Succes med e-valg over nettet: Giver høj valgdeltagelse og høj sikkerhed

Nej nej nej nej!

Dansk Magisterforening (DM, som jeg er medlem af) indførte elektronisk afstemning for nogle år siden. Det betyder at jeg er holdt op med at stemme, for det er aldrig lykkedes mig at få de valgansvarlige til at forklare hvorfor jeg skulle stole på resultatet -- andet end at "den tekniske leverandør er et seriøst firma" og lignende.

Digital afstemning har mange fordele: pris, hastighed, potentielt højere stemmeprocent/involvering. Men kunden (her DM) er nødt til (1) at forlange gennemskuelighed og troværdighed, og (2) at kunne forklare medlemmerne/vælgerne hvorfor resultatet skal tillægges større vægt end RAND()*50000 i Excel.

Stærkt forbedret gennemskuelighed og troværdighed kan opnås med teknisk simple og forholdsvis forståelige midler, som i hvert fald kunne overbevise mig om at det er umagen værd at stemme til hovedbestyrelsesvalg osv igen.

Det er absolut forkert at man kan lave et sikkert valg digitalt.

Det kan godt ske at man til ligegyldige ting så som X-factor og Dansk Metal kan bruge en legetøjsløsning, men der er altså helt andre krav til rigtige valg.

Gå væk med det e-valg skrammel!

Sidste gang stemte jeg ikke af den gode grund, jeg kom hjem fra arbejde om eftermiddagen og gik op for at stemme, da der så var 1 times kø vendte jeg om og gik hjem igen, jeg orkede virkelig ikke at skulle stå i kø efter at have siddet i kø på vej hjem fra job.

Jeg vil vildt gerne stemme, men gider ikke spilde min dag på at stå i kø en time for at gøre det, den time kan sagtens bruges på andre ting hjemme.

Hvis vi skal have e-valg over nettet skal politikerne ændre valgloven, som gælder kommunalvalg, Folketingsvalg og valg til EP. Den siger, at valghandlingen SKAL foregå hemmeligt og i enrum. Derfor har Indenrigsministeriet indtil nu afvist ethvert forslag til e-valg, som ikke foregår på et godkendt valgsted. Se § 48 i vlgloven: http://sik-lw.lovportaler.dk/showdoc.aspx?docId=lov19870271-a1

jeg tror ikke rigtig jeg synes, at det er godt hvis man opnår en højere valgdeltagelse bare fordi det er blevet nemmere at stemme. De fleste former for valg begrænser sig vel til at skulle møde op på en nogenlunde tilgængelig lokation, og række hånden op eller sætte et kryds, eller hvis bølgerne går højt så sende et brev.

Hvis du ikke engang orker det så tror jeg ikke du er interesseret nok til at din mening bør tælle for ret meget.

Jeg vil vildt gerne stemme, men gider ikke spilde min dag på at stå i kø en time for at gøre det, den time kan sagtens bruges på andre ting hjemme.

Det er godt nok en sølle holdning at have, og hvis jeg skal være helt ærlig, så fortjener du ikke at leve i et demokrati!

Demokratiet er en skrøbelig ting, som reelt ikke er meget mere end godt 100 år gammelt, og som utrolig let kan sættes over styr hvis der ikke vises et engagement for at passe på det.

Det er voldsomt trættende at der med jævne mellemrum kommer disse udmeldinger fra enten naive politikere, eller firmaer der vejrer morgenluft. Vi har i Danmark et utroligt velfungerende og [b]sikkert[/b] valgsystem, og med de få valg vi har vil økonomien ved e-valg garanteret ikke kunne hænge sammen, samtidig med man satte sikkerheden over styr.

Og helt kynisk, hvis ikke de unge "gider møde op", så får de svært ved at få samfundet til at fungere som helhed, når først de selv står med ansvaret for det (hele)!

Klap da lige hesten. Man kunne også tilpasset valget til tiden. I dag har folk ikke tid til at stå i kø en time for at sætte et kryds. Især ikke når krydset i sidste ende ikke påvirker mere end politikkerne gør hvad der passer dem..

Men ligefrem at sige jeg ikke fortjener at leve i demokrati, tag dog lige og slap af med den udmelding.

Erfaringer fra USA viser, at sikre e-valg ikke er mulige. Stemmeprocenter på over 100 i visse områder, stemmeafgivelser, som afviger mistænkeligt mellem nabo-områder etc.

I USA bruger de lukkede proprietære løsninger.

Med min erfaring fra Danmark (bl.a. NemID) bliver der også tale om en lukket proprietær løsning. Vi almindelige stemmekvæg har altså ikke en kinamands chance for at undersøge om systemet rent faktisk er sikkert.

Der er vist noget med at valgdeltagelsen faktisk er faldet i Schweiz efter de indførte elektroniske valg.

Nu var jeg simpelthen nødt til at oprette en bruger og kommentere disse nyheder om Digitale valg som Version2 åbenbart fokuserer meget på for tiden.

Jeg var tidligere en stor tilhænger af E-valg, men efter at have set dokumentaren "Hacking Democracy" er jeg nu helt overbevist om at jeg aldrig skal stemme ved et E-valg. Der er simpelthen for mange muligheder for fejl og svindel, og gevinsten er for lille.

Se mere om dokumentaren her: http://www.hackingdemocracy.com/

Jeg tror på at man kan udvikle en god og sikker måde at lave e-valg. Men det skal være ved at man designer og vedtager en standard, som alle åbent kan vælge at implementere.

Det går ikke at købe en løsning hos en virksomhed. Det er dét alle de dårlige erfaringer går på.

Der findes kryptografiske metoder, således at du vil kunne verificere at din stemme er talt med, at der ikke er falske stemmer og så du selv kan beregne valgets resultat.

Så lad os designe et godt system og lad os få udviklet en reference implementering som open source. Og lad universiteter og andre interesserede udvikle alternative implementeringer, der kan bruges til at verificere at alt går hæderligt til.

PS.: Det er et stort problem at NemID ikke er en rigtig digital signatur i denne sammenhæng. Det er også et stort problem at NemID ikke opfylder betingelserne for at være åben. Lad os få en digital signatur efter samme principper.

Jeg har set hvordan valg foregår i 3F. Dette er ihverttilfælde ikke demokratisk. Stemmesedlen er forsynet med din fødselsdato som brugernavn og en pinkode. (4cifre tal) Dette gør at man kan fører kontrol med at folk ikke stemmer dobbelt altså pr brev og samtidig via web. Men det gør også at fagforeningen får en mulighed for at se hvem der stemmer hvad.

En lignende løsning til et folketings valg og demokratiet er stendødt. (Jeg gider ihvertfald ikke stemme på disse vilkår)

CLAES JENSEN,

gider ikke spilde min dag på at stå i kø en time for at gøre det

Fair nok. Det er alt for længe.

Næste gang bør du overveje at brevstemme. På dit lokale bibliotek eller BorgerServiceCenter. Ingen, eller næsten ingen kø, og du har hele 14 dage at vælge imellem.

Jeg antager at det er meget udbredt at fagforeninger afholder valg ved håndsoprækning, og dermed ikke er hemmelige. Derfor er der ingen problemer med at have SMS-valg, og medlemmerne er sikkert klar over at deres valg ville kunne spores.

Sådan er det ikke med folketings- og kommunevalg.

Det er fint at folk kan stemme om, så man undgår at folk presses til at stemme noget bestemt.

Men hvordan undgår man at jeg sælger min stemme til højestbydende?

Men hvordan undgår man at jeg sælger min stemme til højestbydende?

Hvordan undgår man det idag? Bliver det checket om du tager en mobiltelefon med camera med ind i stemmeboksen? Sikkerheden er i forvejen ikke super.

Det er naturligvis ulovligt, så svaret er at det undgår man med almindelig politi efterforskning. Hvis nogen fremsætter et tilbud om at købe stemmer bliver de anholdt og fængslet. Dermed kan det højst foregå i så lille skala at det næppe kan have afgørende betydning for valget.

Men hvordan undgår man at jeg sælger min stemme til højestbydende?

Du kan også i dag sælge din stemme til højestbydende. Som bevis kan du tage en mobiltelefon med i stemmeboksen og tage et billede af stemmesedlen med dit kryds.

Men ligesom i dag vil dit bevis ikke være meget værd for en køber, når du bare kan ændre din stemme efter du har lavet dit bevis.

@Claes Jeg er enig i at det er at gå for langt at sige du ikke fortjener at leve i et demokrati, men jeg synes faktisk ikke du fortjener at have indflydelse på hvem der bliver valgt, eller ret til at brokke dig over dem.

Nu er jeg ikke ekspert på E-valg, men som jeg ser det, er det utroligt svært at lave et system hvor folk både kan stemme hemmeligt og hvor man har mulighed for at tjekke mod fejl og svindel.

Hvis du kun kan tjekke at din stemme er angivet rigtigt på en computer-skærm, er det ubrugeligt. Dette kan altid forfalskes, således at skærmen siger at du har stemt A, men faktisk skriver den B i resultatet. (Her kan Open source bruges til at tjekke softwaren igennem inden et valg, men hvordan tjekker du din stemme-maskine inden du stemmer?)

Hvis man får sin stemme ud på papir (som ryger i en stemmeboks) og stemmen bliver registreret elektronisk, så skal den endelig afgørelse på valget afgøres på de fysiske stemmesedler (da computeren stadig er utroværdig), og så er den eneste gevinst at man får et hurtigt resultat af valget (pga. optællingen af de elektroniske stemmer).

Min holdning er klar: Hvis der bliver indført E-valg, lader jeg være med at stemme.

Nu er der temmelig stor forskel på vigtigheden af interne valg i en fagforening, og offentlige valg til kommune, folketing og EU-parlament.

Et forslag om e-valg her bør ikke nyde fremme.

Man kan arbejde med ideer som følgende:

• offentliggør liste med 4 millioner stemmenøgler før valg (offentlig nøgle).
• offentliggør samtlige stemmer forvansket så de stadig kan tælles men ikke henføres til bestemt person
• offentliggør liste over brugte stemmer
• find metode så punkt 1, 2 og 3 tilsammen kan sikre at der kun er lovlige stemmer i stemmeboksen, at hver person kan checke hans stemme er talt med på den korrekte kandidat uden at andre kan checke det, etc.

Det er en klar opgave at lægge ud til datalogi-instituterne på Universiteterne og bede dem komme med et oplæg til hvordan det gøres bedst muligt.

Det vigtige er at tænke i baner hvor alle borgere i princippet selv kan tælle efter. Vi skal netop ikke have sådan nogle "black-box" løsninger, som man kender fra USA og hvor man bare skal stole på leverandøren.

Nu er jeg ikke ekspert på E-valg, men som jeg ser det, er det utroligt svært at lave et system hvor folk både kan stemme hemmeligt og hvor man har mulighed for at tjekke mod fejl og svindel.

Det kommer an på hvad man mener med at "lave et system".

Der er udviklet adskillige systemer, hvor vælgerne kan verificere at deres stemme er talt med, i alt fald med en vis sandsynlighed og uden at dem, der organiserer valget har indflydelse på hvilke vælgere der kan verifiere deres stemme.

Fælles for systemerne er at vildt spændende for dataloger og valgnørder. Men i praksis ubrugelige. Dels fordi de er svære at bruge, det er noget med stemmestedler med titusindsvis af felter, lange hashkoder, man skal huske, osv.

Dels fordi et sikkert elektronisk system, som er for kompliceret at forstå for 99.99 procent af vælgerne, besværligt at bruge og mange gange dyrere end det eksisterende system aldrig nogen sinde vil blive indført.

Men af og til bruges de til bait-and-switch. Man argumenterer for at der findes sikre systemer, så beslutter man at indføre e-valg. Når man så indfører e-valg har man ikke råd til at gøre det på den sikre måde. (jvnf NemID)

Og alt det her er jo kun for elektroniske valg i stemmebokse på valgsteder.

Internetvalg kan jo aldrig blive hemmelige.

Den enkelte borger behøver ikke kunne forstå detaljerne i system så længe der er nok borgere der gør.

Der skal naturligvis udvikles software der gør det superenkelt at stemme.

Den enkelte borger behøver ikke kunne forstå detaljerne i system så længe der er nok borgere der gør.

Det er jeg helt uening med dig i. I et demokrati er det vigtigt at borgere har mulighed for at forvisse sig om at systemet virker.

Og det har man i det nuværende system.

Jeg har været i valgstyrelsen på et valgsted og det er sket at vælgere der kommer og beder om at få forklaret, hvordan vi afvikler valget. Og så får de en rundvisning, og svar på alle deres spørgsmål.

Med elektroniske er der desuden ingen borgere, der kan verificere at det går rigtigt for sig. Nogle få kan måske forstå detaljerne i systemet. Men det er jo ikke nok at forstå systemet. Det svære er at forvisse sig om at valget faktisk foregår sådan som systemet er designet.

[quote]Den enkelte borger behøver ikke kunne forstå detaljerne i system så længe der er nok borgere der gør.

[/quote]

Det er jeg helt uening med dig i. I et demokrati er det vigtigt at borgere har mulighed for at forvisse sig om at systemet virker.

Jeg tror, at Baldur snakker om de overordnede principper. Jeg er rimeligt overbevist om, at 90 % af vælgere ikke kender til fx det D'Hondtske system, og at en håndfuld af dem heller ikke forstår, hvad det skal til for. Igen er ønsket, at der er "nok", som gør, hvis metoden i sig selv er hensigtsmæssig.

I forhold til indsatsen at vente i kø og at afgive sin demokratiske stemme, så synes jeg, at det er en ret mærkelig skæring. Jeg kan godt forstå mavefornemmelsen, og jeg mener også, at folk nærmest har en borgerpligt til afstemninger - igen med en passende bagatelgrænse. Men folk er udelukkende bundet af egen overbevisning, uanset hvor mærkelig, den måtte være.

Så en person, som aldrig har læst en avis eller har kendskab til nogen af kandidaterne, der stemmer på det mærkeligste navn blandt kandidater med positioner i fibonacci-sekvensen på stemmesedlen, fordi det kræver flueherren Beelzebub? A-ok! En person, som ikke gider at stå i kø en times tid? Værdiløs!

Hvis (og kun hvis) årsagen til kø er ren og skær logistik, så er det forbandet efterrationalisering pludselig at bringe metodikken med et filter-gærde ind for at sortere "de sløve" fra, uagtet om man i øvrigt er enig i, om der mod de demokratiske principper burde være et filter, hvor det helst ikke må være for let at stemme.

Jeg tror helt klart at e-valg kan lade sig gøre ved brug af public/private key kryptologi og open source software. (ikke at jeg har nogen forhåbning om at politikkere vil kunne forstå det)

I stil med hvad Baldur Norddahl forslår kunne man generere en public og private krypto-key for hver stemmeberettigede dansker.

Hver stemmeberettigede dansker får derefter sin private nøgle tilsendt enten via e-boks, nemID, krypteret email eller brevpost - alt efter hvad der dømmes at være sikkert nok. (Det er jo ikke meget anderledes end hvordan vi får vores stemmekort nu)

For at vælge ville hver person logge ind på et valgsystem website via krypteret forbindelse og bruge sin private nøgle til at stemme med. Dette sikrer anonymitet, og at der kun kan stemmes én gang per stemmeberettiget.

Resultatet af stemmerne skulle herefter være offentligt tilgængelige, hvor man ud fra hver public key kunne se hvem den blev brugt til stemme på. Dette sikrer mod dobbelttælling og ikke-talte stemmer. Yderligere skulle man kunne indtaste sin private key og verificere sin public key samt hvem man har stemt på, hvis man har mistanke om snyd.

Ud over dette skulle al kode involveret i registrering og optælling være open source så enhver der havde mistanke om fejl eller snyd kunne påvise eller afvise mistanken.

Alt i alt mener jeg at dette system (korrekt implementeret) ville give mindst lige så stor sikkerhed og endnu større gennemskuelighed end vores nuværende system. I systemer så vigtige som dette ville det selvfølgeligt være uforsvarligt ikke at teste det parallelt med vores nuværende system adskillige gange for at påvise den korrekte opførsel af systemet.

Vil gerne høre fra folk der (begrundet) mener at dette system ikke ville kunne lade sig gøre.

Men det er ikke smart at fokusere på sikkerheden alene. Jeg vil vove at påstå, at der er nogen, der ser flere spøgelser, end der er.

Men det er ikke smart at fokusere på sikkerheden alene. Det ødelægger nemlig vores forretningsmodel...

En time er altså også ret ekstremt. Jeg har vel stemt 15-20 gange og har har aldrig ventet mere end et par minutter.

Jeg har været tilforordnet mange gange og aldrig set en kø på en time. Heller ikke en halv time.

Naturligvis kan det ske, at der pludselig kommer en busfuld vælgere, der er født på den samme dag i måneden. Og lige før valgt lukker, kan der også være lidt kø. Og der er sikkert steder hvor valget afvikles mindre gnidningsfrit end Østerbro.

Men et elektronisk valg kan jo også få problemer og så er det ikke bare et enkelt valgbord, men millioner af vælgere, der skal vente.

Jeg tror, at de fleste vælgere godt kunne sætte sig ind i det D'Hondtske system, hvis de virkelig ville.

til Svante

==

Dit system sikrer ikke hemmelige valg. Man vil kunne sælge sin stemme, kunne afpresses, osv.

Det sikrer i øvrigt heller ikke anonymitet, for en vælger kan jo ikke vide om hans hemmelige nøgle blev registreret inden han modtog den.

Så hemmelige valg og anonyme valg er forskellige ting.

Og de vald, du foreslår er hverken hemmelige eller anonyme.

Svante, Hvordan vil du sikre at jeg kan afgive en og kun en stemme, UDEN at en korrupt medarbejder et sted får nys om hvad jeg har stemt?

Vi lever for øjeblikket i et demokratisk og tilnærmelsesvis frit samfund, selvom vi vælter os i overvågning. Men, virkeligheden kan se anderledes ud om 20 år, og til den tid kan vi faktisk risikere at der vitterlig er politiske partier med et glødende ønske om at omstøde demokratiet som vi kender det i dag. Jeg tillader mig at have mine tvivl om at det kan forhindres at sådan et parti med korrupte folk i spidsen vil kunne manipulere valgdata tilpas meget til at sådan et parti ville kunne få afgørende betydning i dansk politik... Et andet scenario kunne være, at alle som vitterlig stemte på dette parti pludselig kom til skade i løbet af det næste halve års tid. Selvom det måske ville være i landets interesse. Med elektroniske valg kan jeg ikke på samme tid stemme hemmeligt, så kun jeg selv ved hvad jeg har stemt, samtidig med at det sikres at jeg kun kan stemme en gang, og kun såfremt jeg faktisk har stemmeret. Hvis man vil sikre sig at kun folk med stemmeret får adgang til selve afstemningen, er det meget nærliggende at "komme til" at kunne sammenkoble en identitet med den afgivne stemme og på den måde kunne følge befolkningens politiske observans helt ned på det enkelte CPR-nummer. Med tanke på NemID, Rejsekortet, terrorpakken og børnepornofilteret bevæger vi os i forvejen med stormskridt imod George Orwell's 1984. Der er ingen grund til at sætte farten yderligere op

Med elektroniske valg kan jeg ikke på samme tid stemme hemmeligt, så kun jeg selv ved hvad jeg har stemt, samtidig med at det sikres at jeg kun kan stemme en gang, og kun såfremt jeg faktisk har stemmeret.

Det kan du faktisk heller ikke sikre med de valg vi har nu. Stemmefusk er helt almindeligt i visse verdensdele. Der er verdens nemmeste ting at fylde stemmeboksen op med forudfyldte stemmesedler, stemmebokse der bliver væk, etc. I et korrupt Danmark kunne man nemt indføre tilsvarende fusk.

Hvis e-valg kun skulle have samme sikkerhedsniveau som de papirvalg vi har nu, ville det være ligetil at lave.

Vi forventer mere af e-valg. Vi vil have et system hvor det faktisk er umuligt at snyde. Også selvom stemmetællerne er korrupte.

Det er muligt at man ikke kan få det hele på en gang. Så må vi have en debat om hvilke egenskaber der er de vigtigste. Måske må vi vælge mellem et system hvor snyd er en matematisk umulighed eller alternativt et system hvor anonymitet er matematisk garanteret. Jeg tror det er muligt at designe et system med en rimelig balance.

Men lad os først få sat nogle penge af, og få lavet en rapport over mulighederne. Det er en oplagt chance for at føre nogle valgforskere og dataloger sammen. Men det skal ske i universitetsregi og ikke overlades til en privat virksomhed.

@ NIELS ELGAARD LARSEN

Dit system sikrer ikke hemmelige valg. Man vil kunne sælge sin stemme, kunne afpresses, osv.

Det sikrer i øvrigt heller ikke anonymitet, for en vælger kan jo ikke vide om hans hemmelige nøgle blev registreret inden han modtog den.

Beskriv venligst hvordan det er værre en vores nuværende system. I dag kan man også sælge sin stemme og afpresses -pointen er at gøre det besværligt nok til at det ikke forkommer i større stil. Men for at forsøge at hjælpe på de problemer du påpeger kunne den kode der bliver sendt til en være et engangs-password til et website med den rigtige private key som kun ville kunne hentes én gang. Så ville en person vide hvis den var blevet taget af en anden, og have mulighed for at "slå alarm" og få tilsendt en ny. Yderligere kunne man gøre det muligt at ændre sin stemme helt op til sidste minut af valgperioden, dette ville gøre det upraktisk at true, afpresse eller betale andre for en bestemt stemme.

@ JESPER MØRCH

Med elektroniske valg kan jeg ikke på samme tid stemme hemmeligt, så kun jeg selv ved hvad jeg har stemt, samtidig med at det sikres at jeg kun kan stemme en gang, og kun såfremt jeg faktisk har stemmeret. Hvis man vil sikre sig at kun folk med stemmeret får adgang til selve afstemningen, er det meget nærliggende at "komme til" at kunne sammenkoble en identitet med den afgivne stemme og på den måde kunne følge befolkningens politiske observans helt ned på det enkelte CPR-nummer.

Hvordan vil du sikre at jeg kan afgive en og kun en stemme, UDEN at en korrupt medarbejder et sted får nys om hvad jeg har stemt?

Man kan sikre det ved at offentliggøre koden der genererer en privat nøgle og sender det til en person - uden menneskelig indblanding. Koden kan granskes af alle, og valgobservatører sikrer at det rent faktisk er den kode der bliver kørt, og at ingen (computere eller mennesker) sammenkobler personlige informationen med de afsendte private nøgler.

Det er efter min mening betydeligt bedre sikkerhed end vores nuværende system. Der er i dag ingen der forhindrer en korrupt valgstedsarbejder at sætte skjulte kamerare op i valgboksene.

==

Vores nuværende system er ikke perfekt. Men baseret på mine egne erfaringer med det stoler jeg på at det virker tilstrækkeligt godt til at det ikke får indflydelse på valgresultatet.

Det ville jeg ikke gøre med dit system.

==

Det er ikke nemt at sælge sin stemme med det nuværende system. Og det beskytter ret effektivt mod afpresning. Jeg har tilfordnet en del gange måtte stoppe fx familiemedlemmer, der ville med ind boksen for at se, hvad der blev stemt. Med internetafstemninger, bliver det svært.

==

Det ændrer da ikke på at websiten stadig ville kunne knytte mig til min private nøgle og senere til min stemme.

Og jeg kunne stadig sælge min stemme.

==

Det har man også gjort i nogle elektroniske afstemninger. Men det ville fx virke dårligt i en familiesituation. Du kunne jo bare presse dine børn til at stemme "rigtigt" i sidste minut.

Hello again everyone,

The members of the DemTech project were quite surprised to see this article appear today.

First and most importantly, DemTech and the ITU are not interested in imposing e-voting in Denmark or anywhere else. We are simply scientists who are activist-experts in e-voting, formal methods, rigorous software engineering, verification, hacking, ethnography, and the integration of technology into society that have an interest in this topic and understanding if, and how, one might synthesize the necessary mathematics, hardware, software, sociology, psychology, and political science to make the world a better place. In other words, if politicians are going to force us, as citizens, to vote using computers in any shape or form, we feel it is our duty as scientists and public servants to make sure they do it right, or not at all.

Secondly, DemTech has nothing whatsoever to do with FOA, Stralfors, Danish Metal, or Mr. Kirstein.

It is indeed the case that trade unions and private companies use electronic voting, particularly here in Denmark. Indeed, as pointed out by a reader, so does X-Factor and American Idol.

For elections that have low (political, financial, social) value, remote voting via computer or cell phone is fine. In such "pretend" elections turnout often is higher than in traditional democratic physical, private elections because the voting public is highly engaged with and identify with the contestants (i.e., they are stuck to their TV and talk about American Idol candidates over coffee at work) and they can vote multiple times.

For elections that are high value, such as national elections in any modern democracy, and even local elections in medium-to-large municipalities, virtually all e-voting experts and activists are categorically against remote voting in any fashion, as remote voting violates one or more fundamental tenants of electoral law. More specifically, the DemTech project is against any use of remote voting for local and national elections.

With regards to the common claim that remote voting and absentee balloting for local and national elections increases participation of the electoral, there is no evidence for such. This is surprising to many in government and in the general public because it is counter-intuitive.

The technique proposed by Mr. Kirstein with regards to dealing with coercion was proposed many years ago and only partially solves one particular attack on the electoral system. A whole grab bag of defensive measures such as these guarantees nothing against the attacks one has not thought of yet.

Remember: the bad guys have no restrictions and do not follow any rules. Thus, the "ghosts" Mr. Kirstein mentions cannot be neglected. For us, "security" (and its sister property, "correctness") is but one facet of the entire electoral apparatus, but it is the most critical aspect of open, fair democratic elections.

Please see my comments in the other article (http://www.version2.dk/artikel/19145-itu-ekspert-e-valg-bliver-sikrere-e...), linked in this article, with regards to the open nature of DemTech's research and development.

Finally, with regards to the excellent reader comments: thank you for your reflections, input, and activism. I hope to see many of you engage with the DemTech project when we officially start up next month.

Dr. Joseph Kiniry - Associate Professor Software Development Group - http://www.itu.dk/research/sdg/ Programming, Logic, and Semantics Group - http://www.itu.dk/research/pls/ IT University of Copenhagen - http://www.itu.dk/

@ NIELS ELGAARD LARSEN

Det ændrer da ikke på at websiten stadig ville kunne knytte mig til min private nøgle og senere til min stemme.

Hvordan forstiller du dig at websitet skulle kunne knytte personlig information til din stemme taget i betragtning at den kun kører offentligt publiceret kode, og den eneste information den får er din private nøgle og stemme som den matcher med din offentlige nøgle?

Prøv venligst at læs og forstå hvad jeg skriver før du påstår at en maskine magisk kan knytte personlig information til en krypto-nøgle.

Det har man også gjort i nogle elektroniske afstemninger. Men det ville fx virke dårligt i en familiesituation. Du kunne jo bare presse dine børn til at stemme "rigtigt" i sidste minut.

Da du er den eneste der har adgang til information om din stemme, så er det jo ikke svært at sige "Jaja, jeg har allerede stemt på parti X" - og ingen kan sige dig imod. Hvordan det skulle være sværre end at modstå psykisk press der overtaler dig til rent faktisk at stemme på parti X i stemmeboksen, har jeg svært ved at se.

Hvordan forstiller du dig at websitet skulle kunne knytte personlig information til din stemme taget i betragtning at den kun kører offentligt publiceret kode, og den eneste information den får er din private nøgle og stemme som den matcher med din offentlige nøgle?

At koden er offentligt publiceret gør jo ingen forskel, for hvordan ved jeg at websitet kører den kode, som det har publiceret?

Jeg forestiller mig at valgsystemet sender mig dit foreslåede engangspasswords. Det indtaster jeg på websitet for at få min engangsnøgle. Websitet kender nu koblingen mellem engangspassword og privat nøgle. Den oplysning sender de til valgsystemet og så er vi tilbage i situationen i første forslag.

==

Jeg siger bare at din anonymisering ikke virker. Den bygger bare på endnu en trediepart, som jeg ikke kan stole på.

== Det har man også gjort i nogle elektroniske afstemninger. Men det ville fx virke dårligt i en familiesituation. Du kunne jo bare presse dine børn til at stemme "rigtigt" i sidste minut.

Da du er den eneste der har adgang til information om din stemme, så er det jo ikke svært at sige "Jaja, jeg har allerede stemt på parti X" - og ingen kan sige dig imod.

Det var derfor jeg skrev "i sidste minut". Når den afpressede siger at hun allerede har stemt, kan afpresseren jo sige "ja,ja, så har du allerede stemt, men lad os lige gøre det en gang til for en sikkerheds skyld her lige inden fristen. Så slukker jeg computeren og vi kan gå i seng".

Svante, du er helt galt afmarcheret. Hvis nogen skal udstede en privat nøgle til mig, så har jeg ingen sikkerhed for, at min person ikke bliver knyttet til den nøgle, enten af udstederen, e-boks eller andre. I dag kan jeg vælge en tilfældig stemmeseddel i bunken ved checkin, og jeg kan få den ombyttet, hvis jeg er paranoid.

Et valgkort og en fuldgyldig stemmeseddel er altså to vidt forskellige ting at få i posten. Hvad nu hvis min public key bliver væk i posten (eller hvis jeg bare påstår det, eller jeg kommer til at slette den i e-boks)? Så skal hele valget annulleres, for min public key kan ikke blokeres, da der ikke er kobling mellem mig og key.

Hvis jeg stemmer hjemme, så kan staten ikke garantere min ret til at afgive min stemme hemmeligt og i enrum. Hvis stemmeafgivningen ikke er hemmelig eller i enrum, så kan andre tvinge mig til at stemme mod min overbevisning, eller jeg kan sælge min stemme. Hvis listen offentliggøres over hvilken public key der er koblet til hvilken kandidat, så kan nogen tilmed kontrollere, at jeg ikke har ændret min stemme efterfølgende.

Hvis nogen udsteder en privat nøgle til mig, så kan jeg sælge den videre.

Jeg kunne blive ved. Det er muligt, at vi har vidt forskellige krav til en valghandling på nationalt niveau, men for mig er hemmelighed, enrum, usælgelighed og kontrollerbarhed ikke til diskussion.

En del af debatten er på et højere niveau end jeg kan følge med - så måske har jeg overset noget. Men jeg undrer mig over denne her:

»Vi er ved at indføre en løsning, hvor man kan ændre sin stemme, hvis man er blevet presset til at stemme anderledes, end man ønsker. Så kan du i vores løsning møde op i kommunen og via din digitale signatur ændre din stemme.«

Hvis jeg kan ændre min stemme må man vel kunne finde frem til hvad jeg har stemt første gang --- eller?

Hvis man ikke er 100 pct sikker på at det er min stemme der bliver ændret, kan jeg vel misbruge sin "om-stemme". Eksempel:

Først stemmer jeg på A Så går jeg op på kommunen og siger at jeg fortrød min stemme på V. Dernæst stemmer jeg igen på A. Der med står det plus 2 til A og minus 1 til V.

Hvordan kan man undgå den form for snyd uden at registrere min første stemme?

Hvis jeg kan ændre min stemme må man vel kunne finde frem til hvad jeg har stemt første gang --- eller?

Ja, det forudsætter en kobling mellem signatur og stemme, altså ser det ud til, at Strålfors løsning bryder med stemmehemmeligheden.

Det er muligt, at der findes et kryptografisk system, hvor kun min digitale signatur kan afsløre hvad jeg har stemt, samtidig med at min stemme alligevel kan optælles af de valgtilforordnede. Teorien bag dette hedder momomorf kryptografi, men det er over mit niveau at give dig et konkret eksempel på et sådant system. Læs mere på Wikipedia: http://en.wikipedia.org/wiki/Homomorphic_encryption og http://en.wikipedia.org/wiki/Homomorphic_secret_sharing

@ ERIK CEDERSTRAND Det jeg snakker om er Public-key cryptography: http://en.wikipedia.org/wiki/Public-key_cryptography

Hvordan du kan sige at jeg er "helt galt afmarcheret" uden at forstå mit forslag, forstår jeg ikke.

Ved hjælp af Public-key cryptography kan den offentlige nøgle offentliggøres uden at den private nøgle kan regnes ud. Desuden kan kun den private nøgle bevise at den tilhører den offentlige nøgle - dette gøres ved beregning, serveren gemmer heller ikke din private nøgle.

Din stemme er sikker fordi at kun din private nøgle kan ændre stemmen der er kædet sammen med den offentlige nøgle, og hemmelig fordi at kun du kender den private nøgle og ingen ved hvem der gemmer sig bag den offentlige nøgle med mindre du fortæller dem det.

Hvad har dette at gøre med retten til at stemme i enerum? Det kan da ikke være svært at tage sin laptop eller smartphone et privat sted hen og bruge den til at stemme. Du kan jo stemme hvor som helst der er internet.

Ved hjælp af Public-key cryptography kan den offentlige nøgle offentliggøres uden at den private nøgle kan regnes ud. Desuden kan kun den private nøgle bevise at den tilhører til den offentlige nøgle - dette gøres ved beregning, serveren gemmer heller ikke din private nøgle.

Din stemme er sikker fordi at kun din private nøgle kan ændre stemmen der er kædet sammen med den offentlige nøgle, og hemmelig fordi at kun du kender den private nøgle og ingen ved hvem der gemmer sig bag den offentlige nøgle med mindre du fortæller dem det.

Det du beskriver er i princippet PKI, hvor man ved nøjagtig hvem der står bag den enkelte nøgle. Ting som er indkodet med den offentlige nøgle kan kun afkodes med den private, og ting som er indkodet med den private nøgle kan kun afkodes med den offentlige. PKI er netop baseret på at man ALTID kan føre nøgle-parret tilbage til en bestemt identitet, det er netop fordelen bag public/private-key konstruktionen, at ting som er indkodet med den private nøgle KUN kan stamme fra indehaveren af den private nøgle, selvom alle kan læse hvad der er indkodet. Ved også at indkode med modtagerens offentlige nøgle, så din data-stump altså er blevet indkodet med to nøgler, kan kun modtageren "udpakke" data med sin private nøgle, og indholdet kan kun komme fra dig, da du er den eneste som kan have indkodet med din private nøgle.

Men! Det kobler din kryptering fuldstændig sammen med din identitet, så selvom du kan konstruere det, så kun stemmetællerne (f.eks. en computer/IT-afdeling), vil din identitet stadig blive bundet op på din stemme, og derfor vil den hypotetiske stemme på "Danske Autonome" kunne føres endegyldigt tilbage til dig så partisoldaterne fra "Danske Nazister" aftenen efter valget kommer og henter dig...

@ JØRGEN L. SØRENSEN

Hvordan kan man undgå den form for snyd uden at registrere min første stemme?

Med Public-key cryptography (se mit forrige indlæg) kan det undgås fordi at alle stemmer er offentligt tilgængelige og hver stemme er kædet sammen med et anonymt ID (den offentlige nøgle) hvor hver stemmeberettiget kun har ét ID. Kun den stemmeberettigede kan ændre den stemme der er kædet sammen med hans anonyme offentlige ID, og ID'et kan kun have et stemme.

Når valget lukker bliver stemmerne talt op - og vil i virkeligheden kunne tælles af hvem som helst - uden at vide hvem der stemte hvad, men med sikkerhed for at hver stemmeberettiget kun stemte én gang.

@ JESPER MØRCH Jeg kan se at du har en grundlæggende forståelse for Public-key kryptografi - det er godt - men du misforstår at nøgler behøves at være permanent bundet til en identitet. Ved oprettelsen af nøgleparrene kan et computersystem generere samme antal par som der er stemmeberettigede og derefter sende dem til hver stemmeberettiget. Her er der selvfølgelig information om hvem der får hvilket nøglepar, men hvis man giver computersystemet besked på ikke at gemme disse oplysninger, så er det kun den enkelte stemmeberettigede der har denne information.

Befolkningen kan tjekke dette ved at læse kildekoden til programmet, og valgobservatører vil være ansat til at sikre at det er den offentliggjorte kode der kører på maskinerne.

==

Men det er jo ikke et anonymt valg, hvis anonymiteten er baseret på at man skal stole på staten sletter de informationer, der kan fortælle, hvad man har stemt.

Så kunne man jo også forlange at folk skrev deres CPR-nummer på stemmesedlen og stole på at den blev brændt efter valget.

Hvordan forestiller du dig at en valgobservatør skulle kunne checke om det er den rigtige kode, der kører på en computer? Det er alså ikke så ligetil.

Og som sagt, det er stadig ikke et hemmeligt valg. At man kan flytte sin bærbare til et privat sted gør ikke valget hemmeligt.

Ved oprettelsen af nøgleparrene kan et computersystem generere samme antal par som der er stemmeberettigede og derefter sende dem til hver stemmeberettiget. Her er der selvfølgelig information om hvem der får hvilket nøglepar, men hvis man giver computersystemet besked på ikke at gemme disse oplysninger, så er det kun den enkelte stemmeberettigede der har denne information.

Svante, ord er taknemmelige... Jeg kan ikke stole på et princip om at vi siger at vi ikke vil misbruge de muligheder vi har for at kunne snage i andre menneskers privatliv, hvad de stemmer etc. I det øjeblik at du kobler et nøglepar sammen med en fysisk identitet, også selvom det kun er for et par sekunder, hænger identiteten uløseligt sammen med nøgleparret for tid og evighed. Glem ikke at de digitale fingeraftryk husker ALT om os alle sammen! Hvis det skal ske online, vil din IP-adresse, din browsers historik, plugins, cookies etc. også kunne afsløre dig

Hvis man vil have sikkerhed for at du er den du udgiver dig for at være, kan du ikke samtidig optræde anonymt

@ NIELS ELGAARD LARSEN For det første så havde min kommentar om at flytte sin bærbar til et privat rum intet med hemmelighed at gøre - det handlede om rette til at stemme i enerum.

For det andet så stoler man ikke på at "staten sletter oplysninger".

Man stoler på at koden der er offentlig tilgængelig ikke gemmer oplysninger om hvem der får adgang til hvilken elektronisk stemmeseddel. Og man stoler på at valgobservatører sikre at det er den offentliggjorte kode der kører på computersystemet.

Det er for mig at se ikke anderledes end at man stoler på at man ikke bliver overvåget og at ens stemme ikke bliver registreret på valgstederne.

Men det er jo ikke et anonymt valg, hvis anonymiteten er baseret på at man skal stole på staten sletter de informationer, der kan fortælle, hvad man har stemt.

Så kunne man jo også forlange at folk skrev deres CPR-nummer på stemmesedlen og stole på at den blev brændt efter valget.

Jeg kan ikke stole på et princip om at vi siger at vi ikke vil misbruge de muligheder vi har for at kunne snage i andre menneskers privatliv, hvad de stemmer etc.

Svante, husk på at korruption ikke kan fjernes helt... Det er jo også ulovligt at køre for stærkt, men der uddeles altså stadig fartbøder... Steder med mulighed for misbrug virker som en magnet på folk som gerne vil misbruge systemet de pågældende steder... det er nærmest en naturlov. Derfor kan du aldrig få et sikkert system baseret på blind tillid til andre mennesker

For det andet så stoler man ikke på at "staten sletter oplysninger".

Man stoler på at koden der er offentlig tilgængelig ikke gemmer oplysninger om hvem der får adgang til hvilken elektronisk stemmeseddel.

Altså, man skal stole på at selvom muligheden er der for misbrug, skal vi som borgere stole på at muligheden ikke bliver misbrugt?! Hvis systemet kan misbruges, skal du som udgangspunkt gå ud fra at det bliver misbrugt, alt andet er desværre naivt

@ JESPER MØRCH Det er helt korrekt at der ingen 100% sikkerhed er. Den eneste måde man kan sikre at kun stemmeberettigede kan stemme er at koble en stemme sammen med en indentitet, hvor kortvarig det end måtte være. Dette gælder vores nuværende system lige så vel som et elektronisk og alle andre tænkelige valgsystemer. Så derfor kan man ikke bruge det som argument mod et given valgsystem.

Glem ikke at de digitale fingeraftryk husker ALT om os alle sammen!

Paranoid much?

Hvis det er rigtigt så bruger du altså den forkerte software (men mindre det er det du ønsker).

Nu lever jeg tilfældigvis af at lave software, og jeg kan sige dig at hvis alt software huskede alt om alle, så ville det være noget nemmere at finde fejl og reparere når computersystemer går ned.

@ JESPER MØRCH

Hvis systemet kan misbruges, skal du som udgangspunkt gå ud fra at det bliver misbrugt, alt andet er desværre naivt.

Så må du hellere holde op med at stemme overhoved, for alle systemer kan misbruges, ikke mindst vore nuværende valgsystem. Det er derfor at vi har valgobservatører.

Det jeg snakker om er Public-key cryptography

Jeg er udmærket klar over hvad PKI er, thankyouverymuch. Jeg bruger min digitale signatur hver dag.

Du har ikke stillet mig nogen garantier for, at udstederen af nøglerne ikke alligevel registrerer afsenderadressen, andet end at valgobservatører skal tjekke det. Med oscilloskop og elektronmikroskop, eller hvad? Det er tilmed worst-case-scenario sikkerhedsmæssigt; en angriber forventes at have meget stor interesse i at ændre valget, og næsten ubegrænsede midler til at udføre det. For ikke at blive blændet af hyggelige Danmark, så forestil dig, at du bor i Kasakhstan.

Jeg går ud fra, at du er tilhænger af én stemme per stemmeberettiget, og at kun stemmeberettigede må stemme. Du har ikke foreslået hvad der skal ske, hvis bare én privat nøgle forsvinder eller falder i forkerte hænder inden valget. Hvordan vil du sikre, at bortkomne nøgler blokeres, og at jeg kan få udstedt en ny, hvis jeg har brug for det?

Jeg antager, at du er enig i, at man jf. ovenstående ikke skal kunne sælge sin stemme til højestbydende. Du har ikke foreslået, hvordan du vil sikre, at jeg ikke overdrager min private nøgle til en tredjepart i bytte for penge. Hvordan vil du hindre dette?

Du har ikke foreslået, hvad der skal ske, hvis jeg påstår, at min stemme er blevet ændret efter valget. Vil det blive afvist som "det er umuligt, systemet er ufejlbarligt"? Hvis ikke, hvordan vil en valgtilforordnet bevise, at jeg lyver - der er jo ikke kobling mellem nøgle og person?

Paranoid much?

Egentlig ikke, men med tanke på hvad routere, switche m.m. logger, med tanke på hvad teleselskaberne er blevet pålagt at logge, med tanke på den overvågning man til stadighed forsøger at smugle ind overalt i offentlig forvaltning (NemID, Rejsekort etc.), har jeg ingen grund til at tro at man ikke vil forsøge at fortsætte ad samme spor med digitale valg. Hvis du en gang har koblet ID sammen med et nøglepar, kan det nøglepar altid tilbageføres direkte til din identitet igen. Så nytter det ikke noget at hævde at det ikke vil blive misbrugt... Hvis det potentielt kan misbruges, vil det blive misbrugt...

Og, husk på at selvom man er paranoid kan man godt stadig blive overvåget... ;o)

Den eneste måde man kan sikre at kun stemmeberettigede kan stemme er at koble en stemme sammen med en indentitet

Det er noget vrøvl. I dag er kontrollen af min identitet fuldstændig afkoblet fra den stemmeseddel, jeg modtager, udfylder og afleverer igen. Mit navn står ikke på stemmesedlen på noget tidspunkt.

@ JESPER MØRCH Kan du ikke prøve at forholde dig til mine argumenter?

Hvis de personlige informationer ikke bliver gemt, så kan de jo ikke misbruges i fremtiden.

Det system jeg forslår er på ingen måde mindre sikkert end det system vi har i dag. Hvis du kan argumentere imod det er jeg meget interesseret i at diskutere det - det kan være jeg også kan lære noget. Ellers er jeg ikke særlig interesseret.

Så må du hellere holde op med at stemme overhoved, for alle systemer kan misbruges, ikke mindst vore nuværende valgsystem. Det er derfor at vi har valgobservatører.

Stakkels valgobservatører, som nu også skal inspicere routere, servere, ISPer og min dagligstue for at sikre, at valget foregår frit og fair.

Stakkels valgobservatører, som nu også skal inspicere routere, servere, ISPer og min dagligstue for at sikre, at valget foregår frit og fair.

Det skal de ikke. Vi har matematisk bevist at snyd, brud på anonymitet samt flere andre egenskaber ikke lader sig gøre, så længe nogle få forudsætninger er opfyldt. Det er tilstrækkeligt at valgobservatøreren holder øje med at disse forudsætninger er opfyldt.

Vi har matematisk bevist at snyd, brud på anonymitet samt flere andre egenskaber ikke lader sig gøre, så længe nogle få forudsætninger er opfyldt.

Hvilket valgsystem og hvilke forudsætninger henviser du til, og hvilke egenskaber har I ført matematisk bevis for?

Jeg mener ikke Svantes forslag har ført matematisk bevis for noget som helst andet end det, der allerede ligger i PKI. Jeg mener ikke, at forslaget kan gennemføres uden enten at definere nogle vidtrækkende forudsætninger eller give køb på væsentlige egenskaber ved de nuværende valg.

Kan du ikke prøve at forholde dig til mine argumenter?

Hvis de personlige informationer ikke bliver gemt, så kan de jo ikke misbruges i fremtiden.

Erik Cederstrand har beskrevet de problemstillinger jeg tog for givet.

Hvis du vil sikre dig at kun stemmeberettigede kan få lov at stemme, og at de kun kan stemme en enkelt gang, er du nødt til at binde en fysisk identitet op på en stemme-adgang. Når den pågældende stemme registreres, vil den dermed kunne bindes op på din fysiske ID, hvis man ønsker det.

Du argumenterer i princippet for at kombinere PKI med afstemning, men på en måde så man klipper forbindelsen mellem certifikat og afgiven stemme FØR man faktisk stemmer... Vil du tømme RAM på den pågældende maskine før du begynder at stemme eller hur? Hvis det teoretisk kan lade sig gøre at misbruge systemet så man kan sælge sin stemme, få overvåget hvor krydset bliver sat eller noget tredje, VIL det ske i praksis... Jeg er vokset op under den kolde krig hvor familien havde jævnlige perioder med international kommunikation... Hver gang der havde været 2-3 internationale telefonopkald på en uge, susede telefonen når man løftede røret, sommetider blev opkald afbrudt, andre gange duttede røret optaget når man løftede røret, indimellem klikkede telefonen under telefonsamtaler, som om der blev løftet et ekstra håndsæt... og det stod på i en måneds tid hver gang... herhjemme i lille sikre fredfyldte Danmark... Kald mig bare paranoid, men jeg har al mulig grund til at tro at digitale valg ville binde din stemme op direkte på din personlige identitet... sikkert med NemID som bindeled da den jo markedsføres som en digital signatur... Hvis staten nu lover at de ikke vil tilbageføre den afgivne stemme til din person...

PKI er glimrende til mange ting, men anonyme valg er ikke en af dem. SMS-afstemning med taletidskort er en mere sikker og anonymiseret metode, men den er alt for usikker, da du: 1. Reelt ikke har garanti for at din stemme registreres 2. Reelt ikke har garanti for at den som stemmer faktisk er stemmeberettiget 3. Reelt ikke har mulighed for at undersøge om der er manipuleret med de afgivne stemmer og om der dermed er forskel på de afgivne og de registrerede stemmer

Underordnet hvor kort et tidsrum en nøgle bindes til en fysisk identitet, vil sammenhængen mellem de to kunne genskabes i fremtiden. De eneste som IKKE har en interesse i denne sammenhæng er borgere med interesse i fortrolighed. Politikere, korrupte medarbejdere, finansielle institutioner etc. har alle en interesse i at kunne forbinde en afgiven stemme med en fysisk identitet. Derfor må et elektronisk system ikke på nogen som helst måde kunne danne denne forbindelse, heller ikke selvom det kun er rent principielt eller teoretisk.

Et frit demokratisk valg skal altid kunne sikre at kun stemmeberettigede kan stemme, at de kun kan stemme en gang og at kun den pågældende borger selv ved hvad der er blevet stemt. Derudover må kun afgivne stemmer kunne registreres og de må ikke kunne manipuleres. PKI hjælper på det meste, men på bekostning af fortroligheden.

Som det ser ud nu, registreres dit fremmøde. Derefter får du en stemmeseddel, men du kan frit vælge en anden stemmeseddel i bunken hvis du virkelig er paranoid, da hver enkelt stemmeseddel ikke bliver forbundet direkte til din fysiske ID.

Ved et digitalt login vil din digitale ID stadig ligge resident og kan på den måde reelt registreres sammen med din afgivne stemme... Du kan ikke beskytte dig 100% mod malware på en afstemnings-computer, og for private computeres vedkommende er der ingen garanti for at du er den du påstår du er.

Har jeg forholdt mig nok til dine argumenter?

Hvilket valgsystem og hvilke forudsætninger henviser du til, og hvilke egenskaber har I ført matematisk bevis for?

Et eventuelt acceptabelt e-valg system skal være konstrueret på denne måde. Jeg henviser ikke til noget specifikt forslag fra denne tråd.

Her i tråden har vi set skitser og ideer som man kan arbejde med. Det er klart at før vi kan komme videre skal vi have et konkret forslag udarbejdet af eksperter.

Pointen er at det faktisk lader sig gøre at designe et system, som kræver væsentligt mindre tillid end vores nuværende valgsystem.

Et eventuelt acceptabelt e-valg system skal være konstrueret på denne måde. Jeg henviser ikke til noget specifikt forslag fra denne tråd.

Ok, det er jeg enig i.

Her i tråden har vi set skitser og ideer som man kan arbejde med. Det er klart at før vi kan komme videre skal vi have et konkret forslag udarbejdet af eksperter.

Har du læst forslaget fra DemTech? Det er i korte træk VVPAT med formel matematisk bevisførelse implementeret i et logisk framework (http://twelf.plparty.org/wiki/General_description_of_Twelf).

@ JESPER MØRCH

Du argumenterer i princippet for at kombinere PKI med afstemning, men på en måde så man klipper forbindelsen mellem certifikat og afgiven stemme FØR man faktisk stemmer...

Nej... PKI har at gøre med at bevise ens identitet, det system jeg forslår udnytter Public-key kryptografi på en helt anden måde, hvor pointen er at knytte en privat hemmelig nøgle til en anonym stemme. Efter at nøglerne er sendt til den stemmeberettigede kender INGEN andre hans identitet, og den stemmeberettigede behøver ikke at afsløre sin identitet til et computersystem for at stemme, KUN sin private nøgle, som bevis på at han har ret til at stemme.

Vil du tømme RAM på den pågældende maskine før du begynder at stemme eller hur?

Ja, computersystemet der udfører dette vil køre den offentligt tilgængelige kode - der ikke gemmer oplysningerne permanent, og derefter slukkes, hvorved informationerne i RAM efter få sekunder eller minutter ikke kan genskabes.

PKI er glimrende til mange ting, men anonyme valg er ikke en af dem.

Endeligt siger du noget fornuftigt...

Ved et digitalt login vil din digitale ID stadig ligge resident og kan på den måde reelt registreres sammen med din afgivne stemme... Du kan ikke beskytte dig 100% mod malware på en afstemnings-computer, og for private computeres vedkommende er der ingen garanti for at du er den du påstår du er.

Du har tydeligvis overhoved ikke forstået at jeg ikke snakker om PKI.

Har jeg forholdt mig nok til dine argumenter?

Nej du har forholdt dig til PKI, som ganske rigtigt slet ikke løser udfordringerne ved at valg, og det er det heller ikke designet til.

Læs om Public-key kryptologi (http://en.wikipedia.org/wiki/Public-key_cryptography) og læs derefter mit indlæg om hvordan jeg forslår at bruge det. Hvis du stadig ikke forstår det så kan jeg desværre ikke hjælpe dig yderligere.

Men det er skam også et kompliceret emne. Hvis ikke jeg var blevet undervist i det ville jeg nok heller ikke forstå det med det samme.

Nej... PKI har at gøre med at bevise ens identitet, det system jeg forslår udnytter Public-key kryptografi på en helt anden måde, hvor pointen er at knytte en privat hemmelig nøgle til en anonym stemme. Efter at nøglerne er sendt til den stemmeberettigede kender INGEN andre hans identitet, og den stemmeberettigede behøver ikke at afsløre sin identitet til et computersystem for at stemme, KUN sin private nøgle, som bevis på at han har ret til at stemme.

Hele konstruktionen omkring private og offentlige nøgler, styringen af dem, kontrollen med om de bliver kompromitteret etc. ligger i PKI som koncept. Som jeg læser det, ønsker du at tage udgangspunkt i PKI, men på en måde så den fysiske ID ikke kan knyttes til de aktuelle nøgler. Hvis du ikke kan knytte nøglerne til den personlige ID kan du heller ikke sikre dig at det kun er retmæssige borgere der stemmer og at de kun kan gøre det en enkelt gang - uden at det kan overvåges af andre. I det øjeblik at du skal knytte en privat nøgle til en fysisk ID for at kunne sende den pågældende nøgle ud, har du reelt knyttet et evigt bånd mellem nøgle og ID. Problematikken ligger netop i at hver nøgle er unik akkurat ligesom hver ID er unik. På den måde får du hvad der svarer til en en-til-en relation mellem nøgle og ID og dermed kan du ud fra ID aflæse nøglen og ud fra nøglen aflæse ID. Hvis alle vælgere fik identiske nøgler tilsendt, ville man ikke kunne skelne to vælgere fra hinanden i systemet. Til gengæld ville jeg kunne stemme for dig og du ville kunne stemme for mig.

Men det er skam også et kompliceret emne. Hvis ikke jeg var blevet undervist i det ville jeg nok heller ikke forstå det med det samme.

Nu kender du ikke min baggrund, men ud fra mine eksamenskarakterer at dømme, havde jeg nu ikke de store problemer med at forstå begreber som sikkerhed, kryptering og PKI, sidst jeg læste på en videregående uddannelse.

Jeg vil gerne høre hvordan du havde tænkt dig at administrere private og offentlige nøgler, samt distributionen af dem på en måde uden at benytte dig af PKI som koncept. Ligeledes vil jeg gerne høre hvordan du havde tænkt dig at det skulle foregå UDEN at man på nogen måde ville kunne knytte en forbindelse mellem den fysiske ID og et nøglepar. Argumentet om at man genstarter den maskine som skal generere og distribuere nøglerne mellem hver genererede nøgle, er ikke brugbart i praksis.

At du bruger en token e.lign. som bevis på at du har lov at stemme vil, alt andet lige altid kunne føres tilbage på din fysiske ID, ellers kan det ikke administreres. Hvad den pågældende token så består i, er komplet ligegyldigt. Det kræver to helt adskilte systemer som ikke på nogen måde kan kommunikere med hinanden for at sikre at din afgivne stemme på ingen måde kan føres tilbage til dig som person. Ved at basere sig på digitale systemer som skal kunne tilgås (for at trække afstemningsresultaterne ud), vil det let kunne registreres hvornår hver enkelt stemme er afgivet, og sammenholdt med hvornår du har fået adgang til afstemningen i et andet system, vil din afgivne stemme stadig kunne føres tilbage til dig som person.

Det mindst overvågende digitale system kræver to komplet adskilte IT-systemer, hvor det ene system giver adgang til det andet, men i samme øjeblik det ene system kan styre adgangen til det andet system, vil de to systemer kunne kommunikere sammen på en eller anden måde, og så kan en afgivet stemme igen føres tilbage til en fysisk ID. Alternativt skal det ene system styre en dør, hvor du kører f.eks. dit sygesikringsbevis igennem. Derefter slippes du ind i stemmeboksen, hvor der så står et andet IT-system - som beviseligt ikke har nogen som helst mulighed for at kunne udveksle data med det første system, heller ikke via tredjepart. Systemet i stemmeboksen skal så indsende den afgivne stemme til hovedsystemet på et tilfældigt tidspunkt efter den er afgivet - men, hvor der beviseligt ikke er noget tidsstempel på den pågældende stemme. Det er den eneste metode man kan sikre at et digitalt valg forbliver nogenlunde anonymt, og i det øjeblik at der kommer et strøm- eller net-udfald, skal alle IT-systemer være så pålidelige at de kan gensende de afgivne stemmer... UDEN at de tælles flere gange.

Ovenstående system kan næsten fungere... bortset fra at man er nødt til at indkode hver afgivne stemme med en unik ID, så man kan sikre sig at de afgivne stemmer rent faktisk også tælles med. Men, samtidig vil registreringen af at man får adgang til stemmeboksen også lægge en form for ID-aftryk, som alligevel vil kunne sammenkæde den fysiske ID med den afgivne stemme.

Jeg tvivler derfor på at det på nogen måde kan lade sig gøre at udvikle et system til anonym afstemning som faktisk virker i praksis.

I øvrigt har vi normalt ikke engang et enkelt valg om året, så det ville være lidt som at prøve at genopfinde den dybe tallerken hver gang der skulle være valg.

Det nuværende system til afstemning består netop af to adskilte systemer, hvor din ID kontrolleres i det ene system, og din stemme afgives i det andet. Da de pågældende stemmesedler er helt ens og i øvrigt ligger tilfældigt i stemmeurnerne (som jævnligt bliver rystet), kan den afgivne stemme kun føres tilbage til dig som vælger såfremt du er den eneste der har afgivet din stemme i den pågældende stemmeurne.

God weekend :o)

At du bruger en token e.lign. som bevis på at du har lov at stemme vil, alt andet lige altid kunne føres tilbage på din fysiske ID, ellers kan det ikke administreres.

Det er ikke korrekt. F.eks. kan hash sikre at en identitet kun stemmer en gang uden at kunne tilbageføres. Den fremgangsmåde anvendes bl.a. i Estland.

For lidt dybere indsigt kan f.eks. anbefales "Security in Large-Scale Internet Elections: A Retrospective Analysis of Elections in Estonia, The Netherlands, and Switzerland" http://epub.uni-regensburg.de/21099/1/Security_in_Large-Scale_Internet_E...

Alternativ søg på Google efter evoting.

I’m a little bit surprised about your statement regarding "categorically against remote voting in any fashion". To my knowledge remote eVoting is already implemented in Switzerland and Estonia for municipality election.

In addition I have come across a number of papers from the academic world, which treat remote evoting seriously. Correct me if I am wrong but it seems like remote evoting is both a target of research and development and also seems to have potential for maturing into at more secure system than traditional voting including machine aided voting such as you are researching.

Good luck with you work.

Best Regards Carsten Sonne

Det er ikke korrekt. F.eks. kan hash sikre at en identitet kun stemmer en gang uden at kunne tilbageføres. Den fremgangsmåde anvendes bl.a. i Estland.

Jeg havde ikke lige tænkt på hashing, men, medmindre man selv står for hashingen, vil den alligevel indirekte kunne føres tilbage til din fysiske ID, ikke ud fra hashværdien, men ud fra de data der benyttes til beregningen - medmindre som sagt at man kun logger ind med hashværdien og ikke noget som reelt kan føres tilbage til en fysisk ID

F.eks. kan hash sikre at en identitet kun stemmer en gang uden at kunne tilbageføres.

Jeg ved godt I snakker om noget andet, men uden personligt fremmøde vil man aldrig kunne sikre, at det er den korrekte fysiske person, der sidder foran computeren derhjemme. Man kan højst sikre, at det er vedkommendes token / hash / private key / OTP / NemID / whatever, der bruges til afstemningen.

@Erik - korrekt. Men i det nuværende system gør man heller ikke noget særligt ud af at sikre at det er den korrekte person som stemmer.

Tilføjelse: Sagen stiller sig anderledes hvis man indførte biometrisk adgangskontrol på digital signatur, hvilket man burde under alle omstændigheder i stedet for kodeord.

Men i det nuværende system gør man heller ikke noget særligt ud af at sikre at det er den korrekte person som stemmer.

Så vidt jeg husker, viser man en eller anden form for legitimation når man skal stemme, f.eks. sygesikringsbevis, eller husker jeg helt forkert..?

Hello Carsten et al.,

I’m a little bit surprised about your statement regarding "categorically against remote voting in any fashion". To my knowledge remote eVoting is already implemented in Switzerland and Estonia for municipality election.

Indeed, we are at odds with not only DRE and kiosk-based e-voting that is happening throughout the world (particularly in the U.S.A. and in parts of the EU), but we are completely against the examples of remote voting currently in use in Estonia and Switzerland. We have seen no evidence that one can conduct remote elections and and fulfill the fundamental tenets of voting, which vary from country to country and even municipality to municipality. In particular, it is the opinion of the e-voting research community that one cannot maintain voter privacy, ensuring that voters cannot reveal their ballot, and ensuring that voters cannot be coerced when conducting remote elections.

Just because some countries have conducted such elections does not mean that they have solved this problem---it just means that they have chosen, either intentionally or in ignorance, to not fulfill some of these critical requirements.

In addition I have come across a number of papers from the academic world, which treat remote evoting seriously. Correct me if I am wrong but it seems like remote evoting is both a target of research and development and also seems to have potential for maturing into at more secure system than traditional voting including machine aided voting such as you are researching.

I am aware of nearly a dozen pieces of work that consider remote e-voting seriously in the academic world. Moreover, some of these papers come from some of the leading researchers in the area (namely my two colleagues David Chaum and Ron Rivest). But a careful read of the papers highlights the fact that they explicitly state that they do not fulfill some/all of the above requirements. In fact, one way to come up with new academic voting schemes is to simply do away with one requirement or another then attempt to solve the problem to the best of ones ability.

Good luck with you work.

Best Regards Carsten Sonne

Thanks! We hope that you and the rest of the hardcore Version2 community stay in-the-loop with regards to DemTech and keep us on our toes!

Best,

Dr. Joseph Kiniry - Associate Professor Software Development Group - http://www.itu.dk/research/sdg/ Programming, Logic, and Semantics Group - http://www.itu.dk/research/pls/ IT University of Copenhagen - http://www.itu.dk/

Men i det nuværende system gør man heller ikke noget særligt ud af at sikre at det er den korrekte person som stemmer

Det gør man nu faktisk. Alene det at man skal møde fysisk op på valgstedet tæt på hvor man bor, hvor der er god mulighed for at blive genkendt (eller ikke genkendt som den man udgiver sig for) af tilforordnede og andre vælgere vil afholde de fleste fra at prøve.

Tilføjelse: Sagen stiller sig anderledes hvis man indførte biometrisk adgangskontrol på digital signatur, hvilket man burde under alle omstændigheder i stedet for kodeord.

Nej. Biometri sikrer ikke, at det er den rigtige, der stemmer. Det er mindre sikkert end et kodeord.

Det gør man nu faktisk. Alene det at man skal møde fysisk op på valgstedet tæt på hvor man bor, hvor der er god mulighed for at blive genkendt (eller ikke genkendt som den man udgiver sig for) af tilforordnede og andre vælgere vil afholde de fleste fra at prøve.

Ville du satse din bankbog på det sikkerhedsniveau?

Og alligevel satser du hver dag alle dine penge på at NemID garanterer at det der dig.

Det kan man så tænke lidt over.

Nej. Biometri sikrer ikke, at det er den rigtige, der stemmer. Det er mindre sikkert end et kodeord.

Prøv at uddybe den påstand. Tag i betragtning at almindelige mennesker er MEGET dårlige til at vælge kodeord og iøvrigt ofte skriver dem ned eller fortælle kodeordet til andre (familie medlemmer der lige skal låne NemID kortet...)

Men i det nuværende system gør man heller ikke noget særligt ud af at sikre at det er den korrekte person som stemmer.

Jeg er udemærket klar over, at jeg ville kunne køre rundt til valgsteder rundt omkring og stemme på vegne af andre, som er samme køn og tilnærmelsesvis samme alder som mig. Hvis jeg er ihærdig kan jeg sikkert afgive 20 stemmer på den måde.

Jeg snakker om at sælge stemmer til højestbydende i stor skala. Jeg ser intet i de forslag, der har været her i tråden, som sikrer mod salg af token eller private key. Det nuværende system sikrer ganske godt imod, at jeg møder op med 15.000 valgkort og beder om at få lov til at stemme.

Jeg snakker om at sælge stemmer til højestbydende i stor skala.

Et ikke eksisterende problem. Det er jo ekstremt ulovligt så det skal politiet nok få sat en stopper for. Du bliver simpelthen spæret inde når du fremsætter købstilbuddet.

Et ikke eksisterende problem. Det er jo ekstremt ulovligt så det skal politiet nok få sat en stopper for.

Det er vist første gang i verdenshistorien, at folk undlader at gøre noget, fordi det er ulovligt.

Igen, jeg snakker ikke nødvendigvis om lille Danmark. Overvej situationen, når Strålfors sælger systemet til Kasakhstan, og hvor politiet muligvis kan overtales til at kigge den anden vej.

Der er stadig ingen, som har svaret på en eneste af mine indvendinger i http://www.version2.dk/artikel/19366-succes-med-e-valg-over-nettet-giver...

Igen, jeg snakker ikke nødvendigvis om lille Danmark. Overvej situationen, når Strålfors sælger systemet til Kasakhstan, og hvor politiet muligvis kan overtales til at kigge den anden vej.

Og det mener du ikke politiet gør med det eksisterende valgsystem, når der udføres massiv valgsvindel i Kasakhstan?

Ved at bruge diverse kryptografiske værktøjer vil man netop kunne udrydde en del valgfusk. Det vil være muligt at bygge systemer hvor det ikke er nødvendigt med ligeså meget tillid til de valgtilforordnede.

Papirvalg går traditionelt meget dårligt i urolige regioner. Du tænker tilsyneladende at de går til valg ligesom her i vores fredelige baghave. Men faktisk bruges der taktiker som at sætte bevæbnede vagter foran valgstederne, som kun lader de "rigtige" etniske grupper ind eller valgurner der forsvinder eller er fyldte med forudfyldte stemmesedler. Eller du bliver skudt hvis du tilhører den forkerte stamme og du bliver set med sort blæk på din finger.

De fleste af disse ting kan digitale valg ikke gøre noget ved. Men vi kan forhindre sådan noget som valgurner der bliver væk og forudfyldte stemmesedler med mere.

Papirvalg går traditionelt meget dårligt i urolige regioner. Du tænker tilsyneladende at de går til valg ligesom her i vores fredelige baghave. Men faktisk bruges der taktiker som at sætte bevæbnede vagter foran valgstederne, som kun lader de "rigtige" etniske grupper ind eller valgurner der forsvinder eller er fyldte med forudfyldte stemmesedler. Eller du bliver skudt hvis du tilhører den forkerte stamme og du bliver set med sort blæk på din finger.

Det er jeg helt med på, og jeg er også enig i, at e-valg kan gøre det sværere fysisk at forhindre folk i at stemme eller skræmme dem fra det, og på den måde øge sikkerheden.

På den anden side er det vel ikke bedre, at de bliver truet på livet, hvis de ikke udleverer deres token. Det gør det blot sværere at opdage, at der foregår massiv valgsvindel.