Alvorlig fejl fundet i schweizisk valgsystem

Illustration: TAlex/Bigstock
Krypteringsfejl i elektronisk valgsystem har teoretisk gjort det muligt at fifle med stemmerne til et eventuelt valg i Schweiz.

Systemejeren af det schweiziske valgsystem har i princippet kunnet udskifte samtlige stemmer, uden at systemet forhindrede det. Det skriver DR.

Ifølge en redegørelse fra Swiss Post, det schweiziske postvæsen, som også står for landets elektroniske valgsystem, var fejlen var allerede identificeret i 2017. Den var dog ikke udbedret fuldstændig af udvikleren Scytl.

Fundet af sikkerhedsbristen er resultat af, at Swiss Post har fået gennemført en sikkerhedstest af systemet.

Ifølge Swiss Post tillader fejlen, at man kan fuske med stemmerne, men der er intet i fejlen, som gør det muligt at infiltrere det elektroniske stemmesystem.

Swiss Post havde bedt leverandøren, Scytl, om at udbedre problemet, da man fandt det første gang i 2017, og beklager, at det ikke blev løst til fulde. Leverandøren er endnu en gang blevet bedt om at udbedre fejlen.

Det mener de at have gjort, således at den næste opdatering kommer til at rette sikkerhedshullet.

Universalt verificerbar

Egentlig burde stemmesedler ikke kunne forfalskes, men samtidig skal den enkelte stemme i princippet være hemmelig. På præcis samme måde, som når man til et dansk valg smider sin anonyme stemmeseddel i en stemmeurne.

Det schweiziske valgsystem er da også designet med henblik på at være en hemmelig afstemning, men med et krypteringsstystem, som skulle verificere, at der ikke er fiflet med stemmerne.

Derfor anvender det schweiziske system en krypteringsalgoritme kaldet et Bayer-Groth Mix-netværk. Hele pointen er, at en mængde afsendere kan sende krypterede meddelelser (krypterede stemmer) gennem et mit-net, hvor de blandes og kommer ud i tilfældig rækkefølge. Typisk lader man adskillige mix-servere skiftes til at blande meddelelserne, for at man ikke at kan spore, hvem der har afgivet hvilken stemme.

Udfordringen er, at en kompromitteret mix-server i teorien kunne spytte falske meddelelser, eksempelvis stemmer på en specifik kandidat, ud i mikset, og at dette derefter ikke kan spores. Derfor er det vigtigt, at tilfældigheden og beskedernes rigtighed kan verificeres, men det kan de ikke i den algoritme, som systemet hidtil har brugt. Desværre har der været fejl i krypteringalgoritmens kildekode, som derfor ikke virkede som tiltænkt.

Derfor kunne »Universal verificerbarhed ikke garanteres under stemme-processen, hvilket betyder, at potentielle forsøg på at manipulere stemmer ikke kunne modbevises hinsides al tvivl,« skriver Swiss Post

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Bruce Schneier har en god kommentar om e-voting generelt: https://www.schneier.com/blog/archives/2019/03/critical_flaw_i.html

Det er ikke et problem med en kendt løsning men selv hvis det var ville det være en dårlig ide. Hvordan skulle man overbevise danskerne om at algoritmerne var i orden, at maskinerne var rigtigt produceret (uden snydefirmware), etc.? 0,01% af befolkningen ville forstå det. Pludseligt kunne vi stå med en taber ved valget som opildnede sine tilhængere til at tro at valget var svindel (uanset om det var eller ej). Uden at kunne gøre noget ved det.

Hold det op mod et manuelt folketingsvalg. De valgtilforordnede vil lægge mærke til hvis mange kommer for at stemme som ikke er på listerne (dvs. hvis der er pillet ved valglisterne). De kan se om den de giver stemmesedlen også er den der stemmer. De kan se stemmesedlen blive puttet i valgurnen. De kan overvåge at der ikke bliver pillet ved valgurnerne. De kan overvåge og deltage i optællingen. Og når tallene er rapporteret ind til indenrigsministeriet, så kan de næste dag tjekke at de er korrekte og at de er lagt rigtigt sammen. Det eneste svære ved det danske valgsystem er D´Honds metode og den kan man lære børn i 6. klasse.

Karl Lausten

Jeg skal ikke forsvare den schweiziske løsning. Men som en der hver gang skal møde ind kl. 07 og blive på valgstedet indtil, vi er færdige med at tælle op omkring midnat, vil jeg have lov at antyde, at optællingsdelen i det danske system er ganske og aldeles forældet. Det må og skal kunne automatiseres.
Jeg tænker, at vi kan udlevere en tilfældig valgt polet efter kontrol af valgkortet, hvorefter vælgeren med sin polet får adgang til en boks med en stemmemaskine. Poletten skal bruges før, vælgeren må forlade boxen. I kraft af, at der ikke er registreret en sammenhæng mellem den udleverede polet og vælgeren, vil det ikke umiddelbart være muligt at forbinde den afgivne stemme med en bestemt vælger.
Optællingen kan klares maskinelt på få minutter efter at klokken har passeret 20, de valgtilfordnede kan få fri efter 13 -14 timers arbejde i stedet for efter 17 - 19 timer, og politikerne kan komme i gang omkring kl. 21 med de forhandlinger, der jo ellers først sker efter midnat, hvor alle er for trætte til at træffe velovervejede beslutninger.
En væsentlige svaghed ved løsningen gælder de mindste valgsteder, hvor der kan være tidsmæssigt langt mellem vælgerne. Her vil der være risiko for, at man knytte tidsstemplet på den afgivne stemme sammen med tidspunktet for kontrollen af valgkortet. Det må man kunne forhindre med en teknisk løsning.

Michael Cederberg

Jeg tænker, at vi kan udlevere en tilfældig valgt polet efter kontrol af valgkortet, hvorefter vælgeren med sin polet får adgang til en boks med en stemmemaskine. Poletten skal bruges før, vælgeren må forlade boxen. I kraft af, at der ikke er registreret en sammenhæng mellem den udleverede polet og vælgeren, vil det ikke umiddelbart være muligt at forbinde den afgivne stemme med en bestemt vælger.

Du behøver ikke en polet. Blot en kontakt udenpå maskinen der resettes af valgbordet hver gang en vælger går ind i boksen. Det sikrer at man kun kan stemme en gang.

Problemet er hvordan registreres stemmen. Hvad hvis maskinen er hacket og registrerer stemmerne forkert ... jeg kan putte en smule kode ind i maskinen om morgenen der registrerer stemmerne galt. Kl. 20.00 når valgstedet lukker overskriver maskinen min snyde-kode med den originale. På den måde kan INGEN bevise at maskinen har snydt.

Hvis du vil tælle stemmerne hurtigt op, så kan man lave en papirstemmesedler som er maskinlæsbart. Fx. afkrysningsfelter hvor ens kryds skal stå. Det kan en maskine optælle relativt hurtigt. Men det skal være sådan at man kan gå tilbage og kigge på den enkelte stemmeseddel og verificere at maskinen har talt rigtigt. Ellers ryger gennemsigtigheden.

Skræmmebillede: I 2016 blev Trump valgt som præsident selvom mange så ham som chanceløs og mange målinger samme. Hvis ca. halvdelen af USA mente at han var valgt på svindel og resten mente han var den korrekte vinder, uden nogen mulighed for at overbevise det store flertal om det ene eller andet, så kan den slags ende med at demokratiet holder op med at fungere.

Du (og alle andre valgtilforordende) får hermed min uforbeholdne tak for jeres indsats. Den er vital for at sikre at befolkningen stoler på valghandlingen.

Henrik Hansen

Sæt dog en trykfølsom 16:9 4K HD skærm, med en RaspberryPi-størrelse enhed på højkant i stemmeboksen, og print stemmesedlen dér.

Hvis det du krydser af på skærmen som vælger, er nøjagtigt det samme som bliver printet ud på papir-stemmesedlen, kan enhver stemmeberettiget nemt checke om der snydes eller er fejl i den del af valghandlingen. Desuden kan krydset kan ikke sættes forkert som med kuglepennen og stemmesedlen kan maskinlæses bag efter.

De valgforordnede skal der efter:

  1. Lave et slut-print af hver af maskinerne i stemmeboksen
  2. Maskinaflæse stemmesedlerne
  3. Sammenligne de to resultater
  4. Foretage en manuel optælling ved den mindste difference

Det siger sig selve enheden ikke skal, eller behøver, at være i nærheden af noget som helst netværk, hverken før, under eller efter valgdagen.

Stemmesedlerne behandles her efter på normal vis.

Niels Danielsen

De valgforordnede skal der efter:

Lave et slut-print af hver af maskinerne i stemmeboksen    
Maskinaflæse stemmesedlerne    
Sammenligne de to resultater    
Foretage en manuel optælling ved den mindste difference  

Det siger sig selve enheden ikke skal, eller behøver, at være i nærheden af noget som helst netværk, hverken før, under eller efter valgdagen.
Stemmesedlerne behandles her efter på normal vis.

Denne 'Udskift blyant med computer/printer' løsning med er den eneste der muligvis har gang på jord.
Men der er nogle problemer:
- Der kan nemt installeres skjulte dataloggere der registrere hvem har stemt hvad (muligvis i kabler til sygeskrings kort scanner, og toutchskærm).
- Indkøb, opsætning, vedligehold, af komples hw/sw der kun bruges 1 time hvert 2 år, og som bare skal virke på det tidspunkt.
- På et tidspunkt bliver den manuelle optælling sparet væk, der var jo ikke snyd de andre år...

Bjarne Nielsen

Det kan en maskine optælle relativt hurtigt. Men det skal være sådan at man kan gå tilbage og kigge på den enkelte stemmeseddel og verificere at maskinen har talt rigtigt.

Det giver også den helt lavpraktiske mulighed, at maskinen kan spytte de sedler ud, som den ikke er 100% bombesikker på, og underkaste dem manuel vurdering. Selv hvis det drejer sig om 10% af stemmerne, så er det langt mere overkommeligt.

Hvis det du krydser af på skærmen som vælger, er nøjagtigt det samme som bliver printet ud på papir-stemmesedlen, kan enhver stemmeberettiget nemt checke om der snydes eller er fejl i den del af valghandlingen.

Her er nogle oplagte fælder. Man har i Amerika set skærme som var kalibreret "forkert", så man kom til at stemme på en anden end den man ville. Man kan selvfølgelig lave en procedure for, at få stemt om, men der er to udfordringer:

  1. For det første, så skal man opdage det. Det kræver for det første at folk gider kontrollæse, og ikke bare stoler på maskinen, og for det andet at udprintet ikke er til at misforstå.
  2. Når man skal stemme om, så bliver man nødt til at præsentere den "fejlagtige" seddel. Hvis det er et ja/nej valg eller et valg, hvor det kryds man vil have gjort om, var sat ved "regimets" kandidat, så kan det være ret afslørende. Men selv med mange valgmuligheder, så vil fejlmarkeringen næppe være langt fra den ønskede. Man kan derved blive tvunget til at afsløre (noget om) sit valg, og så er det ikke længere en hemmelig afstemning.

På et tidspunkt bliver den manuelle optælling sparet væk, der var jo ikke snyd de andre år...

Ja, og i særlig grad, hvis valgets resultat ikke overrasker nogen (inkl. statistikerne, som kan noget med sandsynligheder mv.), og i øvrigt er klart. Men modargumentet er, at sålænge der er et papirspor, så kan omtælling finde sted, hvis det skulle blive anfægtet.

Men selv klassiske papirvalg kan angribes, f.eks af "det bulgarske tog": Forudsætningen er, at man kan formå at få fingre i en uudfyldt stemmeseddel på forhånd. Herefter kan man købe stemmer ved at udfylde den, og "købe" en vælger, ved at få ham til aflevere den forudfyldte stemmeseddel, og få betalingen ved at komme med den uudfyldte stemmeseddel, som han fik udleveret. Nu kan den forudfyldes, og endnu en vælger kan købes.

Christian Nobel

På et tidspunkt bliver den manuelle optælling sparet væk, der var jo ikke snyd de andre år...

Lige her har du fat om noget essentielt, nemlig systemtankegangen.

Det minder mig om en anden historie fra hverdagen, som meget godt illustrerer tankesættet nogen nemt kunne finde på at skale op:

Det var en ældre skrøbelig dame, som havde en faldalarm - på et tidspunkt besluttede komunen at fratage hende alarmen, for hun var jo ikke faldet inden for de sidste par år.
At hun så var blevet dels ældre, dels absolut ikke bedre gående, det betød mindre.

Derfor er det hamrende vigtigt at vi har robuste systemer, som ikke bare senere kan saboteres af middelmådige spareforanstaltnnger.

Michael Cederberg

Men selv klassiske papirvalg kan angribes, f.eks af "det bulgarske tog": Forudsætningen er, at man kan formå at få fingre i en uudfyldt stemmeseddel på forhånd.

Der er masser af muligheder for at snyde hvis man har folk nok. Men snyde metoder der kræver at en fysisk person dukker op med hver snydestemme skalerer ikke rigtigt. Og hvis snyd involverer mere end ca. 10 personer så vil en af dem tale om det.

Ved hemmelig elektronisk afstemning kan en mand i princippet flytte 50% af stemmerne uden at det kan opdages.

Kenn Nielsen
Albert Nielsen

Hvis det du krydser af på skærmen som vælger, er nøjagtigt det samme som bliver printet ud på papir-stemmesedlen, kan enhver stemmeberettiget nemt checke om der snydes eller er fejl i den del af valghandlingen.

Jeg vil gerne påtage mig at kode afstemningsprogrammet sådan, at f.eks. 22% vilkårligt udvalgte stemmer på liste xx i stedet registreres på liste yy, mens du får en printet kvittering, som "beviser" at du har stemt på xx.

Mogens Kjær

Karl, tak fordi du gider tælle og holde øje med valgene for os.

Jeg tænker, at den bedste måde at gøre optællingen hurtigere og mere præcis ville være at udskifte blyanten med en hullemaskine.

I højre side af stemmesedlen er der en række af indexeringshuller som maskinen skal falde i hak i så stemmehullet bliver slået præsist i midten af sit afkrydningsfelt hver gang.

Først inspiceres sedlerne for at sikre at de ugyldige sedler (antal huller !=1 korrekt hul) sorteres i sin egen bunke.
Så man man lave mere eller mindre automatiske sorteringsmaskiner inden sedlerne tælles manuelt bunkevis.

Det burde lette optællingen en hel del uden at sætte sikkerhed eller tillid på spil.

Bjarne Nielsen

Det burde lette optællingen en hel del uden at sætte sikkerhed eller tillid på spil.

Ja, hvor svært kan det være? :-)

Lad mig citere lidt fra https://en.wikipedia.org/wiki/2000_United_States_presidential_election_r... :

Under the other standards used in the study, Bush's margin of victory increased as looser standards were used. The standards considered by BDO Seidman were:

  • Lenient standard. Any alteration in a chad, ranging from a dimple to a full punch, counts as a vote. By this standard, Bush margin: 1,665 votes.
  • Palm Beach standard. A dimple is counted as a vote if other races on the same ballot show dimples as well. By this standard, Bush margin: 884 votes.
  • Two-corner standard. A chad with two or more corners removed is counted as a vote. This is the most common standard in use. By this standard, Bush margin: 363 votes.
  • Strict standard. Only a fully removed chad counts as a vote. By this standard, Gore margin: 3 votes.

Jeg er ikke sikker på, at leverandøren her har været den hurtigste knallert på havnen; min pointe er bare, at der også her er en djævel i detaljen.

Mogens Kjær

Ja, hvor svært kan det være? :-)

Holy F. Det kan åbenbart være ret svært at lave et hul med en blyant, selv igennem en skabelon.

Jeg tænkte nu også mere på en hullemaskine, som slår et stykke papir ud, sådan at sedlen får et decideret hul, så den kan "hænges op på en pind" eller en stak af ens stemmer kan kontrolleres ved at lyse igennem dem med en lygte.

Log ind eller Opret konto for at kommentere