70.622 nordmænd stemte over internettet - men sikkerheden får kritik

Ved stortingsvalget i Norge valgte over hver fjerde at stemme hjemmefra over internettet i et e-valgsforsøg. Men sikkerheden er under beskydning, og usikker kryptering måtte rettes op midtvejs igennem valget.

Mens e-valg blev skudt ned af et flertal uden om regeringen i Danmark i marts måned, har nordmændene kastet sig over muligheden. Til det netop afholdte valg kunne borgerne i 12 kommuner således vælge at stemme over internettet, og det tilbud tog 28 procent af de stemmeberettigede imod. Mere præcist valgte 70.622 nordmænd at stemme hjemmefra, via en computer og internettet og med MinID, Norges svar på NemID, i hånden.

Læs også: Norge gør klar til e-valg: 250.000 kan stemme til Stortingsvalg via nettet

Men søndag - efter fristen for internetstemmer udløb fredag aften - blev der igen rejst kritik af løsningen, denne gang fra en schweizisk professor, som deltog ved et seminar om e-valgsforsøget. Det skriver Teknisk Ukeblad.

Når en stemme var blevet afgivet via internettet, modtog vælgeren en sms-kvittering med en kode, der kunne bruges til at stemme igen senere og ændre stemmen. Men den form for to-faktor-sikkerhed er ikke nok, mente professor Reto E. Koenig, som forsker i e-valg på Bern universitet.

Bliver e-valg brugt i stor skala, vil en hacker kunne gå efter både borgernes computere og deres telefoner, så sms’en med kode kan blokeres, når hackeren stemmer igen. Det kan ske ved at lave falske basestationer for telefonerne, eller mindre krævende ved at hacke en smartphone og sørge for, at sms’en aldrig bliver vist, lyder vurderingen.

Allerværst er det, hvis en smartphone eller tablet med telefonfunktion bliver brugt også til at afgive stemmen, for så er to-faktor-sikkerheden forsvundet, lød advarslen. Se hele seminaret og oplægget.

Usikker kryptering afsløret undervejs

Tirsdag den 3. september, få dage før e-valgets afslutning om fredagen, viste det sig, at krypteringen af stemmerne i valget, som havde kørt siden 12. august, havde været usikker, skriver Teknisk Ukeblad. En ny, mere effektiv kryptering med en bedre tilfældighedsgenerator blev derfor indført i al hast samme dag, men de 44.000 stemmer, som allerede var afgivet, var altså stadig kun beskyttet af en svag kryptering.

Problemet blev opdaget af Computas, som er hyret til at kontrollere sikkerheden i valget, og fejlen lå hos den spanske leverandør af it-systemet til e-valg, Scytl, som tidligere har fået kritik for at levere ’spaghettikode’, som er svær at overskue og sikkerhedsgodkende.

Læs også: Norske e-valg kritiseres for sikkerhedsbrøler i kildekoden

Den tekniske leder af e-valgsforsøget, Christian Bull fra de norske valgmyndigheder, siger til Teknisk Ukeblad, at fejlen ’utvivlsomt er svært kedelig, men ikke en katastrofe.’ Stemmerne bliver nemlig uanset svag kryptering ikke behandlet på en måde, så det er muligt at se, hvad folk har stemt, lyder forklaringen. Der er heller ingen tegn på uregelmæssigheder i systemets logs.

Internetvalgrådet, som består af både folkevalgte medlemmer og eksperter, tog sagen op, og kryptolog Håvard Raddum anbefalede, at alle afgivne stemmer indtil da skulle slettes og afgives på ny. Det forslag blev dog nedstemt. Hans begrundelse var, at man ikke skulle risikere mistillid til resultatet, men han forstår også godt resten af rådets beslutning, forklarer han.

Ud over at fejlen i krypteringen blev rettet op, er sikkerheden i e-valgs-forsøget også blevet skærpet ved at begrænse den fysiske adgang til serverne. Tidligere havde 10-12 personer adgang, men det blev begrænset til to til tre personer, som kun har adgang sammen med en vagt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Jakobsen

Når jeg læser overskriften, kan jeg ikke lade være med at tænkte på hvilke muligheder USAs NSA eller andre landes tilsvarende tjenester har for at påvirke en e-valgshandling. Artiklen beskriver f.eks. svag kryptering, men man kunne nemt forestille sig at ikke en gang "stærk" men dårligt implementeret kryptering kunne forhindre efterretningstjenester snagen, eller måske endda påvirkning af valgresultatet.

Jeg synes det kunne være interessant hvis V2 borede lidt i dette tema. Både hvilke muligheder NSA m.fl. faktisk har i forhold til at aflure/påvirke vores valg hvis man antager at Snowdens afsløringer er korrekte, men også hvordan vores politikere forholder sig til emnet.

Finn Christensen

at vi kan havne i samme omgang klamp, fusk og naiv organisering her i Danmark.
Godt vi fik aflivet tanken om eValg herhjemme - det er ikke modnet endnu.

  • Usikker kryptering konstateres under valghandling
  • spanske leverandør med ’spaghettikode’, svær at overskue og sikkerhedsgodkende
  • nægter at slette allerede usikre afgivne stemmer + genafstemning (begrundelse - sår mistillid til resultatet)
  • begrænse fysiske adgang til serverne - før 10-12 personer til 2-3 personer i følge med en vagt

Især denne "nægter at slette allerede usikre afgivne stemmer + genafstemning, da det sår mistillid til resultatet", det fortæller om hele problemet i en nøddeskal. Hvor mange fejl-/usikre stemmer må der tilgå serverne og resultatet, før der kræves ny afgivning af stemmer ?

På landsplan er 44.000 alt alt for mange og selv 10 gange færre (4.400) stadig alt for mange i min optik.

Finn Aarup Nielsen

"men det blev begrænset til to til tre personer, som kun har adgang sammen med en vagt."

Er vagten IT-kyndig så han kan vurdere om system-administratoren foretager sig noget ureglementeret?

Der er historien om vagtmanden der klagede over at de ansatte ikke havde lukket døren, - for så kunne der jo komme tyve ind i bygningen. I virkeligheden var det tyvene der havde åbnet døren og stjålet apparater, men det havde vagtmanden ikke fattet. :-)

Joseph Kiniry

As soon as Norway's code drop happens DemTech will be doing some analysis. From what I have heard, given that we had observers at the election in Norway, the problem came down to a single JavaScript statement being put in the wrong place in the code (initialization inside vs. outside of a loop). This needs to be confirmed by looking at the actual code in question. Regardless, it shows how a single error in a software system of over 250K lines of code can violate the most fundamental principles of the democratic process.

Log ind eller Opret konto for at kommentere