-skrev en høringsuttalelse</a> (som EFN endte opp med å støtte), som
-fortsatt er like aktuell. Jeg ble minnet på om den da jeg leste et
+skrev en høringsuttalelse</a> (som EFN endte opp med å støtte), som
+fortsatt er like aktuell. Jeg ble minnet på om den da jeg leste et
-<ahref="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dårlig idé</a>
-som poengterer hvor viktig det er å holde fast ved at vi skal ha
-hemmelige valg i Norge, og at det nødvendigvis fører til at vi ikke
+<ahref="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dårlig idé</a>
+som poengterer hvor viktig det er å holde fast ved at vi skal ha
+hemmelige valg i Norge, og at det nødvendigvis fører til at vi ikke
-<p>Innlegget i BT forteller at det skal være et seminar om
-evalueringen av e-valgforsøket ved Litteraturhuset i morgen 2012-09-12
-9-11:45. Jeg hadde ikke fått med meg dette før nå, og kommer meg nok
-dessverre ikke innom, men håper det møter mange som fortsatt kan bidra
-til å få skutt ned e-valgsgalskapen.</p>
+<p>Innlegget i BT forteller at det skal være et seminar om
+evalueringen av e-valgforsøket ved Litteraturhuset i morgen 2012-09-12
+9-11:45. Jeg hadde ikke fått med meg dette før nå, og kommer meg nok
+dessverre ikke innom, men håper det møter mange som fortsatt kan bidra
+til å få skutt ned e-valgsgalskapen.</p>
Det er lenge siden 2006, og jeg regner med at de fleste av mine lesere
har glemt eller ikke har lest innlegget fra NUUG. Jeg gjengir det
derfor her i sin helhet.
<blockquote>
Det er lenge siden 2006, og jeg regner med at de fleste av mine lesere
har glemt eller ikke har lest innlegget fra NUUG. Jeg gjengir det
derfor her i sin helhet.
<blockquote>
-<p>Foreningene NUUG og EFN er glade for å ha blitt invitert til å
-kommentere utredningen om elektronisk stemmegivning, og håper våre
-innspill kan komme til nytte. Denne uttalelsen er ført i pennen av
-NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun Høie, Erik
-Naggum og Håvard Fosseng.</p>
+<p>Foreningene NUUG og EFN er glade for å ha blitt invitert til å
+kommentere utredningen om elektronisk stemmegivning, og håper våre
+innspill kan komme til nytte. Denne uttalelsen er ført i pennen av
+NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun Høie, Erik
+Naggum og Håvard Fosseng.</p>
-<p>Når en vurderer elektronisk stemmegivning, så tror vi det er viktig
-å ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i
+<p>Når en vurderer elektronisk stemmegivning, så tror vi det er viktig
+å ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i
listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation
of a Security-Conscious Electronic Polling System", som oppsummerer
hvilke egenskaper som er viktige:</p>
<ul>
listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation
of a Security-Conscious Electronic Polling System", som oppsummerer
hvilke egenskaper som er viktige:</p>
<ul>
-<li>Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en
-stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige
-opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med
-i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at
+<li>Nøyaktig - et system er nøyaktig hvis det ikke er mulig å endre en
+stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige
+opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med
+i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at
-unøyaktigheter ikke kan bli introdusert eller kan oppdages og
-korrigert for. Delvis nøyaktige systemer kan oppdage men ikke
-nødvendigvis korrigere unøyaktigheter.</li>
+unøyaktigheter ikke kan bli introdusert eller kan oppdages og
+korrigert for. Delvis nøyaktige systemer kan oppdage men ikke
+nødvendigvis korrigere unøyaktigheter.</li>
gang.</li>
<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som
arrangerer valget eller noen andre kan knytte en stemmeseddel til den
som avga den, og ingen stemmegiver kan bevise at han eller hun stemte
gang.</li>
<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som
arrangerer valget eller noen andre kan knytte en stemmeseddel til den
som avga den, og ingen stemmegiver kan bevise at han eller hun stemte
-på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg
-av stemmer og at personer kan tvinges til å stemme på en bestemt
-måte.</li>
+på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg
+av stemmer og at personer kan tvinges til å stemme på en bestemt
+måte.</li>
-<p>Nøyaktig opptelling kan kun oppnås hvis alle steg i
-opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må
-være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig
-å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk
-lagring av avgitte stemmer kan gjør det svært enkelt å endre på
-avgitte stemmer uten at det er mulig å oppdage det i
-ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en
-annen stemme enn det som er blitt avgitt, selv om det så korrekt ut
+<p>Nøyaktig opptelling kan kun oppnås hvis alle steg i
+opptellingsprosessen kan kontrolleres og verifiseres. Det må ikke må
+være mulig å fjerne eller endre avgitte stemmer, og heller ikke mulig
+å legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk
+lagring av avgitte stemmer kan gjør det svært enkelt å endre på
+avgitte stemmer uten at det er mulig å oppdage det i
+ettertid. Elektronisk lagring vil også gjøre det mulig å lagre en
+annen stemme enn det som er blitt avgitt, selv om det så korrekt ut
-talt opp. I Australia brukes det et system der de som stemmer gjør
-sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som
-sjekkes av den som stemmer før papirrullen leses inn av
+talt opp. I Australia brukes det et system der de som stemmer gjør
+sitt valg på en skjerm, og stemmen så skrives ut på en papirrull som
+sjekkes av den som stemmer før papirrullen leses inn av
-fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig
-at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne
-velge hvilke eksperter de vil stole på. Dette forutsetter blant annet
+fleste ikke selv vil kunne gjennomføre en slik kontroll, er det viktig
+at flere uavhengige eksperter kan sjekke systemet. Velgerne bør kunne
+velge hvilke eksperter de vil stole på. Dette forutsetter blant annet
tilgang til kildekoden og informasjon om hvordan de ulike delene av
det totale stemmegivingssystemet er koblet. Lukkede systemer der
kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene
tilgang til kildekoden og informasjon om hvordan de ulike delene av
det totale stemmegivingssystemet er koblet. Lukkede systemer der
kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene
-som brukes under selve valgene, er sårbare for trojanere (programvare
-som gjør noe annet og/eller mer enn det leverandøren sier den skal,
-f.eks. endre sluttresulatet av en opptelling) og påvirkning fra
-leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold
+som brukes under selve valgene, er sårbare for trojanere (programvare
+som gjør noe annet og/eller mer enn det leverandøren sier den skal,
+f.eks. endre sluttresulatet av en opptelling) og påvirkning fra
+leverandøren. Det er påstander om slikt i USA på maskiner fra Diebold
og Siebel allerede. Det finnes i dag flere tilgjengelige fri
programvaresystemer for elektronisk stemmegiving og opptelling. Fri
programvare sikrer brukeren kontroll over datasystemene. Slike
systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske
valgsystem som ble brukt i det australske parlamentvalget 2001 og
og Siebel allerede. Det finnes i dag flere tilgjengelige fri
programvaresystemer for elektronisk stemmegiving og opptelling. Fri
programvare sikrer brukeren kontroll over datasystemene. Slike
systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske
valgsystem som ble brukt i det australske parlamentvalget 2001 og
-2004. For å sikre at det er mulig å gjennomføre omtellinger må hver
-enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et
-slikt papirspor må sikres slik at de ikke kan endres i ettertid.
+2004. For å sikre at det er mulig å gjennomføre omtellinger må hver
+enkelt stemme lagres på ikke-elektronisk format (f.eks. papir), og et
+slikt papirspor må sikres slik at de ikke kan endres i ettertid.
<p><strong>Vellykkede elektroniske valgsystemer</strong></p>
<p>I Venezuela fungerte avstemmingsmaskinene slik at de som stemte
<p><strong>Vellykkede elektroniske valgsystemer</strong></p>
<p>I Venezuela fungerte avstemmingsmaskinene slik at de som stemte
-markerte det de stemte på en skjerm, og valgene ble skrevet på en
-papirrull som den som stemmer så de kunne sjekke for å kontrollere at
-de valgene som ble gjort kom med på papirrullen. Deretter ble
+markerte det de stemte på en skjerm, og valgene ble skrevet på en
+papirrull som den som stemmer så de kunne sjekke for å kontrollere at
+de valgene som ble gjort kom med på papirrullen. Deretter ble
voteringstallene sendt elektronisk fra hver maskin til tre uavhengige
opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte
voteringstallene sendt elektronisk fra hver maskin til tre uavhengige
opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte
-opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis
-det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke
+opp stemmene. Alle måtte være enige for å godkjenne resultatet. Hvis
+det var avvik så kunne en gå helt ned på papirrull-nivå for å sjekke
resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene
ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det
resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene
ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det
-er likevel mulig å organisere seg slik at det blir vanskelig å
-forfalske valgresultatet ved å bytte ut eller endre rullene.</p>
+er likevel mulig å organisere seg slik at det blir vanskelig å
+forfalske valgresultatet ved å bytte ut eller endre rullene.</p>
-1989. Det består av to ulike enheter, en opptellingsenhet og en
-avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å
-påvirke, men mangler oppbevaring av hver enkelt stemme på et
-ikke-elektronisk format, noe som gjør omtelling umulig.</p>
+1989. Det består av to ulike enheter, en opptellingsenhet og en
+avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig å
+påvirke, men mangler oppbevaring av hver enkelt stemme på et
+ikke-elektronisk format, noe som gjør omtelling umulig.</p>
valgsystemer, og det er dokumentert svakheter med flere av
dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og
Edward W. Felten ved Universitetet i Princeton dokumentert hvordan
systemet fra Diebold kan manipuleres til gi uriktig
valgsystemer, og det er dokumentert svakheter med flere av
dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og
Edward W. Felten ved Universitetet i Princeton dokumentert hvordan
systemet fra Diebold kan manipuleres til gi uriktig
-avstemmingsresultat. Det er også indikasjoner på at noen av systemene
-kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har
+avstemmingsresultat. Det er også indikasjoner på at noen av systemene
+kan påvirkes av leverandøren via telelinjer. Robert F. Kennedy Jr. har
-<p>Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg
-på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent
-et valgsystem der de som arrangerer valget har mulighet til å se hvem
+<p>Universitetet i Oslo skal denne høsten gjennomføre elektronisk valg
+på Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent
+et valgsystem der de som arrangerer valget har mulighet til å se hvem
som har stemt hva, samt hver deltager i valget kan endre sin stemme i
ettertid (ikke-hemmelig), de som administrerer datasystemet kan
som har stemt hva, samt hver deltager i valget kan endre sin stemme i
ettertid (ikke-hemmelig), de som administrerer datasystemet kan
-påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer
-(ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik
-påvirkning har funnet sted (ikkeetterprøvbart). Webbaserte
+påvirke valgresultatet ved å endre, trekke fra eller legge til stemmer
+(ikke-nøyaktig), og det ikke nødvendigvis er mulig å oppdage at slik
+påvirkning har funnet sted (ikkeetterprøvbart). Webbaserte
valgsystemer uten spesiell klientprogramvare vil ha flere av disse
problemene.</p>
<p><strong>Konkrete kommentarer til rapporten</strong></p>
valgsystemer uten spesiell klientprogramvare vil ha flere av disse
problemene.</p>
<p><strong>Konkrete kommentarer til rapporten</strong></p>
-mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å
-stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan
-kontrollere at systemet gjør det det skal, og dette tilsier bruk av
+mot bruk av lukket kildekode, fordi dette i prinsippet innebærer å
+stole blindt på leverandøren. Det bør ikke vere begrenset hvem som kan
+kontrollere at systemet gjør det det skal, og dette tilsier bruk av
-sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere
-seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til
+sikkerhetsmekanismene ved å lese kode. Det er ikke en god idé å basere
+seg på at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til
-inspeksjon, er et problem for demokratiet. Et sikkert system må være
-sikkert selv om noen med uærlige hensikter kjenner til hvordan det
-fungerer. Australia har allerede gjennomført vellykkede valg basert på
+inspeksjon, er et problem for demokratiet. Et sikkert system må være
+sikkert selv om noen med uærlige hensikter kjenner til hvordan det
+fungerer. Australia har allerede gjennomført vellykkede valg basert på
et fri programvaresystem.</p>
<p>Driften av totalsystemet blir ofret liten oppmerksomhet i
rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som
et fri programvaresystem.</p>
<p>Driften av totalsystemet blir ofret liten oppmerksomhet i
rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som
<p>Definisjonen av brannmur i rapporten er feil, for eksempel sies at
"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det
<p>Definisjonen av brannmur i rapporten er feil, for eksempel sies at
"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det
-er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes
-til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom
-brannmuren. I store applikasjoner, som et valgsystem vil være, kreves
+er fullt mulig å ha brannmurer med sikkerhetsproblemer som utnyttes
+til å trenge inn i dem. I tillegg antar man at all trafikk går gjennom
+brannmuren. I store applikasjoner, som et valgsystem vil være, kreves
-sikkerhetsarkitektur kan det være at man overser muligheter for å
-unngå brannmurene. Rapporten snakker om brannmur i entall, mens det
-nok er nødvendig å sikre et valgsystem med flere lag av
-sikringstiltak, og dermed vil være behov for flere brannmurer. En
-brannmur kan være bygd basert på visse antagelser og standarder. En
-annen brannmur kan bygge på et annet sett antagelser, og stoppe
-trafikk som den første ikke tar høyde for.
-
-<p>Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen
-antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør
+sikkerhetsarkitektur kan det være at man overser muligheter for å
+unngå brannmurene. Rapporten snakker om brannmur i entall, mens det
+nok er nødvendig å sikre et valgsystem med flere lag av
+sikringstiltak, og dermed vil være behov for flere brannmurer. En
+brannmur kan være bygd basert på visse antagelser og standarder. En
+annen brannmur kan bygge på et annet sett antagelser, og stoppe
+trafikk som den første ikke tar høyde for.
+
+<p>Rapporten indikerer dårlige kunnskaper om brannmur, og dette igjen
+antyder dårlige kunnskaper om datasikkerhet generelt, og dette bør
forbedres. For eksempel er driften ansvarlig for operativ
sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om
hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil
konfigurert eller ikke oppdatert?</p>
forbedres. For eksempel er driften ansvarlig for operativ
sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om
hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil
konfigurert eller ikke oppdatert?</p>
-<p>Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i
-rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne
-oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som
+<p>Muligheten for sikkerhetsovervåkning kan vi ikke se er nevnt i
+rapporten. Dette er vanskelig og dyrt, men bør vurderes for å kunne
+oppdage systemavvik under valget. Sikkerhetsovervåkning kan inngå som
Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til
et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da
Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til
et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da
-vi mangler nødvendig dataindustri, men vi bør satse på at
-applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning
-kjører programvare der vi har innsyn i hvordan den er satt sammen. Det
+vi mangler nødvendig dataindustri, men vi bør satse på at
+applikasjoner viktige for rikets sikkerhet i størst mulig utstrekning
+kjører programvare der vi har innsyn i hvordan den er satt sammen. Det
-sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder
-valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I
-tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn
-kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av
-tendenser i USA til å i uheldig stor grad fokusere på
+sjekkes/verifiseres av eksperter vi selv velger. Når det gjelder
+valgsystemer må «vi» være velgerne, ikke bare myndighetsapparatet. I
+tilfelle en ikke kan bruke fri programvare, bør en ivareta en sunn
+kritisk sans med hensyn til hvorfra og av hvem vi kjøper. På grunn av
+tendenser i USA til å i uheldig stor grad fokusere på
<li>Smartmatics SAES voting system used in venesuela 2004
http://www.smartmatic.com/solutions_03-1.htm</li>
<li>Smartmatics SAES voting system used in venesuela 2004
http://www.smartmatic.com/solutions_03-1.htm</li>
-<li>VerifiedVoting, interessegruppe i USA med fokus på at også
-elektroniske valgsystemer må være
-etterprøvbare. http://www.verifiedvoting.org/</li>
+<li>VerifiedVoting, interessegruppe i USA med fokus på at også
+elektroniske valgsystemer må være
+etterprøvbare. http://www.verifiedvoting.org/</li>
http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf
http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li>
http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf
http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li>