hver sit, så vi var helt igennem på mindre end ét minut, selvom jeg måtte vente nogle sekunder på en ledig stemmeboks.

Once again I am impressed and pleased with Version2 readers. I love the engagement I witness here.

One thing I want to make clear, as we have on the DemTech.dk homepage, is that the prototype kiosk-based e-voting system demonstrated just before and during the recent election is the fine work of DemTech industrial partners Aion and Siemens working together under the banner of Assembly Voting. As such, it represents there first experiments with what might be called a 3rd generation VVPAT kiosk-based e-voting system. It pre-dates the start of the DemTech project and DemTech research has not directly influenced its design or implementation.

We applaud our industrial partners work in such, as getting feedback from Danish voters about prototypes is indeed important work, and certainly we'll learn a lot from their experiments. We do expect that a future prototype developed by our partners will incorporate DemTech Open Source technologies.

Thank you to Mikkel for stepping up and engaging with Version2 readers.