Jan Keller Catalan

@Christian Nobel

Kan du slet ikke se det problematiske i at der ændres i et brev der er sendt?

Jeg skal på ingen måde afvise, at e-boks - og denne CVR-til-navn-i-visning feature - åbner op for en hel del diskussioner, som der også er i denne tråd, men at der bliver ekstrapoleret fra "CVR nummer vises med virksomhedens/organisationens/myndighedens navn på læsningstidspunktet og ikke et snapshot af navnet på afsendelsestidspunktet" til "Kan de slå et statisk registreret CVR nummer op dynamisk på visning, kan enhver i e-boks sikkert også ændre data" - dét synes jeg er at blæse lige denne feature ud af proportion.

Brug kræfterne på at opponere mod manglende signering og det faktum, at vi kun har e-boks at stole på, når de siger, at kommunikationen er sikker. Ikke en frontend visning af afsender.

Blæser I ikke det hele lidt rigeligt op?

Det fremgår jo tydeligt af artiklen, at afsender/modtager gemmes med CVR-nummeret. Dette CVR-nummer bliver så VIST som navnet på den entitet, som CVR-nummeret peger på. Ingen data er blevet ændret i mailen. Kun renderingen af data afledt fra mailen.

Om DET så skulle være sådan, kan man (og det vil sikkert ske - især herinde) diskutere til hudløshed, men at skrige op om farer ved tvangsdigitalisering over sådan et mindre designvalg virker overdrevet.

Fokuser dog på de ting, som rent faktisk ER galt med systemet - som f.eks. Michael Thomsens oplevelse (selvom jeg mener, der er forskel på, om systemer "slet ikke virker" eller "kun virker med små filer")

Men det er alt sammen tekniske problemer, som der selvfølgelig findes tekniske løsninger på

Nu forventede jeg ikke, at deltagerne i debatten her kunne ryste en sikker løsning ud af ærmet - men pointen er, at vi i dag har en valghandling, som kan forklares på 7-8 billeder i en tegneserie, så det kan forstås og stoles på. Indtil videre har debatten på ingen måde givet mig grund til at tro på, at nogen vil kunne opstille et koncept, som kan forklares på 2 til 3 gange så mange billeder i en langt større tegneserie - og hvis det skulle lykkes, vil det alligevel ikke være umiddelbart forståeligt eller troværdigt.

Og selvom vi har fokuseret på organiseret snyd og malicious intent, så skal vi heller ikke overse, at vi i dag har en proces, hvor ubevidst snyd er stort set umuligt. En valgtilforordnet, som afkrydser det forkerte navn eller kommer til at udlevere to stemmesedler vil næppe gøre det i sådan en størrelsesorden, så det overhovedet kan måles - men en bug i programmet, som gør, at hvis CPUen overopheder, så tæller/printer/oplæser den forkert, det kan stadig ske. Selv med kompetente medarbejdere. Selv med open source. Selv med ekstensive code reviews.

Hvorfor skal vi ikke se på mekaniske eller mere afkoblede og nemmere verificerbare metoder fremfor at give valghandlingen hundreder af angrebsvektorer? Jeg forstår ikke behovet.

@Lars Bengtsson

Men her kommer det:</p>
<p>Softwaren der kører på serveren skal være open source og dermed frit tilgængelig.</p>
<p>Den skal være programmeret, analyseret og testet efter samme standarder som software til atomkraftværker, fly og rumraketter.</p>
<p>Når afstemningsserveren startes op til et valg skal det overvåges og kontrolleres af flere af hinanden uafhængige organisationer, fx IT-politisk forening, teknikere der repræsenterer forskellige politiske partier og interesse organisationer. Kontrollen kan fx være sha256 sum af binære filer.</p>
<p>Hardwaren skal ligeledes overvåges og kontrolleres af disse organisationer.</p>
<p>Der skal imens valget foregår, overvåges for angreb og manipulering af systemet af kvalificerede folk, som så igen bliver overvåget af ovennævnte organisationer.</p>
<p>Den enkelte vælger skal evt. afkræves at køre et sikkert styresystem, fx knoppix agtigt, altså booted fra en cd.

Men grundlæggende er din besvarelse af spørgsmålet: Fuldt åben kildekode, som gennemlæses af eksperter som skal læse og forstå HVER en kodelinje i systemet OG sikre sig, at det er PRÆCIS den kode, der kører på serveren OG at ALLE requests rammer serveren OG at der ikke sker noget undervejs, som ændrer, hvordan programmet kører. Så langt så godt.

Kan du også - i overordnede termer - forklare, hvordan programmet kan identificere mig OG modtage min stemme OG forhindre mig i at stemme igen UDEN at kunne knytte min stemme op på min person?

@Nikolaj Berntsen

Jeg forestillede mig at registrering er en autoritet, fx. valgregistrering.dk og at stemmeafgivelse er en anden autoritet stemmeafgivelse.dk. At der er to forskellige domæner gør det selvfølgelig ikke alene, man skal som borger føle sig informeret om at det er forskellige organisationer med vandtætte skodder imellem. Organisationerne skal i deres struktur være transparente og åbne, således at "revsere" kan gå til dem således at vi andre dovne kan føle os trygge ved at tingene er adskilt. Registrering kan (skal?) foregå på et device og valgafgivelse kan foregå på et andet, således at hvis man skal være i tvivl om man er anonym, så skal man rette sin tvivl mod organisationerne som idag.

"Vandtætte skodder" imellem organisationer og tillid til disse er ikke nødvendige i dagens valg, udover de valgtilforordnede, som har modstridende interesser og derfor nærmest pr. definition ikke kan tænkes at gå sammen om snyd, så jeg ser ikke dette som en tillidsvækkende udvikling af demokratiet.

Eller lad os vende den om, hvilke teknologier skal være til stede før I er parate til at lade valg-processen møde fremtiden? Kvantekryptering? Unikke Nøgler til alle borgere? ...

En afstemning indeholder tre dele med vidt forskellige behov:

• Registrering (valgbordet)
• Udfyldelse af stemme (stemmeboksen)
• Afgivelse af stemme (stemmeurnen)

Registreringen kræver stærk identifikation (ok, man kan diskutere, HVOR stærk den er i dag, men i det mindste er det ikke nemt at snyde i stor skala)

Udfyldelsen af stemme kræver hemmelighed

Afgivelse af stemme kræver anonymitet

En fjernafstemning kan løse den første del, men stemmeudfyldelsen og -afgivelsen er der simpelthen ikke nogen, der har kunnet give en god, overordnet beskrivelse af i generelle termer. Uden sådan en overordnet beskrivelse kan man - i min erfaring - ikke lave en specificeret beskrivelse og efterfølgende løsning, for så ved man ikke, hvad det er, man løser.

Du er velkommen til at beskrive, hvordan du som stemmeafgiver kan føle dig sikker på, at efter du er logget ind, så kan din stemme ikke knyttes til din person. Vi lytter gerne.

en simpel konstruktion af hvad idémændene er kommet på.

Regeringen er sprunget direkte til en mulig implementation i stedet for at gøre det vigtigste i ALLE projekter: Stille kravspecifikationen.

Hvis de nu stillede det op således: "Vi har tre hovedproblemer:

1. Handicappede og andre svage medborgere - i særdeleshed blinde - kan ikke afgive en stemme uden at have en hjælper med inde i stemmeboksen (primært problem: Tilgængelighed)

2. Optællingen af stemmer går for langsomt og kræver for mange optællere (primært problem: Økonomi)

3. For mange stemmer er ugyldige (primært problem: Forståelse)"

Så kunne man angribe hvert enkelt problem enkeltvis og se på forskellige løsninger på hver enkeltdel. Her kunne øget brug af elektronik være en af flere løsningsmodeller, men som jeg ofte siger til opgavestillere i mit arbejde: "Hvis ikke du kan beskrive, hvad der skal ske, kan computeren ikke gøre det for dig". Valghandlingen skal brydes op i mindre opgaver, som man så kan se på, hvorvidt en computer kan gøre bedre og mere effektivt end i dag. Det har regeringen ikke gjort i dette lovforslag, hvilket jeg anser som dovent og komplet uacceptabelt.

Ser vi på problemerne overordnet, kan vi se, at der er to hovedområder: Afgivelse og optælling. Umiddelbart bør vi kunne angribe dem separat, selvom der vil være følgeeffekter fra det ene til det andet.

Starter vi med de ugyldige stemmer, kunne man for eksempel gøre det klart og tydeligt, HVOR krydset skal sættes (og at det SKAL være et kryds). F.eks. i klart definerede afkrydsningsfelter, som er direkte under hinanden. Derved får vi en følgeeffekt over i optællingen, som nu kan gå ud på at scanne stemmesedlen og notere koordinaterne for krydset, hvilket efterfølgende kan bruges (i et andet program) til at tælle sammen (Ifølge en åben og overskuelig optælling af "Alle krydser sat i området x til x+10 og y til y+10 er denne kandidat/parti" osv.)

Det var optælling og nedbringelse af ugyldige stemmer. Så langt så godt.

Til det sidste problem skal vi tænke lidt anderledes, men et godt forslag kom på banen tidligere: En mekanisk løsning med en glasplade, man "føder" stemmesedlen ind under, hvor der er et hul lige stort nok til at sætte et kryds. En knap til at gå til næste/forrige kandidat/parti på listen, som styrer en arkføder af en art, som fysisk skubber papiret frem og tilbage. Kombinerer man dét med en OCR læser og et sæt hovedtelefoner, kan den blinde komme ind i stemmeboksen, hvor en valgtilforordnet sætter stemmesedlen korrekt i maskinen og trykker frem til en tilfældig kandidat (f.eks. Margrethe Vestager). Herefter spørger han/hun borgeren "Siger den 'Margrethe Vestager' i hovedtelefonen?" og ved positivt svar kan det konstateres, at maskinen fungerer korrekt. Herefter kan den valgtilforordnede trykke stemmesedlen tilbage til toppen og forlade stemmeboksen. Når borgeren har fundet frem til den ønskede kandidat, kan han/hun med fingrene finde frem til hullet i glaspladen og sætte sit kryds manuelt med en blyant.

Herefter kan borgeren tage hovedtelefonerne af og hive stemmesedlen ud af maskinen, folde den sammen og - evt. assisteret - putte den i stemmeurnen.

Da der således ikke er tydelig indikation af, at det er en "assisteret stemmeafgivelse" er der ikke forskel på denne stemme og andre ikke-assisterede stemmer, så det influerer ikke på optællingen af stemmer.

Derved behøves der kun at være én stemmeboks til assisteret stemmeafgivelse pr. valgsted (eventuelt kunne det have indflydelse på, hvor man skal stemme henne, om man har behov for denne assistance, hvorved antallet af assisterede stemmebokse kunne minimeres)

Det eneste point-of-failure, der indføres ved denne metode, er, hvis OCR læseren læser forkert - men enhver valgtilforordnet vil være i stand til at konstatere denne fejl under kalibreringen forud for hver assisteret stemmeafgivelse.

Hvordan vil e-valg kunne gøre dette bedre, billigere og sikrere samtidig med, at stemmehemmeligheden bevares?

Jeg noterer mig også, at der generelt skrives "Der vil blive fremsat krav" fremfor at stille kravene.

Hvem definerer "Høje krav til sikkerhed"? Hvem definerer "På en sikker måde"?

I det hele taget er det forfærdeligt, at man vil lovgive uden at have et fungerende system - endda uden at have et fungerende KONCEPT - som kan forståes af lægmand.

Ministeren har selv udtalt "Vi er ikke teknikere" som undskyldning eller bortforklaring for, hvorfor hun nægter at beskrive de kontroltiltag, som skal være. Hvis man skal være tekniker for at kunne forstå systemet godt nok til at være i stand til at pege på, hvor der skal kontrolleres, så er systemet/konceptet ikke godt nok!

Udtalelser fra ministerier, andre politikere og deres spinfolk handler også om ikke nærmere specificerede besparelser, hvor der slet ikke tages højde for, at it-systemer er DYRE af pommern til.

For pokker da, hvor bliver jeg ærgerlig over dette her...

3.3. Mulighed for vælgerens verificering af, at stemmen er
korrekt afgivet og registreret
Digital stemmeafgivning og/eller digital stemmeoptælling
kan give vælgeren mulighed for at få en fysisk manifestation
af den digitalt afmærkede stemme, eller for selv at indscanne sin håndudfyldte stemmeseddel. Det indebærer, at vælgeren får mulighed for at verificere, at stemmen er korrekt og
gyldigt afgivet og registreret i overensstemmelse med vælgerens intentioner. Dette udgør en forskel fra det nuværende
papirbaserede system, hvor vælgeren ikke kan verificere,
om vælgeren har afgivet en gyldig stemme.

Medmindre beviset altså ikke er noget, jeg kan gå hjem med.

Okok, I stand corrected :)

Rettelse: CSC håndterede ikke driften af websites i Berlingske indtil HCL overtog. Der var 3 internt ansatte til at stå for DNS, hosting i Colt, serveropsætning, overvågning o.lign. som blev afskediget i forbindelse med HCL's overtagelse (og udvidelse) af IT drift fra CSC.

In the world of enterprise software, Open Source applications have an appeal that many companies find hard to resist, but if heeded, can lead to similarly disastrous results: runaway development costs, unpredictable delays, frustratingly slow responses to urgent support issues, and exponential growth in downstream upgrade and enhancement costs."

Lad os lige se på de "disastrous results":

1. Runaway development costs... i modsætning til closed source development?
2. Unpredictable delays... hvorfor er det kun et problem for open source?
3. Frustratingly slow responses to urgent support issues... man får hvad man betaler for. Hvis man ikke betaler for support, så får man ingen.
4. Exponential growth in downstream upgrade and enhancement costs... I modsætning til opgraderinger af closed source? Jeg tror, nogle af de største projekter, jeg har set på mit arbejde, er opgraderinger af closed source produktions- og kundesystemer.

Det kan godt være, de har en kunde eller to, som ikke har haft gode erfaringer med Wordpress og/eller Drupal eller open source i det hele taget, men de argumenter og udtalelser, jeg ser i Sitecores udmelding, får lov til at stå som universelle sandheder.

Whitepaperet fra Sitecore er ikke et oplæg til debat - det er ensidig markedsføring af Sitecores produkter. Det er de i deres gode ret til at lave, men at kalde det et oplæg til dialog kan man vist kun, hvis man er marketingmedarbejder i Sitecore.

Systemet kan ikke forhindre, at hver enkelt stemme bliver afgivet frit og uden pres - men systematisk undergravning af systemet er ret utænkeligt i praksis. Jeg kan i hvert tilfælde ikke forestille mig, hvordan 1 person (eller en enkelt gruppe) kan tvinge nok folk til at stemme "rigtigt" til at gøre en forskel.

Med et digitalt system er det meget mindre transparent, hvordan det er sikret.

Jeg kan godt tage en mobiltelefon ind i boksen og tage et billede af min stemmeseddel og sende til en afpresser/stemmekøber.

Derefter kan jeg - såvidt jeg ved - rive sedlen over og gå ud i valglokalet igen og sige "Jeg kom til at ødelægge sedlen. Må jeg bytte den til en ny?"

"Der er ingen tvivl om, at det godt kan lade sig gøre rent teknologisk at foretage valget via internettet. Men det ligger ikke lige for, da der er en lang tradition for, at man skal møde personligt frem ved valghandlingen. Det er med til at sikre, at vores valg er anonymt og ikke påvirket af andre, hvilket jeg sagtens kan se det fornuftige i"

Det er ikke MED til at sikre, at vores valg er anonymt - det er DET der sikrer det anonyme valg. Og det er ikke bare fornuftigt, det er en total nødvendighed for troværdige valg.

"Ulempen kan, ifølge Lars Monrad-Gylling, være, at spændingen bliver taget ud af valget, og det vil mange nok være imod."

Er det ikke HELE argumentet FOR at indføre dette teknologiske og uigennemskuelige monster af en afstemningsmaskine?

Hvis argumentet for indførelsen er en ulempe... hvorfor så gøre det?

Hvad laver firmaet?

Direktøren mener også, at der er andre interesser, der er medvirkende til, at et digitalt fjernvalg endnu ikke har set dagens lys herhjemme.

I stedet for mikrofonholderi og gengivelse af én holdning, hvad så med - når du alligevel står foran manden - at spørge ham om, hvordan han har tænkt sig at løse opgaven med at sikre den hemmelige afstemning og modgå salg/afpresning af stemmer?

Anne Lykke, du kan finde rigeligt med skyts til et interessant interview på dit eget nyhedssite, version2.dk, hvis du benytter søgefunktionen oppe i højre hjørne af denne side.

Med dette elektroniske valg, kan man så få endnu en papirlap med stemmen på, hvis man kommer til at stemme på den forkerte og vil ændre sin stemme - imens man stadig er i stemmeboksen, naturligvis?

Ellers er vi vel dér, hvor man kan bevise sin stemme med et foto af papirlappen... Hvilket man ikke må kunne.

Husk på at de oprindelige påstande i artiklen, som der blev sagt "Nej" til heller ikke var dokumenterede.

Vurdér selv...

Hvad angår det første spørgsmål, så er det et faktum at fintællingen sjældent flytter mange stemmer

Ja, lad os komme videre.

Til dokumentationen for kategoriske afvisninger af argumenter? (siger ikke, at du ikke har ret, men "Nej." kan ikke bruges til noget alene, hvis ikke det kan bakkes op af relevant dokumentation)

Jeg synes, det er meget forhastet at nedsable Unity så hurtigt.

Jeg skal absolut lige vænne mig til ændringerne - ikke mindst, at min proceslinje nu er ikke-eksisterende/sammenflettet med panelet med programgenveje, og at panelet med programgenveje hverken kan flyttes eller omrokeres (umiddelbart har jeg ikke fundet nogen funktion til at ændre dette)

Derudover skal jeg lige se, om det bare er fordi der mangler understøttelse i programmerne, eller om det vitterligt ikke er meningen, at e.g. Skype og Pidgin kan være i et altid-synligt panel i toppen af siden.

Jeg skal også vænne mig til, at desktop-vælgeren nu er skjult i panelet og at jeg derfor ikke med et kig ned i højre hjørne kan se, hvilket desktop jeg er på.

Men alt i alt er jeg rystet over dem, der siger "Jeg kan ikke lide Unity - skrot Ubuntu, det er noget lort. Jeg vil aldrig bruge det mere." - som andre siger, det er simpelt at skifte til Ubuntu Classic og så er den vel ikke længere end dét? At springe en version over, eller skifte distribution, bare fordi man ikke gider ændre en standardindstilling virker som brok for brokkens skyld.

Og Jesper: Det tog omkring 25-30 minutter for mig i går (synes egentlig godt, de kunne skrive en lille smule om forventet tid INDEN jeg trykkede "Sæt i gang") og der har ingen problemer været efter genstart for mig - lyder som om du har været noget uheldig med din opdatering.