Innlegg av Gjøsteen om verifiserbarhet i e-valgsystemet

Posted in Forsiden

En vanlig innvending mot elektronisk stemmegivning, er at velgeren selv ikke kan kontrollere at stemmen blir talt. E-valgprosjektet har tatt denne innvendingen på alvor. Systemet som vil benyttes til valget i høst vil derfor være blant verdens første verifiserbare systemer. At et system er verifiserbart betyr at det kan bevises matematisk at det virker riktig, og at disse bevisene kan kontrolleres av en uavhengig tredjepart. Det er da ikke mulig å jukse til resultater, og det er mulig å oppdage dersom systemet teller feil.

Kommunal- og regionaldepartementet har leid inn den erfarne valgrådgiveren Kåre Vollan som uavhengig tredjepart til å gjennomføre verifikasjonen. Vollan har bred erfaring fra valgobservasjon internasjonalt.

I blogginnlegget nedenfor forklarer førsteamanuensis ved NTNU, Kristian Gjøsteen, hvordan en uavhengig tredjepart kan verifisere at valgresultatet er korrekt. Les artikkelen under:

Verifiserbarhet i e-valgsystemet
Av Kristian Gjøsteen

Et velfungerende demokrati er avhengig av at vi etter hvert valg teller de avlagte stemmene riktig – på en overbevisende måte. Ingen skal etter valget være bekymret for at valgresultatet ble galt.

Ved papirvalg følger velgeren selv stemmeseddelen til den ligger i stemmeurnen. Gode rutiner sørger for at valgarbeidere holder oppsyn med stemmeurnen og stemmeseddelen frem til opptellingen. Slik blir de avlagte stemmene talt riktig.

Vi kan ikke holde oppsyn med en elektronisk stemmeseddel på samme måte. Men likevel kan en elektronisk stemmeseddel følges fra den forlater velgeren frem til opptelling. Dette kaller vi ofte for “verifiserbarhet”.

Tre datamaskiner tar en elektronisk stemmeseddel fra velgeren frem til opptellingen. Velgeren forteller først pc-en sin hva som skal stå på stemmeseddelen. Pc-en krypterer stemmeseddelen, og sender den krypterte stemmeseddelen til en ny datamaskin, som inneholder en elektronisk stemmeurne.

Når valget er over, sender stemmeurnen alle de krypterte stemmesedlene den har mottatt til en tredje datamaskin, som dekrypterer de elektroniske stemmesedlene og sender dem til opptelling.

På samme måte som valgmedarbeidere holder oppsyn med hverandre, skal i tillegg to egne datamaskiner i samarbeid med velgeren holde oppsyn med de tre datamaskinene fra forrige avsnitt mens de tar stemmeseddelen frem til opptellingen. De to nye datamaskinene er en returkodemaskin og en revisor.

Returkodemaskinen skal sammen med stemmeurnen lage en returkode som velgeren skal motta. En finurlig matematisk teknikk sørger for at returkoden avhenger av innholdet i den krypterte stemmeseddelen, samtidig som hverken stemmeurnen eller returkodemaskinen noen gang ser stemmeseddelen. Returkodemaskinen sender koden til velgeren via SMS, og velgeren kan bruke valgkortet til å sjekke at koden passer med stemmeseddelen hans.

Revisormaskinen holder oppsyn med dekrypteringsmaskinen (ved hjelp av en sofistikert kryptografisk protokoll) mens denne dekrypterer stemmesedlene. Samtidig sjekker revisoren at dekrypteringsmaskinen ser på de riktige krypterte stemmesedlene. Denne sjekken skjer mot en liste som returkodemaskinen har laget.

Når velgeren får riktig returkode, vet han at en den krypterte stemmeseddelen er lagret med hans stemme i stemmeurnen og at returkodemaskinen har sett den. Når rett stemmeseddel har kommet så langt, vil revisoren sjekke at samme stemmeseddel kommer frem til opptelling. Slik vet velgeren at hans stemmeseddel går uendret fra hans hånd gjennom tre datamaskiner frem til opptelling. Slik blir de avlagte stemmene talt riktig.

13 tilbakemeldinger

  1. Av David Bismark,

    Jag är mycket imponerad av det norska internetröstningssystemet.

    Det som jag tycker är svagheten i systemet är att det endast är Revisorsmaskinen som kan verifiera att rösterna som gått in i systemet blir korrekt dekrypterade och räknade.

    I elektroniska röstningssystem som är End-to-End Verifiable så måste (anser jag) dessa delar av systemet vara Universally Verifiable (många experter kan verifiera att det skett korrekt, vem som helst kan bli expert osv) och inte bara, som i det här fallet, Proxy-Based Verifiable (endast en enda organisation, utsedd av valmyndigheten, kan verifiera att det skett korrekt).

    Det är mycket spännande att följa ert projekt och jag önskar lycka till ända in i kaklet i september!

    Hälsningar från Sverige,

    David Bismark
    Fil. Dr. Verifiable Electronic Voting

  2. Av Christian Bull,

    Takk for lykkeønskningene, David!

    Når det gjelder e2e-verifisering, så er jeg helt enig i at det er ønskelig med flere revisorer. Systemet og departementet legger ingen begrensninger der. Dessverre har ingen ønsket å stille opp som revisorer, så vi har måttet hyre en.

    Imidlertid kommer programvaren som utvikles av revisoren til å publiseres som fri programvare (ikke bare åpen kildekode). Dermed kan vi, dersom e-valg lever videre etter 2011, åpne for flere revisorer, som kan gjenbruke den revisorprogramvaren vi nå utvikler.

    Dessverre er det nok umulig å forene universell verifiserbarhet med hemmelig stemmegivning (coercion resistance) i det norske valgsystemet. Det er fordi en velger lett kan utforme en stemmeseddel på en slik måte at den er unik, og samtidig gir det ønskede resultatet. Derfor “verification by proxy”. Det er, som du vet, akkurat det samme som skjer ved papirvalg i dag.

  3. Av Øyvind Repvik,

    Dette er vel direkte inkompatibelt med hemmelig valg, med mindre stemmeverifiseringen foregår i et avlukke tilsvarende det stemmer avgis i i dag? Det er vel neppe mer enn et par prosent av stemmere som er interessert i å sjekke om stemmen stemmer, så det trenges mindre organisering for å få til noe slikt…

    Det vil vel forsåvidt også være problematisk med verifiseringen ift. mobiltelefoner/kameraer. Gå inn, ta bilde av skjermen og vis den fram for den som prøver å presse deg til å stemme. Det skal godt gjøres å manipulere bildet på vei fra verifikasjonsavlukket og ut av lokalet.

    Slik manipulering forestiller jeg meg at vil være et fryktelig lite problem, men det er uansett et prinsipielt demokratisk problem.

  4. Av Tina Holmboe,

    “En finurlig matematisk teknikk sørger for at returkoden avhenger av innholdet i den krypterte stemmeseddelen, samtidig som hverken stemmeurnen eller returkodemaskinen noen gang ser stemmeseddelen.”

    Jeg tenker med skrekk på alle de “finurlige” algoritmer man har funnet matematiske “hull” i etter en stund …

    Hvordan planlegger dere å verifisere algoritmen? Hva skjer om ett “hull” oppdages etter ett valg?

    (Og dette løser jo ikke det fundamentale problemet med stemmegivning over ‘nettet: hvordan hindre tvang)

  5. Av Christian Bull,

    Tina,

    Kristian Gjøsteen er på ferie, men han har sendt meg dette svaret på kommentaren din:

    “I løpet av de siste 30 årene har svært mange (finurlige) kryptosystemer sviktet fordi noen har funnet på kreative angrepsmåter som ingen hadde tenkt på. Kryptologer har derfor arbeidet mye med teknikker for å redusere angrepsflaten og gjenbruke analysearbeid. Disse teknikkene har blitt brukt på e-valgssystemet.

    Vi har et troverdig matematisk bevis (gjennomgått av flere matematikere) for at dersom det skal være et hull i returkodemekanismen, da må et bestemt matematisk problem være forholdsvis lett å løse (redusere angrepsflaten). Matematikere har i ca. 30 år forsøkt å bryte akkurat denne sorten problemer, og selv om det er gjort enorme fremskritt innen både algoritmer og datakraft, ser det ut som om disse problemene er vanskelig så lenge nøklene er store nok (gjenbruk av analysearbeid).

    Dette utelukker selvfølgelig ikke at hull kan finnes, men min vurdering er at sjansen er svært liten.”

    Det er også viktig å huske på hva denne matematikken gjør – den tillater oss å sende returkoder uten å bryte anonymiteten. Det er ikke den alene som ivaretar sikkerheten. Det er mange mekanismer utenpå hverandre, som sammen og hver for seg ivaretar integriteten til valgresultatet. Derfor mener vi at risikoen her er svært lav for at noe skal gå galt – så lav at det er akseptabelt selv når vi vet hva som står på spill.

  6. Av Helga Hole,

    Ja, men……..I samme øyeblikk du kan bevise hva du har stemt, er stemmen din salgbar eller mulig gjenstand for utpressing. Dette skjedde allerede da vi begynte å stemme med åpne stemmesedler.

  7. Av Ragnhild Indreeide (e-valg 2011-prosjektet),

    Helga, velgere som stemmer via Internett vil alltid kunne angre og stemme på nytt, enten elektronisk eller på papir i valglokalet. En som forsøker å kjøpe stemmer kan aldri være sikker på en kjøpt, elektronisk stemme faktisk blir tellende.

  8. Av Helga Hole,

    Takk. Nyttig å vite.

  9. Av Helge Johannessen,

    Art 25 i FNs konvensjon om sivile og politiske rettigheter som gjelder som norsk lov med forrang foran bestemmelsene om prøveordning med internettstemming lyder:

    “Enhver borger skal, uten noen form for forskjellsbehandling som nevnt i artikkel 2 og uten urimelige begrensninger, ha rett og anledning til:

    a. Å ta del i varetakelsen av offentlige anliggender, direkte eller gjennom fritt valgte representanter.
    b. Å avgi stemme og bli valgt ved frie periodiske valg som skal bygge på alminnelig og lik stemmerett og hemmelig avstemning, som sikrer at velgernes vilje kommer fritt til uttrykk.
    c. På alminnelige og like vilkår å ha adgang til offentlig tjeneste i sitt land. ”

    Det fremgår av konvensjonen at staten plikter å sikre denne og andre rettigheter. Dette er i Norge gjennomført ved menneskerettighetsloven som gjør denne bestemmelsen til norsk lov og som gir bestemmelsen forrang i tilfelle annen lov skulle være i strid med den. Så langt forsøksordningen er i strid med artikkel 25 er bestemmelsene ugyldige og kan ikke anvendes.

    Hvordan kan stemmegivning i sofaen med hele familien rundt seg eller på fest med venner anses som hemmelig og fritt? Hvordan har myndighetene tenkt at en skal sikre at velgeren sitter alene og ikke lar andre se sin stemme. Jeg er klar over at en fram til valget kan endre stemmen, men dette gir ingen garanti for at velgeres rett til hemmlig valg ikke utsettes for press.

    Mener kommunalministeren at ordningen er i tråd med menneskerettighetene? Er dette uredet av lovavdelingen eller andre? Hva gjør en i en forsøkskommune hvis valget avgjøres med få stemmer og det fremkommer påstander om press/brudd på retten til hemmelig avsteming.

    mvh
    Helge Johannessen

  10. Av Ragnhild Indreeide,

    Helge, jeg viser til blogginnlegg av Marianne Riise av 9. april 2011, se http://www.e-valgbloggen.no/?p=40

  11. Av Sturle Sunde,

    Returkoden vert sendt via SMS!? Har de altso tenkt å kringkaste over eteren kven som har stemt og ein kode som er avhengig av innhaldet i stemma, og dermed er det kanskje mogleg å utleie kva veljaren har stemt på bakrunn av koden? Eg er sjokkert! Utstyr for å motta og dekryptere SMSar til alle mobiltelefonar i området er trivielt å lage for ca 300 kroner. (Då kan ein òg lett sjå om ei kjøpt stemme vart teljande.) I tillegg kjem logging og implikasjonane av Datalagringsdirektivet.

    Vi får vel berre innnsjå at hemmelege val er like gammaldags som retten til privatliv.

    Elles har eg generelt svært lite tru på “finurlege matematiske algoritmar” som er spesifisert som det, og ikkje gjennom detaljerte spesifikasjonar og prov.

  12. Av Christian Bull,

    Sturle,
    Som vi har påpekt noen ganger, så er ikke returkoden noe bevis på noe som helst. Den er ingen kvittering. Velgeren kan fortsatt stemme på papir, og luringen som har tatt seg bryet med å fange opp og dekryptere SMS-en (hvorfor ikke bare be om å få se den, dersom det er snakk om stemmekjøp?) er fortsatt like klok på hvorvidt stemmen blir tellende.

    Det er klin umulig, også for oss i Departementet, å utlede noe som helst fra returkoden uten valgkortet. Riktignok vet vi at en person har stemt, men det er jo heller ingen hemmelighet.

    Det er en fair sak å være sinna på DLD (det er jeg selv), men hvor det kommer inn i bildet her skjønner jeg ikke. DLD stiller kun krav til lagring av hvem og når, ikke hva (og _om_ de lagret hva, så hadde de jo bare lagret krypterte data de ikke har dekrypteringsnøkkelen til…)

    Når det gjelder de ”finurlige matematiske algoritmene”, så er de utførlig gjort rede for i dette dokumentet, som vi publiserte for litt over ett år siden: http://bit.ly/dBDZ4i

  13. Av Sturle,

    Dersom veljaren ikkje er i kommunen på valdagen, kan han ikkje stemme på papir. For mange er det òg andre måtar å verifisere at veljaren ikkje er innom noko stemmelokale på valdagen. Om ei førehandsrøyst på papir tel meir enn ei stemme over internett veit eg ikkje. I blogginnlegget står om returkoden: “Slik vet velgeren at hans stemmeseddel går uendret fra hans hånd gjennom tre datamaskiner frem til opptelling.” Dersom stemma ikkje skal teljast fordi det er avlagt papirstemme i tillegg, vert vel stemma forkasta før oppteljing? Her er eit hol i systemet eller skildringa av det.

    DLD er absolutt relevant. I vallokalet vert det berre loggført at vedkommande har vore innom og avlagt stemme på valdagen. I ei internett-avstemming vert det logga kvar veljaren stemte frå og presist tidspunkt. I tillegg vert det logga tid og stad vedkommande er då han mottek SMS, samt kven SMSen er frå. Det siste hamnar i loggen til telefonselskapet (og alle som lyttar på eteren), slik at dei kan sjå at vedkommande har stemt. Loggen frå vallokalet er ikkje like tilgjengeleg.

    Dersom returkoden berre er ein kode som står på valkortet, og ikkje seier noko om innhaldet i stemma, kan han ikkje brukast av ein tredjepart til å kontrollere om stemma er “rett” eller endra i ettertid via internett. Men då er blogginnlegget feil. Der står det at “returkoden avhenger av innholdet i den krypterte stemmeseddelen”.

    Autentiseringsløysinga “Min ID” er heller ikkje heilt på topp. I staden for å sende passord på SMS, kan dei like godt lese det opp på radio. Det er omlag like sikkert. Det er eit sjølvvalt passord i tillegg, og vi veit alle kor flinke folk er til å lage gode passord som dei berre brukar ein stad. Ja, og ein kan få passordet tilsendt pr e-post. Kor stor del av brukarane har ulikt passord på e-post og Min ID, trur de?

Leave a Comment

Your email address will not be published. Required fields are marked *