Stem på en chip: Kan RFID erstatte blyantkrydset?

Illustration: REDPIXEL.PL/Bigstock
Vælgere, der har brevstemt, har i tre kommuner fået tilbud om at prøve at stemme digitalt. Version2 prøvede at sætte et elektronisk kryds på Københavns Hovedbanegård.

Danskerne er vant til at sætte deres kryds med blyant på en stemmeseddel, som i mange valgkredse kan være meterlang. Men måske bliver den metode i fremtiden erstattet af et tryk på en skærm.

Vælgere i København, Århus og på Frederiksberg har i forbindelse med brevafstemning til efterårets folketingsvalg fået tilbud om at prøve at stemme digitalt.

Læs også: Tre kommuner gør klar til digitalt valg - som forsøg

Københavns Kommune har opstillet et telt på Hovedbanegården, hvor vælgerne kan afgive brevstemmer, og i to dage havde kommunen i samarbejde med ITU's Demtech opstillet en digital stemmeboks, som Version2 fik mulighed for at prøve.

Læs også: ITU-ekspert: E-valg bliver sikrere end papir-valg

Da jeg alligevel var nødt til at brevstemme på grund af denne uges Microsoft Build konference i Los Angeles, var valgteltet på Københavns Hovedbanegård den letteste måde at få stemt på, og det betød også, at jeg fik tilbud om at stemme digitalt, efter jeg havde afgivet min brevstemme.

Der var blot tale om et forsøg for at få vælgernes reaktion. Med en digital afstemning er der især bekymring om, hvor en stemme kan spores til en bestemt vælger, og om optællingen og registreringen af stemmer sker korrekt.

I den løsning, som blev testet i København, afleverede jeg først mit valgkort, som blev registreret på den digitale valgliste.

Læs også: Klar til valg: Scanner og stregkoder fjerner køen ved stemmebordene

Den valgtilforordnede, som i dette tilfælde blev spillet af én fra Demtech, da der blot var tale om en prøve og ikke gyldig brevstemme, udleverede derefter et lille hvidt papkort, som jeg tog med ind i stemmeboksen.

Papkortet indeholder en RFID-chip, altså en krypteret chip, der kan læses og skrives en begrænset mængde information på via radiobølger. Kortet blev indsat i en konsol med en berøringsfølsom skærm, og vælgeren kan ikke fjerne kortet igen, før stemmen er afgivet, eller vælgeren annullerer sin stemmeafgivelse.

På skærmen får vælgeren præsenteret muligheden for at vælge et af de opstillede partier eller stemme blankt. Klikker man på et parti, får man en liste over de kandidater, der er opstillet i valgkredsen, men man kan også som på en papirstemmeseddel vælge at stemme på partilisten.

Da jeg havde valgt, hvor mit kryds skulle sættes, skulle jeg klikke mig videre til det afsluttende skærmbillede, hvor jeg skulle bekræfte mit valg. Derefter blev min stemme skrevet både til chippen og printet på papkortet.

Udskriften på kortet gør det både muligt for vælgeren at se, om stemmen er korrekt, men den skal primært bruges ved fintællingen.

Papkortet skal foldes, hvilket ikke var helt let, fordi det stive pap gjorde det svært at folde kortet tilstrækkeligt til at forhindre, at andre kunne læse min stemme, hvis jeg tabte min stemmeseddel.

Valgurnen er udrustet med en chiplæser, så da jeg puttede min stemmeseddel i urnen, blev min stemme registreret.

Løsningen skiller sig på den måde ud fra de elektroniske stemmebokse, som bruges i blandt andet USA, hvor det er den samme maskine, hvor man vælger sin kandidat på, som også registrerer stemmen.

Aflæsningen af chippen betyder, at man kan få det samlede resultat med det samme, når valghandlingen er slut, men stemmerne skal stadig optælles igen i hånden i fintællingen, hvor det er den stemme, der er printet på papkortet, der registreres.

Det gør det muligt at se, om der er en forskel på de stemmer, urnen har registreret automatisk, og de stemmer, der er printet på kortet, som vælgeren selv har haft mulighed for at bekræfte.

Derudover bliver processen kontrolleret ved, at man kan se, om der er forskel på antallet af udleverede stemmesedler, antal afgivne stemmer på selve stemmekonsollen og antal optalte stemmer.

Der er allerede i dag til et normalt valg en lille forskel på et par promille, fordi der er vælgere, som udfylder en stemmeseddel, men ikke afleverer den i urnen, selvom de skal.

Selve den digitale stemmeafgivelse afviger i dette tilfælde ikke stort fra den proces, man i dag kender som vælger med papirstemmesedler, men den kan eliminere stemmesedler, der ville blive talt som ugyldige, fordi vælgeren har et flueben i stedet for et kryds, sat mere end ét kryds eller tegnet en smiley ud for sit kryds.

Som vælger giver den digitale proces også umiddelbart en god oplevelse, fordi jeg ikke var i tvivl om, hvorvidt jeg havde sat mit kryds på den korrekte måde, så min stemme ville blive talt.

Navigationen i selve programmet, hvor man kan vælge sin kandidat kunne være bedre. Knapperne var i testversionen forholdsvis små, og alle knapper var grå. Det kunne forbedres med tydeligere visuel hjælp til, hvor langt man var i processen, og hvor man skulle trykke for at komme videre for eksempel ved at bruge farver.

I den nuværende version mindede navigationen om noget, man kunne finde på en webformular mere end det, jeg har set på de amerikanske stemmebokse.

Overordnet er det dog kun et lille skridt i forhold til et egentligt digitalt valg, hvor man eksempelvis kunne stemme hjemmefra via internettet. Her er det blot stemmesedlen, der er gjort elektronisk, og det giver ganske vist færre ugyldige stemmer og et hurtigere resultat, men gør det ikke meget mere bekvemt for vælgeren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
Peter Makholm Blogger

Små skridt er gode, især taget i betragtning ved at risikoen for at kompromitere demokratiet er enorme.

Jeg har et kritisk spørgsmål til den beskrevne model: Fra hvilken afstand kan jeg aflæse din stemmeseddel? Kan den valgtilforordnede der står ved valgurnen for eksempel aflæse den med hyldevareelektronik?

Derudover den sædvanlige økonomiske betragtning. Kan det overhovedet betale sig med vores nuværende valgmodel? Hvad koster det og hvad får vi ud af det, ud over at kunne få det foreløbige valgresultat allerede 20:30 istedet for at skulle vente til omkring midnat?

Jens Christian Jensen

Hvis man ser på http://www.youtube.com/watch?v=hBhCsdhfBRo kan man se at det umiddelbart er samme maskine som beskrevet ovenfor. Tænk hvor meget en anmeldelse som ovenstående kunne have forbedret systemet, men desværre valgte Version2 i stedet at blot præsentere et par udtalelser der ikke fortalte noget om selve måden maskinen fungerede. Men vi kan da håbe at holdet bag maskinen lytter efter og får lavet en bedre brugerflade før maskinerne bliver indført.

Mikkel Leffers Svendstrup

Vi laver en større undersøgelse og evaluering på baggrund af de tests, vi har udført i forbindelse med Folketingsvalget (Vi har testet på Frederiksberg, i Aarhus og 2 steder i København). Så selvfølgelig rettes der på brugerflade og papkortene etc. Mht. farver, så har det været vendt og drejet mange gange, og der er store problemer forbundet med det, da de politiske partier associeres med farver. Så ex. selv en lille tone af rødt bliver straks opfattet som havende Socialdemokratiske tendenser.

Vi tester systemet igen på valgdagen på Frederiksberg Rådhus i Rådhussalen sideløbende med det "rigtige" valg.

Peter Makholm Blogger

Hvor er de 5 centimeter specificeret?

Er det maximumsafstanden hvor leverandøren garanterer at chippen kan aflæses eller er det minumumsafstanden hvor leverandøren garanterer at kortet ikke kan aflæses?

At indholdet af chippen umidelbart er krypteret øger bare kompleksiteten af det naive angreb til at man også skal have adgang til valgurnens indhold når afstemningen er afsluttet. Altså kan man i ro og mag pare borger og stemmeseddel under fintællingen.

Grundlæggende set er jeg tilhænger af at vi ser på maskinlæsbare stemmesedler og metoder så borgeren kan få valideret sin stemmeseddel. Derfor vil jeg på ingen måde udråb denne slags afstemninger til en katastrofe på samme måde som alt det andet folk lægger i hatten 'digitale afstemninger'.

Mikkel Leffers Svendstrup

Hej igen Peter

Er det maximumsafstanden hvor leverandøren garanterer at chippen kan aflæses eller er det minumumsafstanden hvor leverandøren garanterer at kortet ikke kan aflæses?

Jeg er dig svar skyldig, men undersøger lige sagen. Aflæseren befinder sig midt i en "ælser" forsejlet urne. Kortene føres forbi læseren midt i urnen. Vi arbejder pt på flere forskellgie måder at føre kortene forbi læseren.

At indholdet af chippen umidelbart er krypteret øger bare kompleksiteten af det naive angreb til at man også skal have adgang til valgurnens indhold når afstemningen er afsluttet. Altså kan man i ro og mag pare borger og stemmeseddel under fintællingen.

Du kan ikke parre borger og stemme på noget tidspunkt. Kortet er ligeså anonymt som den stemmeseddel du får udleveret idag. Der er intet på kortet der henviser til den enkelte borger.

Grundlæggende set er jeg tilhænger af at vi ser på maskinlæsbare stemmesedler og metoder så borgeren kan få valideret sin stemmeseddel. Derfor vil jeg på ingen måde udråb denne slags afstemninger til en katastrofe på samme måde som alt det andet folk lægger i hatten 'digitale afstemninger'.

Helt enig!

/Mikkel

Jesper Lund

I dag er det ikke muligt at spore en stemmeseddel tilbage til en vælger fordi alle stemmesedler bliver smidt ned i en forseglet valgurne

Hvordan kan vi være sikre på at dette e-valg bliver lige så hemmeligt?

Jeg går ud fra at RFID papkortet vil blive udleveret ved en eller anden form for fysisk (ikke-computer) randomisering?

Men selv i denne situation vil der formentlig eksistere en log med hvornår den enkelte vælger ankommer og stemmesedlen udleveres (det gør der måske allerede i dag, da man mange steder bruger computere i stedet for manuel afkrydsning som i de gode gamle dage).

Hvis der samtidig eksisterer en timestamped log med hvornår stemmerne bliver afgivet (aflæst i valgurnen), vil man kunne sammenholde de to logfiler og få en god ide om hvad den enkelte vælger har stemt. Lidt svarende til at man kunne åbne stemmeurnen hver gang der er lagt en stemmeseddel derned (det kan man ikke i dag fordi urnen er forseglet).

Kommentaren er inspireret af denne artikel:
http://www.freedom-to-tinker.com/blog/felten/e-voting-ballots-not-secret...

Arne Jørgensen

At indholdet af chippen umidelbart er krypteret øger bare kompleksiteten af det naive angreb til at man også skal have adgang til valgurnens indhold når afstemningen er afsluttet. Altså kan man i ro og mag pare borger og stemmeseddel under fintællingen.

Så krypterings rolle er at forhindre/besværliggøre at udefrakommende aflæser RFID-kortet hvis du nu skulle komme tættere på end 5 cm eller have udstyr der er lidt mere fintfølende end forventet?

Er der egentlig en grund til at bruge RFID i stedet for en teknologi der kræver "kontakt" for at blive aflæst?

Arne

Jesper Frimann

Jeg må indrømme, at jeg har meget svært ved at se, hvilken værdi en RFID chip bibringer til løsningen, som en printet stregkode ikke ville kunne løse.
Desuden introducerer den et 'usikkerheds moment' for vælgeren, som højst sandsynligt ikke er vant til den type teknologi. En stregkode derimod er folk vant til at bruge, f.eks. når de køber grønsager, eller frugt i deres supermarked, hvor de vejer en vare og printer en strejkode med pris informationen i.

// Jesper

Mikkel Leffers Svendstrup

I dag er det ikke muligt at spore en stemmeseddel tilbage til en vælger fordi alle stemmesedler bliver smidt ned i en forseglet valgurne

Hvordan kan vi være sikre på at dette e-valg bliver lige så hemmeligt?

Jeg går ud fra at RFID papkortet vil blive udleveret ved en eller anden form for fysisk (ikke-computer) randomisering?

Der er frit valg, hvis du hellere vil have et stemmekort midt i bunken, så tager du det.

Men selv i denne situation vil der formentlig eksistere en log med hvornår den enkelte vælger ankommer og stemmesedlen udleveres (det gør der måske allerede i dag, da man mange steder bruger computere i stedet for manuel afkrydsning som i de gode gamle dage).

Det findes allerede idag

Hvis der samtidig eksisterer en timestamped log med hvornår stemmerne bliver afgivet (aflæst i valgurnen), vil man kunne sammenholde de to logfiler og få en god ide om hvad den enkelte vælger har stemt. Lidt svarende til at man kunne åbne stemmeurnen hver gang der er lagt en stemmeseddel derned (det kan man ikke i dag fordi urnen er forseglet).

Urnen timestamper ikke. Netop for at undgå denne problematik. Ex. hvis man har et meget lille valgsted, ville det skabe store problemer. Endvidere shuffles de kryptogrammer urnen modtager.

Jesper Lund

I forhold til den nuværende valgmetode skal vi investere en masse penge i nye IT-systemer, der bruges mindre end en gang om året, og stemmesedler der består af pap og RFID vil sikkert også være dyrere end de nuværende stemmesedler.

Stemmerne skal stadig optælles manuelt.

Det bliver sværere at overbevise borgerne om at valghandlingen er hemmelig, som grundloven jo foreskriver.

Eneste fordel, som jeg kan se, er at valgresultatet er tilgængeligt kl 20:01 i stedet for ved midnat (eller ofte efter en time eller to med gode prognoser).

Umiddelbart vil min vurdering af dette være dyrere og dårligere. Vi skal ikke lave digitale valg bare fordi vi kan.

Arne Jørgensen

Eneste fordel, som jeg kan se, er at valgresultatet er tilgængeligt kl 20:01 i stedet for ved midnat (eller ofte efter en time eller to med gode prognoser).

Forhåbentlig ikke tilgængeligt klokken 20:01.

Hvis der er kø på valgstedet kl 20:00 så får alle i køen lov at stemme - så vi må ikke kende resultatet før alle køer er afviklet på alle afstemningssteder.

Arne

Mikkel Leffers Svendstrup

Hej Jesper. Faktisk er stemmekortet m. RFID lidt billigere end den special fremstillede stemmeseddel, du får udleveret idag :) Det overvejes pt, om der også kommer en stregkode m, så man også kan lave en hurtig optælling denne vej.

Vi er 100% dedikerede til at lave "den gode løsning", at dette måske ikke kan lade sig gøre, kan også være en konklusion, men lad os nu se. En ting, som sjældent bliver diskuteret er, at det system vi har i dag langt fra er ufejlbarligt. Den største fordel ved det, er at vi generelt stoler på systemet. Vores indgangsvinkel har hele tiden været, at se om vi kan lave et elektronisk system, der også vil have legitimitet i befolkningen. Fint nok, hvis vi laver en legal valghandling efter bogen, men hvis vi ikke har den nødvendige tillid hos vælgerpopulationen, så kan det være ret ligegyldigt.

Flemming Madsen

Først, tak til Mikkel Svendstrup for at svare på vores spørgsmål, rart med mulighed for svar af teknisk karakter.

Jeg er ikke nogen haj til RFID, men er det ikke rigtigt at man kan skrive til RFID kort på afstand?
I så fald, er det så muligt med denne løsning at overskrive stemmesedlerne, enten før der kommer en stemme på kortet eller efter stemme-afgivelse?

Jeg forestiller mig et scenarie hvor en person overskriver alle stemmesedlerne med blanke stemmer (sabotage).

Mikkel Leffers Svendstrup

Først, tak til Mikkel Svendstrup for at svare på vores spørgsmål, rart med mulighed for svar af teknisk karakter.

No problem

Jeg er ikke nogen haj til RFID, men er det ikke rigtigt at man kan skrive til RFID kort på afstand? I så fald, er det så muligt med denne løsning at overskrive stemmesedlerne, enten før der kommer en stemme på kortet eller efter stemme-afgivelse?

Jeg forestiller mig et scenarie hvor en person overskriver alle stemmesedlerne med blanke stemmer (sabotage).

Det er worm chips. Så hvis man skulle lave et eller andet i den dur, skal man ud i noget reverse oriented programming, og du vil stadig ikke kunne lave makromanipulation. Jeg har dog aldrig set eller hørt om et sådan scenarie i forbindelse med RFID. Det er udført som eksperiment på nogle bios.

Peter Makholm Blogger

En stor tak til Mikkel for hans deltagelse her. Jeg er dog ikke helt sikker på at vi er enige om hvad mit "angreb" går ud på. Lad mig derfor prøve at gengive det en hel del mere detaljeret.

Formål

  • At opnå viden om hvad en konkret borger stemmer uden borgerens deltagelse.

Antagelser

  • Visuel identifikation af borgerne er tilstrækkelig
  • Når stemmesedlen afleveres indeholder den en unik aflæsbar token

Angreb

I det borgeren aflevere stemmesedlen kan en valgtilforordnet uden at vække opsigt komme tæt nok på stemmesedlen til at afleæse stemmesedlens token. Efter valghandlingens afslutning (for eksempel under en kontroloptælling) har en stemmetæller mulighed for samtidigt at aflæse stemmesedlens token og den udprintede stemme. Q.E.D.

Diskussion

Det relevante er ikke hvornår og hvordan den officielle aflæsning af stemmesedlen foregår eller hvordan tokens bliver genereret. Det eneste spørgsmål er om en uautoriseret aflæsning af stemmesedlens token kan finde sted.

Jeg tror at de omtalte 5 centimeter er afstanden hvor leverandøren vil garantere at chippen både kan læses og skrives fra med standardudstyr. Det vi har brug for er en garanti for at stemmesedlends token ikke kan aflæses fra større afstand med specialudstyr.

Udvidet angreb

Jeg antager at RFID chippens token indeholder selve stemmen således at der ikke er behov for anden kommunikation mellem stemmeboks og stemmetæller. Er det dokumenteret hvor meget information det kræves for at kompromitere denne kryptering? (Ikke nødvendigvis offentligt tilgængelig dokumentation)

Hvis vi tillige kan skrive til chippen kan vi lave en stemmeseddel der ikke kan maskinaflæses. Med visuel identifikation kan vi målerette dette angreb mod folk vi regner med at stemme på en bestemt måde. Hvordan mon det håndteres korrekt, hvor stort skal omfanget være for at falde tilbage på en manuel afstemning? (Spørgsmålet er nærmest ud i luften, ikke så meget til DemTech)

Kan vi generere tokens der ser valide ud, er systemet fuldstændig kompromiteret uden kontroloptælling.

Konklussion

Jeg vil foretrække et system hvor maskinaflæsningen er mere gennemskuelig. Det forudsætter nok at aflæsning (og skrivning) kræver kontakt, måske endda en visuel aflæsning.

Et system der basere sig på udbredt kontroloptælling giver ingen økonomisk gevinst. Muligvis vil det gøre valghandlingen dyere da der kræves en del hardware ud over en blyant og en plastikkasse. I så fald er gevinsten minimal.

I sig selv vil jeg ikke udtale mig om hvorvidt dette angreb er værre eller bedre end mængden af mulige angreb mod det nuværende system. Det er mere ment som en opfordring til at finde det værste angreb mod ethvert tænkeligt system. Det er vores eneste mulighed for at foretage en valid risikoanalyse.

Det kunne for eksempel også være interessant at foretage en sammenligning af konkrete angreb mod det eksisterende system. For eksempel, hvor let er det at smugle to stemmer ned i afstemningsurnen samtidigt?

ObXKCD

Det er en grundlæggende egenskab ved RFID'er at de kan aflæses på afstand. Efter min mening er løsningen ikke at undersøge hvordan vi kan skærme os imod at den egenskab bliver brugt til at kompromitere systemet. Løsningen er helt at fjerne denne ummidelbart unødvendige egenskab.

Er det virkelig nødvendigt at jeg finder den rette XKLCD-stribe frem? Nå pyt: http://xkcd.com/463/

Flemming Madsen

Jeg har lige en betænkning mere. Mikkel Svendstrup skriver tidligere i tråden at løsningen med RFID papkortet er billigere end den traditionelle stemmeseddel. Men hvis der er et stort strømafbrud på valgdagen, kan det være nødvendigt at stemme på den gamle måde og så er vi nødt til at bestille stemmesedler alligevel. Så jeg kan ikke se nogen besparelse der.
Eller vil man have nødgeneratorer ved alle stemmesteder?

Kim Garsdal Nielsen

Jeg kan som mangeårig valgtilforordnet ikke helt forstå, at man ikke laver en eller anden mellemteknologisk løsning som at skanne alle stemmesedlerne, således at alle de stemmesedler, som er umiddelbart læselige, tælles automatisk, og de resterende overdrages til manuel optælling.

Hvis danske spil kan lave elektonisk registrering af (mine gamle hærgede og genbrugte) lottokuponer, og man kan lave ocr af skrift, må man også kunne identificerer krydser på en stemmeseddel.

Dette ville bevare de let gennemskuelige stemmesedler, som alligevel skal fintælles, men det ville spare en masse tilforordnede en masse tid på valgaftenen.

På mit valgsted havde man i øvrigt indført skanning af valgkortet med en stregkode og en håndholdt pistol, således at der i stedet for 3 dedikerede valgborde á 3 tilforordnede kun var 2 á 2, med frit valg. Min kone og jeg valgte hver sit, så vi var helt igennem på mindre end ét minut, selvom jeg måtte vente nogle sekunder på en ledig stemmeboks.

Joseph Kiniry

Once again I am impressed and pleased with Version2 readers. I love the engagement I witness here.

One thing I want to make clear, as we have on the DemTech.dk homepage, is that the prototype kiosk-based e-voting system demonstrated just before and during the recent election is the fine work of DemTech industrial partners Aion and Siemens working together under the banner of Assembly Voting. As such, it represents there first experiments with what might be called a 3rd generation VVPAT kiosk-based e-voting system. It pre-dates the start of the DemTech project and DemTech research has not directly influenced its design or implementation.

We applaud our industrial partners work in such, as getting feedback from Danish voters about prototypes is indeed important work, and certainly we'll learn a lot from their experiments. We do expect that a future prototype developed by our partners will incorporate DemTech Open Source technologies.

Thank you to Mikkel for stepping up and engaging with Version2 readers.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017