Godt, vi ikke kan stemme elektronisk!

Det er egentlig paradoksalt, at vi på tirsdag alle skal møde personligt frem og krydse af på et stykke papir. Hvor svært kan det være at gøre valget elektronisk? Nicolai Tejlgaard Hansen går endda så langt som til at foreslå, at vi skal stemme digitalt hjemmefra.

Sporene skræmmer dog, og jeg kan kun sige: Godt vi stadig stemmer manuelt på papir!

I juli 2003 blev kildekoden til amerikanske Diebold Election Systems lækket på Internet. En række sikkerhedseksperter bl.a. Avi Rubin, der er professor på Johns Hopkins universitetet, undersøgte koden. Deres analyse af kildekoden er skræmmende læsning.

Fx dette uhyggelige uddrag fra resumeet: 

Our analysis shows that this voting system is far below even the most minimal security standards applicable in other contexts. We identify several problems including unauthorized privilege escalation, incorrect use of cryptography, vulnerabilities to network threats, and poor software development processes. We show that voters, without any insider privileges, can cast unlimited votes without being detected by any mechanisms within the voting terminal software. Furthermore, we show that even the most serious of our outsider attacks could have been discovered and executed without access to the source code.

Rubin i øvrigt skrev senere en bog om oplevelsen.

Men det var tilbage i 2003, kan jeg høre nogen indvende.

I Californien har man hen over sommeren undersøgt de valgmaskiner, der i marts 2007 var godkendt til brug.

Resultaterne er igen skræmmende.

Fx bare overskrifterne i resumeet i analysen af Diebolds løsning:

Vulnerability to malicious software
Susceptibility to viruses
Failure to protect ballot secrecy
Vulnerability to malicious insiders

Men alle ved, at Diebolds løsninger sutter, hører jeg nogen sige.

Men så læs følgende om Sequoia Voting Systems løsning:

' lacks effective safeguards against corrupted or malicious data injected onto removable media, '
*? **the cryptography is easily circumvented.*
*' **access control and other computer security mechanisms ' are easily circumvented.*
The software suffers from numerous programming errors, many of which have a high potential to introduce or exacerbate security weaknesses.

Nicolai vil dog ikke have en amerikansk løsning. Han er ikke særlig specifik mht. sin løsning, men det kunne fx være med vores digitale signatur.  

Problemet er, at det vil være softwareløsning som ovenstående, der skal understøtte det hele.

De fleste, der har arbejdet med software, har formentlig oplevet at skulle implementere en løsning under tidspres. Forhåbentlig bliver løsningen god alligevel, men i mange tilfælde er kvaliteten mangelfuld.

Godt nok er bare ikke tilstrækkeligt til et elektronisk valgsystem. Det skal være bedre end godt nok, hvis vi skal garantere vores demokrati.

Og så har vi ikke engang talt om, hvordan vi kan stole på dem, som laver løsningen. Selv om en løsning vurderes som sikker mod angreb udefra, hvordan kan vi så sikre, at den ikke indeholder kode, der kan bestemme valgets udfald' Hvordan kan vi lægge demokratiet skæbne i hænderne på en virksomhed'

Open source hører jeg alle råbe.

Ja, det giver sig selv, at en evt. elektronisk valgløsning skal være open source.  

Men hvorfor skal vi overhovedet have elektroniske valg?

Hvad er det vi vil undgå?

Det er jo ikke særlig tit, vi skal til valg. Så det er næppe særlig mange penge. Vi har en forholdsvis sikker løsning. Selv om min identitet ikke tjekkes, når jeg stemmer, og det derfor er nemt at stemme for en anden, så er alvorligheden af et sådan angreb begrænset. En forfalsket stemme betyder ikke noget i det samlede resultat.

Det er selvfølgelig irriterende, at vi skal møde personligt op, og det er paradoksalt, at vi disse tider krydser af på et stykke papir.

Men det er enkelt og sikkert. 

Hvad gjorde de i øvrigt i Californien med de fejlbehæftede løsninger? Ja, desværre recertificerede indenrigsministeren løsningerne på betingelse af, at leverandøren løste de fundne problemer.

Men hvordan er det nu det er med sikkerhed og software' Er et stykke software sikkert, bare fordi man har rettet kendte fejl'

Det er godt, at vi skal stemme på den gammeldags metode i Danmark!

Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Mogensen

Jeg ville ønske at man midt i alt den her snak om digitale valg kunne få det helt essentielle problem på bordet istedet.

Det har ikke så meget med "sikkerhed" forstået på den måde du påpeger at gøre. Problemet er ikke "fejl" i software, eller open vs closed source. Problemet er at man ganske enkelt ikke har nogen teorietisk protokol til at afvikle digitale valg, der kan genskabe de sikkerhedsegenskaber vi normalt kræver af et valg for at det skal være demokratisk.

Det er trist igen og igen at høre politikere tro de er progressive ved at slå på at nu skal vi snart have digitale valg og nu skal den digitale signatur til at fungere, så det kan realiseres. Det er fuldstændig ligegyldigt, for teknologien findes simpelthen ikke til at opfylde deres ønsker og det er tvivlsomt om den nogensinde komme rtil det. Vi kan ikke afvikle et digitalt valg, der sikrer korrekthed, anonymitet, verificerbarhed, gennemskuelighed og især at man ikke kan sælge sin stemme, eller presses til at stemme.

Et fromt, men naivt, ønske er at næste gang emnet kommer op, så er det ledessaget af et konkret forslag til hvordan den sikkerhed vi har i dag ved "manuelle" valg kan bevareres digitalt - ikke mindst på ovenstående områder.

  • 0
  • 0
#3 Jesper Laisen

samme problemstillinger i forbindelse med papir valg.

Mange af problemstillingerne er ganske vist ens, men konsekvensen af problemerne er noget mindre ved papirvalg, idet det er begrænset hvor mange gange man kan stemme for andre, hvor mange valgsedler man kan forfalske, så det ikke kan ses (fx samme kryds med samme kuglepen).

Den væsentligste forskel er for mig automatisk vs. manuelt snyd.

  • 0
  • 0
#6 Michael Kastoft Nielsen

@Peter Mogensen

nu hedder jeg godt nok ikke flemming, men hvad forhindrer dig i at sælge din stemme på den måde valget foregår idag?

Typisk syntes jeg umiddelbart, at de problemer der er, ved den elektroniske stemmemetode findes tilsvarende i den nuværende form. hvilket får mig til, at tænke på om det ikke er fordi,der forventes at når man får en teknisk løsning, at den skal være mere sikker end den nuværende.

  • 0
  • 0
#7 Anonym

@ Michael

Du kan godt sælge din stemme. men køber kan ikke verificere at han får hvad han har betalt for. Dvs. du kan sige en ting til ham og gøre præcis hvad du vil i stemmeboksen og dermed uden risiko stemme efter din overbevisning. Det beskytter mod langt de fleste former for tvang.

  • 0
  • 0
#8 Flemming Sørensen

@Peter Mogensen Det er der ingen grund til, for det har Michael lige gjort...

@Stephan Engberg Hvis jeg ville købe din (papir) stemme, så ville jeg ikke betale dig for selv at sætte krydset. Jeg ville sætte det for dig, ligesom EB journalisterne gjorde ved sidste valg, da de beviste at papir valget var lige så usikkert som det digitale valg.

  • 0
  • 0
#9 Peter Mogensen

@Michael

Se Stephans indlæg

@Flemming

Se Stephans indelæg. Hvis vi tænker på den samme sag, så er du vel forhåbentlig godt klar over at det er et andet problem du snakker om. - Et problem som også eksisterer i digitale valg.

  • 0
  • 0
#10 Flemming Sørensen

Jeg kan ikke se hvordan det er "et andet problem". Det viser meget tydeligt at det er muligt for andre at stemme for dig, og der er faktisk det eneste der skal til for at du kan sælge din stemme, ved et papir valg.

  • 0
  • 0
#11 Peter Mogensen

@Flemming.

At andre laver identitetstyveri og stemmer på dine vegne er ikke det samme som stemmesalg. Stemmesalg er en handel mellem to parter, hvor begge kan dokumentere at de har "leveret varen". Der er ikke to parter i identitetstyveri. Hvad journalisterne lavede var ganske vist en handel om at bytte identitet, men det var kun fordi at de var på samme side at de faktisk kunne gennemføre handlen. Derfor var det eneste de dokumenterede at identitetstyveri var muligt. - hvordan udelukker du identitetstyveri med en digital afstemning?

  • 0
  • 0
#12 Anonym

@ Peter

Fair skal være fair - metoden kan virke og det er en potentiel svaghed. Er det frivilligt er det stemmesalg. Er det ufrivilligt er det stemmetvang.

Men frivillig stemmesalg er reelt ikke ulovligt - det er jo det som overbudspolitik går ud på; og netop derfor burde det måske være ulovligt ;-)

@ Flemming

Det er lidt svært at se hvad din pointe er ?

For det første løber vedkommende - som skal udgive sig for at være dig - en betragtelig risiko for at blive taget. Ikke mindst fordi du stemmer på et lokalt valgsted sammen med hele dit lokale community.

For det andet er det vanskeligt at skalere eftersom det ville kræve et betydeligt antal involverede.

For det tredje ville en sådan svindel være vanskelig at hemmeligholde, udover de direkte involverede skulle holde kæft - også alle almindelige vælgere, som VED de mister deres stemme.

For det fjerde er det intet galt i at lave en stærkere authentikering i valglokalet når man får udleveret stemmessedlen, dvs. selv hvis det blev opdaget er der ingen grund til at ændre på selve mekanismen.

FOr det femte er det endnu et godt argument, hvorfor brevstemmer kræver reel undskyldning og ikke bare kan være et spørgsmål om bekvemmelighed.

For det sjette er det ikke et argument for digitalisering, hvor samme problemstilling ville være meget nememre.

Jeg kender et par metoder som ville være bedre end den beskrevne. En involverer at den første i en svindelrække IKKE afleverer sin stemmesteddel, men tager den med ud af valglokalet, hvor den udfyldes af svinelbagmændende. Den udfyldte stemmeseddel gives til den næste i rækken som så akal komme ud med en tom stemmeseddel. Det er en af årsagerne til at der er valgtilforordnede - hvis bare en i rækken viser en valgtilforordnet at han har 2 stemmesedler kan svindlen afsløres uden det nødvendigvis kan vides hvem som har afsløret svindlen.

Valg er ikke garanteret fejlfri - men det bør som minimum være uforudsigeligt for svindleren om man slipper afsted med valgsvindel og ekstremt vanskeligt at skalere.

  • 0
  • 0
#13 Peter Mogensen

@Stephan

Jeg sagde ikke at metoden ikke virkede og at der ikke var en svaghed. Jeg sagde at det ikke var en svaghed i forhold til stemmesalg. Det var en metode i forhold til identitetstyveri. (forudsat at vi snakkede om det samme tilfælde).

At to journalister f.eks. bytter sygesikringskort og stemmer for hinanden siger jo intet om hvorvidt stemmesalg er muligt i vores nuværende system. Det giver stadig ikke en evt. køber mulighed for at verificerer om jeg har stemt som vedkommende ønskede.

  • 0
  • 0
#15 Peter Mogensen

Hvad er det du ikke forstår?

Hvordan er dit scenarie bedre i et digitalt valg? Hvis jeg giver dig min digitale identitet, hvordan vil du så nogensinde afsløre det? ... I et manuelt valg har vi trods alt muligheden på verifikation af identiteten på stedet, hvis man oplever noget mistænkeligt.

  • 0
  • 0
#16 Flemming Sørensen

Hvad det er Jég ikke forstår? Jeg har forstået det, vil jeg da mene, men hvad med dig?

Det er ikke bedre i et digitalt valg, det er det samme. Og da det er det samme, så kan du ikke bruge det som argument mod et digitalt valg (da de jo så også er et argument mod papir valg). Så hvad med istedet at finde nogle af de nye problemer der opstår? Et eksempel kunne være at der sidder mindst én person et eller andet sted med root adgang til serveren(e)...

  • 0
  • 0
#17 Peter Mogensen

Hvad med mig? Ditto her.

Jeg ville da mene at jeg lige netop havde eksemplificeret hvorfor det IKKE er "det samme". Men det ignorerede du vist.

Det er sådanset ret enkelt. Hvis jeg vil benytte andres stemme har jeg 3 muligheder: 1) Betale dem for at stemme på en bestemt måde. 2) Købe deres identitet. 3) Stjæle deres identitet.

1) Kan du ikke beskytte imod i et digitalt valg. Derimod kan det ikke lade sig gøre i vores nuværende system. 2) Kan opdages i vores nuværende system, men er meget svært at påvise i et digitalt valg. 3) Kan opdages i begge systemer, men er betydeligt mere vanskeligt at udnytte i det nuværende system.

Du ignorerer tilsyneladende helt 1) og nedtoner åbenbart den risiko man i dag løber ved at forsøge at udnytte 2) og 3). Det er altså IKKE det samme.

Det dine journalister påviste var at man kunne være heldig at lave 2 uden at blive opdaget. De gjorde det endda ved at bytte identitet, så der ikke engang ville være noget spor efter det, hvis de slap afsted med det - noget man må forvente ikke ville gælde for rigtige svindlere.

  • 0
  • 0
#18 Flemming Sørensen

1) Jeg vil give dig ret i at det kan lade sig gøre ved digitale valg. Jeg kan dog ikke se at det skulle være mere effektivt end #2.

2) Hvor ofte har du oplevet at nogen er blevet bedt om at påvise deres identitet?

3) For at gøre det ved et papirvalg behøver du bare bryde ind i folks postkasser (én tilfældig nøgle skulle være nok til hovedparten af postkasserne i landet), og snuppe deres valgkort. Ved en digital afstemning skal du have fat i folks private nøgler, og det burde da ikke være helt så let. Selv min mors computer er nok mere sikker end hovedparten af postkasserne...

  • 0
  • 0
#19 Anonym

@ Flemming.

Som jeg skrev - og du igorerede - så er det relativt enkelt at forhindre ved papirvalg proportionalt til misbrugsindikationer.

"For det fjerde er det intet galt i at lave en stærkere authentikering i valglokalet når man får udleveret stemmessedlen, dvs. selv hvis det blev opdaget er der ingen grund til at ændre på selve mekanismen."

Men det er umuligt at forhindre ved online valg.

Du misbruger et teoretisk problem som ville blive modgået hvis det blev reelt - uden at argumentere for at online valget overhovedet KAN LADE SIG GØRE

  • 0
  • 0
#20 Peter Mogensen

1) Det er muligvis ikke mere effektivt, men det er mindre risikabelt.

2) Det er heldigvis ikke et indbygget problem i den valghandling vi bruger nu.

3) Din mors computer er tilsyneladende et særtilfælde. Skulle nogen bryde ind i min postkasse vil jeg nok bemærke det og henledes politiets opmærksomhed på det (når det nu er valg). Skulle det vise sig at mit valgkort er forsvunden vil jeg da forvente at der vil blive taget højde for det, når nogen prøver at stemme i mit navn og der bliver kigget lidt mere kritisk på deres identitetspapirer. Ville din mor opdage, hvis nogen brød ind i hendes computer? Ville man opdage, hvis de bagefter stemte i hendes navn? Ville hun kunne bevise at det ikke var hende, der stemte?

  • 0
  • 0
#21 Deleted User

Jeg er af typen der ikke tror på programmører - mere. En gang, betragtede jeg dataloger, og programmører, som nogle af de mest pålidelige og troværdige mennesker, der aldrig kunne drømme om, at bevidst lave noget forkert. Men sådan er det ikke i dag - min verdensopfattelse er nærmest omvendt. Og jeg har ikke mere troen på, at vi kan forvente programmørerne laver software som korrekt adderer stemmer. Specielt et område som stemmer, vil sandsynligvis være svært at få programmører til at addere korrekt. Der vil blive lagt en politisk korrekthedsfaktor ind i programmet, som ingen rigtig ved hvad gør.

Derfor tror jeg kun på et valg, hvor vi udover computere til sammenlægning, også sammenlægger stemmerne i hånden. Krydserne skal med andre ord, ikke kun forefindes elektronisk, men også på papir. Hvis vi stemmer via computer, eller elektroniske valgmaskiner, har jeg ingen tiltro til, at dem der forbinder kablerne sætter A til A og B til B. De kan være krydset.

Elektronisk valg, er derfor udelukket. Det har intet med protkoller at gøre.

Hvis vi indfører livstidsstraf, for fejl i programmet der bruges i forbindelse med valg, samt et godt gennemcheck af sammenlægningen (sætter flere uafhængigt fremstillede maskiner parallelt), og offentliggør samtlige stemmer i anonymiseret form, med mulighed for at den enkelte kan chekke deres egen stemme, så vil jeg ikke udelukke at evt. fejl kan opdages, og de pågældende programmører hænges.

Men, da vi jo ikke ønsker et så sådant system, har vi næppe chance for, at vi får noget der virker, med mindre vi får udviklet det i kina eller rusland, hvor der stadigt er dødsstraf for intellektuelle brølere. Vi kan ikke - udfra etiske overvejelser - acceptere deres måde at klare problemet.

Vi bliver simpelthen nød til, at vedblive at gøre valg manuelt, og på papir, da det er eneste system, som er kompatibelt med vores etik.

  • 0
  • 0
#23 Christian Schmidt Blogger

Hvis programmører vitterligt er mindre hæderlige end andre mennesker, må vi da håbe, at der ikke er for mange programmører blandt de valgtilforordnede, der bærer rundt på stemmeurnerne og tæller stemmerne sammen i morgen aften.

  • 0
  • 0
#24 Flemming Sørensen

Det undre mig hvorfor jeg ikke har tænkt på det noget før, men... Det er blevet hævdet at stemmesalg ikke kan lade sig gøre, sådan som afstemningen foregår idag, fordi køberen ikke kan være sikker på at den får hvad den betaler for. Et lille digitalkamera (eller mobiltelefon) i lommen, og så kan du tage et billede når du har sat dit kryds, og dermed kan du dokumentere at du har stemt i henhold til indgået aftale. Så simpelt er det!

Har i flere ubrugelige argumenter, eller kan vi begynde at fokusere på nogle af de nye problemer der opstår ved digitale valg?

  • 0
  • 0
#25 Peter Mogensen

Nu har jeg jo tilfældigvis lige været oppe at stemme og har bemærket at det er forbudt at tage mobil-telefon og kamera med ind. Bevar's man kan jo ret nemt snyde, men igen er der en risiko som er ikke helt ubetydelig og det er stadig ikke et indbygget problem ved det nuværende system. Det kan nemt gøres mere besværlig at tage billeder i boksen.

Derudover er der jo ingen garanti for at du faktisk putter den seddel du tager billeder af i stemmeurnen - eller sætter flere krydser på den bagefter, så den bliver ugyldig. Eller benytter billeder af samme seddel til at sælge den samme stemme flere gange. Eller - selvom du skulle finde på at tage billede af dig selv sammen med sedlen - ikke siger du har fortrudt og bagefter gå ud og får sedlen byttet til en ny, som du så kan stemme rigtigt med (hvilket tydeligt fremgår af vejledningen i boksen er muligt).

Jeg vil da hjertens gerne fokusere på de problemer du mener er "nye" ved digitale valg. De gør jo heller ikke dit argument for digitale valg bedre, men jeg vil mene det er lidt for tidligt for dig, at blive kålhøgen ang. de problemer vi påpeger.

  • 0
  • 0
#26 Flemming Sørensen

Jeg vil godt lige gribe fat i den her:

"De gør jo heller ikke dit argument for digitale valg bedre"

Hvor har jeg argumenteret for digitale valg? Jeg har argumenteret for at jeres argumenter er forkerte, fordi det samme er tilfældet ved papir valg, men der er ikke, og har aldrig været, det samme som at jeg argumentere for digitale valg.

Jeg havde da mobiltelefon med ind, og jeg så folk der snakkede i telefon, uden at der var nogen der skred ind.

  • 0
  • 0
#27 Peter Mogensen

Tjae... så har jeg misforstået motivet bag din benægtelse af de problemer vi påpeger.

Du bemærkede godt at jeg pointerede at man nemt kunne ændre det nuværende system til at håndhæve mobil-forbudet bedre? ... og så har jeg endda slet ikke snakket om hvad du kan lave med PhotoShop på det billede du tager bagefter.

  • 0
  • 0
#28 Flemming Sørensen

Hvad du kan ændre med PhotoShop bagefter, ved et papir valg, kan du også ændre ved et digitalt valg. Det vil stadig være ekstremt ineffektivt at have mennesker til at stå bagved, når der stemmes. Bliver mobilforbudet faktisk håndhævet? Nej! Hvordan kan så vide at der ikke er blevet solgt stemmer ved dette og de to-tre seneste valg?

  • 0
  • 0
#29 Peter Mogensen

Det kommer da sandelig an på hvilke krav køberen sætter til dokumentation.

Vi kan ikke vide om der er blevet solgt stemmer ved tidligere valg. Det er heller ikke pointen. Pointen er - som du oprindelig efterspurgte - hvilke nye udfordringer det at man gør valget digitalt giver.

  • 0
  • 0
#30 Anonym

@ Flemming

Magtens legitimitet er det primære formål med valghandlingen, Hvis du mener at valgets demokratiske legitimitet er ligegyldig, skal du ikke digitalisere det, men afskaffe det repræsentative demokrati og erstatte det med noget andet.

Hvis du mener at legitimitet er vigtig, så kan du ikke lege og fjolle med principperne, som du gør her.

Hvis du kan komme op med en model for online valg uden for stemmeboksen, så velkommen. Jeg TROR ikke at MAN kan - jeg VED at JEG ikke kan før der kommer ny viden fordi jeg faktisk har forsøgt med al den kendte viden, jeg kunne finde.

Medmindre du bliver en del mere seriøs i dine argumenter, så vil jeg stå af her.

  • 0
  • 0
#32 Peter Mogensen

Det er skam seriøst nok at påpege det - hvis man kan bakke det op med argumenter. Det mener jeg bare ikke at du har. Du har derimod ignoreret hovedparten af de argumenter der er blevet fremført for hvorfor der er nogle indbyggede problemer i digitale valg, som ikke er indbygget i "manuelle" valg.

  • 0
  • 0
#33 Lean Fuglsang

Hvis man kan stemme lige så mange gange man vil, men det kun er den første stemme der tæller, ved en køber ikke om sælger allerede har stemt.

Dvs at køber skal overvåge personens postkasse og hvad sælger foretager sig i forbindelse med afhentning af stemmesedlen, for at kunne være sikker på at man får noget for pengene.

  • 0
  • 0
#34 Anonym

Lean,

Interessant vinkel at vende forsøget i Estland på hovedet.

Problemet er selvfølgelig at man så bare kan sørge for at være tilstede og være med til at gennemføre den første stemme ved at kontrollere modtagelsen af voting tokens.

I Estland kan du fortryde og sende en ny stemme ind, dvs. dokumentationen af en stemme er ligegyldig hvis du kan opdatere. Men til gengæld skal man bare sørge for at være den sidste. Til gengæld er anonymiseringen og mindretalsbeskyttelsen fuldstændigt håbløs.

  • 0
  • 0
Log ind eller Opret konto for at kommentere