I det siste har jeg vært oppi noen diskusjoner rundt e-valg og sikkerheten ift. dette. Det jeg er interessert i å vite, er hvor utsatt et slikt system vil være. Jeg er selv delvis interessert i hacking, og er politisk organisert i et parti som går imot e-valg. Mitt utgangspunkt er at alt som ligger online er utsatt på en eller annen måte, ingenting er 100% sikkert.

Men om det blir snakk om e-valg til kommune/fylktestingsvalget (i 2011, som er planen), vil man antakeligvis bruke en løsning á la Altinn/MinID på et høyt sikkerhetsnivå. Det er altså ikke snakk om idiotløsninger slik som i USA, som beviselig lett kan bli manipulert. Jeg har søkt litt rundt, men kan ikke se at Altinn har blitt hacket tidligere, annet enn personnumrene som ble lekket ut.

Så - noen tanker rundt dette? Hvor stor er faren for manipulasjon via hacking?

Den er mulig å sikre seg mot, og den er strengt tatt uinteressant IMHO. Rett og slett fordi det er ei ENORMT viktig prinsipiell innvending mot stemming i stuene til folk: korleis skal du sikre at det er eit hemmeleg val? I dag har vi i praksis hemmelege val, fordi det er eit kontrollert miljø på avstemmingsstaden. Er vi villjuge til å ofre det? Eg er ikkje. Det er sjølvaste grunnsteinen i valsystemet som blir riven vekk.

Teknologien i seg sjølv er sikker. Det er ingen som har påvist sikkerhetsproblemer i dei dominerande kryptoalgoritmene i dag. Problemet er spyware og dritt på brukeren sin PC - ikkje den tekniske løsninga. Den kan ein i praksis lage langt meir vanntett enn dagens stemmesystem.

Det en ofrer er imidlertid hemmelige valg, og det er eit utilgivelig offer i mine auge.

Her er forøvrig et blogginnlegg som argumenterer godt for at løsningen er sikker:
http://normankay.net/?p=635

Visstnok skal det brukes åpen kildekode og gode krypteringsalgoritmer, og kvittering på avgitt stemme. På den andre siden har jeg lest at systemet skal konkurranseutsettes, altså er det en ekstern bedrift som vil stå bak det. Utro tjenere og social engineering er en trussel, på den andre siden er det jo open source, en ganske gjennomsiktig løsning.

Skeptikeren i meg er likevel skeptisk... slashdot sier at teknologien i seg selv er sikker. Men at det ikke har blitt påvist hull i systemet enda, betyr jo ikke at det er 100% sikkert? Det trenger jo bare bety at ingen har sett nok nytteverdi i å finne hull, men det vil kanskje bli større motiv for dette i en løsning som styrer selve valget?

Vi vet jo hva som skjedde med Altinn og personnumrene som ble kopiert...

Det var ikke noe galt hos Altinn. Det ble kun sjekket om fødselsnumrene var gyldige eller ikke der. Fullstendig ufarlig.

Forøvrig vil det trolig være mye, mye lettere å spre trojaner for å ta over valget enn å "hacke" selve systemet som skal brukes. Noe man ikke vil kunne ha kontroll over.

Hovedargumentet mitt er at teknologien er irrelevant. For uansett teknologi vil det bryte med tradisjonen for hemmelege val, ettersom stemmelokalet ikkje er kontrollert. Og å fjerne hemmelege val er eit uakseptabelt offer for min del.

Så ein kan gjerne innføre elektronisk avstemming _i stemmelokaler med kontrollerte fysiske omgivelser_ for å forenkle opptelling. Men å la folk stemme heimanfrå?

Prototype,
problemet er at selv om løsningen er 100% sikker på server-side så er fortsatt klient-siden usikker. Trojanere kan infiltrere PC-er og stemme for personer uten at de selv er klar over at det skjer.

Jeg stiller meg meget skeptfisk til dette.

Rejolo: Sant, men på den andre siden skal man jo få kvittering - og da vil jo en trojaner avsløres uansett.

slashdot: På den andre siden fjerner man jo ikke *muligheten* for å fremdeles stikke til et valglokale å stemme. E-valg blir jo da bare en ekstra mulighet...

Goophy: Problemet var vel at denne serverside-sjekken kunne misbrukes av en ekstern tjeneste?

For å være litt flåsete: jeg er mer redd for at de som lever livene sine på kommentarfeltene til nettavisene nå skal få en mulighet til å stemme. Siden dette stort sett er høyreekstremister som sjelden går ut regner jeg ikke med at de stemmer i dag, men hvis de får lov til å stemme hjemme ser jeg for meg Vigrid på tinget i løpet av kort tid.

Som jo er problemet. I dag kan ikkje den som kjøper ei stemme få bevis på kva som vart stemt. Eg kan ta med meg kamera og filme at eg legger venstre sin stemmeseddel i konvolutten, og deretter forlater avlukket. Men eg kan like fullt velge en annen seddel uten å filme det. Sikkerheta er ivaretatt.

Med valg i stua til folk kan du ha folk som kiker deg over skuldra, og dermed får bevis for kva du stemte. Ergo er det brått mulig å selge stemmer på heilt anna måte enn i dag.

Godt poeng.


DonTomaso: Det er flere som sier at de som ikke stemmer i dag ikke bør stemme, de er trygdede, de er snyltere, de er høyreekstreme... jeg syns det blir litt for elitistisk. Alle medlemmer av et samfunn har rett til å være med og bestemme hvordan dette samfunnet skal se ut og fungere, uansett hvor idiotiske de fremstår.

Jeg er selvsagt enig, og jeg understreket at jeg var flåsete. Det er derimot forskjell på å synes at alle bør stemme, og å aktivt gå inn for at så mange som mulig skal stemme. I dag har man faktisk ordninger hvor man kan få stemme hjemme, ved at noen kommer hjem til deg med stemmesedler og konvolutt. Man har stemmelokaler på mange universiteter, man kan stemme på Posten og man har organisert transport for de som er skrøpelige til beins slik at alle som ønsker det i praksis har muligheten til å stemme. Jeg synes dette er tilstrekkelig tilrettelegging.

Jeg mistenker også at politikere ønsker at folk skal kunne stemme over nett, da dette sannsynligvis vil øke stemmeprosenten. Dette tar seg bedre ut i offentligheten og blant politikerstanden, da en lav stemmeprosent tyder på stor politikerforakt. Det er ingenting som tilsier at politikerforakten i praksis vil minske med nettavstemming, men den vil bli mindre synlig da stemmeprosenten vil øke.

Ja, jeg tror på den ene siden økt tilgjengelighet er et gode, fordi det kan forenkle slikt som hyppigere valg (folkeavstemninger), men i konteksten av dagens system vil det ikke føre til noen spesiell forbedring, da vi faktisk ikke HAR et deltakerdemokrati, og det er heller ikke noe som tyder på at vi vil få det. The powers that be foretrekker å styre selv, på vår vegne

Og vips har jeg avslørt at jeg ikke er medlem av Høyre.

Men det er jo da en diskusjon som er litt løsrevet fra den rent etiske og tekniske delen her om hvorvidt e-valg vil gå utover personvernet og hver enkelt persons sikkerhet og rett til å ta et valg, hemmelig og selvstendig valg. Det er jo ironisk at myndighetene her går inn for å bryte med sitt eget nedfelte prinsipp om at valg skal være hemmelige, noe som da forutsetter kontrollerte omgivelser. For ikke å snakke om økte muligheter for manipulasjon og stemmekjøp.

Det blir fortsatt mulig å "angre" og stemme på nytt, hvis man selv mener at man ble påvirket og ikke kunne stemme det man ville. Hvis jeg har forstått det riktig, er det eneste man må ta vare på, id'en som man får. Folk kan stemme så ofte de vil, og den siste stemmen blir telt.

Selv om jeg synes at idéen er bra i utgangspunktet, er jeg litt skeptisk. Men jeg håper at kildekoden blir lagt ut tidlig nok, slik at mange kan teste den på eventuelle sikkerhetshull.

Da er ikkje lenger valget anonymt. For at det skal fungere må det på eit vis lagrast kva eg stemte, slik at den stemma kan trekkast ifra. Då har du delvis løyst problemet med hemmelig stemmegiving, til gjengjeld har du introdusert et nytt.

Forøvrig har eg ingen problemer med å sjå for meg familier der stemmegivinga vil bli kontrollert i langt større grad enn i dag ved å innføre dette, sjølv om ein har angremogelegheit. I dag må alle til stemmelokalet, og ingen kan kontrollere kva som skjer i avlukket.

Akkurat det har jeg også tenkt på. På en eller annen måte må stemmen knyttes til ID'en. Men jeg har ikke nok peiling om krypteringsmulighetene for å uttale meg om det nødvendigvis gjør systemet usikker eller ei. Derfor synes jeg at det er bra at kildekoden legges ut og slike ting kan testes.

Godt mulig at systemet kan knytte stemmen til velgeren, men at det ikke blir mulig at "vanlig folk" kan det?

Kan du knytte ei gitt stemme til en person har du brutt premisset om hemmelige valg, all den tid det faktisk er mulig å knytte stemme til person. I tradisjonelle valg er det umulig, fordi urna er forsegla inntil avstemminga er over. På den måten kan ingen sjå kva du har stemt.

Det er i mine auge rimelig irrelevant kven som kan knytte stemme til person - poenget er at nokon kan det, og det bryt med premissene for hemmelige avstemminger og anonyme val. Historia har også vist oss at viss informasjonen finst, så blir den på et tidspunkt brukt.