Lars Bengtsson

Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Meningen var bare at udtrykke min mening om, at enhver teknisk løsning vil i en eller anden grad forringe gennemskueligheden.

Det giver i hvert fald også større mulighed for mytedannelse omkring svindel med afstemningen og dermed mindre tillid.

18. februar 2013 kl. 23:33
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Margrete håber / antager at det er muligt at lave en stemmemaskine der ikke gemmer hvad der er stemt på, selvom den skal udskrive det på en stemmeseddel, og heller ikke ved hvem der stemmer.

Hvad nu hvis det lykkes for bare en person at montere et skjult kamera i en stemmemaskine, det er ikke synligt for vælgeren eller de valgtilforordnede. Kameraet filmer hver gang der kommer en vælger og tidsstempler billedet, desuden er der tilføjet noget elektronik der opsnapper hvad der bliver stemt og gemmer det i en flash memory.

Det bliver måske opdaget inden data bliver udnyttet eller måske bliver det opdaget efter at data er udnyttet. Det er ikke det væsentlige. Det væsentlige er at når det kommer frem i offentligheden, så vil der fremover være sået tvivl om afstemningshemmeligheden ved afstemningsmaskiner.

Hvad gør det så? Hvis det kun er een maskine og der kun er et par vælgere der har fået lækket deres afstemning gør det så noget ved valghandlingen generelt? Joe, det vil kunne udnyttes til at presse andre til at stemme på noget bestemt. En gruppe af afpressere, lad os tilfældigvis tage som eksempel en motorcykelklub, vil kunne sprede det rygte at afstemningsmaskinerne på et bestemt afstemningssted er blevet opgraderet med kameraer, det passer selvfølgelig ikke, men det siger de. Og i denne motorcykelklub er medlemmerne meget store tilhængere af en af de politikere der stiller op i området. Vil nogle af de personer som hører dette rygte have en tendens til at stemme anderledes end hvis de ikke havde hørt rygtet?

18. februar 2013 kl. 23:05
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Så det virker omsonst at diskutere om det skal være SHA-512 eller Diffie-Helman 14 eller hvad ved jeg.

Du må undskylde hvis jeg har været med til at afspore debatten. Men jeg kom til at svare på at spørgsmål om internet valg. Ikke fordi jeg går ind for det på nuværende tidspunkt, men jeg synes alligevel at emnet er spændende.

18. februar 2013 kl. 22:57
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Men der er vel også lighedspunkter imellem sikkerheden i e-valg og sikkerheden i andre IT-systemer?

Lighedspunkter organisatorisk: Hvis en person med ond hensigt får fysisk adgang til systemet, så kan sikkerheden være brudt. Fx opsnapning af data under vejs. Installering af at program der ændrer data.

Lighedspunkter kvalitetsmæssigt: fejl i programmet, som fx kun viser sig i sjældne tilfælde, så de bliver ikke opdaget ved en overfladisk test.

Det specielle ved e-valg er at der ikke må være noget logningsspor som kan koble en borger til en stemme uanset hvad der sker.

Hvis en person med ond hensigt får adgang, og vedkommende er dygtig nok, så tvivler jeg på at det kan forhindres. Men ellers burde kvalitetssikring på NASA -niveau af koden kunne forhindre det. Det er så ikke sikkert at man vil ofre den pris, det koster.

18. februar 2013 kl. 22:13
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Dit let naive forslag illustrerer godt hvorfor der ikke skal laves computerregistreringer af valghandlinger. Der er altid nogen som er smartere og som kan finde en måde til at omgå evt. sikkerhedsforanstaltninger.

Hæ, så var det da heldigt at jeg tog en masse forbehold, og sagde at jeg ikke var ekspert :-) Men jeg ved ikke, måske kan det bare løses med en saltning på 2048-bit. Desuden kunne man sætte systemet til at slette identiteten efter et vist tidsrum, evt. allerede når valget er afsluttet. Så der kun er stemmerne tilbage.

Og i forhold til at der altid er nogen som kan omgå sikkerhedsforanstaltninger så må vi da håbe at det ikke gælder fx AES, eller kryptering med engangsnøgle (http://en.wikipedia.org/wiki/One-time_pad), den kan måske også omgås?

Næh, det er jo nok i højere grad et organisatorisk og kvalitetsmæssigt problem at sikre e-valg, ligesom andre IT-systemer.

Læg lige mærke til at jeg ikke engang er fortaler for eValg, men leger alligevel med de tekniske udfordringer i det. Hvilket kan komme til at se ud som om jeg er tilhænger, men det kan forhåbentlig også afdække kritik.

Men i og med jeg som regel er åben for fornuft, så vil jeg ikke afvise at jeg ændrer holdning.

18. februar 2013 kl. 21:47
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Antallet af mulige CPR numre er ret lavt, så man vil relativt hurtigt kunne generere samtlige hashes.

Jeg havde faktisk tænkt at de skulle saltes, men tænkte så at der ikke er to ens CPR-numre. Overså rainbow tabeller.

18. februar 2013 kl. 21:41
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Kan du også - i overordnede termer - forklare, hvordan programmet kan identificere mig OG modtage min stemme OG forhindre mig i at stemme igen UDEN at kunne knytte min stemme op på min person?

Nu er jeg ikke ekspert på området, hvilket jeg i mit tidligere svar har taget hensyn til ved at overlade det til eksperter at udføre programmeringen, og vha. open source modellen at gøre det muligt for eksperter i hele verden at finde fejl og uhensigtsmæssigheder i systemet.

Men jeg kan da godt komme med et bud på en løsning:

  1. Metode som ved passwords. En persons CPR nummer bliver kryptografisk hashet (fx SHA-512), og der checkes om hashværdien er i systemet (databasen), hvis ikke så bliver stemmen gemt i en række i databasen hvor nøglen er hashværdien.

  2. Hvis personen logger ind igen så udføres 1

  3. Man kan ikke via hashværdien komme tilbage til CPR nummeret.

  4. Det kan vel antages at der ikke er to personer med ens CPR-numre, det gør man vel med NemID. Ellers skal det håndteres som man har gjort med NemID.

18. februar 2013 kl. 21:16
eValg: Når næsetippen blokerer for udsynet

Torben Mogensen: Er det ikke lidt useriøst at gå efter manden ("han vil nok sælge isenkram") i stedet for at tænke over hans argumenter?

Sten: Det er altså ikke det som "at gå efter manden" betyder. Når man diskuterer og debaterer offentligt så er det normalt at forvente at der bliver brugt saglige argumenter. "At gå efter manden" (i stedet for bolden), betyder at man bruger usaglige argumenter om personen for at stille denne i et dårligt lys, fx han er Københavner, så ham kan man ikke stole på.

Det er ikke usagligt at påpege at en person vil få en økonomisk gevinst hvis den beslutning som han støtter bliver vedtaget, og derved antage at der måske er en sammenhæng imellem holdningen og det at der vil komme en belønning.

18. februar 2013 kl. 20:27
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Du er velkommen til at beskrive, hvordan du som stemmeafgiver kan føle dig sikker på, at efter du er logget ind, så kan din stemme ikke knyttes til din person. Vi lytter gerne.

Jeg gør forsøget uden at regne med at det vil være fejlfrit, faktisk selvom spørgsmålet ikke er stillet til mig.

Men her kommer det:

  1. Softwaren der kører på serveren skal være open source og dermed frit tilgængelig.

  2. Den skal være programmeret, analyseret og testet efter samme standarder som software til atomkraftværker, fly og rumraketter.

  3. Når afstemningsserveren startes op til et valg skal det overvåges og kontrolleres af flere af hinanden uafhængige organisationer, fx IT-politisk forening, teknikere der repræsenterer forskellige politiske partier og interesse organisationer. Kontrollen kan fx være sha256 sum af binære filer.

  4. Hardwaren skal ligeledes overvåges og kontrolleres af disse organisationer.

  5. Der skal imens valget foregår, overvåges for angreb og manipulering af systemet af kvalificerede folk, som så igen bliver overvåget af ovennævnte organisationer.

  6. Den enkelte vælger skal evt. afkræves at køre et sikkert styresystem, fx knoppix agtigt, altså booted fra en cd.

18. februar 2013 kl. 19:09
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Jo, man vil kunne identificere vælgeren korrekt på serveren vha. NemID eller noget bedre.

Men en svindler kan inficere browseren / klienten så den viser det som vælgeren stemmer på, men i virkeligheden stemmer på det som svindleren har valgt.

Desuden har svindleren registreret personen og dennes afstemning, så det er ikke et hemmeligt valg.

Men man kunne så stille krav fra serverens side om at man kører et sikkert styresystem hos vælgeren, fx en boot cd a la knoppix. Men det kan et inficeret OS formentlig omgå.

Edit: En ide kunne være at i stedet for et valgkort, så blev der sendt en knoppix agtig cd ud til vælgerne, som har en unik nøgle. Så hvis man kunne forlange at vælgerne bootede på den cd, så ville den hellige gral være velforvaret. Bortset fra transperens og om man kan stole på centralmagten og lidt stemmehemmelighed :).

18. februar 2013 kl. 17:28
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Hvis der kommer tvivl om valget, kan der være en backup procedure, hvor man møder op på et fysisk valgsted med sin token (unikke streng) og genafgiver sin stemme. Alle ved at dette vil være dyrt, og vi kommer alle til at betale, så det kommer nok kun i brug ved berettiget mistanke.

Man vil formentlig godt kunne sikre at ens egen stemme bliver registreret rigtigt. Med et såkaldt E2E system, http://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems.

Men hvad med alle de andres stemmer som er foretaget på computere der har trojanere, særligt udvalgt (af svindlere) til folk der ikke har evner eller interesse i at kontrollere ting.

18. februar 2013 kl. 16:50
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Der er dog en anden løsning på logningsproblemet. Nemlig at man går tilbage til at registrere vælgeren i en bog. Derved mister man så den effektivitetsgevindst der nu er ved hurtig registrering. Så vil der kun være mulighed for misbrug hvis den valgtilfordnede der registrerer manuelt laver en log, hvilket sandsynligvis kan opdages af andre valgtilforordnede. Med mindre vedkommende har fotografisk hukommelse :).

Edit: Ved nærmere eftertanke; det vil faktisk være et reelt problem på små valgsteder. Dels kan de valgtilforordnede se og huske hvilken stemmemaskine man bruger og huske eller notere tidspunktet. På den anden side det kunne så være et argument for at nedlægge små valgsteder, med de fordele og ulemper det giver.

Ved yderligere eftertanke, så vil der i det hele taget være en risiko for logning og identifikation ved stemmemaskinen. Fx et usynligt kamera der tager et billede af ansigtet.

18. februar 2013 kl. 16:31
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Teoretisk set kan der være nogle problematikker omkring logning, hvis man sammenkører logningsdata fra valglisten med logningsdata fra en af mange stemmemaskiner. Men det findes der både organisatoriske og tekniske løsninger på, og det vil vi naturligvis også stille krav til, at systemet er testet for.

Det vill selvfølgelig været rart hvis ministeren vill belyse denne problemstilling. Men indtil da, så kan jeg jo komme med min forståelse af den.

Computeren der scanner valgkortet, logger tidspunktet og personen. Computeren der stemmes på logger valget og tidspunktet. Ved at sammenligne de to typer af logs kan man med en vis sandsynlighed matche tidspunkter og dermed sammenkæde person og stemme. Det kan dog nok ikke ske hvis der sker samtidige afstemninger på valgstedet.

Jeg kan ikke lige se hvad den organisatoriske løsning skulle være, andet end at sige til folk at de skal vente med at stemme til der er en hel række der stemmer samtidigt. Den tekniske løsning er lige til: lad være med at logge tidspunktet. Men det kan vælgeren og de valgtilforordende ikke kontrollere.

18. februar 2013 kl. 15:39
Derfor gik e-valg galt i Holland

Så hvis der tilfældigvis kun er een stemme på lokationen, så vil det vel være svært at holde hemmeligt? Eller hvis alle på lokationen har stemt det samme. Men det er nok ikke noget praktisk problem.

18. februar 2013 kl. 15:15
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

@Henrik Eiriksson

Jeg tilgiver dig. ;-) Det kunne have været værre. Og jeg deler din frustration over den arrogance som man kan opfatte der er hos ministeren, men det er til en vis grad en kultur som er mere eller mindre berettiget hos centraladministrationen. De skal jo heller ikke lytte til alt det sludder der kommer fra borgerne, det er jo meningen at de skal være saglige og arbejde for det fælles bedste.

Jeg undskylder hvis det er lidt sniksnak, men jeg synes da det er positivt at Margrete deltager i debatten her, selvom man kan frygte at der ikke bliver taget hensyn til bla. de anbefalinger som DemTech har til lovforslaget.

18. februar 2013 kl. 14:56
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

"Problemet er åbenbart at... ..manden simpelthen ikke fatter ordet: "NEJ".</p>
<p>Er det så også problematisk?

Hvis der havde stået "kvinden" i stedet for "konen" så synes jeg ikke at det havde været semi-mandschauvinistisk. Så nej.

18. februar 2013 kl. 14:44
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

For mig at se er cost/benefit helt hen i skoven i dette.
Skattestigning eller velfærdsnedskæring for at kunne digitaliserer en blyant?
Det lugter langt væk det her.

Ja, enig, er vi blevet præsenteret for de tungtvejende incitamenter fra politikerne til at foreslå e-valg?

Hvis jeg skal spekulere, kan jeg forestille mig at det hænger sammen med at man gerne vil have at Danmark fremstår som en førende IT-nation. Hvis det lykkes for Danmark at udvikle et sikkert, smart, handicapvenligt, minoritetsvenligt og økonomisk effektivt e-valgssystem, så vil det give plus point for politikerne og Danmarks omdømme som værende teknologisk på forkant. Lidt ligesom brobyggerierne og metrosystemet vel nok er med til.

Hvis det ikke lykkes, ja, men så fortsætter vi bare med vores nuværende system. Og hvis der kun er spildt et par hundrede millioner er der ikke nogen der lægger mærke til det.

Men ok, hvis det går skævt på samme måde som IC4 og Rejsekortet, så vil det forøge mistilliden til offentlige (IT) projekter, og de evner beslutningstagerne har. Det er måske derfor Inderigsministeren ikke har nedsat et halvoffentligt selskab til at tage vare på e-valgs projektet. Det er der for dårlige erfaringer med, måske bortset fra Metroselskabet. Det kan være at hård styring fra ministeriets side vil kunne sikre en rimelig kvalitet i processen.

Og i forhold til hvorfor der ikke er tidsbegrænsning i lovforslaget, er det jo mere effektivt og billigere at der ikke skal laves et nyt lovforslag, hvis førsøgene giver pote. Der er jo tradition for at stole på Staten (regeringen) her i landet, vi har ikke haft store (kendte) problemer siden Tamil sagen, eller hvad?

Jeg har her forsøgt at leve mig ind i hvordan man ser på emnet hos ministeriet, jeg ved ikke om det er sandheden, men det er vel altid godt at prøve på at sætte sig ind i modpartens logik.

18. februar 2013 kl. 14:29
Margrethe Vestager svarer igen på e-valgskritik: Stemmemaskiner er 'digital blyant'

Problemet er åbenbart at...</p>
<p>..konen simpelthen ikke fatter ordet: "NEJ".

Jeg vil lige gøre opmærksom på at jeg synes at brugen af semi-mandschauvinistiske personlige betegnelser ikke gør debatten mere saglig, eller nyttig. I mine øjne klassificerer det de debatører der bruger sådanne greb som mindre seriøse. Det er klart at følelser spiller ind, men det ødelægger mere end det gavner for den fløj som I selv tilhører.

Det irriterer mig at man stadigvæk skal høre på stikpiller og nedladende bemærkninger til kvindekøndet i den offentlige debat.

18. februar 2013 kl. 14:02
IT folk har bare at levere varen!

@Esben

Han har udtalt sig i maj 2012 på en workshop, hvor bla. PHK deltog, der ligger videoer på youtube med dem. Stephan: http://www.youtube.com/watch?NR=1&v=ATQVqv2yQtc

16. februar 2013 kl. 00:06
eValg: Når næsetippen blokerer for udsynet

Det er et generelt ID-kort, som bruges til transport, webfora, bank og det offentlige.

http://en.wikipedia.org/wiki/Estonian_ID_card

Det indsættes i en kortlæser. http://estonia.eu/about-estonia/economy-a-it/e-voting.html

15. februar 2013 kl. 17:12