eValg: Vis hvad I dur til ...

Der er folk der roder med "digitale fremmødevalg" i kommunalvalgs-kontext og de vil åbenbart have mig med i en workshop.

Fair nok, men jeg er en stor tilhænger af udliciteringer, så gider I ikke lige lave mit hjemmearbejde for mig ? :-)

"Digitalt fremmødevalg" handler om at få talt stemmerne hurtigere, mere præcist og med mindre papirforbrug.

Her er mit forslag, jeres opgave er at forbedre det:

Nogle dage inden kommunalvalget, inddrager IT-pedellen nogle af skolens elev-pc'er, tager harddisken ud og fjerner det værste tyggegummi, graffiti mv. Han plugger RFID-læseren i en USBport og prøver derefter at boote maskinen fra den USB-stick han har fået udleveret.

USB sticken indeholder et bootbart FOSS operativsystem der laver en test af at RFID-læseren virker og nikker ja/nej til IT-pedellen.

På valgdagen placeres PC'erne i valg-båsene og tilsluttes USB-RFID læsere.

I en fin lille aflåst trækasse er monteret et dusin USB-sticks, kassen placeres på valgbordet og maskinerne forbindes med hver deres USBstick via et USB-forlænger kabel.

På disse USB-sticks ligger et bootbart FOSS operativsystem med en krypteret disk-partition. Passwordet til disk-partitionen modtager de valgtilforordnede på et, til trækassen hørende men separat fremsendt, RFID kort.

Maskinerne booter og beder om password-RFID kortet og er efter åbning af den krypterede partition klar til business.

Når vælgeren møder frem ved valgbordet, afleveres valgkortet som sædvanligt, men i stedet for en valgseddel, trækker vælgeren et tilfældigt RFID kort fra en kasse. Disse kort har alle et unikt nummer og der findes en liste over hvilke numre hvert valgbord har fået i deres kasse.

Vælgeren går i valgbåsen, placerer kortet på RFID læseren, gør sig sine valg med tastatur/mus.

Maskinen gemmer de afgivne stemmer på RFID kortet.

Maskinen tæller de afgivne stemmer til sine akkumulatorer på den krypterede partition.

Maskinen tilføjer RFID kortets unikke nummer til listen over kort der har afgivet stemmer på den krypterede partition.

Hvis vælgeren ønsker det, kan han på en dedikeret maskine der er bootet i "kontrol mode" se hvilke stemmer hans RFID kort indeholder, inden han dumper det i valgurnen.

Ved valghandlingens slutning lukkes maskinerne ned ved hjælp af password-RFID kortet og kan herefter ikke genåbnes for stemmeafgivelse.

To ukrypterede, men signerede filer produceres på en klartekst-partition på USB-sticken: Stemmeoptællingen og listen over RFID kort der har stemt.

Herefter indsamles trækasserne og en, ligeledes diskløs, computer bootet fra en "optællings USB-stick" forbindes til hver USB stick i kassen på tur og producerer tallet for hvor mange stemmer der er afgivet ved dette valgbord. Dette tal holdes op imod Valgbogen og antallet af brugte RFIDkort.

Denne procedure gentages for hvert valgbord efter tur og til sidst foreligger det samlede resultat, der signeres og kan printes ud og sendes til indenrigsminsteriet via email.

Jeg vil ikke pinde mulighederne for omtællinger/kontrol/check ud, dem kan I forhåbentlig selv gennemskue.

Når valget er godkendt, pakkes RFIDkort og trækasser sammen, sendes til Indenrigsministeriets valgkontor hvor de i tidens fylde gøres klar til næste valg.

IT-pedellen fjerner det værste tyggegummi, graffiti mv. monterer harddisken igen og stiller computerne på plads.

Så kommer IT-nørd delen af forslaget:

Der er ikke nogen million-ordre for specielle computere, Der skal kun bruges nogle tusinde USB-RFID læsere, nogle tusinde USB-storage sticks, nogle tusinde USB-forlænger kabler og nogle millioner RFID kort. Alt dette kan let suppleres og genanvendes fra valg til valg.

Valget er stadig totalt decentralt og off-line, der er ikke nogen computer der kan få valget til at gå ned på "hele Fyn".

Resultatet kan stadig indtelefoneres eller for den sags skyld ind-cykles. (Udskriften kan f.eks suppleres med stregkoder for
hurtig inddatering i dette tilfælde.)

Der er ikke nogen kommunikation involveret.

Alle elektroniske resultater kan verificeres, f.eks ved at genlæse alle RFID kortene fra valgurnen.

Alt involveret software er 100% open source og kan downloades fra Indenrigsministeriets hjemmeside, både før og efter valget.

Indenrigsministeriet publicerer en kryptografisk hash for kodepartitionen på både valgmaskine og optællingsmaskine kodeimages inden valget og ved mistanke om valgfusk er det naturligvis en af de ting der skal checkes.

Nu er det jeres tur: Gør det bedre, mere sikkert, billigere eller, hvis det er jeres ting: Med flere blå lysdioder.

phk

Kommentarer (48)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

Jow, her:
http://www.itpol.dk/taxonomy/term/6

Hvis vi fik lavet det om så disse valg ikke var hemmelige, og det blev offentliggjort hvad alle har stemt, så er jeg for. Og internetvalg hjemme i stuen, yes jeg er med. Men dit forslag nej. Jeg har ikke tillid til det. Jeg stemte iøvrigt blankt sidste gang (ikke sofa-vælger).

Hulkort burde kunne du, selv om de har dårlige erfaringer med det i South Carolina. Anonymt, paper-trail, maskinaflæsning og alting.

Dog er det første man skal se på, hvorfor man vil noget andet:
* For at spare hvor mange penge?
* For at spare hvor meget tid?
* For at forhindre hvor meget svindel?
* For at skabe mere tillid?
* For at få flere til at stemme?

Retorisk spm: opnår man det?

  • 1
  • 0
Poul-Henning Kamp Blogger

Jeg er helt enig med din liste af spørgsmål og tvivlen om der netto ville være nogen fordel.

Det er i bund og grund hvorfor mit forslag fokuserer på at gøre det så billigt som muligt: Så vi ikke spilder for mange penge i forhold til de meget beskedne, hvis ikke nærmest ikke-existerende fordele der kan være.

  • 0
  • 0
Jesper Louis Andersen

Pret a Voter er et ret fedt skema, der desværre ikke er papirløst - men til gengæld kan tælles op hurtigt. Det har nogen gode egenskaber der kunne være fede at få fingre i, i et sådant system. Specielt den pointe at du som person altid kan checke at din stemme blev afgivet korrekt og at alle beregninger kan verificeres - men at din stemme stadig er anonym.

http://en.wikipedia.org/wiki/Pr%C3%AAt_%C3%A0_Voter

Grundliggende kan jeg egentlig godt lide PHKs system, for det lader til at kunne give den samme sikkerhed som nu, men med hurtigere optælling og mindre papir. Det interessante er dog hvis du kan bygge noget kryptografisk ind i det så du IKKE behøver at stole på maskinerne direkte fordi du som person kan efterchecke at din stemme er afgivet korrekt. R. L. Rivest har et lignende system der også er interessant, men heller ikke papirløst.

Jeg er nok mest af den holdning at hvis vi skal have noget eVoting, så skal vi også vinde noget ekstra sikkerhed i det. For det er 100 gange nemmere at lave noget snyd i et sådant system.

  • 0
  • 0
Poul-Henning Kamp Blogger

For det er 100 gange nemmere at lave noget snyd i et sådant system.

En meget central del af netop det med snyd, er at vi i Danmark har løst problemet ved at sætte rævene til at vogte ræve: De valgtilforordnede kommer fra de politiske partier som alle har en stor interesse I at der tælles rigtigt.

Derfor er der ikke de store muligheder for snyd i Danmark og derfor er det meget begrænset hvad eValg kan forbedre, ud over papirspildet og tællehastigheden.

Medhensyn til det sidste, kunne man komme langt hvis man viste de valgtilforordnede hvor præcise elektroniske køkkenvægte faktisk er nu om dage:

Man kan sagtens afgøre om alle bundte indeholder samme antal stemmesedler med en køkkenvægt, specielt med de store stemmeseddler vi typisk har.

Der hvor stemmetællingen idag trækker tænder ud, er de personlige stemmer.

  • 2
  • 0
Henning Wangerin

Jeg vil foretrække at der skrives en papir-kvitering ud, som skal puttes i urnen.

Hvorfor?

Fordi den kan jeg checke indholdet af, inden jeg afleverer den i urnen, men derfor laver computeren stadigvæk sagtens lave sammentællingen .

Finten kan så være hvordan vi sikrer at der kun kan skrives EN kvitering ud pr person.

/Henning

  • 1
  • 0
Martin Højriis Kristensen

Jeg foretrækker også papir fremfor noget jeg ikke kan se indholdet af.

Reelt set foretrækker jeg modellen man har nu, bortset fra at valgkortet skulle være på størrelse med et spille-kort, og i stedet for en blyant skulle der være en computer med valglisten, hvorfra valget blev trykt på valgkortet via en printer-type som dem man ser i diverse metroer.

Ingen optælling i computeren, men en automatiseret sortering og optælling af pap-kortene (det er vigtigt at det er to separate skridt).

Folk der er utrygge ved modellen kan stadig få udleveret valgkort der kræver en blyant, og de tilforordnede kan stadig overskue hele processen.

Papirspildet bliver markant reduceret hvis 95% vælger spille-kort-størrelse fremfor de nuværende "landkort".

  • 2
  • 0
Peter Stricker

I det beskrevne scenarie med IT-pedellen, ser det ikke ud til at jeg som vælger har mulighed for selv at compilere og installere den anvendte software.

Vil der blive mulighed for det, eller bliver det TiVo modellen, hvor jeg godt må se sourcen, men ikke selv kan compilere og installere softwaren?

  • 0
  • 0
Christian Panton

Jeg er stor tilhænger af papirvalg. Det er i mine øjne den måde vi sikrer, at hele befolkingen kan føle sig sikre på og selv konstatere at vores demokrati virker som det skal.

Derfor virker det for mig en smule som om, at vi er ved at koge på en omgang magisk it-sovs (for at bruge PHK selv), som vi skal hælde ud over et eller andet analogt område. På samme måde som Rejsekortet tager det udgangspunkt i en eller anden struktur og indretning som vi ikke må ændre på.

Forudsætningen synes at være at det skal fungere som i gamle dage, blot at vi skal bruge mus og tastatur frem for papir og blyant. Skønt jeg synes at valgdagen er noget af det hyggeligste der findes i Danmark, kunne det måske øge valgdeltagelsen hvis det var muligt at stemme andre steder end nede på den lokale folkeskole. Fx. via internettet.

Der er naturligvis en hel del udfordringer der skal løses før det kan lade sig gøre, herunder den største af dem alle, verifikation af de stemmeberettigedes identitet og at de alene er dem som bestemmer hvor krydset skal sættes. Men udfordringer er der nu også i det foreslåede system.

Fordelene kunne være at vi kunne gøre det meget anderledes end idag, ja selve valgsystemet kunne nytænkes, således at de stemmer som går til kandidater som ikke kommer ind, kan gives til en anden eller tredjeprioritet.

  • 0
  • 0
Poul-Henning Kamp Blogger

Du kan downloade kildeteksten fra Indenrigsministeriet alt compilere alt hvad du har lyst til, men det er Indenrigsministeriet der har ansvaret for afviklingen af valget og derfor også dem der installerer softwaren på USB-sticks. Man kan eventuelt lave en eller anden procedure under hvilken hash bliver checket stikprøvevis, men det er en svær ting at forklare valgtilforordnede.

Igen: Målet her er at spilde færrest mulig penge på at nogen kan prale af at vi har "sikre elektroniske valg" i Danmark, uden at sætte vores demokrati over styr.

  • 2
  • 0
Charlie Ljungstrøm

Det er naturligvis for at man sikre sig, at folk ikke bliver tvunget til at stemme på en bestemt kandidat eller et bestemt parti. Dette kan man ikke sikre ved at tillade valg over Internettet - Det kommer ikke til at ske.

Det er dog bestemt en mulighed, at man kan øge tilgængeligheden for brevafstemning. Den mulighed skal man iøvrigt også huske at tænke med ind i hele E-valget.

  • 1
  • 0
Mikael Boldt

og for alt i verden ikke så kompliceret at jeg ikke kan finde ud af det.

og bare for at understrege:
1) Vi har hemmeligt valg i Danmark, hvilket betyder at ingen kan afpresse mig inden jeg stemmer - ved at være i boksen sammen med mig, og ingen kan afpresse mig efterfølgende fordi min stemmeseddel er anonym. (modsat i thailand hvor stemmesedler havde løbenumre frem til år 2000)
2) jeg er sikker på at min stemme bliver talt med. Papir-stemmesedlen kan ikke forsvinde og blyant-stiften smitter ikke af.

Mine krav til computer afstemning må derfor være:
a) ingen mulighed for afstemning hjemmefra - Der skal ikke være nogen coockie eller lignende som kan spore om jeg har stemt eller hvad jeg har stemt.
b) computeren skal udskrive en udfyldt stemmeseddel som skal afleveres i en afstemingskasse, således at hvis computeren bryder ned er jeg sikker på at min stemme tæller med.
c) computeren må ikke udskrive kvittering til mig. Der er ingen som skal kunne stjæle min kvittering for derefter at afpresse mig.
d) der må ikke være nogen som helst forbindelse mellem computeren som registrerer mig i valgbøgerne og valg-computeren. Valg-computeren må ikke strømforsynes fra samme sikringsgruppe som valgbogs-computeren og valg-computeren må ikke på noget tidspunkt tilsluttes internettet eller noget intranet. Det må ikke være muligt at synkronisere dataloggen i de 2 computere. Vi har hemmelig afstemning og ingen skal kunne regne ud hvad jeg har stemt, ligesom det ikke må være muligt for hackere at logge sig ind i valghandlingen.

Ovenstående er ikke til forhandling, hvis i vil have mig til at stemme ved hjælp af en computer.

  • 3
  • 0
Klaus Elmquist Nielsen

Elektroniske folkeafstemninger er en taburetlim der virker! Med det rette design er det klart en effektiv måde at sikre automatiseret genvalg. Eneste problem er befolkningens reaktioner når erkendelsen heraf opnås.

Særligt problematisk er det i lande som Danmark hvor der kun skal flyttes nogle få procent for at opnå et et regeringsskifte. Hvorved vil en manipulation af valgresultatet ikke være specielt tydeligt. Dette til forskel fra indlysende indikatorer så som en stemmeprocent på 130 og lignende historier fra de mere kreative staters valghandlinger.

Derfor ville jeg foretrække om du brugte tid i dit indlæg på at forklare hvordan dit og andres designforslag til elektroniske valg kan hackes. Samt hvilke interessenter der kan tænkes at have mulighed for at hacke systemerne til folkeafstemningerne.

Tænk Ken Thompson artikel "Reflections on Trusting Trust" hvilket hurtigt kan fjerne fordelen ved at afstemningssystemet er open source. Tænk mere klassisk hacking: Hvis man anvender skolernes computere - der har fri adgang til nettet - må det være muligt at "krydre" dens BIOS udefra - som nævnt ovenfor - hvorved hacking af afstemningssystemet bliver (verdens-)borgerligt ombud.

Det vil ligeledes være en god ide at vurdere hvordan det eksisterende valgsystems sikkerhed er. Vel foregår stemmeafgivningen på papir og resultatet tælles op manuelt på valgstederne. Men hvem holder øje med stemmesedlerne efter den første optælling på valgstederne efter valghandlingens afslutning? Desuden er det mit indtryk er at der indgår betydelige mængder IT i sammentællingen af stemmerne centralt hvilket udgør en indlysende platform for manipulation af valgresultatet.

Kernen i problematikken omkring elektroniske valghandlinger er at det er ufatteligt svært at se hvad der foregår inden i en computer. Og hvis det ikke var tilfældet hvorfor har sikkerhedsfirmaerne ikke for længst stoppet den overflod af virus/spyware/... som nettet flyder over med!? Derfor vil man med elektroniske valg aldrig vil kunne vide sig helt sikker på om det opnåede valgresultat afspejler de afgivne stemmer.

Mit indtryk er at der er en række forskellige interessegrupper i forbindelse med elektroniske folkeafstemninger. For IT industriens vedkommende vil de selvfølgelig gerne kunne udvide deres marked og sælge løsninger inden for dette område også. Men ellers? Og hvad er politikernes reelle årsag til at ønske elektroniske valghandlinger? Lad os få nogle gode bud herpå i dit indlæg!

  • 2
  • 0
Morten Wegelbye Nissen

Hvordan tilkendegiver vælgeren overfor maskinen hvem han/hun ønkser at stemme på?
Er bange for at laveste fællesnævner dømmer 99% af den hw skolerne kan udlåne ude.
Alternativet er at man på valgstederne kan have en helt offline arbejdsgang til de mennesker der ikke ønsker/kan bruge teknikken.

  • 0
  • 0
Flemming Madsen

Jeg har desværre ikke stor programmerings-indsigt, så det er svært for mig at finde forbedringsmuligheder eller svagheder. Jeg kan dog se at man som "hacker" bør gå efter "optællings USB sticken", da det er det lettest sted at ændre flest stemmer.

Samme mangel på indsigt gør også at dette system altid vil være et "blackbox" system for mig, hvor jeg blot må stole på at arkitekten har rent mel i posen. Jeg ville derfor aldrig stemme hvis vi havde et sådanne system uden et papir-spor som altid blev optalt og som var det endelige gyldige resultat.

En lille tilføjelse til din indkøbs-liste: nød-generator til alle valgsteder, så jeg stadig kan stemme NÅR strømmen går på valgdagen.

  • 3
  • 0
Morten W. Jørgensen

Det er i bund og grund hvorfor mit forslag fokuserer på at gøre det så billigt som muligt: Så vi ikke spilder for mange penge i forhold til de meget beskedne, hvis ikke nærmest ikke-existerende fordele der kan være.

Jeg er helt enig i listen også og jeg har meget svært ved at se hvorfor digitale valg skulle være noget godt for det danske samfund. Derfor mener jeg det må handle om at få en løsning designet så dyr at ingen poitikkere tør godkende af frygt for at regningen ender med deres navn på.

  • 2
  • 0
Maxx Frøstrup

Det er måske lige tidligt nok i mit hoved til at prøve på at fatte hele sammenhængen i dette setup, men lige et par ting der falder mig:

Hvis jeg nu vil smadre det hele, lader det til jeg bare skal smadre USB-sticken (vide hvor den er osv.) Hvis den dør under proccessen (udenfor eller indenfor trækassen) så er stemmerne på den stick døde eller hvordan?
Samme hvis maskine skulle finde på at genstarte undervejs, manglende strøm, EMP bomber what ever, bare noget der får maskinen til at genstarte. Så er sticken / optællingen på den station væk, døde?

Hvis jeg forstår det ret, så kan man i tilfælde at nedbrud optælle stemmerne manuelt uden strøm, kan bare ikke lige gennemskue hvordan...

Og det må være hvad folk henviser til som det manglende papirspor?

[/begin holdning]
Ja det hele bliver en blackbox opsætning i min verden, men åbenheden til sovsen osv. giver mig trygheden til at bruge systemet fordi jeg kan sætte min fulde tillid til at typer som f.eks. PHK ville tjekke sådant software af og brokke sig hvis der var fusk i værket.
Andre mennesker ville brokke sig over andre systemer, alle har deres specialer og holdninger.

[/begin rant]
Jeg synes egentlig det er sørgeligt at vi som moderne og fritænkende nation ikke bare har sådanne grundholdninger og værdier. Der er for lidt proffesionalisme i dagens arbejde. For mange der ikke vil stå ved deres produkter, af den ene eller anden årsag.
[/end rant]
[/end holdning]

Jeg ville bruge det.

  • 0
  • 0
Poul-Henning Kamp Blogger

Hvis du sætter USB-sticken ud af funktion, tæller vi RFID kortene i valgurnen sammen, men vi mister muligheden for krydscheck.

Valgpraksis i Danmark er at en sådan uregelmæssighed ville føre til omvalg på det pågældende valgsted, hvis blot en berørt kandidat bad om det.

  • 0
  • 0
Torben Mogensen Blogger

Jeg synes, at det er vigtigt, at registreringen sker på permanente medier. Så mit forslag er, at man skriver de afgivne stemmer ud som prikkoder (i stil med QR-koder) på papir. Hvis hver kode fylder 2x2 mm kan man have 10000 stemmer på et A4 ark. Der bør skrives på to uafhængige printere og der skal bruges forskellige koder på de to printere (redundans og bedre sikring mod snyd). Hver stemmer skal endvidere få en kvittering med sin stemme angivet og en kode (f.eks. 10 bogstaver), som kan bruges til at kontrollere stemmen online efter valget.

De printede prikkoder kan efterfølgende nemt scannes med almindelige scannere -- det tager ikke lang tid, da antallet af ark er lille, og ved at bruge flere forskellige scannere (af forskellige fabrikater) sikres mod læsefejl. Hvis prikkoderne endvidere indeholder checksum, øges sikkerheden endnu mere.

  • 0
  • 0
Erik Cederstrand

@PHK: Sikkerhedsmæssigt mener jeg, at det er essentielt, at vi ikke behøver stole på softwaren (trusting trust og alt det dér). Derfor er det rigtigt at have to uafhængige systemer til skrivning og kontrol af stemmen, og mulighed for krydscheck.

Som jeg læser dit forslag, så er det kritiske punkt, at man sikrer sig, at stemmemaskinen og kontrolmaskinen ikke på nogen måde kan snakke sammen, f.eks. ved på forhånd at aftale, at hver 10. stemme går til Mogens i stedet for Anders, eller ved stenografi - stemmemaskinen skriver lidt ekstra information på RFID'en, når en vælger har stemt på Anders, så kontrolmaskinen ved, at den skal vise Anders, selv om der er gemt en stemme på Mogens på kortet.

I forhold til at ødelægge resultatet: hvad sker der, hvis jeg påstår, at jeg har stemt på Anders i stemmeboksen, men at kontrolmaskinen nu viser Mogens? Kan det tilbagevises eller skal valget gå om? Det er ikke klart for mig.

I forhold til anonymitet er der problemet med fjernaflæsning af skærmene, som man med success har gjort i Holland: http://en.wikipedia.org/wiki/Van_Eck_phreaking

  • 0
  • 0
Poul-Henning Kamp Blogger

I mit forslag er der ingen maskiner der taler sammen overhovedet.

Hvis kontrolmaskinen viser noget andet end du tror du har stemt, er det i 99.9% af tilfældene folk der har fumlet og det første man skal gøre vil derfor være at sende dem ind i stemmeboksen og prøve igen, med et nyt RFID kort, præcis som du kan få en ny stemmeseddel idag hvis du fumler blyanten.

Hvis dit næste RFID kort også viser forkert og du insisterer på at du har stemt rigtigt, kan du enten bede om at få assistance til afstemningen (som f.eks blinde får det) eller du kan bede om at få det ført til protokols i valgstedets journal og protestere til indenrigsministeriet.

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg svarer lige separat på det med anonymitet:

Jeg kender en valgtilforordnet der kan høre hvor langt oppe eller nede af en stemmeseddel folk sætter deres kryds, på grund af den fysiske opbygning af "pulten" i stemmeboksene.

Anonymiteten i danske valg skal mest af alt beskytte dig imod folk du kender, ikke imod folk du ikke kender.

  • 0
  • 0
Tom Paamand

PHKs dagsorden lader til at være fint pragmatisk: Siden vi ikke kan undgå, at valgene skal gøres elektroniske, så lad os få den mindst ringe version. Min egen er tilsvarende, at jeg ønsker "bagdelene" ved papirvalget bevaret, nemlig muligheden for bevidst at stemme ugyldigt eller på Anders And. Enhver begrænsning af dette er et elektronisk tilbageskridt, og dermed en begrænsning af mine demokratiske udtryksmuligheder.

Tilsvarende har jeg meget imod afskaffelsen af den fysiske stemmeboks, både som symbol og som kontrol af al elektronikken. Måske ku vi få lov at få stemplet stemmen på de foreslåede RFID-spillekort - de fleste bybusser har sådant gennemprøvet udstyr til effektive print. Blækket kunne så nå at falme helt bort inden næste valg.

  • 0
  • 0
Poul-Henning Kamp Blogger

Min egen er tilsvarende, at jeg ønsker "bagdelene" ved papirvalget bevaret, nemlig muligheden for bevidst at stemme ugyldigt eller på Anders And.

Det har ikke rigtig noget med hvorledes valget teknisk udføres at gøre men kun om man vil gøre det, så hold lige en udenfor.

Personligt ville jeg meget gerne have at vi fik et "Ingen af dem" felt og eventuelt også muligheden for "write in candidates".

  • 1
  • 0
Ole Kaas

Måske lidt udenfor topic - og så alligevel. I stedet for at bøvle med hvad de enkelte skoler ligger inde med af hakkebrædder, kunne man ved hvert valg blot bruge en sprit ny Raspberry Pi og forære dem til skolerne efter valget. Det er ikke utænkeligt at det faktisk vil være billigere. I stemmeboksen er der kun skærm og input-enhed med hdmi+usb forlænger til kassen hvor alle Raspberry Pi med SD kort (istedet for USB-stick) er placeret.

Vi får en fælles untampered hardware platform OG for løbende forsynet skolerne med nyt hardware til undervisningen.

  • 1
  • 0
Jørgen Elgaard Larsen

Det er et fint, billigt system, som PHK beskriver. Men det har det store problem, at det fjerner borgerens tillid valghandlingen:

  • Hvordan sikrer jeg mig, at stemmen på mit RFID-kort går til den rigtige kandidat? Jeg kan gå hen og checke det på en anden computer, og den kan vise mig det navn, jeg har stemt på. Men hvordan kan jeg være sikker på, at det også er det navn, der får en +1 inde i computeren? Hvis alle RFID-kortene i urnen alligevel skal scannes, så har vi bare indført en ekstra obfuskering af processen overfor vælgeren.

  • Hvordan sikrer jeg mig, at der ikke er pillet ved systemet? Jeg kan måske noget kildekode på Indenrigsministeriets hjemmeside, men hvordan ved jeg, at det rent faktisk er den kode, der kører på systemet? Især stemmeoptællingen er kritisk her.

  • Hvordan sikrer jeg mig, at der ikke står noget ekstra på RFID-kortet? Det ville være trist, hvis der blev lagt et tidsstempel, overvågningsfoto, fingeraftryksscan e.l. på kortet. Men jeg har ikke mulighed for at kontrollere det.

  • Hvordan sikrer jeg, at der ikke fuskes med RFID-kortet efter jeg har stemt? Med RFID kan kortet skrives til, mens det ligger i urnen, eller på vej derhen. Selv hvis der anvendes kontakt-baseret teknologi, hvordan ved jeg så, at der ikke er fusket med kontrol-maskinen, så den overskriver min stemme med en anden?

Den eneste måde at bevare tilliden er, hvis jeg som vælger selv uden tekniske hjælpemidler kan checke stemmen direkte på den eneste gyldige stemmeafgivelsesenhed.

Det er fint at lave systemer til maskinel sortering/optælling, men det skal altid i sidste ende være muligt at lave fintælling på noget, hvor vælgeren selv har kunnet kontrollere stemmen.

Om valgdeltagelse: Vi har i Danmark i forvejen en ret høj valgdeltagelse. Af dem, der ikke stemmer, er der antageligvis en del, der har truffet et bevidst valg om ikke at stemme - for eksempel fordi de ikke har gidet sætte sig ind i hvem de vil stemme på, eller er ligglade med valget.

Hvor mange principper vil vi ofre for at få de sidste nølehoveder til at stemme?

Om økonomi: Typisk får de valgforordnede ikke løn som sådan, så stemmeoptællingen er "gratis". Omkostningerne til valg er primært leje af lokaler, opstilling af båse og den slags. Det vil være det samme med elektroniske fremmøde-valg. Så man skal alene vurdere prisen på tryk af stemmesedler overfor prisen på at udvikle og vedligeholde et elektronisk system.

Om tid: I forvejen får vi typisk det første valgresultat efter ca. 4 timer. Er det ikke hurtigt nok? TV-stationerne skal jo også have noget at fylde sendefladen med.

Det, der tager tid at vente på, er fintællingen nogle dage efter valget. Den vil vi antageligvis alligevel ikke kunne spare.

  • 2
  • 0
Poul-Henning Kamp Blogger

De fleste af de spørgsmål kan du med lige så stor relevans stille til det nuværende papirbaserede valgsystem.

Måden vi har løst det på, er at gøre det partiernes eget ansvar, via de valgtilforordnede aktive deltagelse, at holde øje med at alt går rigtigt til.

Jeg tror ikke du nogensinde kan designe et valgsystem der med tekniske metoder vil fange lige så mange fejl som de valgtilforordnede gør.

Derfor var mit fokus at gøre noget ved de to eneste ulemper vi har ved vores valgsystem: Store bunker papir og langsommelige optællinger af personlige stemmer, uden at det skal koste for meget og uden at kompromitere kvaliteten af valghandlingen.

Det er ikke et forsøg på at gøre det mere sikkert, for det tror jeg ikke på at vi kan: Skeptiske lokalpolitikere der kender gud og hver mand er bedre til at afsløre valgfusk end nogen computer nogensinde vil blive det.

  • 2
  • 0
Morten W. Jørgensen

to eneste ulemper vi har ved vores valgsystem: Store bunker papir og langsommelige optællinger


Jeg er stadig ikke overbevist om at det er ulemper der retfærdiggør en ændring af vores nuværende system med tab af gennemskuelighed til følge.

1) Hastigheden hvormed man får resultatet spiller ingen rolle for andre end medierne og deres sensationslyst. Tværtimod. Ved sidste kommunalvalg tog det vist over en uge at få forhandlingerne på plads i, jeg tror det var, Kerteminde. Om det resultatet så er klart klokken 2 om natten eller klokken 10 minmuttere efter lukketid er faktisk ligegyldigt.

2) Hvorfor er "store bunker papir" et så stort problem i sig selv? I øvrigt synes jeg ikke bunkerne er store. Jeg synes de er små.

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg er stadig ikke overbevist om at det er ulemper der retfærdiggør en ændring af vores nuværende system med tab af gennemskuelighed til følge.

Jeg er helt enig.

PS: Papirbunkerne er temmelig store når man har samlet dem ude i BellaCenteret og de koster noget at trykke og makulere. Der er potientiale for at kunne spare penge, men det bør, det er vi helt enige om, ikke ske på bekostning af valgets integritet.

  • 1
  • 0
Jørgen Elgaard Larsen

De fleste af de spørgsmål kan du med lige så stor relevans stille til det nuværende papirbaserede valgsystem.

Måden vi har løst det på, er at gøre det partiernes eget ansvar, via de valgtilforordnede aktive deltagelse, at holde øje med at alt går rigtigt til.

Helt enig. Hvis man skal have elektroniske valg, må det derfor være vigtigt, at de valgtilforordnede stadig har mulighed for at vurdere, om alt går rigtigt til.

Det vil være svært med det system, du beskriver, idet de ikke kan se, hvad der sker inde i computeren - ikke engang, hvis de har datamat-fu.

Men med menneske-læselige stemmeafgivelsesenheder kan de valgtilforordnede kontrollere, om stemmerne bliver sorteret rigtigt, om de bliver ændret af maskinen osv.

Som Martin foreslog kunne man gøre papirbunkerne mindre ved at bruge mindre stemmesedler. Trykkeomkostningerne burde også være mindre, hvis man laver print-on-demand inde i stemmeboksen.

  • 0
  • 0
Thomas Hansen

Min konklusion efter at have læst et utal af debatter omkring elektronisk afstemning:

Er at hvis man ville have elektronik ind i en valghandling, så ville det kun/bedst kunne lade sig gøre i en scan og sorteringsløsning som hjælpemiddel
til en prognose og ikke som en erstatning for manual optælling.

  • 0
  • 0
Erik Cederstrand

I mit forslag er der ingen maskiner der taler sammen overhovedet.

Nej, men eftersom sikkerheden er afhængig af det, er jeg tvunget til at stole på, at der ikke er fiflet med softwaren på begge USB-sticks. En løsning vil selvfølgelig være, at hvert parti tropper op med deres egen kontrol-maskine og tilhørende software.

Hvis kontrolmaskinen viser noget andet end du tror du har stemt, er det i 99.9% af tilfældene folk der har fumlet og det første man skal gøre vil derfor være at sende dem ind i stemmeboksen og prøve igen, med et nyt RFID kort, præcis som du kan få en ny stemmeseddel idag hvis du fumler blyanten.

Jeg taler ikke om at være et kvaj. Jeg taler om muligheden for sabotage ved at jeg råber "Der er fiflet med min stemme!". Det skulle gerne kunne tilbagevises eller stemmen skal kunne annulleres. Hvis du vil annullere min første RFID-stemmesedel, så skal du også tælle akkumulatoren ned på stemmemaskinen, eftersom jeg allerede har stemt. Men hvis stemmesedlen siger Mogens og jeg påstår, at jeg har stemt på Anders, hvilken akkumulator skal så tælles ned?

  • 0
  • 0
Esben Madsen

Jeg synes faktisk løsningen med valgsedler på størrelse med spillekort lyder fornuftig... print tekst og en form for standardiseret stregkode (f.eks. en QR) på kortet der indeholder præcis de samme oplysninger som teksten (så kan du faktisk allerede i båsen checke med din smartphone om der er fusket med stregkoden)...

Valgsedlen skal naturligvis kunne foldes som i dag, så man ikke kan se stemmeafgivelsen på vej til urnen, og kortet skal på en eller anden vis sikres mod forfalskninger

Optælling kan ske på flere forskellige måder:
- 100% maskinelt efter valget: en maskine der tager en stak kort og spytter et resultat ud - det kræver naturligvis at man efterprøver nogle gange (og gerne på forskellige maskiner for at sikre mod maskin-fusk)
- semi-maskinelt efter valget: tilforordnede scanner kort enkeltvis som en anden gruppe kassedamer (i par som vi plejer) og kan således holde øje med at tekst og kode stemmer overens - man kunne evt vise den samlede optælling løbende for dem på en computerskærm for de tilforordnede...
- selv-scanning ved urnen: kortet scannes på vej ned i urnen og urnen kan så give et resultat, når valget lukkes - urnen kan genoptælles både manuelt og semi-maskinelt, som ovenfor

Ulemper:
- Det er lettere at komme til at miste små "spillekort" væk - hvad enten det er ved en fejl eller med vilje (allerede i dag kan folk jo glemme en hel "urne" i et hjørne) - en optælling af udleverede og optalte kort kan selvfølgelig hjælpe på at opdage det
- fusk med dobbelt-tællinger: hvis ikke kortene på en eller anden måde er unikke, vil en rapfingret tryllekunstner med flair for korttricks hurtigt kunne gøre det uoverskueligt om et kort nu var talt med eller ej - en måde at gøre dem unikke på kunne f.eks. være med en eller anden unik, men tilfældig key pr kort (enten prægenereret eller genereret i selve valghandlingen)

  • 1
  • 0
Thomas Hansen

Stemmesedler skal have en vis størrelse af hensyn til gamle og svagsynet.

Og en scan og sorteringsløsning skal selvfølgelig give et resultat
som kan afstemmes med et antal udleveret stemmesedler. En vis fejlprocent kan man nok ikke undgå her
(dem som kunne finde på at tage deres stemmeseddel med hjem osv)

Fordelen ved at benytte en scanneprocess, ville være at man også kunne have muligheden for at ligge stemmesedlerne ud til offentlig tælling for de "paranoid"

Ps. når jeg taler om en scan og sorteringsløsning, så mener jeg noget i stil med en postcentral, bare i en mindre udgave, og kun til de store valgkredse.

  • 0
  • 0
Poul-Henning Kamp Blogger

Ps. når jeg taler om en scan og sorteringsløsning, så mener jeg noget i stil med en postcentral, bare i en mindre udgave, og kun til de store valgkredse.

Men det er jo en temmelig dyr løsning, er det ikke ?

Hvorfor bruge en masse penge på et løse problemer der ikke er der ?

Hvis ikke den nye "digitale løsning" er væsentligt billigere end den nuværende, er der jo ingen grund til at gøre noget, er der ?

  • 0
  • 0
Thomas Hansen

I hver afkrydsningsfelt kunne man evt lave en form for QR-kode. Og ved scanning skulle software kun tage "stilling" til denne "fejl" i en QR-kode. Altså en QR-kode for hver kandidat/parti. Er der mere end en "fejl" i en stemmeseddel, så er den ugyldig og ville blive frasorteret.

  • 0
  • 0
Thomas Hansen

Man bliver også nød til politisk at se på tryghed vs teknologi. Hvis nogle ikke har tillid til et system, så kan det betyde at de ikke stemmer. Det må også anses som et demokratisk problem.

  • 0
  • 0
Flemming Frandsen

Den vigtigste egenskab ved et valg er at der er tillid til det og det kan man kun have hvis alle kan kontrollere at alt går rigtigt til.

Stemmeseddelen skal kunne aflæses og det skal være muligt at kontrollere at der ikke står noget andet end det man kan se, uden at stole på ekstra maskineri, det udelukker alle former for RFID, QR, stregkoder og andet der kun kan læses af maskiner.

Hvis man absolut vil blande maskiner ind i valghandlingen så kunne man gøre det ved:

  • Man får udleveret en stemme seddel, det er et lille stykke pap, det er lavet med varmefølsom overflade, på begge sider, lige som bon-strimler, men er ellers blankt.

  • I stemme urnen står en computer bootet på et FOSS OS, der kører software som har været til offentligt gennemsyn i tilstrækkeligt lang tid til at de tåbeligste fejl er rettet, computeren har en printer tilsluttet hvor man kan sætte sin stemmeseddel ind i toppen, så den kan printe ens stemme på pappet når man har truffet sit valg.

  • Stemmen er printet med menneske-læselig tekst, så vælgeren selv kan kontrollere at den er blevet lavet rigtigt.

  • Man tager nu sin stemme med ud og placerer den i stemme urnen uden for, den indeholder en læser som validerer stemmen inden den accepteres.

Fordelen ved at bruge computere er at man ikke behøver at trykke noget og man har resultatet meget hurtigt, men man skal bruge en masse penge på hardware som sikkert er forældet inden næste gang der er valg.

  • 0
  • 0
Peter Lind

Fordelen ved at bruge computere er at man ikke behøver at trykke noget og man har resultatet meget hurtigt, men man skal bruge en masse penge på hardware som sikkert er forældet inden næste gang der er valg.

Vi har indtil videre brugt blyant og papir. Nej, hardwaren vil ikke være forældet ved næste valg, for løser den opgaven i dag løser den den samme opgave om fire år. Hvis opgaven løses ordentligt, så vil det eneste spørgsmål ved næste valg være: er der i mellemtiden opstået grund til ikke at stole på hardware/software? Akkurat det samme spørgsmål bør vi af principielle grunde også stille til vores nuværende system - så der vil grundlæggende ikke være noget nyt under solen der.

  • 0
  • 0
Log ind eller Opret konto for at kommentere