onsdag den 20. marts 2013

e-Valg igen-igen


(Det Estiske internetbaserede
valgsystem)

Lovforslag L132 var forgangen onsdag til høring i Folketinget, og skulle man udelukkende dømme udfra Version2's dækning, var høringen en næsten enslydende kritik mod forslaget fra de tilstedeværende IT-eksperter, bortset fra Christian Wernberg-Tougraard, der blev citeret for at sige at 'det tager nok 20-30 år, før vi får e-valg'.
Version2 benyttede samme lejlighed til på en ret uklædelig måde at kritisere IT-ordfører Trine Bramsen (S) for at demonstrere sin uvidenhed om samme emne. '..som med en cand.scient.soc baggrund mente sig mere teknisk kyndig end Niels Elgaard Larsen, som har en PhD i datalogi.'
Hvad er op og ned i denne sag og i lovforslaget?
Lovforslaget blev som bekendt til på baggrund af et større udredningsarbejde, som Teknologirådet foretog og hvor man fremkom med en anbefalingsrapport om gennemførelsen af forsøg med e-valg i Danmark ved kommunevalget i 2013. Rapporten blev udgivet i marts 2011
Christian Wernberg-Thougaard var som formand for IT sikkerhedsrådet medlem af arbejdsgruppen, og jeg deltog i de ekspertseminarer, der blev afholdt i processen, der varede godt et år, og som sluttede med anbefalingerne om at gennemføre forsøg i mindst 3 kommuner. Den model, som man især pegede på, var at afprøve mobile valgsteder:
'Arbejdsgruppen anbefaler at der fra centralt hold udvikles et e-valgsystem med digitale valgbokse og et centralt valgsystem som den enkelte stemme fra valgboksen rapporteres ind til. Valgboksen er en almindelig PC, der findes lokalt og som til lejligheden udstyres med en særlig valgprogrampakke.'

Det er imidlertid ikke denne anbefaling, der ligger til grund for lovforslaget, som sigter mod at indrette forsøgsvalgsteder med særlige PC'er, og det er denne model, der har nedkaldt en masse kritik. Men Version2 har åbenbart glemt, at de eksperter, som man tager til indtægt for en kritik af lovforslaget, slet ikke er så kritiske overfor ideen om at foretage afprøvninger.
Den 11.3 citerer Kommunernes Landsforening professor Kiniry fra DTU for en udtalelse om at 'E-valg kan gennemføres i Danmark', og Carsten Schürmann fra Demtech-projektet, blev citeret af Computerworld 13.2 2013 for en udtalelse om at 'Forsøg med danske e-valg er en god ide'.
Version2 citerer begge for at sige at 'Konklusionen på forskningen er, at vi ikke i dag ved hvordan man kan lave et sikkert og troværdigt e-valg.'

Og her kan man så trække en streg i sandet. For hvad er det, vi går efter? Et 100% sikkert IT system findes ikke, men argumentet vil i sin videste konsekvens svare til, at man i 1910 traf den beslutning, at automobiler ikke ville blive tilladt på de danske veje, før producenterne kunne garantere, at der aldrig nogen sinde ville ske trafikuheld.
Men lad mig slå fast, at jeg er enig i, at de foreslåede forsøg med dedikerede valgpc'ere, med tilhørende parallelle papirstemmer og deraf følgende komplicering af optælling og kritik for manglende brugervenlighed, er helt rigtig. Jeg har et helt andet synspunkt, som tager udgangspunkt i de erfaringer, som vi rent faktisk har fra andre lande. For der er gennemført en række e-valg med forskellige tekniske løsningsmodeller men med en ganske positiv modtagelse fra befolkningerne i de respektive lande.
 I vores naboland Norge blev der i 2011 afholdt valg til kommuner og fylker, og i den anledning blev der i 2012 udgivet en interessant rapport International Experiences with E-Voting, som kan anbefales. Her fremgår f.eks. følgende eksempler på internet baserede valg, og andelen af vælgere, der har benyttet sig af det: (Eksempler - der er adskillige andre cases)

- Norges valg til kommuner og Fylker 2011 - 168.000 registrerede vælgere, 26,4% via internettet
- Estlands parlamentsvalg 2011 - 913.000 vælgere med e-ID kort, 24,3% deltog via internettet
- Schweiz, Geneve folkeafstemning 2011 - 241.780 registrererde vælgere, 22% deltog via internet

Af disse lande er Estland det land, der har den længste periode med erfaringer fra internetbaserede afstemninger, og som i mange henseender er et foregangsland i EU for digital infrastruktur.
Det Estiske internatvalg er baseret på den digitale identitet, hvor hver borger er registreret og har fået tildelt et identitetskort med smart chip indeholdende en privat nøgle. Registreringen omfatter også information om stemmeret. ID-kortet anvendes generelt og på tværs af sektorerne, både som netbank-identitet, i sundhedsvæsenet, som ID kort ved rejser i Europa etc.

Internetvalget er et tilbud om at benytte den digitale identitet til at foretage afstemning via internettet i dagene inden den egentlige valghandling afsluttes. Esterne afgiver deres stemme via egen PC, stemmesedlen krypteres med den centrale stemmeboks' offentlige nøgle, signeres med vælgerens private nøgle og sendes til een eller flere modtager-servere, der registrerer, at vælgeren har stemt, og gemmer den krypterede stemmeseddel. Man kan stemme lige så mange gange, man vil, men der gemmes kun een stemmeseddel. Når on line afstemningen lukker, de-identificeres den fortsat krypterede stemmeseddel og sendes til en back end, hvor selve optællingen foregår, når afstemningen lukker. Såfremt vælgeren møder op på valgstedet, benyttes ID-kortet som registrering, og såfremt der ligger en stemmeseddel for den samme ID, overskrives denne. Der er fuld logning, det er muligt at gentage optællingen, og der er ingen sporbarhed mellem den stemmeseddel, der indgår i optællingen, og vælgeren.
Såfremt man ønsker at få et indblik i sikkerhedsbetragtningerne og vurderingerne heraf sammenlignet med andre e-valgsmodeller, kan jeg anbefale at læse denne kandidatopgave:

Statistik over benyttelse af internet afstemningen i Estland siden 2001 kan ses her:

Tilbage til høringen om det danske lovforslag: Handicaporganisationerne i Danmark bakker naturligt nok op om at gennemføre e-valgsforsøg, og læser man kritikken nøje, forstår man også hvorfor Christian Werrnberg-Thougaard fortsat går ind for e-Valg. Men tilgangen er efter min mening desværre blevet forfejlet; man skulle have lyttet til Teknologirådets anbefaling, men man kan med fordel fortsat lære af Estland (og andre lande der fortsat gennemfører eValg).
John Kiniry beretter om hvordan e-Valg gik galt i Holland i 2007 - hvordan de specielle valgPC'ere blev hacket ved hjælp af et tool, der kunne købes på internettet til 15 kr., og en stor del af bekymringen udtrykt på høringen gik netop på muligheden af at hacke valgstedernes PC'er.

Men vælger vi at tage en helt anden tilgang - nemlig at Danmark ikke bliver digitalt fra den ene dag til den anden, at det ikke er spørgsmålet om at lave et hundrede procent sikkert afstemningssystem, men derimod et afstemningssystem, der er bedre (kan tiltrække flere vælgere) end det nuværende, og hvor borgernes tillid kan bevares og løbende udbygges, så skal vi gå efter den Estiske model.

Dagens valgsystem er IKKE 100% sikkert - brevstemmer bliver forlagt, optællinger må gå om, og der er - ganske vist i meget få tilfælde - konstateret forsøg på fusk i en lokal optælling.

Så opgaven er at designe et system, hvor det bliver svært for indtrængere at forfalske resultatet, meget svært at købe stemmer, og svært for insidere at ødelægge gyldige stemmer eller aktivere borgere uden stemmeret. Det er det, som det estiske system sigter mod. PRAKTISK sikkerhed - og så har det den store fordel, at de svage grupper - f.eks. handicappede - kan deltage i afstemningen.
Når man tænker på de seneste meningsmålinger, at kun 30% af førstegangsvælgerne overvejer at deltage i Kommunalvalget til efteråret, vil man også med fordel kunne fange de unge ved at åbne mulighed for deltagelse via internettet. Og så behold muligheden for traditionel afstemning nogle år endnu.

I en senere blog vil jeg diskutere, hvordan man kan evaluere 'praktisk sikkerhed' i e-Valgssystemer og sammenligne med de kendte gode såvel som dårlige eksempler.

(Og lad mig slutte med at sige, at jeg respekterer Trine Bramsen (S) for hendes engagement, også i Privacy-debatren, og jeg er glad for at kunne konstatere, at hun fortsætter den gode tradition med at IT-ordførerne gør en stor indsats for at sætte sig ind i emnet.)