Lille kodefejl gjorde kryptering i norsk e-valg usikker

Det var en fejl i en enkelt kodelinje, som undergravede krypteringen af internetstemmer til det norske stortingsvalg. Men forløbet viser, at sikkerheden var god nok, siger den sikkerhedsansvarlige.

Norges forsøg med e-valg til stortingsvalget kørte i over tre uger med usikker kryptering af stemmerne. Men den samlede sikkerhed var ikke truet, lyder det fra Christian Bull, der er ansvarlig for teknik og sikkerhed i Norges e-valgsforsøg.

»Selv om vi havde den fejl, skete der ikke noget ved det, fordi adgangen til vores systemer er lige så godt beskyttet som adgang til brevstemmer. Der er meget streng adgangskontrol,« siger han til Version2.

Fejlen opstod ved, at denne stump kode blev placeret inden for et loop, i stedet for udenfor:

_this.key='';

Det var nok til, at krypteringen af de afgivne stemmer på de centrale servere blev undergravet.

»Hændelsen betød, at krypteringen blev meget dårlig. Der var 30.000, som blev berørt af fejlen, så vi kunne vælge at smide de stemmer ud og starte forfra, eller køre videre. Vi valgte at køre videre,« siger Christian Bull.

Beslutningen blev taget i det råd, som er nedsat til at kontrollere e-valgs-forsøgene. Her indgår både eksperter på området og lægfolk, og i dette spørgsmål blev en kryptografiekspert nedstemt, da han af hensyn til borgernes tillid til valget mente, at man skulle annullere de dårligt krypterede stemmer og bede alle, der havde stemt allerede, om at stemme igen.

Læs også: 70.622 nordmænd stemte over internettet - men sikkerheden får kritik

Episoden kunne man tro ville give e-valg i Norge alvorligt modvind, men ifølge Christian Bull har det ikke været tilfældet. Han mener, at det omvendt er positivt at se, at sikkerheden stadig kan være høj, selvom der sker noget, som bare ikke må ske.

»Der er mange ting, som du tror, er en enorm katastrofe, men som i virkeligheden ikke er det. Hændelsen her viste, at man skal have mange kontroller på plads. Men den viste også, at vores kontroller virkede. Man kan ikke bare stole på ét lag af sikkerhed, men skal have mange lag, og det havde vi også,« siger Christian Bull.

De norske medier skrev om problemet, som myndighederne selv fremlagde, så snart det blev opdaget og løst. Men det har ikke udløst en storm af protester fra norske borgere eller norske it-folk.

»Der var ingen debat overhovedet. Og det var den mest læste historie på Teknisk Ukeblads netavis i flere dage (Norges svar på ’Ingeniøren’, red.),« siger Christian Bull.

Læs mere om systemet bag (gennemgang af det norske valgsystem fra 2011, pdf-format).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rene Madsen

So ein ding müssen wir auch haben.

Det virker meget latterligt på mig at bruge så mange resourcer på at udskifte noget som virker ganske uporklageligt i den analoge form. Alle kan gennemskue hvad der sker og alle har tillid til den proces.

Nu arbejder man med at skabe noget som de teknikere der ved noget om kryptografi og sikkerhed ikke har tillid til. Men den alminde borger lader sig syntes det er smart, hurtigt og let til trods for at videnskaben siger det er dumt. WTF!

Men så er det jo godt, vi blot kan infører 27 lag af sikkerhed til at kontrollere at det virker som det skal og alligevel springe gladeligt hen over en fejl, hvis et af disse lag opdager en sådan. For det er jo ligemeget.

Hvorfor så ikke bare kaste hele demokratiet over bord og gå all in i stedet for det her gåen rundt om den varme grød?

Må heller gå ud og hente noget kaffe ;-)

Klavs Klavsen

Open source i den sammenhæng er kun noget værd hvis man samtidigt kan lave en garanti for hvilken software der rent faktisk afvikles under valghandlingen.

Ahh - såfremt vi stoler på at de ansvarlige ikke bevidst forsøger at vildlede os - så kan vi i det mindste finde åbenlyse fejl i den software der er blevet "forsøgt" anvendt til valget.

At der så UANSET om det er open source eller ej, kan være nogen der har ændre på softwaren der faktisk anvendes - er en lige stor ulempe uanset.

Allan S. Hansen
Klavs Klavsen

Der vil jeg så mene du tager fejl. De fleste stoler forhåbentlig på de gode intentioner hos de ansvarlige - det gør jeg ihvertfald.

Problemet er som oftest deres tekniske kompetancer - og her vil åbenhed (både i softwaren, men bestemt også mht. procedurer osv.) hjælpe os alle til at evaluere og belyse evt. problemer og dermed kunne afhjælpe problemet med deres oftest manglende/utilstrækkelige tekniske kompetance.

Allan Høiberg

"Sikkerheden blev undergravet" - "men sikkerheden var i orden"... Hvilken af delene er det så? Skal det forstås sådan at stemmerne kunne aflyttes på grund af dårlig kryptering, men ikke efterfølgende stjæles på grund af godt beskyttet adgang til systemet, eller var det stadig godt krypteret fra stemmeafgiveren ind til systemet, og bare dårligt krypteret dér, hvor de til gengæld ikke kunne stjæles?

Jeg er sikkert bare paranoid, men det er vist ikke mange uger siden vi fik historien om, hvordan en udenbysk sikkerhedstjeneste havde forsøgt at betale en programmør for at begå en kodefejl på ét tegn i et sikkerhedsmodul som efterfølgende ville have givet dem total adgang til alle systemer der brugte det. Det kunne naturligvis ikke have været årsagen hér, men siger alligevel ét eller andet...

Jan Heisterberg

Det er meget godt at diskutere og kritisere e-valg.

Bare skal man ikke glemme, at selvom papirstemmesedler, valgurner og manuel optælling bruges og har været brugt i utallige år, så er DET system heller ikke sikkert i sin natur. Sikkerheden bygger på en række foranstaltninger, men som utallige eksempler (fra udlandet) viser, så kan der let plantes ekstra stemmesedler (eller urner) eller bortkomme stemmesedler (eller hele urner). Det er ikke givet, at det ikke sker.

Så inden al kritikken løber e-valg over ende, så prøv lige at gennemtænke og lave et design for et mere sikkert papirsystem.

P.S.: Men derfor er det da interessant hvordan et meget sikkert e-valgsystem kan laves.

David Rechnagel Udsen

Bare skal man ikke glemme, at selvom papirstemmesedler, valgurner og manuel optælling bruges og har været brugt i utallige år, så er DET system heller ikke sikkert i sin natur. Sikkerheden bygger på en række foranstaltninger, men som utallige eksempler (fra udlandet) viser, så kan der let plantes ekstra stemmesedler (eller urner) eller bortkomme stemmesedler (eller hele urner). Det er ikke givet, at det ikke sker.

Du ved godt at det danske valgsystem har implementeringer for at undgå netop disse ting? Hvorfor tror du at man altid høre om disse ting fra udlandet og ikke fra Danmark? Vi har løst problemet i Danmark, i disse andre lande har de bare ikke interessen i at løse det.

Selvfølgelig er systemet ikke perfekt i Danmark, men det er sgu' så godt som det kan blive.

Men for lige at nævne nogle ting der undgår valgfusk i Danmark:

  • Hvert valgsted har valgtilforordnede fra alle partier.
  • Før et valgsted åbner, bliver alle valgurnerne gennemset af de valgtilforordnede, for at se ingen valgsedler er tilstede før valget går i gang.
  • De valgtilforordnede (og udenlandske valgobservatører) holder øje under hele valghandlingen om følgende:
    • At der ikke kommer 'ekstra' valgsedler i urnerne.
    • At selve af krydsningen for vælgerne er deres og hemmelig.
  • Når valghandlingen er ovre, bliver først dér urnerne låst op, og stemmesedlerne talt. Dette bliver overvåget af de valgtilforordnede.
  • Dagen efter bliver de fintalt.
  • Derefter bliver sedlerne sendt til et samlet sted, hvor de bliver talt igen (også under opsyn), for at være helt sikker.

Så er der vel nogen der tænker; kunne man ikke gøre det samme med edb? Joo... hvis du har forstand på det, og ved præcis hvilken binær blob der kører valgprogrammet.

Kenn Nielsen
Gert Madsen

Så inden al kritikken løber e-valg over ende, så prøv lige at gennemtænke og lave et design for et mere sikkert papirsystem.


Alle fordelene går igen ved svindlen:

Er det nemt at stemme, er det nemt at svindle.
At det er hurtigt at tælle mange stemmer op, gør det hurtigt at svindle med mange stemmer.
Så den sikkerhed, som er god nok ved manuel stemmeafgivelse, er ikke god nok ved E-valg. Og som debatteret tidligere, så er der problemer allerede med designet af E-valg i Norge.
Så blev denne fejl fundet. Hertil skal så lægges de fejl, som ikke er fundet (eller afsløret).

Gert Madsen

Grundlovsfædrene så det som en vigtig opgave at gøre folk bevidste og beredte til at stemme. Så skulle folk også nok gøre det.

Politikerne i dag taler kun om at gøre det nemt. Så kan hver især jo gætte på hvorfor.
Fuldstændig som at man kan gætte på hvorfor man har ignoreret problemerne for de handikappede i årtier, indtil politikerne opdagede at de kunne spændes for denne vogn.

s_ mejlhede

Bare skal man ikke glemme, at selvom papirstemmesedler, valgurner og manuel optælling bruges og har været brugt i utallige år, så er DET system heller ikke sikkert i sin natur. Sikkerheden bygger på en række foranstaltninger, men som utallige eksempler (fra udlandet) viser, så kan der let plantes ekstra stemmesedler (eller urner) eller bortkomme stemmesedler (eller hele urner). Det er ikke givet, at det ikke sker.

Du har ret, men det er nemmere også for lægfolk at kontrollere et papirbaseret system, hvis det som en del af et åbent og retfærdig stemmesystem, også kan/må kontrolleres. Der for vises der også en stemme boks når man starter, osv.

Desuden sider der kontrollanter for de forskellige partier, som der ved kan se hinanden over skulederen. Men hvad der sker hvis 2 kontrollanter for 2 konkurerene partier, beslutter sammen at svindle ved at ændre stemmer på partier, til personlige på dem selv! ja det er også muligheder for svindel her. Og en elektronisk kan stoppe mange af dem, som vi ser i andre ikke så godt kontrolleret lande.

Så er ikke imod E-Valg, som sikkert også kan gøres billigere, men jeg synes vi skal vente med det, til alle aspekter med hensyn til sikkerhed er afklaret. I sær de 2 som jeg synes er vigtigst .

At man ikke kan se hvem der har stemt, altså stemme hemlighed.
Samtidig selv at kunne kontrollere at ens stemme er talt med og ikke ændret- Hvis det lykkes, er det faktisk bedre ind idag, her har vi jo set stemmebokse som er glemt.

Hvis det kan laves på betrygende hvis så er jeg for E-Valg, men det er ikke dem som betaler for valget, som skal bestemme hvad der er sikkert, lige som med den offentlige digitalisering og nemid, hvor det kun er nemmere og billig for det offentlige.

Men HUSK, hvis man kunne ændre noget ved at stemme, så blev det gjort ulovligt :-)

Flemming Madsen

Sikkerheden bygger på en række foranstaltninger, men som utallige eksempler (fra udlandet) viser, så kan der let plantes ekstra stemmesedler (eller urner) eller bortkomme stemmesedler (eller hele urner). Det er ikke givet, at det ikke sker.

Begge dine eksempler ville ret hurtigt blive opdaget i DK. Hvis du "planter" flere stemmer i urnen, passer antallet af stemmesedler ikke med antallet af personer der har stemt. Og det samme er tilfældet med manglende stemmeurner.
Faktisk var dette en af metoderne hvor en finsk hacker omgik et e-valgs system i USA, fordi systemet tillod minus stemmer! Så han startede bare en kandidat på minus -10 stemmer. Det er lidt svært i den virkelig verden. (Se filmen Hacking Democracy. Den er på youtube).

Når det så er sagt, har du selvfølgelig ret i at vi hele tiden skal prøve at forbedre det nuværende system.

Finn Thøgersen

Langt det største problem ved danske valg er afstemningerne på sygehuse, plejehjem osv, hvor modellen er at ledelsen udvælger 2 ansatte til det.
Hvis de to kan blive enige om at snyde, ja så er der frit spil, især hvor der er mange svagelige, konfuse, medicinerede osv.

De almindelige brevstemmer på kommunekontoret og hjemme hos handicappede osv kan have lidt af samme problem. Og vi har jo set brevstemmer der er afleveret forkert. Problemerne er dog LANGT mindre end i de lande hvor stemmesedlen sendes hjem til folk.

Det tredie problem er ved folkeafstemningerne, hvor det kan knibe med at få en ordentlig fordeling af de tilforordnede. Typisk vil JA siden være kraftigt overrepræsenteret da de fleste partier vil være for forslaget.

Christian Nobel
s_ mejlhede

Ingen af de tre problemstillinger vil forsvinde ved at sætte strøm på.

Måske hvis du selv har adgang til PC, og man kan stemme via nettet.
Så skal du bare have en tablet/PC ved din sygseseng, eller hjemme.
eller den "sorte stemme boks".

Og den "sorte stemme boks" er sikkert fordi

  • per definition, siger regeringen
  • regeringer tror på den.
  • mange eksperter især betalt af regeringen mener den er sikker.
  • reklamer betalt af regeringen, siger det er sikkert.
  • Den er desuden testet af utallige uvildige firma, betalt af regeringen.
  • Flere ministerier mener også den er sikkert.
  • Og det offentlige Danmark ligeså.
Jan Rouvillain

Beslutningen blev taget i det råd, som er nedsat til at kontrollere e-valgs-forsøgene. Her indgår både eksperter på området og lægfolk, og i dette spørgsmål blev en kryptografiekspert nedstemt, da han af hensyn til borgernes tillid til valget mente, at man skulle annullere de dårligt krypterede stemmer og bede alle, der havde stemt allerede, om at stemme igen.

Det skal gå galt, før lægfolk forstår alvoren. Lægfolk accepterer en forringet sikkerhed eller et brud på sikkerheden, selv om eksperten påpeger den. Da lægfolk er de fleste, så bestemmer de ved simpelt flertal.

Allan S. Hansen

Bare skal man ikke glemme, at selvom papirstemmesedler, valgurner og manuel optælling bruges og har været brugt i utallige år, så er DET system heller ikke sikkert i sin natur. Sikkerheden bygger på en række foranstaltninger, men som utallige eksempler (fra udlandet) viser, så kan der let plantes ekstra stemmesedler (eller urner) eller bortkomme stemmesedler (eller hele urner). Det er ikke givet, at det ikke sker.

Hvis jeg stod med en sedler der sagde X antal stemmer og der var X + Y eller X - Y i bunken, så er det betydeligt nemmere at identificerer hvis det er fysiske sedler frem for elektroniske.

Der er netop en grund til at man er opmærksom på når der sker valgfusk i de utallige eksempler fra udlandet. Det er fordi svindel er nemmere at identificerer på denne måde.

Optælling af papir-stemmesedler er en ekstrem transparent metode som alle kan gennemskue. Jagten på elektroniske sedler vil være uhensigtsmæssig kompleks opgave til sammenligning.

Log ind eller Opret konto for at kommentere