Kildekoden publiseres

Posted in Forsiden

Nå har vi kommet til en av de virkelig store og viktige milepælene i E-valgprosjektet: publisering av kildekoden. E-valg 2011-prosjektet er opptatt av gjennomsiktighet i gjennomføringen av e-valg. Vi mener fullt innsyn i e-valgsløsningen for alle er viktig for å oppnå dette. Kildekoden til systemet for elektronisk stemmegivning blir derfor i sin helhet publisert på Internett, åpen og tilgjengelig for alle som ønsker å se på den. Kildekoden blir supplert med detaljert dokumentasjon, slik at det skal bli så lett som mulig å sette seg inn i koden.

Kildekoden til et program er, svært enkelt forklart, de menneskelesbare instruksjonene som en datamaskin trenger for å kjøre programmet. Det er selvsagt ikke slik at instruksjonene er lesbare for hvem som helst – man må beherske programmering og helst programmeringsspråket Java for å forstå kildekoden. Java er et av de mest utbredte programmeringsspråkene, og det finnes mange tusen mennesker i Norge som behersker dette språket.

Systemutviklingen er ennå ikke ferdig, selv om det meste nå er på plass. De virkelig spennende delene av koden, det vil si kryptoprotokollen i e-valgsystemet som skal ivareta velgerens anonymitet samtidig som integriteten ivaretas, er stabil og har vært det i lang tid. Det vil imidlertid komme endringer på mange områder. Ved hjelp av Subversion, versjonsstyringsverktøyet kildekoden publiseres gjennom, vil vi tilrettelegge for at det skal bli så enkelt som mulig å følge med på endringene som gjøres.

Om lisensen
E-valgsystemet er utviklet av den kommersielle leverandøren EDB Ergogroup og deres underleverandør Scytl Secure Electronic Voting. De har en rekke patenter knyttet til ulike kryptografiske løsninger som det er viktig for dem å beskytte. Det er derfor ikke fritt frem til å gjøre hva man vil med koden.

Innenfor bruksområdet ”valg gjennomført av norske myndigheter” står vi fritt til å endre koden slik vi vil, fordi eierskapet i Norge og for norske valg, tilfaller Kommunal- og regionaldepartementet. De funn og forbedringer man måtte foreslå vil derfor tilfalle fellesskapet

Hvordan forholder vi oss til feil som oppdages av andre?
Kildekoden tilgjengeliggjøres som ett av flere tiltak for å gjøre det mulig for utenforstående å kontrollere valggjennomføringen. I utgangspunktet ønsker vi ikke å gjøre store endringer i koden etter publisering hvis det ikke er absolutt nødvendig. De som setter seg inn i koden vil utvilsomt finne forbedringspunkter, og vi ønsker oss forslag om forbedringer. Dersom det oppdages reelle feil i koden, så ønsker vi selvsagt å få vite om dette så raskt som mulig, slik at vi kan ta stilling til hvorvidt vi må rette den før valget. Dette vil avhenge av hvilken konsekvens feilen har, og tilbakemelding vil bli gitt om hva vi velger å gjøre. Andre typer forbedringer vil vi ta hensyn til etter forsøket er gjennomført.

Å gjøre kildekoden tilgjengelig er kanskje det mest synlige, men likevel ikke det viktigste tiltaket prosjektet har gjort for å sikre etterprøvbarhet i elektronisk stemmegivning. E-valg-systemet er det som kalles verifiserbart – det vil si at man uten å undersøke kildekoden kan være sikker på at systemet ikke ”jukser”. Systemet produserer nemlig matematiske beviser for at det gjør slik det lover. Disse bevisene kan ikke forfalskes, og de kan etterprøves av en uavhengig tredjepart. Nettopp det har vi engasjert den erfarne valgobservatøren Kåre Vollan til å gjøre.

Vi håper likevel flest mulig tar seg tid til å se på i det minste deler av koden. I den grad det er interessant, vil vi gjerne hjelpe personer som er interessert i å samarbeide med andre til å komme i kontakt med hverandre.

Les om kildekoden på e-valg.dep.no

6 tilbakemeldinger

  1. Av Martin Larsson,

    Takk for at koden blir gjort synlig. Det er nyttig. Vi kan selvsagt aldri vite om det faktisk er den publiserte koden som også kjøres. Men det argumentet blir litt håpløst. *Noen* må vi jo stole på, på et eller annet nivå.

    Men jeg er litt overrasket over disse patentene det refereres til. Hvilke patenter er i bruk? Hvor er listen over de publisert? I utgangspunktet trodde jeg ikke det var mulig å patentere programkode i Norge (eller Europa, for den del), tar jeg feil?

    M.

  2. Av Martin Bekkelund,

    Jeg har i dag sendt en forespørsel om et møte med KRD, FAD og DSS vedrørende lisensieringen og pressemeldingen som er sendt ut. Jeg håper vi kan finne tid til et slikt møte snarest.

    Med vennlig hilsen

    Martin Bekkelund
    Seniorrådgiver
    Friprogsenteret

  3. Av Ragnhild Indreeide (e-valg 2011-prosjektet),

    Hei Martin Larsson,

    Vi har publisert listen over patenter, se: http://bit.ly/kyrqoD

  4. Av Martin Bekkelund,

    Hei igjen,

    Jeg har nå hatt en samtale med Henrik om lisensiering og rettigheter. Er det lov å ønske seg et blogginnlegg hvor dere presenterer problemstillingen og hvordan prosjektet har håndtert dette underveis?

    Med vennlig hilsen

    Martin Bekkelund
    Seniorrådgiver
    Friprogsenteret

  5. Av Bjarte M. Østvold,

    Bra at kildekoden er publisert!

    Jeg antar at hensikten med publisering er få til en form for offentlig gjennomgang av kildekoden der interesserte parter kommer med innspill til forbedringer. Du skriver at systemutviklingen ikke er ferdig ennå, men at kryptoprotokollen (og formodentlig dens implementasjon) er stabil.

    Å lese og forstå andres kildekode er en krevende og arbeidsintensiv aktivitet. Før en slik gjennomgang gjøres ønsker man å vite mest mulig om kildekodens status. Her er noen spørmål om dette:

    – Har kildekoden vært gjennom intern kvalitetskontroll hos leverandørene (Scytl, Ergo)?

    – Har noen uavhengige parter gjort kvalitetskontroll på kildekoden?

    – Kan det forventes relativt få endringer i kildekoden før den gjøres operativ? (Etter én måned er intet endret i den utlagte kildekoden.)

    Jeg har også en kommentar om det praktiske. Det hadde vært fint om dere kunne legge ut en beskrivelse av hvordan man bygger systemet. Jeg ser det står noe i selve kildekoden, men siden dette ikke ser helt rett frem ut hadde det vært bra med en forklaring. F.eks. virker det som om ett delsystem (eVote-ergo) avhenger av et annet (eVote-scylt), og denne avhengigheten må løses ved bygging.

    Det beste ville vært om dere kunne legge ut prosjektfiler for f.eks. Eclipse og Visual Studio (delsystemet eCounting inneholder C#-kode), slik at man enkelt kan bygge systemet/delsystemene direkte fra departementets utlagte kildekode (via Subversion). Da ville man også lett kunne bygge fremtidige versjoner dersom den utlagte kildekode endres.

  6. Av Kathi,

    Jeg har også en kommentar om det praktiske. Det hadde vært fint om dere kunne legge ut en beskrivelse av hvordan man bygger systemet. Jeg ser det står noe i selve kildekoden, men siden dette ikke ser helt rett frem ut hadde det vært bra med en forklaring. F.eks. virker det som om ett delsystem (eVote-ergo) avhenger av et annet (eVote-scylt), og denne avhengigheten må løses ved bygging.
    +1

Read More

Innlegg av Gjøsteen om verifiserbarhet i e-valgsystemet

Posted in Forsiden

En vanlig innvending mot elektronisk stemmegivning, er at velgeren selv ikke kan kontrollere at stemmen blir talt. E-valgprosjektet har tatt denne innvendingen på alvor. Systemet som vil benyttes til valget i høst vil derfor være blant verdens første verifiserbare systemer. At et system er verifiserbart betyr at det kan bevises matematisk at det virker riktig, og at disse bevisene kan kontrolleres av en uavhengig tredjepart. Det er da ikke mulig å jukse til resultater, og det er mulig å oppdage dersom systemet teller feil.

Kommunal- og regionaldepartementet har leid inn den erfarne valgrådgiveren Kåre Vollan som uavhengig tredjepart til å gjennomføre verifikasjonen. Vollan har bred erfaring fra valgobservasjon internasjonalt.

I blogginnlegget nedenfor forklarer førsteamanuensis ved NTNU, Kristian Gjøsteen, hvordan en uavhengig tredjepart kan verifisere at valgresultatet er korrekt. Les artikkelen under:

Verifiserbarhet i e-valgsystemet
Av Kristian Gjøsteen

Et velfungerende demokrati er avhengig av at vi etter hvert valg teller de avlagte stemmene riktig – på en overbevisende måte. Ingen skal etter valget være bekymret for at valgresultatet ble galt.

Ved papirvalg følger velgeren selv stemmeseddelen til den ligger i stemmeurnen. Gode rutiner sørger for at valgarbeidere holder oppsyn med stemmeurnen og stemmeseddelen frem til opptellingen. Slik blir de avlagte stemmene talt riktig.

Vi kan ikke holde oppsyn med en elektronisk stemmeseddel på samme måte. Men likevel kan en elektronisk stemmeseddel følges fra den forlater velgeren frem til opptelling. Dette kaller vi ofte for “verifiserbarhet”.

Tre datamaskiner tar en elektronisk stemmeseddel fra velgeren frem til opptellingen. Velgeren forteller først pc-en sin hva som skal stå på stemmeseddelen. Pc-en krypterer stemmeseddelen, og sender den krypterte stemmeseddelen til en ny datamaskin, som inneholder en elektronisk stemmeurne.

Når valget er over, sender stemmeurnen alle de krypterte stemmesedlene den har mottatt til en tredje datamaskin, som dekrypterer de elektroniske stemmesedlene og sender dem til opptelling.

På samme måte som valgmedarbeidere holder oppsyn med hverandre, skal i tillegg to egne datamaskiner i samarbeid med velgeren holde oppsyn med de tre datamaskinene fra forrige avsnitt mens de tar stemmeseddelen frem til opptellingen. De to nye datamaskinene er en returkodemaskin og en revisor.

Returkodemaskinen skal sammen med stemmeurnen lage en returkode som velgeren skal motta. En finurlig matematisk teknikk sørger for at returkoden avhenger av innholdet i den krypterte stemmeseddelen, samtidig som hverken stemmeurnen eller returkodemaskinen noen gang ser stemmeseddelen. Returkodemaskinen sender koden til velgeren via SMS, og velgeren kan bruke valgkortet til å sjekke at koden passer med stemmeseddelen hans.

Revisormaskinen holder oppsyn med dekrypteringsmaskinen (ved hjelp av en sofistikert kryptografisk protokoll) mens denne dekrypterer stemmesedlene. Samtidig sjekker revisoren at dekrypteringsmaskinen ser på de riktige krypterte stemmesedlene. Denne sjekken skjer mot en liste som returkodemaskinen har laget.

Når velgeren får riktig returkode, vet han at en den krypterte stemmeseddelen er lagret med hans stemme i stemmeurnen og at returkodemaskinen har sett den. Når rett stemmeseddel har kommet så langt, vil revisoren sjekke at samme stemmeseddel kommer frem til opptelling. Slik vet velgeren at hans stemmeseddel går uendret fra hans hånd gjennom tre datamaskiner frem til opptelling. Slik blir de avlagte stemmene talt riktig.

13 tilbakemeldinger

  1. Av David Bismark,

    Jag är mycket imponerad av det norska internetröstningssystemet.

    Det som jag tycker är svagheten i systemet är att det endast är Revisorsmaskinen som kan verifiera att rösterna som gått in i systemet blir korrekt dekrypterade och räknade.

    I elektroniska röstningssystem som är End-to-End Verifiable så måste (anser jag) dessa delar av systemet vara Universally Verifiable (många experter kan verifiera att det skett korrekt, vem som helst kan bli expert osv) och inte bara, som i det här fallet, Proxy-Based Verifiable (endast en enda organisation, utsedd av valmyndigheten, kan verifiera att det skett korrekt).

    Det är mycket spännande att följa ert projekt och jag önskar lycka till ända in i kaklet i september!

    Hälsningar från Sverige,

    David Bismark
    Fil. Dr. Verifiable Electronic Voting

  2. Av Christian Bull,

    Takk for lykkeønskningene, David!

    Når det gjelder e2e-verifisering, så er jeg helt enig i at det er ønskelig med flere revisorer. Systemet og departementet legger ingen begrensninger der. Dessverre har ingen ønsket å stille opp som revisorer, så vi har måttet hyre en.

    Imidlertid kommer programvaren som utvikles av revisoren til å publiseres som fri programvare (ikke bare åpen kildekode). Dermed kan vi, dersom e-valg lever videre etter 2011, åpne for flere revisorer, som kan gjenbruke den revisorprogramvaren vi nå utvikler.

    Dessverre er det nok umulig å forene universell verifiserbarhet med hemmelig stemmegivning (coercion resistance) i det norske valgsystemet. Det er fordi en velger lett kan utforme en stemmeseddel på en slik måte at den er unik, og samtidig gir det ønskede resultatet. Derfor “verification by proxy”. Det er, som du vet, akkurat det samme som skjer ved papirvalg i dag.

  3. Av Øyvind Repvik,

    Dette er vel direkte inkompatibelt med hemmelig valg, med mindre stemmeverifiseringen foregår i et avlukke tilsvarende det stemmer avgis i i dag? Det er vel neppe mer enn et par prosent av stemmere som er interessert i å sjekke om stemmen stemmer, så det trenges mindre organisering for å få til noe slikt…

    Det vil vel forsåvidt også være problematisk med verifiseringen ift. mobiltelefoner/kameraer. Gå inn, ta bilde av skjermen og vis den fram for den som prøver å presse deg til å stemme. Det skal godt gjøres å manipulere bildet på vei fra verifikasjonsavlukket og ut av lokalet.

    Slik manipulering forestiller jeg meg at vil være et fryktelig lite problem, men det er uansett et prinsipielt demokratisk problem.

  4. Av Tina Holmboe,

    “En finurlig matematisk teknikk sørger for at returkoden avhenger av innholdet i den krypterte stemmeseddelen, samtidig som hverken stemmeurnen eller returkodemaskinen noen gang ser stemmeseddelen.”

    Jeg tenker med skrekk på alle de “finurlige” algoritmer man har funnet matematiske “hull” i etter en stund …

    Hvordan planlegger dere å verifisere algoritmen? Hva skjer om ett “hull” oppdages etter ett valg?

    (Og dette løser jo ikke det fundamentale problemet med stemmegivning over ‘nettet: hvordan hindre tvang)

  5. Av Christian Bull,

    Tina,

    Kristian Gjøsteen er på ferie, men han har sendt meg dette svaret på kommentaren din:

    “I løpet av de siste 30 årene har svært mange (finurlige) kryptosystemer sviktet fordi noen har funnet på kreative angrepsmåter som ingen hadde tenkt på. Kryptologer har derfor arbeidet mye med teknikker for å redusere angrepsflaten og gjenbruke analysearbeid. Disse teknikkene har blitt brukt på e-valgssystemet.

    Vi har et troverdig matematisk bevis (gjennomgått av flere matematikere) for at dersom det skal være et hull i returkodemekanismen, da må et bestemt matematisk problem være forholdsvis lett å løse (redusere angrepsflaten). Matematikere har i ca. 30 år forsøkt å bryte akkurat denne sorten problemer, og selv om det er gjort enorme fremskritt innen både algoritmer og datakraft, ser det ut som om disse problemene er vanskelig så lenge nøklene er store nok (gjenbruk av analysearbeid).

    Dette utelukker selvfølgelig ikke at hull kan finnes, men min vurdering er at sjansen er svært liten.”

    Det er også viktig å huske på hva denne matematikken gjør – den tillater oss å sende returkoder uten å bryte anonymiteten. Det er ikke den alene som ivaretar sikkerheten. Det er mange mekanismer utenpå hverandre, som sammen og hver for seg ivaretar integriteten til valgresultatet. Derfor mener vi at risikoen her er svært lav for at noe skal gå galt – så lav at det er akseptabelt selv når vi vet hva som står på spill.

  6. Av Helga Hole,

    Ja, men……..I samme øyeblikk du kan bevise hva du har stemt, er stemmen din salgbar eller mulig gjenstand for utpressing. Dette skjedde allerede da vi begynte å stemme med åpne stemmesedler.

  7. Av Ragnhild Indreeide (e-valg 2011-prosjektet),

    Helga, velgere som stemmer via Internett vil alltid kunne angre og stemme på nytt, enten elektronisk eller på papir i valglokalet. En som forsøker å kjøpe stemmer kan aldri være sikker på en kjøpt, elektronisk stemme faktisk blir tellende.

  8. Av Helga Hole,

    Takk. Nyttig å vite.

  9. Av Helge Johannessen,

    Art 25 i FNs konvensjon om sivile og politiske rettigheter som gjelder som norsk lov med forrang foran bestemmelsene om prøveordning med internettstemming lyder:

    “Enhver borger skal, uten noen form for forskjellsbehandling som nevnt i artikkel 2 og uten urimelige begrensninger, ha rett og anledning til:

    a. Å ta del i varetakelsen av offentlige anliggender, direkte eller gjennom fritt valgte representanter.
    b. Å avgi stemme og bli valgt ved frie periodiske valg som skal bygge på alminnelig og lik stemmerett og hemmelig avstemning, som sikrer at velgernes vilje kommer fritt til uttrykk.
    c. På alminnelige og like vilkår å ha adgang til offentlig tjeneste i sitt land. ”

    Det fremgår av konvensjonen at staten plikter å sikre denne og andre rettigheter. Dette er i Norge gjennomført ved menneskerettighetsloven som gjør denne bestemmelsen til norsk lov og som gir bestemmelsen forrang i tilfelle annen lov skulle være i strid med den. Så langt forsøksordningen er i strid med artikkel 25 er bestemmelsene ugyldige og kan ikke anvendes.

    Hvordan kan stemmegivning i sofaen med hele familien rundt seg eller på fest med venner anses som hemmelig og fritt? Hvordan har myndighetene tenkt at en skal sikre at velgeren sitter alene og ikke lar andre se sin stemme. Jeg er klar over at en fram til valget kan endre stemmen, men dette gir ingen garanti for at velgeres rett til hemmlig valg ikke utsettes for press.

    Mener kommunalministeren at ordningen er i tråd med menneskerettighetene? Er dette uredet av lovavdelingen eller andre? Hva gjør en i en forsøkskommune hvis valget avgjøres med få stemmer og det fremkommer påstander om press/brudd på retten til hemmelig avsteming.

    mvh
    Helge Johannessen

  10. Av Ragnhild Indreeide,

    Helge, jeg viser til blogginnlegg av Marianne Riise av 9. april 2011, se http://www.e-valgbloggen.no/?p=40

  11. Av Sturle Sunde,

    Returkoden vert sendt via SMS!? Har de altso tenkt å kringkaste over eteren kven som har stemt og ein kode som er avhengig av innhaldet i stemma, og dermed er det kanskje mogleg å utleie kva veljaren har stemt på bakrunn av koden? Eg er sjokkert! Utstyr for å motta og dekryptere SMSar til alle mobiltelefonar i området er trivielt å lage for ca 300 kroner. (Då kan ein òg lett sjå om ei kjøpt stemme vart teljande.) I tillegg kjem logging og implikasjonane av Datalagringsdirektivet.

    Vi får vel berre innnsjå at hemmelege val er like gammaldags som retten til privatliv.

    Elles har eg generelt svært lite tru på “finurlege matematiske algoritmar” som er spesifisert som det, og ikkje gjennom detaljerte spesifikasjonar og prov.

  12. Av Christian Bull,

    Sturle,
    Som vi har påpekt noen ganger, så er ikke returkoden noe bevis på noe som helst. Den er ingen kvittering. Velgeren kan fortsatt stemme på papir, og luringen som har tatt seg bryet med å fange opp og dekryptere SMS-en (hvorfor ikke bare be om å få se den, dersom det er snakk om stemmekjøp?) er fortsatt like klok på hvorvidt stemmen blir tellende.

    Det er klin umulig, også for oss i Departementet, å utlede noe som helst fra returkoden uten valgkortet. Riktignok vet vi at en person har stemt, men det er jo heller ingen hemmelighet.

    Det er en fair sak å være sinna på DLD (det er jeg selv), men hvor det kommer inn i bildet her skjønner jeg ikke. DLD stiller kun krav til lagring av hvem og når, ikke hva (og _om_ de lagret hva, så hadde de jo bare lagret krypterte data de ikke har dekrypteringsnøkkelen til…)

    Når det gjelder de ”finurlige matematiske algoritmene”, så er de utførlig gjort rede for i dette dokumentet, som vi publiserte for litt over ett år siden: http://bit.ly/dBDZ4i

  13. Av Sturle,

    Dersom veljaren ikkje er i kommunen på valdagen, kan han ikkje stemme på papir. For mange er det òg andre måtar å verifisere at veljaren ikkje er innom noko stemmelokale på valdagen. Om ei førehandsrøyst på papir tel meir enn ei stemme over internett veit eg ikkje. I blogginnlegget står om returkoden: “Slik vet velgeren at hans stemmeseddel går uendret fra hans hånd gjennom tre datamaskiner frem til opptelling.” Dersom stemma ikkje skal teljast fordi det er avlagt papirstemme i tillegg, vert vel stemma forkasta før oppteljing? Her er eit hol i systemet eller skildringa av det.

    DLD er absolutt relevant. I vallokalet vert det berre loggført at vedkommande har vore innom og avlagt stemme på valdagen. I ei internett-avstemming vert det logga kvar veljaren stemte frå og presist tidspunkt. I tillegg vert det logga tid og stad vedkommande er då han mottek SMS, samt kven SMSen er frå. Det siste hamnar i loggen til telefonselskapet (og alle som lyttar på eteren), slik at dei kan sjå at vedkommande har stemt. Loggen frå vallokalet er ikkje like tilgjengeleg.

    Dersom returkoden berre er ein kode som står på valkortet, og ikkje seier noko om innhaldet i stemma, kan han ikkje brukast av ein tredjepart til å kontrollere om stemma er “rett” eller endra i ettertid via internett. Men då er blogginnlegget feil. Der står det at “returkoden avhenger av innholdet i den krypterte stemmeseddelen”.

    Autentiseringsløysinga “Min ID” er heller ikkje heilt på topp. I staden for å sende passord på SMS, kan dei like godt lese det opp på radio. Det er omlag like sikkert. Det er eit sjølvvalt passord i tillegg, og vi veit alle kor flinke folk er til å lage gode passord som dei berre brukar ein stad. Ja, og ein kan få passordet tilsendt pr e-post. Kor stor del av brukarane har ulikt passord på e-post og Min ID, trur de?

Read More

Om hemmelig valg og internettstemmegivning

Posted in Forsiden

Den siste tiden har det vært debatt i ulike medier om hemmelig valg og stemmegivning via Internett. Debatt om internettstemmegivning er bra. Det er viktig å få fram de ulike synspunktene rundt dette temaet. Fra flere hold er e-valgforsøket blitt kritisert. Enkelte mener at stemmegivning via Internett ikke tilfredsstiller krav om hemmelig valg og det å forhindre utilbørlig påvirkning. Ja, dette er en utfordring, og den vil bli med i den videre diskusjonen når forsøket skal evalueres.

Kravet til hemmelig valg fremgår både av nasjonal og internasjonal rett. Det er delte oppfatninger om hvor langt valgmyndighetenes forpliktelser strekker seg. Skal valgmyndighetene garantere hemmelig valg? Noen mener at vi har plikt til å garantere hemmelighold, andre at det er tilstrekkelig at vi påser at velgernes rett til å stemme hemmelig blir ivaretatt. Heller ikke i dagens papirbaserte system er det mulig for valgmyndighetene å garantere hemmelig stemmegivning for absolutt alle velgere. Velgere kan bevisst eller ubevisst komme til å avsløre hva de stemmer.

For meg er utgangspunktet helt klart: Valglovens krav til hemmelig valg skal ivaretas også i forsøket med stemmegivning over Internett. Valgloven bygger på internasjonale forpliktelser, og gjelder også ved elektronisk stemmegivning. For å få det til må en del forutsetninger oppfylles:

– Elektronisk stemmegivning skal bare være et supplement til stemmegivning i valglokalet. Velgere som ikke ønsker å stemme elektronisk kan selvsagt stemme på ordinær måte i et valglokale.

– Elektronisk stemmegivning skal bare foregå på forhånd, ikke på valgdagen.

– Velgere som stemmer elektronisk, kan stemme om igjen så mange ganger de ønsker.

– En papirstemme avgitt i et valglokale, vil alltid annullere en elektronisk stemme.

– I tillegg er det etablert en sikker og pålitelig teknisk løsning. Den har en god identifiserings- og autentiseringsløsning (eID), basert på tilstrekkelig sikkerhetsnivå. Løsningen er utformet slik at den for eksempel ikke gjør det mulig å avsløre hva hver enkelt velger har stemt.

Den som har påvirket noen til å stemme mot vedkommendes vilje, kan ikke være sikker på velgeren har stemt som befalt. Velgeren kan stemme på nytt flere ganger og kan også avgi papirstemme i valglokalet.

Det er flott dersom forsøket fører til økt valgdeltakelse, men dette ikke bakgrunnen. Bedre tilgjengelighet er den viktigste grunnen. Blant annet kan enkelte funksjonshemmede ha problemer med å komme seg til et valglokale og å stemme uten å be om hjelp. I forsøkskommunene kan alle stemme over Internett, fra hvor man selv ønsker.

Det er over 3,7 millioner velgere som kan stemme her i landet, og det er krevende å sørge for god tilrettelegging og tilgjengelighet for alle. Derfor bør vi gjøre det mulig å stemme på flere måter.

Forsøket skal evalueres grundig. Organisasjonen for sikkerhet og samarbeid i Europa (OSSE) følger også det norske forsøket nøye. Evalueringen skal legges fram for Stortinget som grunnlag for å vurdere om det eventuelt bør legges til rette for elektronisk stemmegivning i større skala.

Det er viktig å prøve ut internettstemmegivning i et begrenset omfang og så ta en beslutning basert på reelle erfaringer så vel som prinsipielle avveininger. Det legger vi til rette for gjennom dette forsøket.

2 tilbakemeldinger

  1. Av Arve Edvardsen,

    Kommunal- og regionaldepartementet har etter min mening et problem; det er nemlig svært tvilsomt om prøveordningen i dette valget i det hele tatt er lovlig.

    Departementet påberoper seg § 15-1 i Valgloven som åpner opp for forsøk med gjennomføringen av valg. Problemet er at denne forsøksordningen går mye lenger; den rokker nemlig ved de helt grunnleggende prinsippene om frie og hemmelige valg nedfelt i lovens formålsparagraf (§ 1).

    Professor Eivind Smith har i en betenkning fra 2010 konkludert med at ”Det er på det rene at adgang til elektronisk stemmegivning i ukontrollerte omgivelser vil gå på bekostning av prinsippet om frie og hemmelig valg. På denne bakgrunn er det grunn til å anta at det planlagte forsøket står i strid med gjeldende lov, særlig rettsregler om retten til frie og hemmelige valg som Norge er bundet av.”

    Så er valg i ukontrollerte omgivelser en særdeles dårlig ide. Så dårlig at ingen andre sammenlignbare europeiske land har innført dette. I familier og grupper med sterke personer vil selv en ”angreordning” ikke gi den enkelte velger god nok beskyttelse mot utidig påvirkning. Denne demokratiske rettigheten skal vi ikke frata velgerne. Det er også betenkelig at vi skal erstatte de gode tradisjonene med politisk deltakelse i opptellingen med avansert teknologi som de færreste forstår noe av.

    Så kan det være gode grunner til å se på i hvilken utstrekning moderne teknologi kan bedre valgavviklingen så lenge selve valgprosessen skjer i kontrollerte omgivelser. Dermed kan også ordningen med poststemmer avvikles. Bla vil et nytt borgerkort kunne forenkle og forbedre legitimasjonsprosessen.

  2. Av Dag-Henrik Sandbakken,

    Kommunal- og regionaldepartementet mener selvsagt at kravet til hemmelig valg er ivaretatt i forsøksordningen. Forsøksbestemmelsen i valgloven kan ikke brukes til å gjøre unntak fra kravet om hemmelig valg. Det er derfor vi har satt i verk særskilte tiltak for å sikre hemmelig valg når stemme avgis over Internett. Den samme fortolkning av regelverket legger Venezia-kommisjonen til grunn (lovtolkningsorgan for Europarådet i konstitusjonelle spørsmål).

    Jeg respekterer at det er ulike syn på dette. Men debatten har altså vært mest preget av synsing. Derfor skaffer vi til veie faktisk informasjon om hva som skjer når stemmegivningen flyttes ut av valglokalene. Dette er et begrenset forsøk ved høstens valg. Evalueringen vil danne et viktig grunnlag for Stortingets vurdering av om velgerne også seinere bør kunne avgi stemme elektronisk ved valg.

Read More

Intet nytt fra sikkerhetsfronten

Posted in Forsiden

Professor i informatikk, Kai A. Olsen ved Universitetet i Bergen (UiB), presenterer i bla. NRK Vestnytt i kveld et eksperiment, som viser et teoretisk angrep på e-valgsystemet. Eksperimentet er gjennomført i en ”simulator” på omkring 160 studenter ved UiB.

Angrepet baserer seg på å lure velgerne til først å gi ifra seg returkodene sine, og så lure dem til å ignorere den virkelige SMS-meldingen fra departementet. Det er ikke urealistisk å tro at dette vil lykkes – tvert imot indikerer eksperimenter at dette vil kunne lykkes overfor mange velgere. Dette har også vært en del av vår helhetlige risikovurdering. E-valgsprosjektetstøttet allerede i 2010 en søknad til Forskningsrådet fra førsteamanuensis Kristian Gjøsteen om nettopp å gjennomføre det samme forsøket i større omfang.

Så hvorfor er det greit å gjennomføre forsøket, når vi er klar over at løsningen ikke er uovervinnelig?

Vel, først er det viktig å være klar over sikkerhet ikke er noe absolutt. Når vi sier at løsningen er sikker, så sier vi at vi ikke ser noen angrep som er praktisk gjennomførbare innenfor rimelig tid og kostnad. All sikkerhet baserer seg derfor på en risikovurdering, hvor ting som kostnad, nytte og motivasjon for en angriper må tas med.

Kostnaden ved å gjennomføre angrepet prof. Olsen har beskrevet vil nemlig være betydelig. Det holder ikke bare å utvikle viruset som skal gjøre dette – noe mange vil klare på fritiden – det skal også distribueres. Et virus som ikke befinner seg på din datamaskin kan ikke lure deg. Denne distribusjonen er kostbar, og vil være svært vanskelig. I tillegg vil sjansen for å bli oppdaget være stor, siden vi bare trenger en eneste observant velger som reagerer for å oppdage at noe er galt. Vi tror ikke erfaringene fra et laboratorieforsøk, hvor ingen oppdager at noe er galt, er direkte overførbare til virkeligheten. Vår erfaring så langt, er at det er mange observante velgere der ute, som tar kontakt med brukerstøtten når noe ikke stemmer helt. Valghandlingen er noe folk tar på alvor, også når den foregår hjemmefra.

Read More