- <li>CUPS for admins to add/configure printers and users when using
- quotas.</li>
- <li>Nagios for admins checking the system status.</li>
- <li>GOsa for admins updating LDAP and users changing their passwords.</li>
- <li>LDAP for admins updating LDAP.</li>
- <li>Squid for users when exam mode / filtering is active.</li>
- <li>ssh for admins and users to save a password prompt.</li>
-
-</ul></li>
-
-<li>When we move GOsa to use Kerberos instead of LDAP bind to
-authenticate users, we should try to block or at least limit access to
-use LDAP bind for authentication, to ensure Kerberos is used when it
-is intended, and nothing fall back to using the less safe LDAP bind</li>
-
-<li>Merge debian-edu-config and debian-edu-install. The split made
-sense when d-e-install did a lot more, but these days it is just an
-inconvenience when we update the debconf preseeding values.</li>
-
-<li>Fix partman-auto to allow us to abort the installation before
-touching the disk if the disk is too small. This is
-<a href="http://bugs.debian.org/653305">BTS report #653305</a> and the
-d-i developers are fine with the patch and someone just need to apply
-it and upload. After this is done we need to adjust
-debian-edu-install to use this new hook.</li>
-
-<li>Adjust to new LTSP framework (boot time config instead of install
-time config). LTSP changed its design, and our hooks to install
-packages and update the configuration is most likely not going to work
-in Wheezy.
-
-<li>Consider switching to NBD instead of NFS for LTSP root, to allow
-the Kernel to cache files in its normal file cache, possibly speeding
-up KDE login on slow networks.</li>
-
-<li>Make it possible to create expired user passwords that need to
-change on first login. This is useful when handing out password on
-paper, to make sure only the user know the password. This require
-fixes to the PAM handling of kdm and gdm.</li>
-
-<li>Make GUI for adding new machines automatically from sitesummary.
-The current command line script is not very friendly to people most
-familiar with GUIs. This should probably be integrated into GOsa to
-have it available where the admin will be looking for it..</li>
-
-<li>We should find way for Nagios to check that the DHCP service
-actually is working (as in handling out IP addresses). None of the
-Nagios checks I have found so far have been working for me.</li>
-
-<li>We should switch from libpam-nss-ldapd to sssd for all profiles
-using LDAP, and not only on for roaming workstations, to have less
-packages to configure and consistent setup across all profiles.</li>
-
-<li>We should configure Kerberos to update LDAP and Samba password
-when changing password using the Kerberos protocol. The hook was
-requested in <a href="http://bugs.debian.org/588968">BTS report
-#588968</a> and is now available in Wheezy. We might need to write a
-MIT Kerberos plugin in C to get this.</li>
-
-<li>We should clean up the set of applications installed by default.
+<li>Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en
+stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige
+opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med
+i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at
+den endelige opptellingen er perfekt, enten ved sikre at
+unøyaktigheter ikke kan bli introdusert eller kan oppdages og
+korrigert for. Delvis nøyaktige systemer kan oppdage men ikke
+nødvendigvis korrigere unøyaktigheter.</li>
+
+<li>Demokratisk - et system er demokratisk hvis kun de som har lov til
+å stemme kan stemme, og det sikrer at hver av dem kun kan stemme en
+gang.</li>
+
+<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som
+arrangerer valget eller noen andre kan knytte en stemmeseddel til den
+som avga den, og ingen stemmegiver kan bevise at han eller hun stemte
+på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg
+av stemmer og at personer kan tvinges til å stemme på en bestemt
+måte.</li>
+
+<li>Etterprøvbart - et system er etterprøvbart hvis hvem som helst
+uavhengig kan kontrollere at opptellingen er korrekt.</li>
+
+</ul>
+
+<p>Et demokratisk valg må sikre at disse punktene er oppfylt. Det er
+med den bakgrunn vi vurderer elektronisk stemmegivning.</p>
+
+<p>Nøyaktig opptelling kan kun oppnås hvis alle steg i
+opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må
+være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig
+å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk
+lagring av avgitte stemmer kan gjør det svært enkelt å endre på
+avgitte stemmer uten at det er mulig å oppdage det i
+ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en
+annen stemme enn det som er blitt avgitt, selv om det så korrekt ut
+for den som avga stemmen. Vi mener derfor det er viktig at elektronisk
+stemmegivning gjøres via papir eller tilsvarende, slik at de som
+stemmer kan kontrollere at den stemmen de har avgitt er den som blir
+talt opp. I Australia brukes det et system der de som stemmer gjør
+sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som
+sjekkes av den som stemmer før papirrullen leses inn av
+opptellingssystemet. En sikrer slik at hver enkelt stemme kan
+kontrolleres på nytt.</p>
+
+<p>Etterprøvbarhet kan kun oppnås hvis hver enkelt stemmegiver kan
+kontrollere hele systemet som brukes for stemmegivning. For at dette
+skal være mulig er en nødvendig betingelse at en har innsyn i hvordan
+systemene er satt sammen, og hvordan de brukes. Selv om de aller
+fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig
+at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne
+velge hvilke eksperter de vil stole på. Dette forutsetter blant annet
+tilgang til kildekoden og informasjon om hvordan de ulike delene av
+det totale stemmegivingssystemet er koblet. Lukkede systemer der
+kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene
+som brukes under selve valgene, er sårbare for trojanere (programvare
+som gjør noe annet og/eller mer enn det leverandøren sier den skal,
+f.eks. endre sluttresulatet av en opptelling) og påvirkning fra
+leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold
+og Siebel allerede. Det finnes i dag flere tilgjengelige fri
+programvaresystemer for elektronisk stemmegiving og opptelling. Fri
+programvare sikrer brukeren kontroll over datasystemene. Slike
+systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske
+valgsystem som ble brukt i det australske parlamentvalget 2001 og
+2004. For å sikre at det er mulig å gjennomføre omtellinger må hver
+enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et
+slikt papirspor må sikres slik at de ikke kan endres i ettertid.
+
+<p><strong>Vellykkede elektroniske valgsystemer</strong></p>
+
+<p>I Venezuela fungerte avstemmingsmaskinene slik at de som stemte
+markerte det de stemte på en skjerm, og valgene ble skrevet på en
+papirrull som den som stemmer så de kunne sjekke for å kontrollere at
+de valgene som ble gjort kom med på papirrullen. Deretter ble
+voteringstallene sendt elektronisk fra hver maskin til tre uavhengige
+opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte
+opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis
+det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke
+resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene
+ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det
+er likevel mulig å organisere seg slik at det blir vanskelig å
+forfalske valgresultatet ved å bytte ut eller endre rullene.</p>
+
+<p>India har et elektronisk voteringssystem som ble tatt i bruk i
+1989. Det består av to ulike enheter, en opptellingsenhet og en
+avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å
+påvirke, men mangler oppbevaring av hver enkelt stemme på et
+ikke-elektronisk format, noe som gjør omtelling umulig.</p>
+
+<p><strong>Mindre vellykkede elektroniske valgsystemer</strong></p>
+
+<p>I USA finnes en rekke ulike leverandører av elektroniske
+valgsystemer, og det er dokumentert svakheter med flere av
+dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og
+Edward W. Felten ved Universitetet i Princeton dokumentert hvordan
+systemet fra Diebold kan manipuleres til gi uriktig
+avstemmingsresultat. Det er også indikasjoner på at noen av systemene
+kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har
+nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge
+bør unngå systemer som kan manipuleres slik det rapporteres om fra
+USA.</p>
+
+<p>Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg
+på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent
+et valgsystem der de som arrangerer valget har mulighet til å se hvem
+som har stemt hva, samt hver deltager i valget kan endre sin stemme i
+ettertid (ikke-hemmelig), de som administrerer datasystemet kan
+påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer
+(ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik
+påvirkning har funnet sted (ikke etterprøvbart). Webbaserte
+valgsystemer uten spesiell klientprogramvare vil ha flere av disse
+problemene.</p>
+
+<p><strong>Konkrete kommentarer til rapporten</strong></p>
+
+<p>Rapporten nevner ikke muligheten for å påvirke valgresultatet via
+trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer
+mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å
+stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan
+kontrollere at systemet gjør det det skal, og dette tilsier bruk av
+fri programvare.</p>
+
+<p>Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut
+sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere
+seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til
+hvordan de fungerer. Som eksempelet fra USA viser, kan man godt
+mistenke leverandøren for å jukse med systemet. Selve det at en slik
+mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig
+inspeksjon, er et problem for demokratiet. Et sikkert system må være
+sikkert selv om noen med uærlige hensikter kjenner til hvordan det
+fungerer. Australia har allerede gjennomført vellykkede valg basert på
+et fri programvaresystem.</p>
+
+<p>Driften av totalsystemet blir ofret liten oppmerksomhet i
+rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som
+bør vurderes nøye.</p>
+
+<p>Definisjonen av brannmur i rapporten er feil, for eksempel sies at
+"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det
+er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes
+til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom
+brannmuren. I store applikasjoner, som et valgsystem vil være, kreves
+et system av brannmurer og andre tiltak som vi kaller
+sikkerhetsarkitektur. Rapporten burde komme inn på behovet for en
+sikkerhetsarkitektur.. Selv med en gjennomarbeidet
+sikkerhetsarkitektur kan det være at man overser muligheter for å
+unngå brannmurene. Rapporten snakker om brannmur i entall, mens det
+nok er nødvendig å sikre et valgsystem med flere lag av
+sikringstiltak, og dermed vil være behov for flere brannmurer. En
+brannmur kan være bygd basert på visse antagelser og standarder. En
+annen brannmur kan bygge på et annet sett antagelser, og stoppe
+trafikk som den første ikke tar høyde for.
+
+<p>Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen
+antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør
+forbedres. For eksempel er driften ansvarlig for operativ
+sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om
+hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil
+konfigurert eller ikke oppdatert?</p>
+
+<p>Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i
+rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne
+oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som
+ledd i sikkerhetsarkitekturen.</p>
+
+<p>Det har blitt rapportert i pressen at USA ikke bør kjøpe
+Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til
+et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da
+vi mangler nødvendig dataindustri, men vi bør satse på at
+applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning
+kjører programvare der vi har innsyn i hvordan den er satt sammen. Det
+er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan
+sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder
+valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I
+tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn
+kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av
+tendenser i USA til å i uheldig stor grad fokusere på
+kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes
+at det hefter betenkeligheter ved innkjøp herfra.</p>
+
+<p><strong>Referanser</strong></p>
+
projects / homepage.git / blobdiff