Petter Reinholdtsen

I 2006 var forslaget om å gjennomføre politiske valg over Internet ute på høring, og NUUG skrev en høringsuttalelse (som EFN endte opp med å støtte), som fortsatt er like aktuell. Jeg ble minnet på om den da jeg leste et innlegg i Bergens Tidende med tittelen En dårlig idé som poengterer hvor viktig det er å holde fast ved at vi skal ha hemmelige valg i Norge, og at det nødvendigvis fører til at vi ikke kan ha valg over Internet.

Innlegget i BT forteller at det skal være et seminar om evalueringen av e-valgforsøket ved Litteraturhuset i morgen 2012-09-12 9-11:45. Jeg hadde ikke fått med meg dette før nå, og kommer meg nok dessverre ikke innom, men håper det møter mange som fortsatt kan bidra til å få skutt ned e-valgsgalskapen.

Det er lenge siden 2006, og jeg regner med at de fleste av mine lesere har glemt eller ikke har lest høringsuttalelsen fra NUUG. Jeg gjengir det derfor her i sin helhet.

Høringsuttalelse fra NUUG og EFN om elektronisk stemmegivning

Petter Reinholdtsen
Leder i foreningen NUUG
2006-09-30

Foreningene NUUG og EFN er glade for å ha blitt invitert til å kommentere utredningen om elektronisk stemmegivning, og håper våre innspill kan komme til nytte. Denne uttalelsen er ført i pennen av NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun Høie, Erik Naggum og Håvard Fosseng.

Når en vurderer elektronisk stemmegivning, så tror vi det er viktig å ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation of a Security-Conscious Electronic Polling System", som oppsummerer hvilke egenskaper som er viktige:

• Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at den endelige opptellingen er perfekt, enten ved sikre at unøyaktigheter ikke kan bli introdusert eller kan oppdages og korrigert for. Delvis nøyaktige systemer kan oppdage men ikke nødvendigvis korrigere unøyaktigheter.
• Demokratisk - et system er demokratisk hvis kun de som har lov til å stemme kan stemme, og det sikrer at hver av dem kun kan stemme en gang.
• Hemmelig - et system er hemmelig hvis ingen, hverken de som arrangerer valget eller noen andre kan knytte en stemmeseddel til den som avga den, og ingen stemmegiver kan bevise at han eller hun stemte på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg av stemmer og at personer kan tvinges til å stemme på en bestemt måte.
• Etterprøvbart - et system er etterprøvbart hvis hvem som helst uavhengig kan kontrollere at opptellingen er korrekt.

Et demokratisk valg må sikre at disse punktene er oppfylt. Det er med den bakgrunn vi vurderer elektronisk stemmegivning.

Nøyaktig opptelling kan kun oppnås hvis alle steg i opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk lagring av avgitte stemmer kan gjør det svært enkelt å endre på avgitte stemmer uten at det er mulig å oppdage det i ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en annen stemme enn det som er blitt avgitt, selv om det så korrekt ut for den som avga stemmen. Vi mener derfor det er viktig at elektronisk stemmegivning gjøres via papir eller tilsvarende, slik at de som stemmer kan kontrollere at den stemmen de har avgitt er den som blir talt opp. I Australia brukes det et system der de som stemmer gjør sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som sjekkes av den som stemmer før papirrullen leses inn av opptellingssystemet. En sikrer slik at hver enkelt stemme kan kontrolleres på nytt.

Etterprøvbarhet kan kun oppnås hvis hver enkelt stemmegiver kan kontrollere hele systemet som brukes for stemmegivning. For at dette skal være mulig er en nødvendig betingelse at en har innsyn i hvordan systemene er satt sammen, og hvordan de brukes. Selv om de aller fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne velge hvilke eksperter de vil stole på. Dette forutsetter blant annet tilgang til kildekoden og informasjon om hvordan de ulike delene av det totale stemmegivingssystemet er koblet. Lukkede systemer der kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene som brukes under selve valgene, er sårbare for trojanere (programvare som gjør noe annet og/eller mer enn det leverandøren sier den skal, f.eks. endre sluttresulatet av en opptelling) og påvirkning fra leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold og Siebel allerede. Det finnes i dag flere tilgjengelige fri programvaresystemer for elektronisk stemmegiving og opptelling. Fri programvare sikrer brukeren kontroll over datasystemene. Slike systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske valgsystem som ble brukt i det australske parlamentvalget 2001 og 2004. For å sikre at det er mulig å gjennomføre omtellinger må hver enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et slikt papirspor må sikres slik at de ikke kan endres i ettertid.

Vellykkede elektroniske valgsystemer

I Venezuela fungerte avstemmingsmaskinene slik at de som stemte markerte det de stemte på en skjerm, og valgene ble skrevet på en papirrull som den som stemmer så de kunne sjekke for å kontrollere at de valgene som ble gjort kom med på papirrullen. Deretter ble voteringstallene sendt elektronisk fra hver maskin til tre uavhengige opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det er likevel mulig å organisere seg slik at det blir vanskelig å forfalske valgresultatet ved å bytte ut eller endre rullene.

India har et elektronisk voteringssystem som ble tatt i bruk i 1989. Det består av to ulike enheter, en opptellingsenhet og en avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å påvirke, men mangler oppbevaring av hver enkelt stemme på et ikke-elektronisk format, noe som gjør omtelling umulig.

Mindre vellykkede elektroniske valgsystemer

I USA finnes en rekke ulike leverandører av elektroniske valgsystemer, og det er dokumentert svakheter med flere av dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og Edward W. Felten ved Universitetet i Princeton dokumentert hvordan systemet fra Diebold kan manipuleres til gi uriktig avstemmingsresultat. Det er også indikasjoner på at noen av systemene kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge bør unngå systemer som kan manipuleres slik det rapporteres om fra USA.

Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent et valgsystem der de som arrangerer valget har mulighet til å se hvem som har stemt hva, samt hver deltager i valget kan endre sin stemme i ettertid (ikke-hemmelig), de som administrerer datasystemet kan påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer (ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik påvirkning har funnet sted (ikkeetterprøvbart). Webbaserte valgsystemer uten spesiell klientprogramvare vil ha flere av disse problemene.

Konkrete kommentarer til rapporten

Rapporten nevner ikke muligheten for å påvirke valgresultatet via trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan kontrollere at systemet gjør det det skal, og dette tilsier bruk av fri programvare.

Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til hvordan de fungerer. Som eksempelet fra USA viser, kan man godt mistenke leverandøren for å jukse med systemet. Selve det at en slik mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig inspeksjon, er et problem for demokratiet. Et sikkert system må være sikkert selv om noen med uærlige hensikter kjenner til hvordan det fungerer. Australia har allerede gjennomført vellykkede valg basert på et fri programvaresystem.

Driften av totalsystemet blir ofret liten oppmerksomhet i rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som bør vurderes nøye.

Definisjonen av brannmur i rapporten er feil, for eksempel sies at "brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom brannmuren. I store applikasjoner, som et valgsystem vil være, kreves et system av brannmurer og andre tiltak som vi kaller sikkerhetsarkitektur. Rapporten burde komme inn på behovet for en sikkerhetsarkitektur.. Selv med en gjennomarbeidet sikkerhetsarkitektur kan det være at man overser muligheter for å unngå brannmurene. Rapporten snakker om brannmur i entall, mens det nok er nødvendig å sikre et valgsystem med flere lag av sikringstiltak, og dermed vil være behov for flere brannmurer. En brannmur kan være bygd basert på visse antagelser og standarder. En annen brannmur kan bygge på et annet sett antagelser, og stoppe trafikk som den første ikke tar høyde for.

Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør forbedres. For eksempel er driften ansvarlig for operativ sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil konfigurert eller ikke oppdatert?

Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som ledd i sikkerhetsarkitekturen.

Det har blitt rapportert i pressen at USA ikke bør kjøpe Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da vi mangler nødvendig dataindustri, men vi bør satse på at applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning kjører programvare der vi har innsyn i hvordan den er satt sammen. Det er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av tendenser i USA til å i uheldig stor grad fokusere på kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes at det hefter betenkeligheter ved innkjøp herfra.

Referanser

• Cranor, L.F. og Cytron, R.K., "Design and Implementation of a Security-Conscious Electronic Polling System" Washington University Computer Science Technical Report WUCS-96-02. February 1996 http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z
• Det australske valgsystemet, inkludert kildekoden tilgjengelig som fri programvare http://www.elections.act.gov.au/Elecvote.html
• Smartmatics SAES voting system used in venesuela 2004 http://www.smartmatic.com/solutions_03-1.htm
• Blackboxvoting, interessegruppe i USA med fokus på valgfusk vha. elektroniske valgsystemer http://www.blackboxvoting.org/
• VerifiedVoting, interessegruppe i USA med fokus på at også elektroniske valgsystemer må være etterprøvbare. http://www.verifiedvoting.org/
• Blue Screen Democracy - fri programvareprosjekt som har utviklet elektronisk stemmegivingssystem http://bluescreen.sourceforge.net/
• Indias elektroniske avstemmingssystem (Wikipedia) http://en.wikipedia.org/wiki/Indian_voting_machines
• Security Analysis of the Diebold AccuVote-TS Voting Machine av Ariel J. Feldman, J. Alex Halderman, og Edward W. Felten. http://itpolicy.princeton.edu/voting/ http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
• Was the 2004 Election Stolen? av Robert F. Kennedy Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen
• Styreframlegg om elektronisk votering ved UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf
• Elektroniske valg - muligheter, problemer og noen løsninger Semesteroppgave i STV620 - Demokratiske valg http://www.afin.uio.no/forskning/notater/4_01.html
• NUUG - Norwegian Unix User Group http://www.nuug.no/
• EFN - Elektronisk forpost Norge http://www.efn.no/

Som alltid med valg er det ikke viktigst hva folk stemmer på, men hvem som teller opp stemmene... Hvis du er interessert i temaet e-valg, så har NUUG siden 2006 oppdatert NUUGs wikiside om høringen med aktuelle og interessante referanser og artikler. Ta en titt der hvis du vil lese mer. :)

As I mentioned this summer, I have created a Computer Science song book a few years ago, and today I finally found time to create a public Gitorious repository for the project.

If you want to help out, please clone the source and submit patches to the HTML version. To generate the PDF and PostScript version, please use prince XML, or let me know about a useful free software processor capable of creating a good looking PDF from the HTML.

Want to sing? You can still find the song book in HTML, PDF and PostScript formats at Petter's Computer Science Songbook.

I dag har Digi en artikkel om at initiativet for å få et norsk Piratparti er i gang med å samle inn sine 5000 underskrifter for å få registrert seg som parti til neste års stortingsvalg. Initiativet ble annonsert i sommer, og har nå kommet så langt at det er på tide å signere (på papir, med penn og frimerke for innsending. :).

Dagens partier har i stor grad spilt fallitt på det digitale området, så jeg er positiv til at det kommer en ny aktør på området som kan ruske opp litt i gamle strukturer og holdninger, og forhåpentligvis få gjennomslag for noen av sine saker. Piratpartiet har laget og publisert et kjerneprogram som inneholder mange punkter en kan si seg enig i.

Jeg er ikke sikker på om jeg kommer til å stemme på dem, men jeg stiller meg helt klart bak at de bør få lov til å stille til valg, og har selv begynt å samle inn underskrifter. Jeg oppfordrer herved alle mine lesere til å gjøre det samme. Det trengs 5000 underskrifter før nyttår, hvilket betyr at det må samles inn minst 40 underskrifter hver eneste dag frem til 31. desember. Her er det mye arbeide som det haster med å få gjort.

Min venn Håkon Wium Lie fronter initiativet, og skjema for individuell signering finnes på hans websider. Hvis en vil få andre til å signere er det et egen skjema i PDF-format en kan skrive ut og sende inn. Her er det bare å sette igang!

I came across a great comment from Simon Phipps today, about how Microsoft have been forced to open Office, and it made me remember and revisit the great site officeshots which allow you to check out how different programs present the ODF file format. I recommend both to those of my readers interested in ODF. :)

In my spare time, I currently work on a Norwegian docbook version of the 2004 book Free Culture by Lawrence Lessig, to get a Norwegian text explaining the problems with the copyright law I can give to my parents and others that are reluctant to read an English book. It is a marvellous set of examples on how the ever expanding copyright regulations hurt culture and society. When the translation is done, I hope to find funding to print and ship a copy to all the members of the Norwegian parliament, before they sit down to debate the latest revisions to the Norwegian copyright law. This summer I called for volunteers to help me, and I have been able to secure the valuable contribution from at least one other Norwegian.

Two days ago, we finally broke the 50% mark. Then more than 50% of the number of strings to translate (normally paragraphs, but also titles and index entries are also counted). All parts from the beginning up to and including chapter four is translated. So is chapters six, seven and the conclusion. I created a graph to show the progress:

The number of strings to translate increase as I insert the index entries into the docbook. They were missing with the docbook version I initially started with. There are still quite a few index entries missing, but everyone starting with A, B, O, Z and Y are done. I currently focus on completing the index entries, to get a complete english version of the docbook source.

There is still need for translators and people with docbook knowledge, to be able to get a good looking book (I still struggle with dblatex, xmlto and docbook-xsl) as well as to do the draft translation and proof reading. And I would like the figures to be redrawn as SVGs to make it easy to translate them. Any SVG master around? I am sure there are some legal terms that are unfamiliar to me. If you want to help, please get in touch, and check out the project files currently available from github.

If you are curious what the translated book currently look like, the updated PDF and EPUB are published on github. The HTML version is published as well, but github hand it out with MIME type text/plain, confusing browsers, so I saw no point in linking to that version.

I dag fyller Debian-prosjektet 19 år. Jeg har fulgt det de siste 12 årene, og er veldig glad for å kunne si gratulerer med dagen, Debian!

I sommer hadde avisen Fremover et flott oppslag om bruken av Skolelinux på alle skolene der. Artikkelen var på trykk på side 4 og 5 i papirutgaven 2012-07-23, men mangler dessverre i nettutgaven av avisen. Mine henvendelser til avisen for å få artikkelen på nett har så langt ikke vært vellykket.

Artikkelen med tittelen "Narvik kommune bruker gratisprogram i skolen - Har spart millioner", forteller om hvordan bruken av Skolelinux er en stor suksess i Narvik siden det ble tatt i bruk i 2004. Her er noen fine sitater:

"- Skolelinux har spart kommunen for store pengesummer, millionbeløp, som de heller kan bruke på andre ting, sier IKT-konsulent Viggo Fedreheim."

Avisen forteller at de har fått tilgang til beregninger som viser at Narvik kommune har spart noe mellom 10 og 20 millioner kroner de siste 8 årene på å bruke Skolelinux, og fortsetter:

"Regnestykket tar høyde for sparte kostnader til lisenser som medfølger de alternative operativsystemene, lavere driftskostnader og lengre levetid på datautstyret. Totalt har Narvikskolen en maskinpark på 1600 maskiner fordelt på de 11 skolene fra Skjomen i sør til Bjerkvik i nord."

Viggo Fedreheim sier dette om hvor noe av gevinsten kommer fra:

"- Vi kan gjenbruke gamle maskiner i skolen som er for dårlig andre steder i kommunen der de ikke bruker Skolelinux. Levetiden på en datamaskin blir 3-5 år lenger med Skolelinux. Vi kaller det for grønn IT, miljøvennlig IT."

Her er det mulighet for flere kommuner å få et godt IT-system på skolene, hvis de er villige til å forsøke. De som ikke har kompetanse innomhus kan kjøpe det fra en av de kommersielle leverandørene av Skolelinux-tjenester, som Skolelinux Drift AS (der jeg er styremedlem). Komplett liste er tilgjengelig via wikien.

Update 2012-08-16: Today I was allowed by Fremover to put the PDF I received from them with a copy of the article on the Internet. It is now available in the Skolelinux press archive.

In docbook one can specify the language used at the top, and the processing pipeline will use this information to pick the correct translations for 'chapter', 'see also', 'index' etc. And for most languages used with docbook, I guess this work just fine. For example a German user can start the document with <book lang="de">, and the document will show up with the correct content with any of the docbook processors. This is not the case for the language I am working with at the moment, Norwegian Bokmål.

For a while, I was confused about which language code to use, because I was unable to find any language code that would work across all tools. I am currently testing dblatex, xmlto, docbook-xsl, and dbtoepub, and they do not handle Norwegian Bokmål the same way. Some of them do not handle it at all.

A bit of background information is probably needed to understand this mess. Norwegian is not one, but two written variants. The variants are Norwegian Nynorsk and Norwegian Bokmål. There are three two letter language codes associated with these languages, Norwegian is 'no', Norwegian Nynorsk is 'nn' and Norwegian Bokmål is 'nb'. Historically the 'no' language code was used for Norwegian Bokmål, but many years ago this was found to be å bad idea, and the recommendation is to use the most specific language code instead, to avoid confusion. In the transition period it is a good idea to make sure 'no' was an alias for 'nb'.

Back to docbook processing tools in Debian. The dblatex tool only understand 'nn'. There are translations for 'no', but not 'nb' (BTS #684391), but due to a bug (BTS #682936) the 'no' language code is not recognised. The docbook-xsl tool chain only recognise 'nn' and 'nb', but not 'no'. The xmlto tool only recognise 'nn' and 'nb', but not 'no'. The end result that there is no language code I can use to get the docbook file working with all of these tools at the same time. :(

The correct solution is to use <book lang="nb">, but it will take time before that will work with all the free software docbook processors. :(

Oh, the joy of well integrated tools. :/

I tried to send this text to the docbook-apps mailing list at lists.oasis-open.org, but it only accept messages from subscribers and rejected my post, and I completely lack the bandwidth required to subscribe to another mailing list, so instead I try to post my message here and hope my blog readers can help me out.

I am quite new to docbook processing, and am climbing a steep learning curve at the moment.

To give you some background, I am working on a Norwegian translation of the book Free Culture by Lawrence Lessig, and I use docbook to handle the process. The files to build the book are available from github. The book got around 400 pages with parts, images, footnotes, tables, index entries etc, which has proven to be a challenge for the free software docbook processors. My build platform is Debian GNU/Linux Squeeze.

I want to build PDF, EPUB and HTML version of the book, and have tried different tool chains to do the conversion from docbook to these formats. I am currently focusing on the PDF version, and have a few problems.

• Using dblatex, the <part> handling is not the way I want to, as </part> do not really end the <part>. (See BTS report #683166), the xetex backend (needed to process UTF-8) give incorrect hyphens in index references spanning several pages (See BTS report #682901), and I am unable to get the norwegian template texts (See BTS report #682936).
• Using straight xmlto fail with some latex error (See BTS report #683163).
• Using xmlto with the fop backend fail to handle images (do not show up in the PDF), fail to handle a long footnote (overlap footnote and text body, see BTS report #683197), and fail to create a correct index (some lack page ref, and the page refs listed are not right).
• Using xmlto with the dblatex backend behave like dblatex.
• Using docbook-xls with xsltproc + fop have the same footnote and index problems the xmlto + fop processing.

So I wonder, what would be the best way to create the PDF version of this book? Are some of the bugs found above solved in new or experimental versions of some docbook tool chain?

What about HTML and EPUB versions?

DIFI har en høring gående om ny versjon av statens standardkatalog, med frist 2012-09-30, der det foreslås å fjerne ODF fra katalogen og ta inn ISO OOXML. I den anledning minnes jeg notatet FAD skrev da versjon 2 av standardkatalogen var under utarbeidelse, da FAD og DIFI fortsatt forsto poenget med og verdien av frie og åpne standarder.

Det er mange som tror at OOXML er ett spesifikt format, men det brukes ofte som fellesbetegnelse for både formatet spesifisert av ECMA, ISO, og formatet produsert av Microsoft Office (aka docx), som dessverre ikke er det samme formatet. Fra en av de som implementerte støtte for docx-formatet i KDE fikk jeg høre at ISO-spesifikasjonen var en nyttig referanse, men at det var mange avvik som gjorde at en ikke kunne gå ut ifra at Microsoft Office produserte dokumenter i henhold til ISO-spesifikasjonen.

ISOs OOXML-spesifikasjon har (eller hadde, usikker på om kommentaren er oppdatert) i følge Inigo Surguy feil i mer enn 10% av eksemplene, noe som i tillegg gjør det vanskelig å bruke spesifikasjonen til å implementere støtte for ISO OOXML. Jeg har ingen erfaring med å validere OOXML-dokumenter selv, men ser at Microsoft har laget en validator som jeg ikke kan teste da den kun er tilgjengelig på MS Windows. Finner også en annen kalt Office-O-Tron som er oppdatert i fjor. Lurer på om de validerer at dokumenter er i formatet til Microsoft office, eller om de validerer at de er i henhold til formatene spesifisert av ECMA og ISO. Det hadde også vært interessant å se om docx-dokumentene publisert av det offentlige er gyldige ISO OOXML-dokumenter.