Elektroniske valg - NU! (men kun i Estland)

Dejligt at se at de også i Estland husker at lave MS lock-in ved at basere det på ActiveX.

EDIT: Jeg ser i afhandlingen at det kan køre på Win, Mac og Loonix, men at det bare er i Windows-versionen man har valgt at køre ActiveX for at tvinge Windowsbrugere til at bruge IE ... ?

Et i virkeligheden enkelt og smart setup, som sikrer, at den enkeltes stemme er hemmelig, at man ikke kan købe og sælge stemmer ...

Sludder. Så snart der kan være andre til stede under valghandlingen er der mulighed for at tvinge folk til at stemme på en bestemt måde. Efter man har købt folks stemme tager man bare deres borgerkort i pant indtil valghandlingen er overstået, og vupti. (Så jeg er overraskende nok uenig i afhandlingens konklusion på side 74.)

Hemmelig afstemning i enrum er vejen frem.

Jeg ser din kandidatafhandling og forhøjer med Rivests ThreeBallot: http://people.csail.mit.edu/rivest/Rivest-TheThreeBallotVotingSystem.pdf

Prøv at få henholdsvis den gennemsnitslige ester (?) og den gennemsnitslige dansker til at forklare hvordan deres respektive valghandlinger opfylder de demokratiske krav til sikkerhed for valghandlingens udførelse.

Jeg tror at det er meget få estere der i den beskrevne løsning kan beskrive hvordan de kan være sikre på at deres temme ikke bliver 'aflyttet' og hvordan de kan sikre sig at deres stemme bliver talt med.

ARRRGGHHHH!!!!

Svaret på dit spørgsmål findes i de utallige tidligere tråde hvor det har været diskuteret.

Det handler, for mig, om noget så simpelt som tillid til valghandlingen.

Jeg har absolut ingen måde at kontrolere et elektronisk valg på. Som det er nu, er det meget gennemskueligt og og det er muligt at se stemmesedlerne og selv tælle efter. Alt det vil forsvinde og dermed min tillid til systemet.

Demokratiet er for vigtigt at overlade til programmører.

Dedt er da muligt at andre borgere ikke kan snoope afstemningen, men staten ved med sikerhed hvad hver enkelt borger endte med at stemme.

Derfra er der ikke ret langt til at beslutte hvad de skulle have stemt og stemme for dem.

Hvis det er for besværligt med traditionelle valg, så afgør da resultatet med lodtrækning i stedet

Et af de største demokratiske problemer i dagens Danmark er da efter min mening den lave valgdeltagelse.

Fuldstændig enig, men at det er det største problem skyldes udelukkende at vi ikke har E-valg.

Så vidt jeg ved har vi netop i DK en meget høj valgdeltagelse. Og hvis den er lav, så skal den ikke øges via et teknologisk fix, som forøger risikoen for manipulation.

Ud med e-valg - måske undtaget i stemmeboksen til hjælp med optællingen.

PS. om stemmekøb / stemmetvang: Er det ikke også en risiko for at folk kan sælge deres stemme ved, som dokumentation, at tage et billede af stemmesedlen med krydset mens de er i stemmeboksen? Eller kan blive tvunget til at stemme noget bestemt af andre? ("du får tæsk hvis du kommer hjem uden et billede af et kryds ud for liste ___"?)

Er det ikke også en risiko for at folk kan sælge deres stemme ved, som dokumentation, at tage et billede af stemmesedlen med krydset mens de er i stemmeboksen?

Man kan altid gå ud til de valgtilforordnede (efter man har taget billedet, fx.) og sige "jeg satte krydset forkert, må jeg bede om en ny stemmeseddel?"

Version2 skrev i øvrigt i november om hvorfor vi ikke har digitale valghandlinger i Danmark (her dog primært elektroniske stemmemaskiner og ikke valg over internettet).

http://www.version2.dk/artikel/8981-hollandske-erfaringer-bremser-e-valg...

vh.

Jesper
Version2

Et af de største demokratiske problemer i dagens Danmark er da efter min mening den lave valgdeltagelse.

Til dels enig, men kun sålænge vi betragter den lave valgdeltagelse som et symptom. Det interessante spørgsmål er hvad den bagvedliggende årsag er?

Jeg tror ikke at det reelle problem er at det er besværligt at afgive sin stemme. Jeg mener at det egentlige problem er at folk er uinteresserede og det vil en evalgløsning ikke løse.

Til dels enig, men kun sålænge vi betragter den lave valgdeltagelse som et symptom. Det interessante spørgsmål er hvad den bagvedliggende årsag er?

Det er du da forhåbentlig ikke i tvivl om Peter: Brød & Circus

Med så rigelig og kompetent levering Junkfood og Reality-TV, er der ingen synderlige motivationer for at gå til stemmeurnerne, hvis man ikke kan komme til at lave om på noget man føler ville gøre en forskel.

Poul-Henning

Demokratiet bygger på at:

Alle har éen stemme.
Alle stemmer anonymt.
Og at stemmerne optælles på en måde, således det er overskueligt, at de er sammentalt korrekt. Som eksempel, kan sammentælningen gøres, af udvalgte fra forskellige politiske partier - den må ikke foretages af et enkelt parti alene, eller en computer, programmeret af softwarefolk fra computerekspertpartiet. Med andre ord, skal det bygge på forskellige sammenlægninger, der tilsammen er godkendt, af de politiske partier.

Desvære lever elektroniske valgsystemer ofte ikke op til disse krav, og de kan ikke bruges i et demokratisk land. Skal et elektronisk valg indføres i et demokratisk land, skal man sikre sig, at valget sker anonymt, og at stemmeoptældningen gøres på en måde, så samtlige partier godkender denne. I praksis, er dette aldrig set, da dem der udvikler maskinerne ikke ønsker at offentliggøre deres talsystemer, og tællemetoder. Der anvendes ikke systemer, så flere uafhængigt udviklede maskiner, optæller stemmerne, og skal opnå præcis samme tal.

I praksis, kunne man anvende et anonymiseret system hvor alle borgerne har et anonymt valgnummer, og føre valgbøger som i gamle dage, hvor der kan ses hvor etvhert valgnummer har stemt. Enhver, kan derved tjekke sin stemme i valgbøgerne, og tjekke, at valgbøgerne er sammenlagt korrekt. F.eks. kan de downloades samlet på Internet, for hele landet, i tekst format, eller lign, hvor brugeren har mulighed for at lave en sammenlægning f.eks. i forskellige regneark programmer, og se at dem stemmer overens og passer. De elektroniske valgsystsemer som eksisterer rummer dog ingem mulighed for brugerkontrol - end ikke kontrol fra de politiske partier.

Jeg synes debatten trænger til, at vi definerer hvad vi mener med E-valg. For at vælge nogle grove kategorier er der den estiske version, hvor man stemmer over internettet. Og så er der den anden, f.eks. VVPAT, hvor elektronikken bliver i stemmelokalerne.

I den første version mener jeg ikke man kan sikre, at valghandlingen foregår i enrum.

Den sidste version mener jeg ikke kan forsvaret økonomisk i forhold til den måde vi stemmer på i Danmark.

Det er du da forhåbentlig ikke i tvivl om Peter

Nej, det var et retorisk spørgsmål.

I praksis, kunne man anvende et anonymiseret system hvor alle borgerne har et anonymt valgnummer

Hvem udsteder numrene? Hvordan sikrer man sig, at folk ikke ødelægger valget ved at oplyse et forkert nummer, når de afgiver deres stemme?

I praksis, kunne man anvende et anonymiseret system hvor alle borgerne har et anonymt valgnummer, og føre valgbøger som i gamle dage, hvor der kan ses hvor etvhert valgnummer har stemt

Hvordan vil du bryde sporbarheden fra valgnummer til CPR?

I dag brydes denne ved at du afleverer dit papir-valgkort og får udleveret en unummereret stememseddel, som du evt kan få ombyttet efter behov

Netop! I stedet for kongerøgelset (som jo alligevel kun er et PR stunt) skulle vælgerne have haft mulighed for at stemme på deltagerne i Paradise Hotel. Så ville de unge vælgere jo strømme til valgurnerne.

"Et af de største demokratiske problemer i dagens Danmark er da efter min mening den lave valgdeltagelse. "

Det er et dogme udbredt af politikerne, som gerne vil have bekræftiget deres magtposition (og også få mere i tilskud), at demokratiet bedre, når der er høj valgdeltagelse.

I mine øjne er det et dogme. Folk burde derimod holde sig væk, når de ikke har andre kriterier for deres stemme, end hvem der gør sig bedst på TV.

Netop! I stedet for kongerøgelset (som jo alligevel kun er et PR stunt) skulle vælgerne have haft mulighed for at stemme på deltagerne i Paradise Hotel. Så ville de unge vælgere jo strømme til valgurnerne.

Det er faktisk næsten forsøgt her i England til EP-valget. I valgkredsen Southwest, hvor jeg kunne stemme, var der dels en uafhængig kandidat, som var kendt fra reality-v, dels opstillet partiet Jury Team, hvor alle kandidaterne var valgt gennem afstemning på nettet og via SMS.

Et relateret koncept var WAI D, hvor kandidaterne ikke på forhånd havde udtrykt en politik, for de ville i stedet oprettet et website, hvor de så i alle spørgsmål ville stemme, som flertallet af websitets brugere ønskede.

Heldigvis blev ingen af ovennævnte valgt ind.

I mine øjne er det et dogme. Folk burde derimod holde sig væk, når de ikke har andre kriterier for deres stemme, end hvem der gør sig bedst på TV

Jeg er ikke utilbøjelig til at give dig ret.

Og netop muligheden for lige at kunne fyre en hurtig stemme af hjemmefra vil nemt kunne forøge mængden for stemmer med udgangspunkt i ren populisme frem for baseret på reel politik.

Ja, så kunne vi holde alle pensionisterne væk, de stemmer jo alligevel på noget helt forkert.

Jeg tror vi er ved at bevise, at E-valg er et problem, som ikke trænger til at blive løst. Vi har masser af andre udfordringer i vores demokrati.

Anne-Sofie:
==
Ang. at "stemmekøbere" kunne tage folks borgerkort i pant for at forhindre dem i at stemme igen, så har du ret, men jeg tror nok også, at det vil være en større barriere for en "stemmesælger" at skulle aflevere sit borgerkort til en kriminel.
==

Så stjæler man deres borgerkort.

Eller man kan presse sin ægtefælle/børn/ansatte til at stemme noget bestemt og så checke at de ikke er online eller smutter til valgstedet på valgdagen.

Peter:
Ja, det kan sikkert være et problem, at man kan tvinge vælgere til at tage et billede af stemmesedlen. Jeg har engang som tilforordnet stoppet en mand fra at tage et kamere med ind i boksen - han sagde at han var fotograf og journalist. Men med kameraer i mobiltelefoner, er det jo svært at checke. I det mindste kan kan man jo gøre stemmesedlen ugyldig efter at man har fotograferet den.

Hvordan vil du bryde sporbarheden fra valgnummer til CPR? I dag brydes denne ved at du afleverer dit papir-valgkort og får udleveret en unummereret stememseddel, som du evt kan få ombyttet efter behov

En manuel verifikation af at nummeret er tilfældigt, og at det ikke kendes af det offentlige eller andre så det kan tilknyttes personen, er nemmere at håndtere, end at tjekke softwaren i moderne stemmemaskiner.

Jeg forestiller mig som eksempel et system, hvor et bestilt antal kort, som skal sendes til alle stemmeberettigede borgere med numrene på, bestilles hos en uafhængig producent. Denne producent, producerer "kortene", så de hænger samme to og to, og med halvdelen af nummeret i hver del. Numrene skal placeres i konvolutter, så de ikke kan ses - på samme måde som PIN numre. Når konvolutterne, der hænger sammen to og to, og kan afrives, sendes til det offentlige, har det offentlige ingen kendskab om nummeret i konvolutten. Virksomheden, som producerer dem, har ingen kendskab til navnene som trykkes på dem.

Når det offentlige får dem trykkes alle navne to gange - éen på hver konvolut, hvorefter de afrives, så de kan sendes i to omgange. Det er vigtigt, at konvolutterne "blandes" så de ikke er i et system, inden de får trykket navn og addresse på, fra CPR registeret, og det må ikke udefra, på nogen måde, kunne identificeres indholdet. Hellerikke udfra skjulte data såsom vægt, f.eks. af tryksværten.

Det siger sig selv, at et sådant system, er ligeså svært at garantere tilfældigheden for, og anonymiteten for, som de tilfældige numre i lykkelotto. Men, det er muligt at opnå, på en overbevisende måde, som kan tjekkes og indspiceres, f.eks. af personer fra de politiske partier. Dertil, kan de også medbringe egne eksperter, der skal kontrolere eventuelle sikkerhedsbrister.

Det offentlige, skal naturligvis have kendskab til alle numrene, som har været brugt, for at kunne tjekke dem ved valget. Men de vil ikke vide hvem de tilhører, da numrene er givet tilfældigt, og virksomheden der har trykket konvolutterne ikke kender til navne, og ikke trykker navne på konvolutterne. At trykke de "hemmelige konvolutter", med de "hemmelige numre", er en adskildt process fra at få trykket navnet.

I praksis, vil man skulle trykke nogle få ekstra "kort", i tilfældet af at nogle forsvinder i posten. Sendes de to halvdele med 14 dages mellemrum, og modtages den første halvdel ikke inden f.eks. 7-8 dage, skal man give besked, således den anden halvdel ikke sendes. Eventuelt, kan numrene være så lange i de to konvolutter, at det er muligt at fjerne et nummer, på baggrund af det ene nummer alene. Det betyder, at hvis den ene halvdel modtages, men ikke den anden, kan den erklæres ugyldigt, og man må hente/eller få tilsendt, et nyt nummer i to halvdele.

Ligesom ved lykkelotto osv. vil man altid kunne sætte spørgsmål ved, om det offentlige kender numrene. Den eneste sikkerhed er kontrolører, og eksperter, tilknyttet de enkelte partier, som skal sige god for systemet.

Det er vigtigt, at et system, er så "gennemskueligt", at det kan gennemskues af læ-mand, og ikke kræver ekspert programmeringsviden mv. Selvom de politiske partier, måske kan "købe" en sådan ekspert viden, er det langtfra sikkert, at den er saglig, og kritisk nok, og risikoen for at være for kritisk, så alt software har fejl, eksisterer også. Systemet skal altid være så simpelt, at det kan gennemskues af en med kun 7. klasses afgangsklasse i matematik, og må ikke behøve ekspert kundskaber. Naturligvis, må partierne medtage en ekspert, hvis de ønsker det, for at kunne se om der kan være huller, de ønsker at en ekspert skal kunne belyse.

Ved at offentliggøre valgbøgerne, med de anonymiserede numre, og muliggøre at alle kan tjekke deres nummer og sammenlægningen, har man en vis sikkerhed mod snyd fra computerens side.

På trods af, at valget skulle være anonymt, er altid risiko for at anonymiteten brydes, ved at der anvendes en normal telefon, en mobiltelefon der også har været anvendt som normal telefon og derfor kan identificeres til at tilhøre en bestemt person udfra telefonenens skjulte indbyggede identitetsnummer, og ved en internet forbindelse, måske på baggrund af IP numre, og andre oplysninger, der kan afsløre personens identitet. Her kan man næsten kun opnå anonymitet, ved at brugeren også selv tænker lidt på anonymiteten, hvis de ønsker stor sikkerhed - f.eks. ved at bruge en tilfældig mønttelefonboks til afstemning, at bruge en bibliotekscomputer der ikke kan spores til at tilhøre en bestemt person, at anvende en mobiltelefon med taletidskort, hvor telefonen kaseres efter brug, og ikke har været brugt til ikke anonymt formål, osv. Så selvom systemet, måske grundlæggende er anonymt, kræver det stadigt at man passer på, at nogle ikke "ser" hvor man stemmer, og at man ikke anvender telefoner, der kan "spores" til at tilhøre en.

En anden mulighed, er at der udvikles en simpel metode, baseret på en simpel protokol, f.eks. hvor flere taster paralleltkobles, og sendes til to uafhængigt fremstillede computere, og hvor den ene får det negerede input, og den anden det normale input, og herudfra skal begge computere afgive eksakt samme resultat. Tasten, kan f.eks. være dobbeltpolet, med både negeret og ikke negeret ud for hver pol (6 forbindelser), således at hver tast går til hver computer, som henholdsvis negeret og ikke negeret på den anden. På den måde, vil begge computere kunne se, hvis f.eks. den ene pol svigter. Måske kan computerne også have lov at tænde en "fejl lampe", som går videre til den anden, og derved kasserer stemmen. Fejl lampen, skal naturligvis være sikker, og afprøvet, samt må ikke være en type der kan springe.

Et system, bestående af to uafhængigt udviklede fabrikaters valgmaskiner, er meget mere sikker, end et system, bestående af en enkelt udvikler, der har opnået "ene aftale", med det offentlige. I lande som USA, kan hvert af de to partier, selv vælge hvilken valgmaskine der skal bruges. I så fald, vil det minde om ordentligt demokrati.

Dertil, kan man så måske sætte krav til at kende software mv. Men, dette kan eventuelt være op til partierne, om de vil acceptere en valgmaskine der ikke har offentliggjort software.

Systemet skal altid være så simpelt, at det kan gennemskues af en med kun 7. klasses afgangsklasse i matematik

... hvorefter du begiver dig ud i en mindre afhandling. Hvorledes mener du, at dit forslag er:

• mere gennemskueligt
• billigere
• mere brugervenligt
• mere sikkert

end det nuværende system?

Vi skal vist snart have en E-valg udgave af http://craphound.com/spamsolutions.txt

Hvis man har så store ressourcer, at man kan forhindre et antal mennesker i at dukke op i stemmeboksen på valgdagen, så har man jo også ved et almindeligt (ikke-elektronisk) valg mulighed for at forhindre oppositionen i at stemme.

Men hvem ved hvem oppositionen er, når stemmen er hemmelig? Hvis man endelig vil påvirke en stemmeseddel er det jo bedre at tvinge nogen til et bestemt kryds frem for at tvinge dem til ikke at stemme. Vi er enige i, at sandsynligheden for massiv valgsvindel på denne måde er usandsynlig, men jeg synes du glemmer den enkeltes ret til at afgive sin stemme i enrum og uden mulighed for pression.

Hvorledes mener du, at dit forslag er: * mere gennemskueligt * billigere * mere brugervenligt * mere sikkert end det nuværende system?

Det er meget svært, at hamle op med det nuværende system. Mit svar, var kun på, om det var muligt med et anonymiseret valgsystem, og at dette trods alt er mere overskueligt og verficerbar uden stor ekspertviden, end en elektronisk valgcomputer.

Det nuværende system, er på mange måder utroligt sikkert: Det rummer redundans (flere optællinger, der gøres både manuelt og af maskine). Dette i modsætning til f.eks. amerikanske valgmaskiner, der ikke kører parallelt, eller har redundans med andre fabrikaters maskiner, eller noteret resultatet på papir. Der er fuld anonymitet, som sikres på en meget overskuelig måde, ved du får en "anonym" valgseddel ved valgbordet. På alle måder lever det nuværende papirbaserede system op til såvel anonymitet, som sikkerhed, og nuværende elektroniske valgsystemer, har ikke nået et tilsvarenden niveau. Mange "glemmer" anonymiteten som parameter - og andre "glemmer" redundansen, og giver ikke mulighed for en adskildt optælning af flere uafhængige maskiner. Mange elektroniske systemer, har dele der er ens ved afstemningen, og ikke er redundant. Og langt de fleste, glemmer enhver form for sikkerhed: Ingen anonymitet, du starter med at fortælle hvem du er og signere dig digitalt. Ingen redundans og fejlsikring: Samme program, og producent har eneret på at sammentælle stemmer. Ingen mulighed for valgindspektion: Producenten af maskinen, anvender lukket source, og du får ikke lov, at få adgang til, eller kendskab til maskinens funktion og indhold. Alligevel, kaldes sådanne valg demokratiske...

Det jeg forsøger at illustere er, at det nok er muligt, at lave sikre valgmaskiner, der tilbyder såvel anonymitet, som stor sikkerhed, der på nogle måder, måske endog er større end idag. De "maskiner" som er bygget, synes dog langtfra at have dette som "koncept". Konceptet, synes at forbyde enhver adgang til at vide hvordan sammenlægningen foregår og lukke muligheden for valgkontrolørers adgang til maskinen og til indspektion af dens hardware og software. At enhver skal starte med at oplyse om hvem man er og derved få "udfaset" anonymitet. At enhver form for sikkerhed, ved at sammenlægningen foretages af forskellige parter, udelukkes - og at sikre, at sammenlægningen kun foretages af en enkelt "leverandør". På alle måder, at sabotere enhver form for demokrati, som vi oprindeligt har lært det. Og så påstå, at det er "meget bedre"!!! Selvom elektroniske valgmaskiner, kunne have søgt bevaret de egenskaber som vi forstår ved demokrati, og demokratiske valg, så ser ud til at de søger at bruge diktatorers deffination på demokrati, og vil ændre vores valg, til at kunne styres af diktatur uden vor viden.

På alle måder, synes elektroniske valgmaskiner, at gå i det meste computersoftwares fodspor: At sabotere vores samfund synder sammen, at lave om på begreber så forståelsen af sikkerhed redeffineres, og at anonymitet forstås, som at man starter med at angive sin digitale signatur. Det som engang var sikkert, skal man nu kan så tvivl om er sikkert, og herefter gøres det usikkert, og bevises at det aldrigt har fungeret. Meget computersoftware er et politisk forsøg, på at undergrave vores samfund, og ødelægge det, for at kunne overtage det.

På samme måde, er det med elektroniske valg. Formålet, er, at kunne overtage styringen, af et skjult diktatur, der gemmer sig bag elektroniske firewall's og hvor sikkerhed og anonymitet, ikke betyder befolkningens sikkerhed og anonymitet, men diktatorens sikkerhed og anonymitet, og hvor godt de er beskyttet, bag de elektroniske firewalls og "anonymiseringsteknikker".

Det er muligt - hvis man vil - at lave elektroniske valg, der har stor sikkerhed, og hvor befolkningen har mulighed for at tjekke resultatetet, og at bevare anonymiteten. Netop fordi, at vi ved dette er muligt, ved vi også, at det ikke er det som ønskes opnået, når det ikke er det "man gør". Det er ikke fordi man er dumme - det er fordi, at man ønsker at overtage styringen, og at indføre diktatur. Ikke et diktatur, med en normal synlig diktator - men et moderne diktatur, med en skjult diktator, som ikke kan opdages og findes, men som alligevel har overtaget alt computersoftware og styring. Og "føjer" man ikke denne anonyme diktator, er fanden måske løs - overalt hvor der anvendes computere.

Selvom vi måske går ind for computere, og synes de kan gøre meget godt for menneskeheden, står vi ved det punkt, at på grund af normale menneskers dumhed, så er måske bedst at kasere alt teknologi, der indeholder computere. For det er overtaget - eller vil blive overtaget - af en skjult diktator, og befolkningen mister sin frihed.

Et af de største demokratiske problemer i dagens Danmark er da efter min mening den lave valgdeltagelse.

Jeg må indrømme at jeg mere ser den høje valgdeltagelse som et problem. Hvad er der godt ved at halvdelen af alle stemmer kommer for folk der ikke har sat sig ind i hvad de stemmer på? Så hellere en valgdeltagelse på 50% hvor folk ved hvad fanden de egenligt har stemt på.

==
Hvis man har så store ressourcer, at man kan forhindre et antal mennesker i at dukke op i stemmeboksen på valgdagen, så har man jo også ved et almindeligt (ikke-elektronisk) valg mulighed for at forhindre oppositionen i at stemme.
==

Så store ressourcer kræver det ikke. Mange valg af fx kandidates afgøres men en margin på få hundrede stemmer. Så skal man bare være en lille gruppe, der alle presser deres familie til at stemme "rigtigt". Eller en arbejdsgiver, der giver sine ansatte en bonus for at stemme på ham og checker, at de ansatte bliver på arbejdspladsen, hvor internettet ikke virker den dag. Eller en leder på et plejehjem, der hjælper beboerne med at stemme og arrangerer en udflugt til Malmø på valgdagen, eller bare sørger for at handicapbilen er punkteret.