1 <?xml version=
"1.0" encoding=
"ISO-8859-1"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries from September
2012</title>
5 <description>Entries from September
2012</description>
6 <link>http://people.skolelinux.org/pere/blog/
</link>
10 <title>E-valg, fortsatt en dårlig idé (evaluering legges frem i Oslo)
</title>
11 <link>http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html
</link>
12 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html
</guid>
13 <pubDate>Tue,
11 Sep
2012 10:
30:
00 +
0200</pubDate>
14 <description><p
>I
2006 var forslaget om å gjennomføre politiske valg over Internet
16 <a href=
"http://www.nuug.no/dokumenter/valg-horing-
2006-
09.pdf
">NUUG
17 skrev en høringsuttalelse
</a
> (som EFN endte opp med å støtte), som
18 fortsatt er like aktuell. Jeg ble minnet på om den da jeg leste et
19 innlegg i Bergens Tidende med tittelen
20 <a href=
"http://blogg.bt.no/preik/
2012/
09/
11/e-valg/
">En dårlig idé
</a
>
21 som poengterer hvor viktig det er å holde fast ved at vi skal ha
22 hemmelige valg i Norge, og at det nødvendigvis fører til at vi ikke
23 kan ha valg over Internet.
</p
>
25 <p
>Innlegget i BT forteller at det skal være et seminar om
26 evalueringen av e-valgforsøket ved Litteraturhuset i morgen
2012-
09-
12
27 9-
11:
45. Jeg hadde ikke fått med meg dette før nå, og kommer meg nok
28 dessverre ikke innom, men håper det møter mange som fortsatt kan bidra
29 til å få skutt ned e-valgsgalskapen.
</p
>
31 <p
>Det er lenge siden
2006, og jeg regner med at de fleste av mine
32 lesere har glemt eller ikke har lest høringsuttalelsen fra NUUG. Jeg
33 gjengir det derfor her i sin helhet.
</p
>
36 <p
><strong
>Høringsuttalelse fra NUUG og EFN om elektronisk
37 stemmegivning
</strong
></p
>
39 <p
>Petter Reinholdtsen
40 <br
>Leder i foreningen NUUG
41 <br
>2006-
09-
30</p
>
43 <p
>Foreningene NUUG og EFN er glade for å ha blitt invitert til å
44 kommentere utredningen om elektronisk stemmegivning, og håper våre
45 innspill kan komme til nytte. Denne uttalelsen er ført i pennen av
46 NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun Høie, Erik
47 Naggum og Håvard Fosseng.
</p
>
49 <p
>Når en vurderer elektronisk stemmegivning, så tror vi det er viktig
50 å ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i
51 listen fra Cranor, L.F. og Cytron, R.K. i
"Design and Implementation
52 of a Security-Conscious Electronic Polling System
", som oppsummerer
53 hvilke egenskaper som er viktige:
</p
>
57 <li
>Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en
58 stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige
59 opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med
60 i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at
61 den endelige opptellingen er perfekt, enten ved sikre at
62 unøyaktigheter ikke kan bli introdusert eller kan oppdages og
63 korrigert for. Delvis nøyaktige systemer kan oppdage men ikke
64 nødvendigvis korrigere unøyaktigheter.
</li
>
66 <li
>Demokratisk - et system er demokratisk hvis kun de som har lov til
67 å stemme kan stemme, og det sikrer at hver av dem kun kan stemme en
70 <li
>Hemmelig - et system er hemmelig hvis ingen, hverken de som
71 arrangerer valget eller noen andre kan knytte en stemmeseddel til den
72 som avga den, og ingen stemmegiver kan bevise at han eller hun stemte
73 på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg
74 av stemmer og at personer kan tvinges til å stemme på en bestemt
77 <li
>Etterprøvbart - et system er etterprøvbart hvis hvem som helst
78 uavhengig kan kontrollere at opptellingen er korrekt.
</li
>
82 <p
>Et demokratisk valg må sikre at disse punktene er oppfylt. Det er
83 med den bakgrunn vi vurderer elektronisk stemmegivning.
</p
>
85 <p
>Nøyaktig opptelling kan kun oppnås hvis alle steg i
86 opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må
87 være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig
88 å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk
89 lagring av avgitte stemmer kan gjør det svært enkelt å endre på
90 avgitte stemmer uten at det er mulig å oppdage det i
91 ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en
92 annen stemme enn det som er blitt avgitt, selv om det så korrekt ut
93 for den som avga stemmen. Vi mener derfor det er viktig at elektronisk
94 stemmegivning gjøres via papir eller tilsvarende, slik at de som
95 stemmer kan kontrollere at den stemmen de har avgitt er den som blir
96 talt opp. I Australia brukes det et system der de som stemmer gjør
97 sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som
98 sjekkes av den som stemmer før papirrullen leses inn av
99 opptellingssystemet. En sikrer slik at hver enkelt stemme kan
100 kontrolleres på nytt.
</p
>
102 <p
>Etterprøvbarhet kan kun oppnås hvis hver enkelt stemmegiver kan
103 kontrollere hele systemet som brukes for stemmegivning. For at dette
104 skal være mulig er en nødvendig betingelse at en har innsyn i hvordan
105 systemene er satt sammen, og hvordan de brukes. Selv om de aller
106 fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig
107 at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne
108 velge hvilke eksperter de vil stole på. Dette forutsetter blant annet
109 tilgang til kildekoden og informasjon om hvordan de ulike delene av
110 det totale stemmegivingssystemet er koblet. Lukkede systemer der
111 kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene
112 som brukes under selve valgene, er sårbare for trojanere (programvare
113 som gjør noe annet og/eller mer enn det leverandøren sier den skal,
114 f.eks. endre sluttresulatet av en opptelling) og påvirkning fra
115 leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold
116 og Siebel allerede. Det finnes i dag flere tilgjengelige fri
117 programvaresystemer for elektronisk stemmegiving og opptelling. Fri
118 programvare sikrer brukeren kontroll over datasystemene. Slike
119 systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske
120 valgsystem som ble brukt i det australske parlamentvalget
2001 og
121 2004. For å sikre at det er mulig å gjennomføre omtellinger må hver
122 enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et
123 slikt papirspor må sikres slik at de ikke kan endres i ettertid.
125 <p
><strong
>Vellykkede elektroniske valgsystemer
</strong
></p
>
127 <p
>I Venezuela fungerte avstemmingsmaskinene slik at de som stemte
128 markerte det de stemte på en skjerm, og valgene ble skrevet på en
129 papirrull som den som stemmer så de kunne sjekke for å kontrollere at
130 de valgene som ble gjort kom med på papirrullen. Deretter ble
131 voteringstallene sendt elektronisk fra hver maskin til tre uavhengige
132 opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte
133 opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis
134 det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke
135 resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene
136 ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det
137 er likevel mulig å organisere seg slik at det blir vanskelig å
138 forfalske valgresultatet ved å bytte ut eller endre rullene.
</p
>
140 <p
>India har et elektronisk voteringssystem som ble tatt i bruk i
141 1989. Det består av to ulike enheter, en opptellingsenhet og en
142 avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å
143 påvirke, men mangler oppbevaring av hver enkelt stemme på et
144 ikke-elektronisk format, noe som gjør omtelling umulig.
</p
>
146 <p
><strong
>Mindre vellykkede elektroniske valgsystemer
</strong
></p
>
148 <p
>I USA finnes en rekke ulike leverandører av elektroniske
149 valgsystemer, og det er dokumentert svakheter med flere av
150 dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og
151 Edward W. Felten ved Universitetet i Princeton dokumentert hvordan
152 systemet fra Diebold kan manipuleres til gi uriktig
153 avstemmingsresultat. Det er også indikasjoner på at noen av systemene
154 kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har
155 nylig i en artikkel fortalt om flere avvik fra valget i
2004. Norge
156 bør unngå systemer som kan manipuleres slik det rapporteres om fra
159 <p
>Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg
160 på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent
161 et valgsystem der de som arrangerer valget har mulighet til å se hvem
162 som har stemt hva, samt hver deltager i valget kan endre sin stemme i
163 ettertid (ikke-hemmelig), de som administrerer datasystemet kan
164 påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer
165 (ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik
166 påvirkning har funnet sted (ikkeetterprøvbart). Webbaserte
167 valgsystemer uten spesiell klientprogramvare vil ha flere av disse
168 problemene.
</p
>
170 <p
><strong
>Konkrete kommentarer til rapporten
</strong
></p
>
172 <p
>Rapporten nevner ikke muligheten for å påvirke valgresultatet via
173 trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer
174 mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å
175 stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan
176 kontrollere at systemet gjør det det skal, og dette tilsier bruk av
177 fri programvare.
</p
>
179 <p
>Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut
180 sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere
181 seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til
182 hvordan de fungerer. Som eksempelet fra USA viser, kan man godt
183 mistenke leverandøren for å jukse med systemet. Selve det at en slik
184 mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig
185 inspeksjon, er et problem for demokratiet. Et sikkert system må være
186 sikkert selv om noen med uærlige hensikter kjenner til hvordan det
187 fungerer. Australia har allerede gjennomført vellykkede valg basert på
188 et fri programvaresystem.
</p
>
190 <p
>Driften av totalsystemet blir ofret liten oppmerksomhet i
191 rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som
192 bør vurderes nøye.
</p
>
194 <p
>Definisjonen av brannmur i rapporten er feil, for eksempel sies at
195 "brannmuren er selv immun mot inntrengning
". Dette er ikke riktig. Det
196 er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes
197 til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom
198 brannmuren. I store applikasjoner, som et valgsystem vil være, kreves
199 et system av brannmurer og andre tiltak som vi kaller
200 sikkerhetsarkitektur. Rapporten burde komme inn på behovet for en
201 sikkerhetsarkitektur.. Selv med en gjennomarbeidet
202 sikkerhetsarkitektur kan det være at man overser muligheter for å
203 unngå brannmurene. Rapporten snakker om brannmur i entall, mens det
204 nok er nødvendig å sikre et valgsystem med flere lag av
205 sikringstiltak, og dermed vil være behov for flere brannmurer. En
206 brannmur kan være bygd basert på visse antagelser og standarder. En
207 annen brannmur kan bygge på et annet sett antagelser, og stoppe
208 trafikk som den første ikke tar høyde for.
210 <p
>Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen
211 antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør
212 forbedres. For eksempel er driften ansvarlig for operativ
213 sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om
214 hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil
215 konfigurert eller ikke oppdatert?
</p
>
217 <p
>Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i
218 rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne
219 oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som
220 ledd i sikkerhetsarkitekturen.
</p
>
222 <p
>Det har blitt rapportert i pressen at USA ikke bør kjøpe
223 Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til
224 et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da
225 vi mangler nødvendig dataindustri, men vi bør satse på at
226 applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning
227 kjører programvare der vi har innsyn i hvordan den er satt sammen. Det
228 er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan
229 sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder
230 valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I
231 tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn
232 kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av
233 tendenser i USA til å i uheldig stor grad fokusere på
234 kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes
235 at det hefter betenkeligheter ved innkjøp herfra.
</p
>
237 <p
><strong
>Referanser
</strong
></p
>
241 <li
>Cranor, L.F. og Cytron, R.K.,
"Design and Implementation of a
242 Security-Conscious Electronic Polling System
" Washington University
243 Computer Science Technical Report WUCS-
96-
02. February
1996
244 http://www.cs.wustl.edu/cs/techreports/
1996/wucs-
96-
02.ps.Z
</li
>
246 <li
>Det australske valgsystemet, inkludert kildekoden tilgjengelig som
247 fri programvare http://www.elections.act.gov.au/Elecvote.html
</li
>
249 <li
>Smartmatics SAES voting system used in venesuela
2004
250 http://www.smartmatic.com/solutions_03-
1.htm
</li
>
252 <li
>Blackboxvoting, interessegruppe i USA med fokus på valgfusk
253 vha. elektroniske valgsystemer http://www.blackboxvoting.org/
</li
>
255 <li
>VerifiedVoting, interessegruppe i USA med fokus på at også
256 elektroniske valgsystemer må være
257 etterprøvbare. http://www.verifiedvoting.org/
</li
>
259 <li
>Blue Screen Democracy - fri programvareprosjekt som har utviklet
260 elektronisk stemmegivingssystem
261 http://bluescreen.sourceforge.net/
</li
>
263 <li
>Indias elektroniske avstemmingssystem (Wikipedia)
264 http://en.wikipedia.org/wiki/Indian_voting_machines
</li
>
266 <li
>Security Analysis of the Diebold AccuVote-TS Voting Machine av
267 Ariel J. Feldman, J. Alex Halderman, og Edward
268 W. Felten. http://itpolicy.princeton.edu/voting/
269 http://coblitz.codeen.org:
3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
</li
>
271 <li
>Was the
2004 Election Stolen? av Robert F. Kennedy
272 Jr. http://www.rollingstone.com/news/story/
10432334/was_the_2004_election_stolen
</li
>
274 <li
>Styreframlegg om elektronisk votering ved
275 UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/
5/protokoll.xml
276 http://www.admin.uio.no/kollegiet/moter/kart_prot2006/
5/vsak-
14.pdf
277 http://www.admin.uio.no/kollegiet/moter/kart_prot2006/
5/vsak-
14-vedlegg.pdf
</li
>
279 <li
>Elektroniske valg - muligheter, problemer og noen løsninger
280 Semesteroppgave i STV620 - Demokratiske valg
281 http://www.afin.uio.no/forskning/notater/
4_01.html
</li
>
283 <li
>NUUG - Norwegian Unix User Group http://www.nuug.no/
</li
>
285 <li
>EFN - Elektronisk forpost Norge http://www.efn.no/
</li
>
290 <p
>Som alltid med valg er det ikke viktigst hva folk stemmer på, men
291 hvem som teller opp stemmene... Hvis du er interessert i temaet
292 e-valg, så har NUUG siden
2006 oppdatert
293 <a href=
"http://wiki.nuug.no/uttalelser/
2006-elektronisk-stemmegiving
">NUUGs
294 wikiside om høringen
</a
> med aktuelle og interessante referanser og
295 artikler. Ta en titt der hvis du vil lese mer. :)
</p
>
300 <title>Git repository for song book for Computer Scientists
</title>
301 <link>http://people.skolelinux.org/pere/blog/Git_repository_for_song_book_for_Computer_Scientists.html
</link>
302 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Git_repository_for_song_book_for_Computer_Scientists.html
</guid>
303 <pubDate>Fri,
7 Sep
2012 13:
50:
00 +
0200</pubDate>
304 <description><p
>As I
305 <a href=
"http://people.skolelinux.org/pere/blog/Song_book_for_Computer_Scientists.html
">mentioned
306 this summer
</a
>, I have created a Computer Science song book a few
307 years ago, and today I finally found time to create a public
308 <a href=
"https://gitorious.org/pere-cs-songbook/pere-cs-songbook
">Gitorious
309 repository for the project
</a
>.
</p
>
311 <p
>If you want to help out, please clone the source and submit patches
312 to the HTML version. To generate the PDF and PostScript version,
313 please use prince XML, or let me know about a useful free software
314 processor capable of creating a good looking PDF from the HTML.
</p
>
316 <p
>Want to sing? You can still find the song book in HTML, PDF and
317 PostScript formats at
318 <a href=
"http://www.hungry.com/~pere/cs-songbook/
">Petter
's Computer
319 Science Songbook
</a
>.
</p
>
projects / homepage.git / blob