Valg over internettet: Er det sikkert nok til fagforeninger?

Når fagforeningen IDA holder valg, sker det over internettet, og sådan har det været i årevis. Men er det sikkert, når nu e-valg blev stemt ned i Folketinget?

Når medlemmer af ingeniørernes fagforbund, IDA, i april måned skal stemme 65 kandidater ind i foreningens repræsentantskab, sker det via internettet.

Fødselsdato og en valgkode tastes ind på valgsiden, og så kan der stemmes. Men hvordan hænger den metode sammen med den store debat, der var om elektroniske valghandlinger til kommunal- og folketingsvalg, som endte med et politisk flertal imod e-valg?

Det er to helt forskellige ting, fortæller Mikkel Svendstrup, it-chef i firmaet Assembly Voting, som har leveret valgløsning til IDA, siden organisationen som den første i Danmark begyndte med e-valg for ti år siden.

»Den helt store forskel er, at folketingsvalg er fremmødevalg, mens dette valg er en pendant til brevstemmevalg, hvor stemmerne bliver sendt ind via et traditionelt brev. Sikkerheden ved fremmødevalg er meget høj - og den måde, et folketingsvalg kører på, er den ypperste metode - mens sikkerheden ved brevstemmer er nemmere at nå på højde med,« siger han til Version2.

Sender man et brev med postvæsenet, er der nemlig ingen garanti for, at det når frem. Det mærkede fagforeningen 3F engang, da det blev tydeligt, at der var forsvundet stemmer i et valg om overenskomst med meget få deltagere.

Det fik 3F til at lave et forsøg, hvor tusind breve blev sendt af sted fra ti forskellige steder i landet. To procent af dem dukkede aldrig op, fortæller Mikkel Svendstrup. En gentagelse af forsøget gav samme resultat.

Mange af de valghandlinger, som Assembly Voting leverer elektroniske løsninger til, er såkaldte hybridvalg, hvor vælgerne også kan stemme via et traditionelt brev, hvis de ønsker det.

Rent teknisk bliver selve valghandlingen over internettet beskyttet af en standard 2048-bit SSL-kryptering, så andre ikke kan ’kigge med’ eller pille ved resultatet.

Kan det gøres anonymt?

En anden bekymring fra kritikere af e-valg er risikoen for, at anonymiteten ryger. Især ved internetvalg, fordi man over for websiden, der modtager stemmen, også samtidig skal ’bevise’, at man har lov at stemme.

Det er forskelligt, hvor høje krav kunderne stiller til anonymiteten i et valg, og for nogle er det godt nok, at hele valgprocessen bliver håndteret af leverandører og revisorer, så ingen internt i for eksempel en fagforening kan få detaljer om hver stemme. Er sikkerhedskravene højere fra kundens side, kan stemmeafgivelsen krypteres på en måde, der skiller vælgernes identitet og deres stemme helt ad, forklarer it-chefen.

»Vi bruger asynkron kryptering, som er den elektroniske pendant til dobbeltkuvertering. Stemme-ID og selve stemmen bliver skilt helt ad, irreversibelt, på den måde,« siger Mikkel Svendstrup.

Krypteringen kan ske enten server-side eller client-side, altså enten centralt eller ude i hver vælgers computer. Ved at gøre det lokalt kan vælgerne få højere sikkerhed for, at de ikke bliver koblet sammen med stemmen. Men det er også mere bøvlet.

»Hvis man bruger en Java-applet, som kører krypteringen client-side, stiller det krav til brugernes computere om at have en bestemt version af Java. Det er mindre brugervenligt,« siger han.

Sikkerheden og vælgernes kontrol over deres stemme bliver derfor også en afvejning af, hvor bøvlet det må være. På samme måde er der forskellige grader af sikkerhed og anonymitet, når valgene sker via fysiske brevstemmer.

»Nogle kører med fuld dobbeltkuvertering, hvor man sender en anonym stemmeseddel i en anonym kuvert, der er lagt inden i en anden kuvert. Andre er så friske, at de har pinkoden stående på selve stemmesedlen,« siger Mikkel Svendstrup.

Brugen af e-valg over internettet kan både spare kunden nogle penge i forhold til at håndtere tusindvis af fysiske brevstemmer og kan også ses som en bedre service over for medlemmerne. Men der er ingen tegn på, at brugen af internettet får flere til at stemme, fortæller han.

»Rigtig mange synes, det er nemmere. Men stemmeprocenten er ikke eksploderet af den grund - den afhænger af, hvad man skal stemme om. Hos IDA har stemmeprocenten været omkring 25 procent, uanset om det var med brevstemmer eller e-valg,« siger Mikkel Svendstrup.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Pelle Söderling

Nu har det godt nok vist sig i praksis at der er meget lidt forskel på hvilken fløj man vælger som regering, men teoretisk burde konsekvenserne ved at manipulere et folketingsvalg være en del større end ved valg til et fagforbund og der stilles dermed ikke de samme krav til sikkerheden.

Hvis man derudover dropper anonymiteten som lader til at være tilfældet, så er det pludselig langt lettere at sikre sig imod manipulation af stemmerne - det er i høj grad det element der komplicerer elektroniske folketingsvalg.

  • 2
  • 0
#4 Poul-Henning Kamp Blogger

Så er det i det mindste klart dokumenteret at afstemningen ikke er anonym.

Den kan godt være pseudo-anonym stadigvæk og det betragter man oftest som rigeligt i sådanne sammenhænge.

Hvis IDA f.eks har sendt deres medlemsliste og en liste over "nonces" til en troværdig tredjepart og bedt dem udsende breve med en tilfældig valgt nonce til hvert medlem og holde tæt med hvem der har fået hvilke nonces, har de rimeligt kompetent gjort valget pseudo-anonymt.

Det ville på ingen måde været godt nok til folketings, kommunal, eu eller regionsvalg, men til en forening er det sådan set fint nok.

Forskellen er, at foreningen kan antage at samfundets retsmaskineri virker både før og efter valget og at de fleste forhold er styret af kontraktjura. Folkevalgene kan ikke gøre den antagelse, mindst af alt valg til et enevældigt folketing.

  • 21
  • 0
#5 Deleted User

Efter at have modtaget e-mailen med linket til IDA-valget, så forsøger man at afgive sin stemme. Det lykkedes så ikke, fordi systemets svartider er skyhøje. Man forsøger så på et senere tidspunkt og det lykkedes tilsyneladende. Men hvor tit har man, i andre systemer på internettet, ikke prøvet at få en HTTP 500 fejl, hvor registreringen muligvis er gået igennem. Hvordan kan man være sikker på, at ens stemme er registreret korrekt?

Mht. til fx folketingsvalg, så kunne man vel risikere en parlamentarisk krise, hvis sådan et e-valgsystem bragede sammen på valgaftenen?

Personligt er jeg ikke meget for, at udføre den slags handlinger i en webbrowser, som jeg synes er et usikkert miljø. Og skal man endelig lave et e-valgsystem, behøver det så være online-baseret? Hvorfor kan man ikke få en anonym stemmeseddel tilsendt i en e-mail, hvorefter man udtrækker en engangskode tilfældigt fra en pulje på en hjemmside? (antallet i puljen svarer til de stemmeberettigede) Udtrækningen forudsætter, at man identificerer sig, så det skal garanteres, at der ikke registreres nogen sammenhæng mellem personen og engangskoden. Det skal kun registreres, at der er en engangskode mindre i puljen. Så kan man trække netstikket ud, udfylde stemmesedlen og kryptere den med en dedikeret applikation (open source, naturligvis), som fulgte med stemmesedlen. Applikationen forudsætter en engangskode før kryptering, men engangskoden verificeres ikke. Derefter sætter man netstikket i igen og "afleverer" den krypterede stemmeseddel via en hjemmeside. Stemmesedlens gyldighed afgøres ved, at engangskoden oprindeligt var i puljen og er udtrukket. De ikke-paranoide kan undlade det med netstikket. ;)

PS. En stemmeseddel i papir og et brev er nu nok noget nemmere at forsvare. PPS. Efter at man har afgivet sin stemme til IDA-valget, så vælter det de følgende dage ind med e-mails indeholdende kampagnemateriale. Sjov rækkefølge.

  • 0
  • 0
#6 Morten Andersen

Uden at have den tekniske indsigt (jeg er kun en simpel kemiingeniør) kunne jeg dog godt forestille mig et system hvor "dobbelt luverterne" blev liggende indtil valghandlingen lukkede. I denne periode kunne man så udskifter "dobbeltkuverterne" lige så tosset som man ville. Så snart valghandlingen lukkede blev alle dobbeltkurverterne åbnet, den yderste kuvert (med afsendernavn) blev "smidt væk" og alle inderkuverterne med stemmer i blandet sammen, hvorefter disse blev åbnet og stemmerne optalt?

Er i øvrigt enig i at der i forbindelse med valg til en forening ikke behøves at være de samme krav som til et folketingsvalg.

PS: Har stemt og det så OK ud.

  • 2
  • 0
#7 Ulrik Nyman

Til Thomas Lund Nielsen.

En pointe, der blev fremført mange gange under debatten om e-valg til rigtige kommunal og folketingsvalg er følgende: Vi bør aldrig lave en løsning hvor man kan stemme fra sin egen computer.

Der er et problem som du ikke kan løse med nogen krypteringsløsning: Din arbejdsgiver kan forlange at du stemmer på hans kontor og at du stemmer på det rigtige parti for at du beholder dit job.

  • 3
  • 0
#8 Jarnis Bertelsen

Det er vel en afvejning om valgets vigtighed, og dermed incitamentet for evt. at svindle med det, der afgør om en given metode er sikker nok. Det er sikkert nok til X-Factor at folk kan stemme via SMS, da resultatet dybest set ikke betyder noget for andre end nogle få individer.

Ligeledes må man vurdere at valget til IDAs repræsentantskab a) Ikke er vigtigt nok til, at der er sandsynlighed for, at nogle vil købe stemmer eller bruge pression for at få folk til at stemme på en given kandidat mod deres vilje. b) Det ikke er sandsynligt, at kendskab til en persons stemme på et senere tidspunkt vil blive brugt imod ham/hende. c) At gennemskuelighed ikke er nødvendigt, igen fordi de personer der har mulighed for at manipulere med valget ikke kan have tilstrækkeligt incitament til at gøre det. d) At valget for de fleste medlemmer er så ligegyldigt at sikkerhedsforanstaltninger, der adresserer de ovennævnte svagheder (fremmødevalg, hemmelig annonym afsteming, simpel og manuel stemmeoptælling, etc.) vil afholde så mange fra at stemme, at valget vil miste sin legimitet pga. lav valgdeltagelse.

På en måde er det en falliterklæring, at man erkender at valget har så lav interresse og betydning, at yderligere sikkerhedsforanstaltninger ikke er nødvendige eller hensigtmæssige, men i den givne situation er vurderingen nok korrekt.

  • 3
  • 0
Log ind eller Opret konto for at kommentere