Kommentar fra Petter Reinholdtsen

From: Petter Reinholdtsen <pere at hungry.com>
Subject: Elektroniske valg må ikke godtas i Norge
To: aktive at nuug.no
Date: Tue, 21 Feb 2006 23:08:26 +0100

Jeg ser med bekymring at flere og flere ønsker elektroniske valg i Norge. Dette er en dårlig ide. Det er to varianter av elektroniske valg, og kun en av disse er en åpenbar dårlig ide.

Hemmelige valg, slik de vi gjennomfører i Norge for å velge storting og kommunestyrer, forutsetter at en gjennomfører stemmegiving og opptelling på en måte som gjør at ingen kan finne ut hva hver enkelt

har stemt, og at kun avgitte stemmer blir talt med i resultatet.

Hemmelig valg gjør at en _ikke_ kan tillate at noen kan tvinge andre til å stemme på en bestemt måte/kandidat, og for å oppnå det må stemmegivingen foregå i en kontrollert omgivelse. Hjemme hos hver enkelt er ikke en kontrollert omgivelse, og en slik praksis vil dermed åpne både for kjøp og salg av stemmer, og for maktbruk for å få folk til å stemme i en bestemt retning.

Korrekt opptelling kan kun oppnås hvis alle steg i opptellingsprosessen kan kontrolleres og verifiseres. Dvs. at det ikke må være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk lagring av avgitte stemmer gjør det svært enkelt å endre på avgitte stemmer uten at det er mulig å oppdage det i ettertid. Mange krever derfor at all elektronisk opptelling baserer seg på et papirspor som gjør at de individuelle stemmene kan kontrolleres hvis det blir tvil om resultatet.

Det er fullt mulig å gjennomføre elektronisk opptelling og avgi stemmer til en datamaskin hvis det gjøres korrekt. Jeg er blitt fortalt (tror det var beskrevet i en Slashdot-kommentar) at i Venesuela fungerer avstemmingsmaskinene slik at de som stemmer markerer det de stemmer på på en skjerm, godtar valgene og valgene skrives på en papirrull som den som stemmer så kan sjekke for å kontrollere at de valgene som ble gjort kom med på papirrullen. Deretter sendes voteringstallene fra hver maskin elektronisk til tre uavhengige opptellingsgrupper (hvorav en av dem er Carter-senteret), som teller opp stemmene og må være enige for å godkjenne resultatet. Hvis det er avvik så kan en gå helt ned på papirrull-nivå for å sjekke resultet. Jeg har dog lest påstander om at oppbevaringen av papirrullene har vært overlatt til det sittende regimet, slik at kontrollfunksjonen har blitt fjernet. Det er dog ikke så veldig vanskelig å organisere det slik at forfalskning av slike ruller blir mye vanskeligere. Jeg er også blitt fortalt at India har stemmemaskiner og elektronisk opptelling som fungerer fint.

Men som en ser av <URL:http://www.blackboxvoting.org/> og <URL:http://www.verifiedvoting.org/> har USA feilet stygt når det gjelder sitt elektroniske voteringssystem, og vi bør unngå å gjøre samme feil her i Norge.

Jeg tror alle gode krefter må samles for å hindre at de som tror at hjemme-stemming er en god ide får sette dagsorden når elektronisk stemmegiving nå blir foreslått nok en gang i Norge. Jeg er blitt fortalt at DnD har deltatt i en gruppe som har jobbet med dette. Har ikke sett resultatet. Jeg så dog at Universitetet i Oslos internavis hadde et leserinnlegg som foreslo hjemmestemming til kommende valg til universitetsstyret. Dette tror jeg bare er starten, og motinformasjon må ut.

Tror dette får holde for denne gang. Er det bare jeg som er bekymret? Hva kan vi gjøre for å sikre at vi ikke åpner for valgfusk og valgsvindel her i Norge?

From: Petter Reinholdtsen <pere at hungry.com>

Subject: Re: Elektroniske valg må ikke godtas i Norge

To: aktive at nuug.no

Date: Tue, 07 Mar 2006 13:07:06 +0100

[Petter Reinholdtsen] > Det er fullt mulig å gjennomføre elektronisk opptelling og avgi > stemmer til en datamaskin hvis det gjøres korrekt.

Apropos elektroniske valg, så fant jeg via Slashdot <URL:http://trends.newsforge.com/article.pl?sid=06/02/28/1648218&tid=136&tid=132> med henvisning til <URL:http://www.openvotingconsortium.org/> samt landene Australia, Canada og Estland der fri programvare blir brukt til stemmegiving. Estlands løsning er visst stemmegiving over Internet, en usedvanlig dårlig ide. Jeg fant det australske systemet på <URL:http://www.elections.act.gov.au/Elecvote.html>. Jeg fant lite info om det canadiske systemet ved første Google-søk.

Kildekoden til det australske systemet er skrevet i C og tilgjengelig fra URLen over. Det mangler visst papir-kopi av stemmene, slik at det er et teoretisk hull i etterprøvbarheten.

Synes dog det var interessant å se konkrete alternativer. -- Petter Reinholdtsen

Kommentar fra Tore Audun Høie

From: Tore Audun Høie <Fringilla at c2i.net>
To: Petter Reinholdtsen <pere at hungry.com>
Cc: styret at nuug.no
Subject: Re: Høring på Elektronisk stemmegiving
Date: Fri, 11 Aug 2006 09:24:41 +0200

Hei igjen,

Mine viktigste kommentarer til rapporten er (du er velkommen til å videresende til andre):

1. Den heter rapport og ikke høringsnotat. Det bør endres for fremtidige offentlige utredninger.

2. Den kan ikke oversendes elektronisk. Det gir inntrykk av at den er endelig, og ikke et reelt høringsnotat.

3. Rapporten har ingen stikkordliste og er ikke særlig strukturert. Den er følgelig tung å lese. Dette bør også forbedres i fremtiden.

4. Rapporten har ikke med muligheten for å påvirke valgresultatet via trojansk type kode. Siebel blir beskyldt for dette i USA. Jeg vil advare mot bruk av innkjøpt programvare, særlig hvis den er utviklet utenfor Norge og ikke er åpen.

5. Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut sikkerhetsmekanismene ved å lese kode. Jeg tror ikke sikkerhetsmekanismene blir lagt inn i applikasjonkoden, kan utviklere hjelpe meg her? Min anbefaling er åpen kode, og dette er hva jeg synes er den viktiste tilbakemeldingen. Vellykket valg med åpen kode er gjennomført i Australia og ikke referert i rapporten. Det indiske valget brukte også åpen kode.

6. Driften av totalsystemet blir ofret liten oppmerksomhet. I drift ligger mange sikkerhetsutfordringer.

7. Definisjonen av brannmur er feil, for eksempel sies at "brannmuren er selv immun mot inntregning". Umulig! I tillegg antar man at all trafikk går gjennom brannmuren. I store applikasjoner, som dette nok er, kreves et system av brannmurer og andre tiltak som vi kaller sikkerhetsarkitektur (ikke nevnt). Selv med en gjennomarbeidet sikkerhetsarkitektur kan det være at man overser muligheter for å unngå brannmurene. Forøvrig er en gammel anbefaling at brannmur ikke bør nevnes i entall, logikk taler for at regelen gjelder fremdeles. Brannmuren er bygd basert på visse antagelser og standarder. En annen brannmur kan bygge på et annet sett antagelser, og stoppe trafikk som den første ikke tar høyde for.

8. Muligheten for sikkerhetsovervåkning kan jeg ikke se er nevnt. Dette er vanskelig og dyrt, men bør vurderes. Sikkerhetsovervåkning kan inngå som ledd i sikkerhetsarkitekturen.

9. Moderne nasjonalisme gjør at USA ikke vil kjøpe Lennovo-maskiner, som tidligere ble laget av IBM, på grunn av sikkerhetshensyn. Norge kan ikke være like paranoide, men vi bør satse på at applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning kjører norsk. I tilfelle vi ikke kan bruke norske verktøy, bør vi kjøpe fra land vi kan stole på. USA er betenkelig i denne forbindelse (Echelon, Palladium etc.).

Dårlige kunnskaper om brannmur antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør forbedres. For eksempel er driften ansvarlig for operativ sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil konfigurert eller ikke oppdatert?

Jeg har litt tid til å diskutere i neste uke, men reiser til USA i to uker etterpå, og er da så godt som ute av bildet. Å editere inn saker i Wiki er svært fristende, men jeg får for liten tid. Kanskje for neste høring?

Dere er velkomne til å legge inn mine kommentarer i en eventuelt større rapport.

Beste hilsner Tore

uttalelser/2006-elektronisk-stemmegiving/kommentarer (last edited 2015-11-29 21:27:02 by localhost)