Norge gør klar til e-valg: 250.000 kan stemme til Stortingsvalg via nettet

Om en måned er der parlamentsvalg i Norge, og som et forsøg får 250.000 nordmænd nu lov til at stemme over internettet. Alt er sikkert og åbent, siger de ansvarlige.

I marts måned blev e-valg lagt dødt i Danmark, da et flertal uden om regeringen nedstemte et lovforslag om forsøg med elektroniske stemmemaskiner på valgstederne.

Men i Norge er man gået en hel del længere og gør nu klar til den store test: 250.000 borgere kan vælge at stemme via internettet til det Stortingsvalg, der slutter den 9. september. Det skriver Teknisk Ukeblad.

Fra mandag den 12. august kan vælgere i 12 forsøgskommuner nemlig få lov at stemme elektronisk via nettet, frem til den 6. september, tre dage før den traditionelle valgdag. Har man stemt via nettet, kan man også stadig møde op på helt normal vis på valgstederne og stemme med papir og blyant og dermed annullere den digitale stemme.

Går hele forsøget i vasken på grund af tekniske problemer, kan borgerne altså stadig stemme helt normalt. Men ifølge Henrik Nore fra Kommunaldepartementet fungerer teknikken upåklageligt.

»Selve it-systemet ved vi fungerer, som det skal. Det, vi er bekymret for, er denial-of-service-angreb og strømsvigt, som kan stoppe tjenesten,« siger projektlederen til Teknisk Ukeblad.

Systemet, som nu ejes og drives af myndighederne selv, er derfor blevet testet flere gange for netop de scenarier. Tre gange er strømmen således blevet afbrudt med vilje, så nødstrømssystemet kunne blive testet.

Af sikkerhedshensyn har man også fjernet Java som en del af login-løsningen til e-valgssystemet. Man vil ikke bidrage til, at borgerne skal have Java installeret, lyder forklaringen.

Ligesom i Danmark har e-valg været under en heftig debat og kritik, og det var et snævert flertal i Stortinget, som i december 2012 stemte ja til at fortsætte forsøgene med internetbaserede e-valg, som i første omgang blev brugt til kommunalvalg i 2011.

Læs også: Nordmænd tester internet-valg med kodenøgler

Derfor er der også meget fokus på, at borgerne skal kunne føle sig trygge ved systemet og have tillid til, at deres stemme bliver optalt korrekt. Når en borger har stemt via nettet, får man en kode retur, som kan bruges senere hen til at verificere, at stemmen faktisk er med i den endelige pulje. Et særligt e-valgs-udvalg skal også sikre, at alt går rigtigt til. Her sidder tre it-fagfolk, tre politikere og tre menige vælgere, og desuden har de udvalgt nogle eksterne eksperter til at hjælpe med kontrolopgaven.

Da Norge for første gang i 2011 afprøvede internetvalg, blev kildekoden efterfølgende frigivet. Det førte til kritik af sikkerheden, da der hurtigt blev fundet fejl og dårlig kodeskik i softwaren.

Læs også: Norske e-valg kritiseres for sikkerhedsbrøler i kildekoden

Ud over forsøget med valg over internettet vil der i de 12 forsøgskommuner samt Oslo og Bergen blive gennemført et nyt forsøg, hvor man selv kan vælge valgsted. Stemmen bliver så sendt elektronisk til det valgsted, hvor man er registreret.

For at sikre en netforbindelse, bliver der brugt både fastnetforbindelse samt mellem to og fem mobile dataforbindelser. Svigter de alle, er der en manuel fallback-løsning.

De to forsøg bliver akkompagneret af et skifte af softwaren, der bliver brugt til at sammentælle alle stemmerne. Med den nye løsning kan stemmesedlerne også blive scannet og optalt elektronisk.

Systemet er udviklet af Evry, Norges største it-firma, som også er involveret i softwaren til internetvalg, men staten har efterfølgende overtaget ejerskabet og driften af det nye valgsystem, der har fået navnet EVA. Alle kommuner med over 10.000 vælgere får tilbudt at bruge EVA-systemet, så stemmerne kan tælles op meget hurtigt, i forhold til manuel håndtælling.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (67)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Bengtsson
  • 1
  • 14
Per Hansen

Umiddelbart virker debatten og processen i Norge noget mere saglig end den var i Danmark. Som jeg så det var det store problem i Danmark, at man havde stirret sig blind på en løsning med elektroniske stemmemaskiner i valglokalet.


Nej det store problem i Danmark var, og er, at der til dato ikke har været nogen der har kunne komme med en løsning, som ikke var i direkte modstrid med den danske valglov, og som faktisk løste et problem uden at skabe et større.

  • 20
  • 0
Lars Bengtsson

Jeg tolker fingeren nedad og kommentarerne til mine indlæg, som at jeg er stemplet som e-valgstilhænger. Det er jeg faktisk ikke. Men det er jo nok fordi jeg ikke har sagt noget negativt om den norske løsning.

Jeg synes det er lidt kedeligt at gentage almindeligheder.

Men et væsentligt problem som også var fremme i den danske debat er at kompleksiteten i den norske løsning gør at man ikke kan forklare systemet for almindelige vælgere, så de må stole på eksperter. Det kan så godtnok være eksperter fra forskellige interessegrupper, men man giver altså afkald på gennemskueligheden, transparensen.

  • 2
  • 13
Michael T. Jensen

@Lars

Man kan stemme flere gange på internettet, samt på valgdagen kan man stemme med papir i valglokalet og den stemme annullerer internet stemmen.

Hvis man kan annullere den stemme, man allerede har afgivet på internettet, må der jo være en eller anden form for sammenkædning mellem borgerid og stemme...?
Jeg har ikke sat mig ind i hvordan den norske løsning skal fungere rent teknisk, men det lyder mest af alt som en "stol-på-os-for-vores-løsning-er-helt-sikker"-argumentation

  • 19
  • 0
Lars Bengtsson
  • 2
  • 10
Mads Buch

Jeg tror thumbs down kommer fra usagligheden af dit indlæg. Alternativt kunne du have fortalt om teknikken og hvorfor Per Hansen nødvendigvis ikke har ret.

Som Per Hansen nævner, så skal der på en eller anden måde være mulighed for at fratrække den elektroniske stemme fra puljen, hvis man stemmer manuelt. Mere generelt skal men vel også registrere hvorvidt en borger har stemt eller ej, så man ikke tillader at nogen kan stemme dobbelt.

Problemet her er, at den software der drifter systemet ikke er offentligt tilgængelig, så ingen kan se hvordan ovenstående bliver håndteret.

Og nej, det er ikke nok at stille kildekoden til rådighed bagefter. Der er ingen garanti for at det faktisk er det stykke software der er brugt.

Idet parten der afvikler valget skal afvikle procedurene for at registrere om borgere har stemt samt registrere deres stemme, kan jeg ikke umiddelbart se, hvordan man kan sikre at de ikke sammenkæder de to stykker information?

  • 17
  • 1
Rolf Andersen

Som Michael Erichsen skriver, så mister man enhver sikkerhed for hemmelige valg. Henne i stemmeboksen med gardinet på den lokale folkeskole SKAL du være helt alene. Det er faktisk et krav - måske med småbørn som undtagelse. Handikappede kan få TO uafhængige valgtilforordnede med til hjælp.

Hvordan vil nordmændene sikre sig, at der ikke står en kraftig svigerfar med en kølle, når du afgiver dine stemme hjemme ved pc'en?

Og der er INGENSOMHELST sammenhæng mellem den papirstemmeseddel du lægger i stemmeboksen og din identitet - kun at du HAR afgivet din stemme. Keep it simple - it works!

  • 16
  • 0
Lars Bengtsson

Det er da rart at mange folk her i debatten med en mavefornemmelse kan afvise at det er umuligt at lave et anonymt og sikkert e-valgssystem. (Ironi kan forekomme).

Nej, jeg har ikke haft tid til at sætte mig ind i detaljerne om hvordan det norske system virker. Men jeg har under den danske e-valgsdebat kigget på et system som en svensker, David Bismark har arbejdet med, hvor der er detaljerede beskrivelser af krypteringsmetoderne, og de er så komplicerede så jeg ikke helt forstod hvordan de virkede.

Så selvfølgelig vil en del af gennemskueligheden gå fjøjten når man blander avancerede krypteringsteknikker ind i valgsystemet.

Det ser ikke ud til at David Bismark er direkte involveret i det norske system. Men jeg vil gætte på at der er mange af aspekterne som er identiske.

http://evoting.bismark.se/

  • 1
  • 19
Per Hansen


Prøv at sætte dig ind i teknikken.


dækker over

jeg ikke helt forstod hvordan de virkede.

og derfor er det

mavefornemmelse


når folk herinde konstaterer, at man ikke uden videre kan fjerne en allerede afgivet stemme fra et afstemningsresultatet for en given person, uden nogen kan se i systemet hvad folk har stemt? Altså udover at stole på den magiske IT sovs som man har hældt udover systemet med lidt kryptering, som må være rigtigt, når du ikke selv forstår den ?

og hvis man ikke er enig med dig, så mangler der seriøsitet i debatten. kan du selv se det selvimodsigende? næsten Trine Bramsensk...

  • 23
  • 1
Carsten Stenberg

Undskyld Lars, men det er absolut seriøst at sætte spørgsmåltegn, ved din hypotese, at det er muligt at lave et fuldstændigt anonymt stemmesystem, hvis man samtidig skal kunne fortryde en tidligere stemmeafgivelse !

Og dermed få endnu du en thumb-down, medmindre du selvfølgelig kan fremtrylle en teoretisk datamodel som understøtter din påstand !

  • 19
  • 0
Rolf Andersen

Kære Lars, Et valgsystem skal altså ikke bare føles sikkert og hemmeligt for en it-nørd, men også for Maren i Kjæret.

Du kan komme med nok så mange argumenter for, at man kan lave et 101% sikkert og anonymt system. Det duer altså bare ikke, hvis Maren ikke stoler på det! Og mit eksempel med svigerfar med køllen, der står bag dig, når du skal afgive din stemme, har du stadig ikke en løsning på.

Og i øvrigt lyder det som om, det bliver en del dyrere end den gammeldaws papirudgave, hvis det skal være 101% sikkert, anonymt og troværdigt.

Jeg tror ikke, jeg behøver nævne den sædvanlige liste over offentlige it-systemer. Jeg er ikke maskin-stormer - tværtimod - men lige her skal man altså holde it-nallerne væk.

Indfør gerne nogle optiske læsere til at lave den første optælling af stemmer, så vi hurtigt kan få at vide nogenlunde hvordan valget er gået. Det må være nemt, og uden at vi mister papirstemmesedlens fordele.

  • 15
  • 0
Lars Bengtsson

Undskyld Lars, men det er absolut seriøst at sætte spørgsmåltegn, ved din hypotese, at det er muligt at lave et fuldstændigt anonymt stemmesystem, hvis man samtidig skal kunne fortryde en tidligere stemmeafgivelse !


Også hvis man kender lidt til kryptering?

Ved hjælp af en kryptografisk hashfunktion og salt er det meget normalt at kryptere et password så man ikke kan finde frem til passwordet men stadigvæk kan afgøre om det er det rigtige password.

Noget lignende kan man forestille sig bliver brugt i det norske valgsystem.

  • 1
  • 16
Lars Bengtsson

@Per

Du kan ikke forestille dig at jeg fornemmede at det kunne virke da jeg gjorde en indsats for at forstå teknikken bag Bismarks valgsystem?

Selvom man ikke helt forstår et system, kan man dog forstå så meget så man tror på at dem der siger det virker har ret.

Tror du fx på at AES kryptering virker? Kan du forklare mig hvorfor? Eller stoler du på eksperter i den forbindelse?

og hvis man ikke er enig med dig, så mangler der seriøsitet i debatten. kan du selv se det selvimodsigende? næsten Trine Bramsensk...


Jeg tror du skal bruge den på dig selv, i modsætning til Trine Bramsen respekterer jeg seriøs forskning.

  • 0
  • 17
Carsten Stenberg

Også hvis man kender lidt til kryptering?

Det drejer sig ikke om kryptografering, men om data:

I tabel A med borgerid og om stemme er afgivet.
I tabel B har man en liste/kandidat, på hvem der er afgivet en stemme.

Forklar mig hvordan, men skal fjerne skal fjerne en stemme fra tabel B fra en bestemt liste/kanditat, hvis en borger fra tabel A fortryder ?

  • 15
  • 0
Lars Bengtsson

Forklar mig hvordan, men skal fjerne skal fjerne en stemme fra tabel B fra en bestemt liste/kanditat, hvis en borger fra tabel A fortryder ?


Man kunne jo nøjes med tabel A og et stemmeid på hvad der er stemt. Og i stedet for borgerid skulle det være en værdi som er resultatet af en envejs krypteringsfunktion af borgerid'et.

Når man fortryder så ændres stemmeid.

  • 0
  • 13
Lars Bengtsson

Kære Lars, Et valgsystem skal altså ikke bare føles sikkert og hemmeligt for en it-nørd, men også for Maren i Kjæret.


Helt enig, og derfor er jeg også imod e-valg (i hvert fald i Danmark). Det har jeg skrevet længere oppe. Men imodsætning til normen (her) så kan jeg godt acceptere at der er dele af et system der virker, selvom jeg er imod det samlede system.

  • 2
  • 0
Casper Kvan Clausen

Forklar mig hvordan, men skal fjerne skal fjerne en stemme fra tabel B fra en bestemt liste/kanditat, hvis en borger fra tabel A fortryder ?


Man kunne vel gemme stemmen som en ordre, der ikke eksekveres før efter det manuelle valg er ovre. Så sletter man blot den elektroniske stemme, hvis der stemmes manuelt. Men det er lidt at reparere en dækstol på Titanic.

  • 1
  • 0
Lars Bengtsson

@Mads

Jeg tror thumbs down kommer fra usagligheden af dit indlæg. Alternativt kunne du have fortalt om teknikken og hvorfor Per Hansen nødvendigvis ikke har ret.


Ja, ok, jeg var måske lidt kortfattet. Men undskyld at jeg havde håbet på at folk tænkte sig lidt om og forestillede sig at der måske findes teknikker til at fortryde stemmer uden at stemmehemmeligheden forsvinder.

  • 0
  • 13
Per Hansen

jeg havde håbet på at folk tænkte sig lidt om og forestillede sig at der måske findes teknikker til at fortryde stemmer uden at stemmehemmeligheden forsvinder.


Det er givetvis også muligt at rejse hurtigere end lyset, men jeg venter stadig på en praktisk eksempel på begge dele.

Man kan forestille sig mange ting. Men når man har proppet kombinationen af fødselsnummer og stemme ind i et system, så har jeg svært ved at forestille mig, at man kan holde disse ting garanteret adskilt, så det ikke er muligt at finde ud af hvem der stemte på hvad.

  • 13
  • 0
Lars Bengtsson

@Per

Det er givetvis også muligt at rejse hurtigere end lyset, men jeg venter stadig på en praktisk eksempel på begge dele.

Jeg venter også på at du svarer på om du stoler på AES kryptering.

Men det er da interessant at folks rygmarvsreaktion er at Norge ikke kan finde ud af at lave et IT-system, der virker efter hensigten. Ok, det er et kontroversielt emne bevares, og det er kun Estland som har lavet noget tilsvarende, men der kan jeg så heller ikke erindre at der er nogen som seriøst argumenterede imod at man ikke skulle kunne lave teknik der muliggør at fortryde stemmen.

Men hvad med risikoen for

  1. keyloggere
  2. fishing sites
  • 0
  • 14
Per Hansen

Jeg venter også på at du svarer på om du stoler på AES kryptering


Jeg kan ikke se hvad AES kryptering har med sagen at gøre.
Du fremhæver en løsning, hvor 2 nøgler krypteres sammen. MEN hvor man sagtens kan både genfinde, annullere og optælle hvad der er stemt.

En løsning hvor man kun kan stemme en gang som Estland, vil være teknisk simplere at konstruere og garantere (over for IT folk).
Problemet med at man kan købe/tvinge/true folk til at stemme som man ønsker, har du dog stadig ikke løst, og kan dermed heller ikke indføres i DK med den nuværende valglov.

  • 13
  • 0
Lars Bengtsson

Jeg kan ikke se hvad AES kryptering har med sagen at gøre.
Du fremhæver en løsning, hvor 2 nøgler krypteres sammen. MEN hvor man sagtens kan både genfinde, annullere og optælle hvad der er stemt.


Næ, det kunne jeg tænke mig at du ikke havde fantasi til. Men pointen var at du kræver at jeg skal kunne forklare hvordan det norske e-valgssystem gør det muligt at fortryde en internet stemme (hvilket også er tilfældet i det estiske), inden du vil tro på muligheden af det.

Jeg har prøvet uden held at forklare dig at det nok er kompliceret og at jeg ikke ved hvordan, men at jeg mener at have delvist forstået at andre har gjort noget lignende.

Og så for at illustrere at der findes systemer som vi sætter tillid til i hverdagen, fx AES, som er så komplicerede så jeg ikke kan forklare dem.

Men du kan jo nok ikke se ligheden imellem at have tillid til AES, som er veldokumenteret og anerkendt af eksperter. Og at have tillid til at Norge laver noget software som sikrer anonymitet i e-valgssystemet, selvom det muliggør at man kan fortryde stemmen fra internettet. Som ligeledes er veldokumenteret og anerkendt af eksperter?

  • 0
  • 13
Per Hansen

Men du kan jo nok ikke se ligheden imellem at have tillid til AES, som er veldokumenteret og anerkendt af eksperter. Og at have tillid til at Norge laver noget software som sikrer anonymitet i e-valgssystemet, selvom det muliggør at man kan fortryde stemmen fra internettet


Nej, det kan jeg ikke se ligheden i overhovedet. AES giver som alle andre krypteringsalgoritmer en vis form for sikkerhed. Om sikkerheden er god nok afhænger af mange ting.
Men det har ikke rigtigt noget at gøre med, problematikken at lave sammenkædning af fødselsnummer og stemme i et system, og hævde at man aldrig kan se hvad folk har stemt, er dybt naivt.

Man har åbenbart i Norge besluttet, at sikkerheden er tilstrækkelig, bare man stoler nok på nogen.

Du har tilgengæld ikke forholdt dig til problemet, med at nogen truer/betaler dig til at stemme noget bestemt, og forhindrer dig i at møde op på valgdagen, så du ikke kan lave stemmen om.

  • 15
  • 0
Mads Buch

Hvis jeg står i en situation, hvor det er kritisk at data fra A til B er krypteret hårdt nok til fastsatte krav, å ville jeg da helt sikkert sætte mig ind i AES. Det inkludere også beviser for at algoritmen er sikker nok.

I den her situation er det lidt ligegyldigt at diskutere hvordan man kunne gøre det sikkert. Du kan nemlig aldrig garantere at det rent faktisk er den metode der bliver brugt.

Du har to stykker data der ikke må kunne sammenkædes; ID og afgiven stemme. Hvis jeg for en side der først beder mig om at identificere mig og derefter stemme, så er det fuldstændigt ligegyldigt hvordan dataen påståes behandlet. Jeg har ingen garanti for at de ikke bliver sammenkædet.

Man kunne forestille sig et system, hvor man først går hen til et system og registrere sig, derefterbliver man sluset ind i et lukket område, hvor man kan komme ud når man har afgivet sin stemme. Hvis der er nok mennesker igennem dette system indenfor en given tidsperiode, kan man sikre hemmelighed omkring stemmen. Men hvis der ikke er nok mennesker igennem sammen installation, eller det går for hurtigt fra registering til stemmeafgivelse, så er vi lige fedt, for så kan man kæde en registrering og en stemme pr. tid.

Men så igen, er ovenstående lettere end at aflevere en seddel? sedlen ligger i en kasse i adskillige timer, og kan derfor ikke kædes til en registrering pr. tid.
Typisk er der også nok sedler i en stemmekasse til at det ikke giver mening at kæde dem statistisk.

  • 11
  • 0
Mads Buch

afhviklingen af valget skal ske på to fuldstændigt afkoblede systemer, hvor en registrering på det ene ikke må kunne kædes til en registrering på det andet. Det ene, system A, skal registrere hvilke borgere der har stemt og det andet, system B, hvd de har stemt. For en registrering på A må der max være én gældende registrering på B.

Jeg ser desværre ingen løsninger der opfylder dette, der også sikre hemmelig stemmeafgivelse, der er lettere end det system vi bruger idag (for brugeren).

Hvis jeg tager fejl vil jeg meget gerne rettes :)

  • 8
  • 0
Einar Rasmussen

> Det drejer sig ikke om kryptografering, men om data:

> I tabel A med borgerid og om stemme er afgivet.
> I tabel B har man en liste/kandidat, på hvem der er afgivet en stemme.

> Forklar mig hvordan, men skal fjerne skal fjerne en stemme fra tabel B fra en bestemt liste/kanditat, hvis en borger > fra tabel A fortryder ?

Kunne man ikke lave en hash map:

Hash(Personoplysninger + valgkodeord) -> Index

Hvor valgkodeord er et tilstrækkelig langt, personligt random salt.

Den record med det Index indeholder så navn (Foreign key) på ens foretrukne kanditat.

Så ender du med et table à la

|INDEX |VALGKANDIDAT|  
|hash_1|kandidat_a  |   
|hash_2|kandidat_b  | 

På den måde kan personen altid gå ind og overskrive sin stemme, men det er 'svært' at finde personoplysningerne, hvis du kun har hashet.

Hvis en borger vil annullerer sit valg, kan gå ind og sætte sin kanditat til Null.

Når du når deadline summerer du.

  • 0
  • 0
kurt christensen

Du kommer ikke udenom at systemet skal vide hvem du er og hvad du har stemt for at du kun kan ændre den du har stemt på og stadig så skal man stole på at systemet er som fortalt, selv fysikken i papirstemme gør at man rent empirisk kan føle tillid til systemet, om ikke andet fordi der er så mange involverede at de alle skal snyde for at snyde dig.

  • 1
  • 0
Einar Rasmussen

@Kurt
> Du kommer ikke udenom at systemet skal vide hvem du er og hvad du har stemt for at du kun kan ændre den du har stemt på og stadig så skal man stole på at systemet er som fortalt, selv fysikken i papirstemme gør at man rent empirisk kan føle tillid til systemet, om ikke andet fordi der er så mange involverede at de alle skal snyde for at snyde dig.

Det gælder vel for begge systemer, at du skal autentificere dig. Hvilket er en god ting, så man ikke kan handle med stemmer. Så dér synes jeg ikke, der er nogle ulemper ved e-valg i forhold til almideligt valg.

Men man kan jo ikke ændre sin stemme i et almindeligt valg heller, så hvorfor er det, at man skal det skal man kunne det med e-valg?

Det virker lidt unfair, at man stiller yderligere betingelser til det elektroniske system, og fordi det ikke (logisk) kan lade sig gøre, konkluderer man, at e-valg ikke er lige så godt som almindeligt valg.

Jeg er heller ikke enig i det, du siger om, at alle involverede i en valgafholdelse behøver at snyde for at snyde mig. Det er er vel kun en relativ få mennesker, der behandler én enkelt stemme.

  • 0
  • 7
Mads Buch

Men man kan jo ikke ændre sin stemme i et almindeligt valg heller, så hvorfor er det, at man skal det skal man kunne det med e-valg?

I den norske løsning er det muligt at ændre sin stemme, og stemme ved papir i stedet for den elektronisk givne.

Det gælder vel for begge systemer, at du skal autentificere dig. Hvilket er en god ting, så man ikke kan handle med stemmer. Så dér synes jeg ikke, der er nogle ulemper ved e-valg i forhold til almideligt valg.

selvfølgelig skal du autentificere dig. Men stemmen du har afgivet må ikke kunne kædes til dit ID.

Det virker lidt unfair, at man stiller yderligere betingelser til det elektroniske system, og fordi det ikke (logisk) kan lade sig gøre, konkluderer man, at e-valg ikke er lige så godt som almindeligt valg.

Hvilke betingelser bliver der stillet til e-valg, som ikke er til almindeligt valg som vi har det nu?
Spørgsmålet er ikke hvor mange der behandler din stemme, men hvor mange mennesker man skal have med på sit hold for at kunne snyde i et valg. med e-valg skal du have sys-adm med, ved almindeligt valg skal du have nok tilsyndmænd med, til at de kan ændre nok stemmer til at det falder ud til din fordel.

  • 3
  • 0
Klavs Klavsen

Hvordan pokker kan de have gjort det muligt, for systemet at annullere en stemme de IKKE ved hvad var på - hvis de kun får af vide at "bogerid X har angivet ny stemme" ? Det er såvidt jeg kan se umuligt, uden at kunne fjerne hvad "borgerid X" tidligere har stemt - og dermed skal de altså kunne sammenkæde "borgerid X" med hvad denne faktisk har stemt (og ikke bare AT denne har stemt).

Så jeg har meget svært ved at se at de kan bibeholde anonymiteten.

  • 7
  • 0
Einar Rasmussen

Men stemmen du har afgivet må ikke kunne kædes til dit ID.

dækker 'at kæde til' både over:

1. ID->stemme
2. stemme->ID

Jeg kunne godt se en mulighed, hvor kun 1. var muligt, hvis 'ID'-delen (ID+password/salt) var så personligt, at andre ikke kunne gætte det.

Hvilke betingelser bliver der stillet til e-valg, som ikke er til almindeligt valg som vi har det nu?

At man skulle kunne overskrive sin stemme ved at aflevere en ny stemme (elektronisk eller på papir).

  • 0
  • 1
Mads Buch

dækker 'at kæde til' både over:

  1. ID->stemme
  2. stemme->ID

Har du den ene har du effektivt også den anden. Hvis jeg kan mappe fra ID til stemme (utvetydigt), kan jeg for en given stemme løbe alle ID'er igennem og finde den der mapper til lige præcis den stemme.

At man skulle kunne overskrive sin stemme ved at aflevere en ny stemme (elektronisk eller på papir).

Det er heller ikke generelt for e-valg. Kun for den norske løsning (som er den artiklen tager udgangspunkt i).

  • 2
  • 0
Lars Bengtsson

@Per

Man har åbenbart i Norge besluttet, at sikkerheden er tilstrækkelig, bare man stoler nok på nogen.

Præcis. Et moderne samfund kan slet ikke fungere hvis ikke vi stoler på eksperter. Der skal selvfølgelig være passende kontrolmekanismer.

Forestil dig at alle skal kunne forstå hvordan hver enkelt process i medicin, byggeteknik, fly- og togsystemer virker. Samt el og elektronik området.

Jeg medgiver at valg er noget andet, hvor det sådan set ikke er nødvendigt (i lande med lav valgsvindel) eller en meget stor fordel at udskifte en simpel process med en avanceret tekonologisk.

Men derfor kan valgteknikken da godt virke.

Faktisk blev jeg opmærksom på, under den danske e-valgsdebat at der ikke er gennemskuelighed i de eksisterende IT-processer ved valg i Danmark.

Det er KMD der udsender valgkort, et system uden indsigt, som muliggør svindel. Fordi man visse steder (fx København) har moderniseret registreringen med bærbare PCer og stregkodeaflæser. Den software der styrer dette er der ikke nogen uvildig kontrol af. Kommunen hylder besparelsen ved denne indførsel.

Det software som udregner mandatfordeling, herunder tillægsmandater ved folketingsvalg er der heller ikke uvildig indsigt i. Prøv at forklare Maren i Kjæret, hvordan metoden er http://www.dst.dk/valg/BeregningerTilFolketingsvalg.pdf det er ikke simpelt.

  • 0
  • 6
Kenn Nielsen

Det virker lidt unfair, at man stiller yderligere betingelser til det elektroniske system, og fordi det ikke (logisk) kan lade sig gøre, konkluderer man, at e-valg ikke er lige så godt som almindeligt valg.

Omvendt kan man vel argumentere for at det skal være ligeså kontrolleret og langsommelig en affære at slette en stemme elektronisk for at der kan være tillid til at der ikke køres en-eller-anden cleanup-routine der tynder ud i partiX's stemmer.

K

  • 3
  • 0
Peter Lind Damkjær

Først en disclaimer:
Jeg siger ikke at nedenstående løser alle udfordringer ved eValg over internet eller at jeg synes, at det er en god ide.

Men det er blot et udtryk for min begejstring over hvad man kan med kryptologi.

Nu til sagen:
Trylletricket består i at man stemmer under et registreret pseudonym. Disse pseudonymer er genereret af de der afholder valget og uddeles inden valget på en måde så en identificeret bruger kun kan få eet pseudonym og og så sandsyndigheden for at to identificerede brugere får samme pseudonym er vilkårlig lille. Det helt store trick er, at de der afholder kan uddele pseudonymer ud at vide, hvilke borgere, der fik hvilke pseudonymer.

Og 'ja', der findes faktisk protokoller til dette formål, som er sikre under nogle grundlæggende kryptografiske antagelser.

Til de, der vil grave ned i denne magi, skal der søges på "Oblivious Transfer" og "All-or-nothing-disclosure-of-secrets".

/Peter
Der i denne sammenhæng skriver som privatperson

  • 2
  • 0
Ebbe Hansen

Vente med at tælle stemmen (den på nettet) til valget er overstået?

På tidspunktet hvor stemmen afgives er der jo etableret en person-stemme sammenhæng. Disse oplysninger kunne anbringes i en container (med stemmen behørigt krypteret) til valget var overstået. Så behøver man blot at slette containeren hvis personen ønsker at afgive sin stemme på valgdagen.

  • 0
  • 0
Einar Rasmussen

Har du den ene har du effektivt også den anden. Hvis jeg kan mappe fra ID til stemme (utvetydigt), kan jeg for en given stemme løbe alle ID'er igennem og finde den der mapper til lige præcis den stemme.

Jeg tror ikke, du kan identificere mig ud fra, at du har fundet en hashkollition.

Jeg forestiller mig, at

ID = hash(navn, addresse, cpr, random salt sendt med posten)

Sandsynligheden for, at du finder en meningsfuld hashkollition, kan du nok gøre arbitrært lille.

Jeg er på Lars Bengtsson's hold her og jeg vil gerne være med til at adskille debatten om man kan ud fra de opstillede betingelser fra debatten om man bør.

  • 0
  • 3
Lars Bengtsson

Hvordan pokker kan de have gjort det muligt, for systemet at annullere en stemme de IKKE ved hvad var på - hvis de kun får af vide at "bogerid X har angivet ny stemme" ?


Systemet skal vide hvad der er stemt, men gemmer ikke hvem der har stemt det. Det skal blot kunne finde stemmen igen.

Men det rigtige svar ligger her (jeg har ikke fået læst og forstået det endnu):

Oversigt over teknikse dokumenter:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/k...

Detaljeret beskrivelse:
http://eprint.iacr.org/2010/380.pdf

"Simplificeret" beskrivelse (stadigvæk hardcore):
http://www.regjeringen.no/upload/KRD/Kampanjer/valgportal/e-valg/Nyheter...

  • 0
  • 3
Mads Buch

Lars Bengtsson: Det er godt at se nogle referencer til noget materiale :-)

Når det så er sagt, så belyser dokumenter umiddelbart (har kun skimmet dokumenterne hurtigt) kun problematikken med sikker kommunikation fra part A til part B.

Det er der ingen der har betvivlet er muligt at udføre.

Problemet er at lave et system hvor parten der afvikler valget ikke kan snyde.

  • 5
  • 0
Lars Bengtsson

@Peter

Og 'ja', der findes faktisk protokoller til dette formål, som er sikre under nogle grundlæggende kryptografiske antagelser.


Hvordan ved man at de er sikre?

Jeg har læst lidt i det norske dokument om internet valgsystemet, og så vidt jeg kan se så har man fravalgt Oblivious Transfer, pga. prisen, ja det lyder lidt mærkeligt. Ved ikke om det er fordi det kræver flere servere eller hvad.

  • 0
  • 1
Lars Bengtsson

@Mads

Problemet er at lave et system hvor parten der afvikler valget ikke kan snyde.


Man forhindrer fx at en person der vil presse en anden person til at stemme noget bestemt, ved at tillade multiple stemmer.

Der bliver faktisk gemt en hashværdi af alle ens internet stemmer se http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e.... Og de bliver allesammen offentliggjort på Github, så man kan sammenligne dem med den hashværdi man kan bede systemet om at generere.

Men hvis afpresseren har adgang til det interne system og kan se hvilken en af hashværdierne som bliver brugt i optællingen, så vil man kunne købe / afpresse stemmer.

  • 0
  • 3
Mads Buch

Hvad for en ged?

Udsagnet var at man ikke kan lave et system hvor parten der afvikler valget ikke kan snyde, og du svare på hvordan en bruger kan verificere hvorvidt sin stemme er registreret?

Igen, der er ingen der betvivler at man kan lave et system, hvor valgafvikler og vælger har en sikker og pålidelig kommunikation, kun kan stemme én gang etc..

Problemet er at du skal lave et system, hvor man kan overbevise vælger om, at valgafvikler ikke snyder. Det kan ske ved at have flere uafhængige valgafviklere (eller optællerer som vi kender dem fra det klassiske manuelle valg).
Samtidig må valgafvikler heller kunne kæde en vælger til en borger (afkoblet registrering og stemmeafgivelse, som vi kender det fra manuelle valg. Det er ret svært at gøre 100% digitalt).

  • 5
  • 0
Peter Lind Damkjær

@Lars

Hvordan ved man at de er sikre?

Det gør man ved almindelige matematisk bevisførelse. E.g. man laver et system og beviser, at hvis systemet kan brydes, så har man fundet en løsning til et problem, som man antog var svært. E.g. hvis man kan bryde enhver RSA nøgle effektivt, har man fundet en måde at faktorisere.

Bemærk at dette er matematik og ikke tager hensyn til "virkelighed", hvor man f.eks. typisk kan kigge på IP-adresser etc.

  • 3
  • 0
Lars Bengtsson

Hvad for en ged?

Udsagnet var at man ikke kan lave et system hvor parten der afvikler valget ikke kan snyde, og du svare på hvordan en bruger kan verificere hvorvidt sin stemme er registreret?


Jeg svarer: "Men hvis afpresseren har adgang til det interne system og kan se hvilken en af hashværdierne som bliver brugt i optællingen, så vil man kunne købe / afpresse stemmer."

Jeg undskylder hvis ikke det er formuleret tydeligt nok. Men at presse en vælger til at stemme på noget bestemt er en form for snyd. Jeg har så kigget på om man har adgang til noget bestemt information i systemet, det kan så være en af dem der afholder valget eller andre med intern adgang der evt. har mulighed for at aflæse hvilke hashværdier der bliver brugt til optællingen.

Så jeg ved ikke hvad du brokker dig over.

I forhold til tillid til optællingen, opdeler man dekrypteringsnøglen i flere dele, 9 vistnok, som er delt ud til personer der repræsenterer forskellige partier og eller interesser. Så de skal være tilstede ved optællingen og stole på hindanden for at optællingen kan udføres.

  • 0
  • 2
Kai Birger Nielsen

I et stemmelokale starter man med at demonstrere at valgurnerne er tomme fra starten. Hvordan forhindrer man at der bliver proppet nogle ekstra stemmer ind hin og pist i et system som det norske? (Antagelsen er at afstemningsfirmaet har interesse i at snyde på vægten. Hvordan checker folketingets valgkontroludvalg om det er sket? I danske valg er det typisk ret få stemmer, der skal lægges ekstra i vægtskålen for at flytte et mandat, navnlig hvis man har adgang til delresultatet undervejs.)

PS point til Lars Bengtsson for at blive stående oprejst under beskydning, men jeg forstår stadig ikke helt hvad pointen med kommentarerne er? At Danmark burde eksperimentere lidt med at se hvilket resultat et elektronisk valg vil give?
Hvis ja, så vil jeg gerne erklære mig uenig. Det nuværende system med stemmebokse og flere valgtilforordnede af forskellig partiobservans til at råbe op, hvis tallet på tv-skærmen er forskelligt fra tallet i den lokale valgprotokol, er ganske robust. Man kan ikke tælle op undervejs og bestemme sig for at snyde et særligt godt sted og der er masser af valgkommentatorer i aviser og tv til at bemærke det, hvis fx Kristeligt Folkeparti pludseligt kommer over spærregrænsen igen pgra 17000 stemmer i Aarhus Vest.
Jeg er villig til at høre på argumenter for at skifte til et mindre robust system, men jeg vil kigge meget grundigt efter motiverne til et sådant skifte og jeg vil være meget svær at overbevise. Hvis det bare er for at få talt stemmerne hurtigere eller mere sikkert op, så er jeg sikker på at der er muligheder (fx ville en simpel tællevægt eller bare en køkkenvægt i hvert optællingslokale hjælpe en del).

Jeg kan sagtens tænke mig helt fornuftige grunde til at gå efter e-valgs teknologi, fx hvis man kun kunne stemme ved at gå ind i valglokalet på Ærø og ikke alle vælgere nemt kunne transportere sig til og fra Ærø på valgdagen. Men mange af den slags problemer bliver i dag løst ved at folk kan brevstemme.)

  • 3
  • 0
Peter Kyllesbeck
  • 3
  • 0
Lars Bengtsson

PS point til Lars Bengtsson for at blive stående oprejst under beskydning, men jeg forstår stadig ikke helt hvad pointen med kommentarerne er? At Danmark burde eksperimentere lidt med at se hvilket resultat et elektronisk valg vil give?


Det er interesse for teknologien. Og selvom jeg ikke mener det er en god ide at indføre eValg i Danmark, især ikke med den inkompetence som indenrigsministeren, ordførere og kommunerne lagde for dagen i debatten, så kan jeg godt se at der måske kan være fordele ved det i andre lande.

Det var fremme i debatten dengang at mange folk i Estland skal rejse langt for at kunne stemme med papir, der kan internetvalg gøre det mere demokratisk at gøre det nemmere for vælgerne.

  • 0
  • 4
Lars Bengtsson

Hvordan sikre du at valgafvikler kører den software de påstår de gør?


Jeg sikrer ikke noget ved det norske valg ;-). Men nordmændene siger at de har et kontrol-udvalg bestående af personer som repræsenterer forskellige interesser, som formentlig også kontrollerer softwaren, der er open source.

I modsætning til et system med stemmemaskiner ude på valgstederne, så har internetvalg den fordel at computerne er samlet på et eller få steder, så det er mere overkommeligt at kontrollere at det er den rette software der kører.

  • 0
  • 5
Peter Lind Damkjær

Ok, så du mener at man kan lave et matematisk bevis for at en kryptografisk protokol kun kan brydes ved brute force?

Nej, det var ikke helt det jeg forsøgte at sige. Budskabet var, at man normalt designer og beviser sikkerheden i kryptografisk protokoller ved brug af nogle antagelser. Eksempelvis er RSA baseret på en antagelse om at det er "svært" at faktorisere. Mao. hvis der ikke findes en effektiv måde at faktorisere, så er RSA sikker".

Man laver så typisk en omvendt bevisførelse. I RSA-eksemplet, viser man, at hvis RSA ikke er sikker, så har man en effektiv metode til at faktorisere.

Lige netop i tilfældet RSA, kan du gøre noget, der er bedre end brute force, men jeg betragter alligevel stadig RSA med tilpas lange nøgle som sikkert.

Er det kun visse protokoller eller mange af dem?

Rigtig mange kryptografiske protokoller er baseret på matematiske antagelser.

/Peter
(der i denne sammenhæng stadig skriver som private person)

  • 1
  • 0
Peter Kyllesbeck

Men siger du at systemet ikke konktrollere om vælgeren allerede har stemt?


Det gør det, men da valgkortet skal afleveres, kan det ikke 'genbruges', hvilket det heller ikke kan ved 100% manuel valghandling. Hvis der skulle snydes, måtte der være udstedt flere valgkort til samme person, og systemet skal så 'slette' registreringen af netop den person hver gang. Desuden foretages løbende krydscheck; antal registreringer mod antal udleverede stemmesedler.

  • 1
  • 0
Nikolaj Brinch Jørgensen

Problemet er vel ikke at adskille identitet fra stemmeresultat. Det problem bør kunne løses.

Problemet er vel mere logningen. Der er ingen garanti for at der ikke logges alt muligt når man stemmer. Denne logning er umulig i det gammeldags fysiske system.

  • 0
  • 2
John Jensen

Man får en sms med en kvittering på hvad man har stemt:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e...
Farvel til hemmelige valg. Sms'en bliver formodentlig logget i terrorbekæmpelsens navn og mon ikke trebogstavs-tjenesterne kan få en liste over hvilke tilfældigt genereret kvitteringskoder der er sendt til den enkelte borger.

Den ni-delte nøgle er appelsinen i sikkerhedsturbanen:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e...
Hvis der er tale om en relativ standard asymmetrisk kryptering, så må den ni-delte nøgle jo være blevet genereret samtidig med den offentlige nøgle og altså have været hel på et tidspunkt. Heldigvis kan vi jo stole på at den hele nøgle ikke er blevet kopieret inden den blev delt.

Alle de krypterede stemmesedler fra tællemaskinen slettes efter endt optælling:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e...
Så må man bare håbe at ingen får fat i databasen, hvor de også ligger gemt: http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e...

Alle interesserede kan vælge at agere som valgobservatører for deres egen stemme:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/o...
Det er også praktisk at man ved hvem der holder øje med sin stemme når man skal fuske med resultatet. "Se, et tal du har fået står på en liste, så er din stemme talt med."
</sarkasme> Faktisk så er listen med hash af de krypterede stemmer en glimrende ide, det er bare syndt at optælling er blackbox-agtig.
Man burde ikke skulle tilvælge at få sit hash, det skulle være obligatorisk.

Stemmen bliver krypteret 2 gange, så ingen kan pille ved den:
http://www.regjeringen.no/nb/dep/krd/prosjekter/e-valg-2011-prosjektet/e...
Dem der står for systemet har godt nok begge nøglepar til den inderste kryptering, hvoraf den ene dog er ni-delt, og hvis norges digital signatur er lige så "sikker" som NemId, så har de også begge nøglepar til den yderste kryptering. Godt at der bliver lagt en liste med hashes op på GitHub og at systemet ved hvem der har bedt om at få deres hash udleveret.

</sarkasme>

For at jeg nogensinde skulle komme bare i nærheden af at stole på en sådan internetafstemning, skulle der være flere uafhængige aktører involveret. Hvis flere af følgende punkter var en del af implementationen så kunne jeg overveje det:

  • Det skulle være muligt at afgive sin stemme via en, gerne flere, af de uafhængige aktører. Den uafhængige aktør ville så være garant for min identitet/anonymitet. Aktøren ville så dekryptere den yderste del af min stemme og sende den inderste del videre til tælling i komplet anonymiseret form.

  • Stemmescriptet skulle uploade hashet, af den inderste kryptering, til de uafhængige aktører jeg har valgt at stole på. Aktørerne står så for at publisere hashet til den åbne liste, således at det ikke kan spores tilbage til mig med mindre aktøren er korrupt/korrumperet.

  • Der skulle så absolut ikke sendes nogen sms med hvad jeg havde stemt. Den validering skal foregår via hashet.

  • Jeg skulle på forhånd kunne generere mit egen public/private nøglepar og uploade den offentlige nøgle til en eller flere aktører. Identifikationen kan ved upload tidspunktet fint foregå via NemId, men på valgdagen foregår krypeteringen med min egen private nøgle.

  • Det hele skal bygge på åbne standarder/protokoller, således at hvem som helst kunne lave et program til afgivelse af stemme.

  • Optimalt så skulle de indereste kryperingskonvolutter efter endt afstemning frigives, sammen med den ni-delte nøgle, således at alle kunne foretage optællingen.

  • Sidste men absolut ikke mindste så skal reglen om mindst 30% deltagelse fjernes: http://ing.dk/artikel/it-professionelle-patentafstemning-er-hamrende-ude...
    Min frygt er at hvis det bliver for nemt at holde valg, så vil de lægge alle mulige ting til valg i tide og utide, hvilket måske kunne får færre folk til at deltage, især omkring de "uinteressante" ting.

For lige at gøre det helt klart så er min tanke at de uafhængige aktører skal fungere som mix nets og som identitets-/anonymitetsproxyer.

Det her var bare lidt løse tanker, der er sandsynligvis nogle uheldige konsekvenser jeg ikke har overvejet.

~John

  • 5
  • 0
Rasmus Bækgaard
Rolf A.:

Den svigerfar med køllen MÅ ikke stå der. Der er vagter der siger "nei, det må du ikke", så det er et fjollet argument.

Hvis de har et system vil jeg gerne se et lidt mere detaljeret oversigt (og forklaring), for det kunne være, at det kunne bruges herhjemme (med modificering, så DoS ikke er muligt).

Og hvis nogen synes de vil antyde det kan jeg komme jer i forvejen - jeg er PRO-evalg.

  • 0
  • 6
Lars Skovlund
  • 0
  • 1
John Jensen

Dette kan gøres i en HSM, så man på intet tidspunkt ser den fulde nøgle. Der er dog stadig et system at stole på.

Men nøglen skal vel efterfølgende ni-deles og kopieres ud på ni usb-nøgler, så de genererede nøgler skal vel passere igennem en alm. computer.
Alternativt så skal man specialbygge en HSM med ni usb-porte, nøglegenereringen skal så foregå på live-tv, hvor HSM'en efterfølgende destrueres. Problemet er jo stadig bare, som du selv nævner, at jeg skal stole på at nøglen ikke på forhånd er lavet og lagt ind på "HSM'en".
Min pointe er, at der skal nogle helt skøre foranstaltninger til, for at vi bare kommer i nærheden af at kunne stole på det.

Hvis jeg istedet kunne vælge en uafhængig aktør, såsom "Dataloger for sikre valg", et politisk parti, en fagforening, el. lign., til at levere krypteringsnøglen, så ville det være enormt meget nemmere for mig at stole på. Hvis der er mange uafhængige aktører der fungere som identitets-/anonymitetsproxyer, så er vi ovre i et scenarie, hvor man skal korrumpere rigtig mange for at påvirke resultatet og samtidig er der også langt større chancer for at nogen ville råbe højt, hvis der er ugler i mosen.

~ John

  • 2
  • 0
Lars Skovlund

Nu vil jeg ikke forsøge at skitsere et nøglefærdigt (!) system, men man kunne godt bringe elementer i spil som flere uafhængige parter, flere tilstedeværende i lokalet når kritiske dele af processen gennemføres, smart-cards, skarp rolleopdeling til de implicerede personer etc. Det svære er at få formuleret en risikoanalyse som hr. og fru Danmark kan forstå. Risikoanalysen for et it-baserede valg bliver let lang og snørklet, mens risikoanalysen for valg som vi kender dem er kort og letforståelig for de fleste.

Alle de ting jeg har nævnt her kan håndhæves via en HSM.

/Lars (der er imod it-baserede valg, og stadig skriver på egne vegne)

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize