Petter Reinholdtsen: E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo)

diff --git a/blog/index.rss b/blog/index.rss index a8d065de2d..292654e293 100644 --- a/blog/index.rss +++ b/blog/index.rss @@ -6,6 +6,296 @@ http://people.skolelinux.org/pere/blog/ + + E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + Tue, 11 Sep 2012 10:30:00 +0200 + I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG +skrev en hÃ¸ringsuttalelse</a> (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dÃ¥rlig idÃ©</a> +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet. + +Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen. + +Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet. + +<blockquote> +HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning + +Petter Reinholdtsen + Leder i foreningen NUUG + 2006-09-30 + +Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng. + +NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige: + +<ul> + +<li>NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.</li> + +<li>Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.</li> + +<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.</li> + +<li>EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.</li> + +</ul> + +Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning. + +NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt. + +EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +Vellykkede elektroniske valgsystemer + +I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene. + +India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig. + +Mindre vellykkede elektroniske valgsystemer + +I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA. + +Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene. + +Konkrete kommentarer til rapporten + +Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare. + +Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem. + +Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye. + +Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert? + +Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen. + +Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra. + +Referanser + +<ul> + +<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li> + +<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html</li> + +<li>Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm</li> + +<li>Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li> + +<li>VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/</li> + +<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/</li> + +<li>Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines</li> + +<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li> + +<li>Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li> + +<li>Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li> + +<li>Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html</li> + +<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li> + +<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li> + +</ul> +</blockquote> + +Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +<a href="http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving">NUUGs +wikiside om hÃ¸ringen</a> med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :) + + + Git repository for song book for Computer Scientists http://people.skolelinux.org/pere/blog/Git_repository_for_song_book_for_Computer_Scientists.html @@ -379,35 +669,5 @@ gyldige ISO OOXML-dokumenter. - - Free Culture in Norwegian - 5 chapters done, 74 percent left to do - http://people.skolelinux.org/pere/blog/Free_Culture_in_Norwegian___5_chapters_done__74_percent_left_to_do.html - http://people.skolelinux.org/pere/blog/Free_Culture_in_Norwegian___5_chapters_done__74_percent_left_to_do.html - Sat, 21 Jul 2012 20:00:00 +0200 - I reported earlier that I am working on -<a href="http://people.skolelinux.org/pere/blog/Dugnad_for___sende_norsk_versjon_av_Free_Culture_til_stortingets_representanter_.html">a -norwegian version</a> of the book -<a href="http://free-culture.cc/">Free Culture</a> by Lawrence Lessig. -Progress is good, and yesterday I got a major contribution from Anders -Hagen Jarmund completing chapter six. The source files as well as a -PDF and EPUB version of this book are available from -<a href="https://github.com/petterreinholdtsen/free-culture-lessig">github</a>. - -I am happy to report that the draft for the first two chapters -(preface, introduction) is complete, and three other chapters are also -completely translated. This completes 26 percent of the number of -strings (equivalent to paragraphs) in the book, and there is thus 74 -percent left to translate. A graph of the progress is present at the -bottom of the github project page. There is still room for more -contributors. Get in touch or send github pull requests with fixes if -you got time and are willing to help make this book make it to -print. :) - -The book translation framework could also be a good basis for other -translations, if you want the book to be available in your -language. - - - diff --git a/blog/jXplorer__a_very_nice_LDAP_GUI.html b/blog/jXplorer__a_very_nice_LDAP_GUI.html index 4aaad7db99..b9f90f13e9 100644 --- a/blog/jXplorer__a_very_nice_LDAP_GUI.html +++ b/blog/jXplorer__a_very_nice_LDAP_GUI.html @@ -70,7 +70,7 @@ and remove the failing query. Nothing big, but very annoying.

August (6)

September (1)

September (2)

@@ -221,9 +221,9 @@ and remove the failing query. Nothing big, but very annoying.

@@ -231,7 +231,7 @@ and remove the failing query. Nothing big, but very annoying.

@@ -261,7 +261,7 @@ and remove the failing query. Nothing big, but very annoying.

diff --git a/blog/sitemap.xml b/blog/sitemap.xml index 5c058c60f1..a0d2b3cb4a 100644 --- a/blog/sitemap.xml +++ b/blog/sitemap.xml @@ -375,6 +375,11 @@ 0.50 weekly + + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + 0.50 + weekly + http://people.skolelinux.org/pere/blog/Elektronikkbyggesettet_for_reprapen_sporet_opp.html 0.50 diff --git a/blog/systemd__an_interesting_alternative_to_upstart.html b/blog/systemd__an_interesting_alternative_to_upstart.html index 0b488d54e3..746368688a 100644 --- a/blog/systemd__an_interesting_alternative_to_upstart.html +++ b/blog/systemd__an_interesting_alternative_to_upstart.html @@ -88,7 +88,7 @@ with parallel booting enabled by default.

August (6)

September (1)

September (2)

@@ -239,9 +239,9 @@ with parallel booting enabled by default.

@@ -249,7 +249,7 @@ with parallel booting enabled by default.

@@ -279,7 +279,7 @@ with parallel booting enabled by default.

diff --git a/blog/tags/3d-printer/index.html b/blog/tags/3d-printer/index.html index 0eed85aa35..d537a528c8 100644 --- a/blog/tags/3d-printer/index.html +++ b/blog/tags/3d-printer/index.html @@ -622,7 +622,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

August (6)

September (1)

September (2)

@@ -773,9 +773,9 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -783,7 +783,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -813,7 +813,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

diff --git a/blog/tags/amiga/index.html b/blog/tags/amiga/index.html index 55f2ac7f02..99ea8bf86a 100644 --- a/blog/tags/amiga/index.html +++ b/blog/tags/amiga/index.html @@ -76,7 +76,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

August (6)

September (1)

September (2)

@@ -227,9 +227,9 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

@@ -237,7 +237,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

@@ -267,7 +267,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

diff --git a/blog/tags/aros/index.html b/blog/tags/aros/index.html index 52cf97154e..5f7eeeb686 100644 --- a/blog/tags/aros/index.html +++ b/blog/tags/aros/index.html @@ -76,7 +76,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

August (6)

September (1)

September (2)

@@ -227,9 +227,9 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

@@ -237,7 +237,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

@@ -267,7 +267,7 @@ pakke. Kanskje Aros kunne vÃ¦rt interessant for et NUUG-foredrag?

diff --git a/blog/tags/bitcoin/index.html b/blog/tags/bitcoin/index.html index 3595bf4bb3..bc55b999b8 100644 --- a/blog/tags/bitcoin/index.html +++ b/blog/tags/bitcoin/index.html @@ -205,7 +205,7 @@ donations to the address

August (6)

September (1)

September (2)

@@ -356,9 +356,9 @@ donations to the address

@@ -366,7 +366,7 @@ donations to the address

@@ -396,7 +396,7 @@ donations to the address

diff --git a/blog/tags/bootsystem/index.html b/blog/tags/bootsystem/index.html index 44bde3ad66..e18c683c51 100644 --- a/blog/tags/bootsystem/index.html +++ b/blog/tags/bootsystem/index.html @@ -783,7 +783,7 @@ insserv'. Will need to test if that work. :)

August (6)

September (1)

September (2)

@@ -934,9 +934,9 @@ insserv'. Will need to test if that work. :)

@@ -944,7 +944,7 @@ insserv'. Will need to test if that work. :)

@@ -974,7 +974,7 @@ insserv'. Will need to test if that work. :)

diff --git a/blog/tags/bsa/index.html b/blog/tags/bsa/index.html index 0b15f03edb..d02a9b8934 100644 --- a/blog/tags/bsa/index.html +++ b/blog/tags/bsa/index.html @@ -164,7 +164,7 @@ pÃ¥ Slashdot.

August (6)

September (1)

September (2)

@@ -315,9 +315,9 @@ pÃ¥ Slashdot.

@@ -325,7 +325,7 @@ pÃ¥ Slashdot.

@@ -355,7 +355,7 @@ pÃ¥ Slashdot.

diff --git a/blog/tags/debian edu/index.html b/blog/tags/debian edu/index.html index b9a358e450..907b809be4 100644 --- a/blog/tags/debian edu/index.html +++ b/blog/tags/debian edu/index.html @@ -9980,7 +9980,7 @@ be the only one fitting our needs. :/

August (6)

September (1)

September (2)

@@ -10131,9 +10131,9 @@ be the only one fitting our needs. :/

@@ -10141,7 +10141,7 @@ be the only one fitting our needs. :/

@@ -10171,7 +10171,7 @@ be the only one fitting our needs. :/

diff --git a/blog/tags/debian/index.html b/blog/tags/debian/index.html index 9e86757ee1..9f769bc566 100644 --- a/blog/tags/debian/index.html +++ b/blog/tags/debian/index.html @@ -4423,7 +4423,7 @@ be the only one fitting our needs. :/

August (6)

September (1)

September (2)

@@ -4574,9 +4574,9 @@ be the only one fitting our needs. :/

@@ -4584,7 +4584,7 @@ be the only one fitting our needs. :/

@@ -4614,7 +4614,7 @@ be the only one fitting our needs. :/

diff --git a/blog/tags/digistan/index.html b/blog/tags/digistan/index.html index abb6d9bd3c..a03976a488 100644 --- a/blog/tags/digistan/index.html +++ b/blog/tags/digistan/index.html @@ -1184,7 +1184,7 @@ produkter basert pÃ¥ standarden.

August (6)

September (1)

September (2)

@@ -1335,9 +1335,9 @@ produkter basert pÃ¥ standarden.

@@ -1345,7 +1345,7 @@ produkter basert pÃ¥ standarden.

@@ -1375,7 +1375,7 @@ produkter basert pÃ¥ standarden.

diff --git a/blog/tags/docbook/index.html b/blog/tags/docbook/index.html index ca755a5e73..6b08215ad0 100644 --- a/blog/tags/docbook/index.html +++ b/blog/tags/docbook/index.html @@ -424,7 +424,7 @@ slik at du kan oppdatere direkte.

August (6)

September (1)

September (2)

@@ -575,9 +575,9 @@ slik at du kan oppdatere direkte.

@@ -585,7 +585,7 @@ slik at du kan oppdatere direkte.

@@ -615,7 +615,7 @@ slik at du kan oppdatere direkte.

diff --git a/blog/tags/drivstoffpriser/index.html b/blog/tags/drivstoffpriser/index.html index a7b6c50bc5..05463bfa79 100644 --- a/blog/tags/drivstoffpriser/index.html +++ b/blog/tags/drivstoffpriser/index.html @@ -505,7 +505,7 @@ en liste med stasjoner pÃ¥ samme format som PriserVedStasjoner.

August (6)

September (1)

September (2)

@@ -656,9 +656,9 @@ en liste med stasjoner pÃ¥ samme format som PriserVedStasjoner.

@@ -666,7 +666,7 @@ en liste med stasjoner pÃ¥ samme format som PriserVedStasjoner.

@@ -696,7 +696,7 @@ en liste med stasjoner pÃ¥ samme format som PriserVedStasjoner.

diff --git a/blog/tags/english/index.html b/blog/tags/english/index.html index cbfbd00c93..c96520580f 100644 --- a/blog/tags/english/index.html +++ b/blog/tags/english/index.html @@ -11390,7 +11390,7 @@ be the only one fitting our needs. :/

August (6)

September (1)

September (2)

@@ -11541,9 +11541,9 @@ be the only one fitting our needs. :/

@@ -11551,7 +11551,7 @@ be the only one fitting our needs. :/

@@ -11581,7 +11581,7 @@ be the only one fitting our needs. :/

diff --git a/blog/tags/fiksgatami/index.html b/blog/tags/fiksgatami/index.html index fb92bba667..4c523d1eca 100644 --- a/blog/tags/fiksgatami/index.html +++ b/blog/tags/fiksgatami/index.html @@ -1096,7 +1096,7 @@ med dem. Dette blir bra.

August (6)

September (1)

September (2)

@@ -1247,9 +1247,9 @@ med dem. Dette blir bra.

@@ -1257,7 +1257,7 @@ med dem. Dette blir bra.

@@ -1287,7 +1287,7 @@ med dem. Dette blir bra.

diff --git a/blog/tags/fildeling/index.html b/blog/tags/fildeling/index.html index cb32b98e83..6fd1dca19e 100644 --- a/blog/tags/fildeling/index.html +++ b/blog/tags/fildeling/index.html @@ -649,7 +649,7 @@ og fildeling av slike filer er fullt ut lovlig.

August (6)

September (1)

September (2)

@@ -800,9 +800,9 @@ og fildeling av slike filer er fullt ut lovlig.

@@ -810,7 +810,7 @@ og fildeling av slike filer er fullt ut lovlig.

@@ -840,7 +840,7 @@ og fildeling av slike filer er fullt ut lovlig.

diff --git a/blog/tags/freeculture/index.html b/blog/tags/freeculture/index.html index ab3a0e09e0..e30a48afb0 100644 --- a/blog/tags/freeculture/index.html +++ b/blog/tags/freeculture/index.html @@ -467,7 +467,7 @@ slik at du kan oppdatere direkte.

August (6)

September (1)

September (2)

@@ -618,9 +618,9 @@ slik at du kan oppdatere direkte.

@@ -628,7 +628,7 @@ slik at du kan oppdatere direkte.

@@ -658,7 +658,7 @@ slik at du kan oppdatere direkte.

diff --git a/blog/tags/frikanalen/index.html b/blog/tags/frikanalen/index.html index 801dd74920..f93dff75d4 100644 --- a/blog/tags/frikanalen/index.html +++ b/blog/tags/frikanalen/index.html @@ -550,7 +550,7 @@ NUUG lykkes med Ã¥ fÃ¥ ut sine opptak med like stor suksess.

August (6)

September (1)

September (2)

@@ -701,9 +701,9 @@ NUUG lykkes med Ã¥ fÃ¥ ut sine opptak med like stor suksess.

@@ -711,7 +711,7 @@ NUUG lykkes med Ã¥ fÃ¥ ut sine opptak med like stor suksess.

@@ -741,7 +741,7 @@ NUUG lykkes med Ã¥ fÃ¥ ut sine opptak med like stor suksess.

diff --git a/blog/tags/intervju/index.html b/blog/tags/intervju/index.html index 7863e3b73b..f881679c64 100644 --- a/blog/tags/intervju/index.html +++ b/blog/tags/intervju/index.html @@ -3446,7 +3446,7 @@ veldig bra utvalg av gratis spill som er av hÃ¸y kvalitet. Veldig lett

August (6)

September (1)

September (2)

@@ -3597,9 +3597,9 @@ veldig bra utvalg av gratis spill som er av hÃ¸y kvalitet. Veldig lett

@@ -3607,7 +3607,7 @@ veldig bra utvalg av gratis spill som er av hÃ¸y kvalitet. Veldig lett

@@ -3637,7 +3637,7 @@ veldig bra utvalg av gratis spill som er av hÃ¸y kvalitet. Veldig lett

diff --git a/blog/tags/kart/index.html b/blog/tags/kart/index.html index 596d13049b..18727e4b06 100644 --- a/blog/tags/kart/index.html +++ b/blog/tags/kart/index.html @@ -1078,7 +1078,7 @@ det viser at behovet for fribruks-sjÃ¸kart er til stedet.

August (6)

September (1)

September (2)

@@ -1229,9 +1229,9 @@ det viser at behovet for fribruks-sjÃ¸kart er til stedet.

@@ -1239,7 +1239,7 @@ det viser at behovet for fribruks-sjÃ¸kart er til stedet.

@@ -1269,7 +1269,7 @@ det viser at behovet for fribruks-sjÃ¸kart er til stedet.

diff --git a/blog/tags/ldap/index.html b/blog/tags/ldap/index.html index 9b1a421f56..b9755a6432 100644 --- a/blog/tags/ldap/index.html +++ b/blog/tags/ldap/index.html @@ -965,7 +965,7 @@ new IETF work group?

August (6)

September (1)

September (2)

@@ -1116,9 +1116,9 @@ new IETF work group?

@@ -1126,7 +1126,7 @@ new IETF work group?

@@ -1156,7 +1156,7 @@ new IETF work group?

diff --git a/blog/tags/lenker/index.html b/blog/tags/lenker/index.html index b2e184274a..d0bf057870 100644 --- a/blog/tags/lenker/index.html +++ b/blog/tags/lenker/index.html @@ -200,7 +200,7 @@ Word 2007 hÃ¥ndterer ODF dÃ¥rlig

August (6)

September (1)

September (2)

@@ -351,9 +351,9 @@ Word 2007 hÃ¥ndterer ODF dÃ¥rlig

@@ -361,7 +361,7 @@ Word 2007 hÃ¥ndterer ODF dÃ¥rlig

@@ -391,7 +391,7 @@ Word 2007 hÃ¥ndterer ODF dÃ¥rlig

diff --git a/blog/tags/ltsp/index.html b/blog/tags/ltsp/index.html index 08d4cbe985..02d6c1609d 100644 --- a/blog/tags/ltsp/index.html +++ b/blog/tags/ltsp/index.html @@ -81,7 +81,7 @@ of these cards.

August (6)

September (1)

September (2)

@@ -232,9 +232,9 @@ of these cards.

@@ -242,7 +242,7 @@ of these cards.

@@ -272,7 +272,7 @@ of these cards.

diff --git a/blog/tags/multimedia/index.html b/blog/tags/multimedia/index.html index 5326dc5355..37470035ef 100644 --- a/blog/tags/multimedia/index.html +++ b/blog/tags/multimedia/index.html @@ -1814,7 +1814,7 @@ be the only one fitting our needs. :/

August (6)

September (1)

September (2)

@@ -1965,9 +1965,9 @@ be the only one fitting our needs. :/

@@ -1975,7 +1975,7 @@ be the only one fitting our needs. :/

@@ -2005,7 +2005,7 @@ be the only one fitting our needs. :/

diff --git a/blog/tags/norsk/index.html b/blog/tags/norsk/index.html index 8cebf2fd98..b8dc1c840e 100644 --- a/blog/tags/norsk/index.html +++ b/blog/tags/norsk/index.html @@ -20,6 +20,308 @@

Entries tagged "norsk".

+ E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) +

+ 11th September 2012 +

I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +NUUG +skrev en hÃ¸ringsuttalelse (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +En dÃ¥rlig idÃ© +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet.

+ +

Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen.

+ +

Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet.

+ +

+
HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning
+ +
Petter Reinholdtsen +
Leder i foreningen NUUG +
2006-09-30
+ +
Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng.
+ +
NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige:
+ +
+ +
NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.
+ +
Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.
+ +
Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.
+ +
EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.
+ +
+ +
Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning.
+ +
NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt.
+ +
EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +
Vellykkede elektroniske valgsystemer
+ +
I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene.
+ +
India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig.
+ +
Mindre vellykkede elektroniske valgsystemer
+ +
I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA.
+ +
Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene.
+ +
Konkrete kommentarer til rapporten
+ +
Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare.
+ +
Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem.
+ +
Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye.
+ +
Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +
Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert?
+ +
Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen.
+ +
Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra.
+ +
Referanser
+ +
+ +
Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z
+ +
Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html
+ +
Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm
+ +
Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/
+ +
VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/
+ +
Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/
+ +
Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines
+ +
Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
+ +
Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen
+ +
Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf
+ +
Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html
+ +
NUUG - Norwegian Unix User Group http://www.nuug.no/
+ +
EFN - Elektronisk forpost Norge http://www.efn.no/
+ +
+

+ +

Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +NUUGs +wikiside om hÃ¸ringen med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :)

+ +

+ + + Tags: norsk, nuug, personvern, valg. + + +

Da er det norske piratpartiet i gang med Ã¥ samle underskrifter @@ -13096,7 +13398,7 @@ forsÃ¸k.

August (6)

September (1)

September (2)

@@ -13247,9 +13549,9 @@ forsÃ¸k.

@@ -13257,7 +13559,7 @@ forsÃ¸k.

@@ -13287,7 +13589,7 @@ forsÃ¸k.

diff --git a/blog/tags/norsk/norsk.rss b/blog/tags/norsk/norsk.rss index 3cc99839c5..10dadecfd9 100644 --- a/blog/tags/norsk/norsk.rss +++ b/blog/tags/norsk/norsk.rss @@ -6,6 +6,296 @@ http://people.skolelinux.org/pere/blog/ + + E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + Tue, 11 Sep 2012 10:30:00 +0200 + I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG +skrev en hÃ¸ringsuttalelse</a> (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dÃ¥rlig idÃ©</a> +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet. + +Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen. + +Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet. + +<blockquote> +HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning + +Petter Reinholdtsen + Leder i foreningen NUUG + 2006-09-30 + +Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng. + +NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige: + +<ul> + +<li>NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.</li> + +<li>Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.</li> + +<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.</li> + +<li>EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.</li> + +</ul> + +Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning. + +NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt. + +EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +Vellykkede elektroniske valgsystemer + +I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene. + +India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig. + +Mindre vellykkede elektroniske valgsystemer + +I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA. + +Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene. + +Konkrete kommentarer til rapporten + +Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare. + +Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem. + +Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye. + +Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert? + +Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen. + +Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra. + +Referanser + +<ul> + +<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li> + +<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html</li> + +<li>Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm</li> + +<li>Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li> + +<li>VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/</li> + +<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/</li> + +<li>Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines</li> + +<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li> + +<li>Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li> + +<li>Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li> + +<li>Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html</li> + +<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li> + +<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li> + +</ul> +</blockquote> + +Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +<a href="http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving">NUUGs +wikiside om hÃ¸ringen</a> med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :) + + + Da er det norske piratpartiet i gang med Ã¥ samle underskrifter http://people.skolelinux.org/pere/blog/Da_er_det_norske_piratpartiet_i_gang_med___samle_underskrifter.html diff --git a/blog/tags/nuug/index.html b/blog/tags/nuug/index.html index 9781172218..933d20cf3c 100644 --- a/blog/tags/nuug/index.html +++ b/blog/tags/nuug/index.html @@ -20,6 +20,308 @@

Entries tagged "nuug".

+ E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) +

+ 11th September 2012 +

+ +

Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet.

+ +

+
HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning
+ +
Petter Reinholdtsen +
Leder i foreningen NUUG +
2006-09-30
+ +
Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng.
+ +
NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige:
+ +
+ +
NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.
+ +
Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.
+ +
Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.
+ +
EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.
+ +
+ +
Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning.
+ +
NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt.
+ +
EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +
Vellykkede elektroniske valgsystemer
+ +
I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene.
+ +
India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig.
+ +
Mindre vellykkede elektroniske valgsystemer
+ +
I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA.
+ +
Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene.
+ +
Konkrete kommentarer til rapporten
+ +
Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare.
+ +
Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem.
+ +
Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye.
+ +
Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +
Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert?
+ +
Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen.
+ +
Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra.
+ +
Referanser
+ +
+ +
Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z
+ +
Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html
+ +
Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm
+ +
Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/
+ +
VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/
+ +
Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/
+ +
Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines
+ +
Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
+ +
Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen
+ +
Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf
+ +
Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html
+ +
NUUG - Norwegian Unix User Group http://www.nuug.no/
+ +
EFN - Elektronisk forpost Norge http://www.efn.no/
+ +
+

+ +

+ + + Tags: norsk, nuug, personvern, valg. + + +

OOXML og standardisering @@ -8884,7 +9186,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

August (6)

September (1)

September (2)

@@ -9035,9 +9337,9 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -9045,7 +9347,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -9075,7 +9377,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

diff --git a/blog/tags/nuug/nuug.rss b/blog/tags/nuug/nuug.rss index 84f84c7629..5f840471cc 100644 --- a/blog/tags/nuug/nuug.rss +++ b/blog/tags/nuug/nuug.rss @@ -6,6 +6,296 @@ http://people.skolelinux.org/pere/blog/ + + E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + Tue, 11 Sep 2012 10:30:00 +0200 + I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG +skrev en hÃ¸ringsuttalelse</a> (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dÃ¥rlig idÃ©</a> +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet. + +Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen. + +Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet. + +<blockquote> +HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning + +Petter Reinholdtsen + Leder i foreningen NUUG + 2006-09-30 + +Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng. + +NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige: + +<ul> + +<li>NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.</li> + +<li>Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.</li> + +<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.</li> + +<li>EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.</li> + +</ul> + +Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning. + +NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt. + +EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +Vellykkede elektroniske valgsystemer + +I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene. + +India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig. + +Mindre vellykkede elektroniske valgsystemer + +I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA. + +Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene. + +Konkrete kommentarer til rapporten + +Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare. + +Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem. + +Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye. + +Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert? + +Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen. + +Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra. + +Referanser + +<ul> + +<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li> + +<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html</li> + +<li>Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm</li> + +<li>Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li> + +<li>VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/</li> + +<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/</li> + +<li>Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines</li> + +<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li> + +<li>Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li> + +<li>Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li> + +<li>Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html</li> + +<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li> + +<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li> + +</ul> +</blockquote> + +Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +<a href="http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving">NUUGs +wikiside om hÃ¸ringen</a> med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :) + + + OOXML og standardisering http://people.skolelinux.org/pere/blog/OOXML_og_standardisering.html diff --git a/blog/tags/offentlig innsyn/index.html b/blog/tags/offentlig innsyn/index.html index db251c29ff..cf0805f6fc 100644 --- a/blog/tags/offentlig innsyn/index.html +++ b/blog/tags/offentlig innsyn/index.html @@ -497,7 +497,7 @@ til Ã¥ levere hver uke. Har ikke undersÃ¸kt noen av de andre.

August (6)

September (1)

September (2)

@@ -648,9 +648,9 @@ til Ã¥ levere hver uke. Har ikke undersÃ¸kt noen av de andre.

@@ -658,7 +658,7 @@ til Ã¥ levere hver uke. Har ikke undersÃ¸kt noen av de andre.

@@ -688,7 +688,7 @@ til Ã¥ levere hver uke. Har ikke undersÃ¸kt noen av de andre.

diff --git a/blog/tags/open311/index.html b/blog/tags/open311/index.html index 8a805b6dfc..eeaaaf8bba 100644 --- a/blog/tags/open311/index.html +++ b/blog/tags/open311/index.html @@ -176,7 +176,7 @@ work like the free software project communities I am used to.

August (6)

September (1)

September (2)

@@ -327,9 +327,9 @@ work like the free software project communities I am used to.

@@ -337,7 +337,7 @@ work like the free software project communities I am used to.

@@ -367,7 +367,7 @@ work like the free software project communities I am used to.

diff --git a/blog/tags/opphavsrett/index.html b/blog/tags/opphavsrett/index.html index c1c430f828..cdb23349a0 100644 --- a/blog/tags/opphavsrett/index.html +++ b/blog/tags/opphavsrett/index.html @@ -2558,7 +2558,7 @@ og endrer pÃ¥ betingelsene.

August (6)

September (1)

September (2)

@@ -2709,9 +2709,9 @@ og endrer pÃ¥ betingelsene.

@@ -2719,7 +2719,7 @@ og endrer pÃ¥ betingelsene.

@@ -2749,7 +2749,7 @@ og endrer pÃ¥ betingelsene.

diff --git a/blog/tags/personvern/index.html b/blog/tags/personvern/index.html index 9f2d2df5cd..9edec6b738 100644 --- a/blog/tags/personvern/index.html +++ b/blog/tags/personvern/index.html @@ -20,6 +20,308 @@

Entries tagged "personvern".

+ E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) +

+ 11th September 2012 +

+ +

Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet.

+ +

+
HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning
+ +
Petter Reinholdtsen +
Leder i foreningen NUUG +
2006-09-30
+ +
Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng.
+ +
NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige:
+ +
+ +
NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.
+ +
Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.
+ +
Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.
+ +
EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.
+ +
+ +
Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning.
+ +
NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt.
+ +
EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +
Vellykkede elektroniske valgsystemer
+ +
I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene.
+ +
India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig.
+ +
Mindre vellykkede elektroniske valgsystemer
+ +
I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA.
+ +
Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene.
+ +
Konkrete kommentarer til rapporten
+ +
Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare.
+ +
Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem.
+ +
Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye.
+ +
Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +
Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert?
+ +
Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen.
+ +
Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra.
+ +
Referanser
+ +
+ +
Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z
+ +
Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html
+ +
Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm
+ +
Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/
+ +
VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/
+ +
Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/
+ +
Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines
+ +
Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
+ +
Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen
+ +
Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf
+ +
Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html
+ +
NUUG - Norwegian Unix User Group http://www.nuug.no/
+ +
EFN - Elektronisk forpost Norge http://www.efn.no/
+ +
+

+ +

+ + + Tags: norsk, nuug, personvern, valg. + + +

Postjournaler i det offentlige - vanskelig med vilje? @@ -2891,7 +3193,7 @@ kontanter for noen dager siden.

August (6)

September (1)

September (2)

@@ -3042,9 +3344,9 @@ kontanter for noen dager siden.

@@ -3052,7 +3354,7 @@ kontanter for noen dager siden.

@@ -3082,7 +3384,7 @@ kontanter for noen dager siden.

diff --git a/blog/tags/personvern/personvern.rss b/blog/tags/personvern/personvern.rss index c7d6c46c3a..cb98bb0aa6 100644 --- a/blog/tags/personvern/personvern.rss +++ b/blog/tags/personvern/personvern.rss @@ -6,6 +6,296 @@ http://people.skolelinux.org/pere/blog/ + + E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + Tue, 11 Sep 2012 10:30:00 +0200 + I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG +skrev en hÃ¸ringsuttalelse</a> (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dÃ¥rlig idÃ©</a> +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet. + +Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen. + +Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet. + +<blockquote> +HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning + +Petter Reinholdtsen + Leder i foreningen NUUG + 2006-09-30 + +Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng. + +NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige: + +<ul> + +<li>NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.</li> + +<li>Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.</li> + +<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.</li> + +<li>EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.</li> + +</ul> + +Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning. + +NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt. + +EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +Vellykkede elektroniske valgsystemer + +I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene. + +India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig. + +Mindre vellykkede elektroniske valgsystemer + +I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA. + +Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene. + +Konkrete kommentarer til rapporten + +Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare. + +Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem. + +Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye. + +Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert? + +Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen. + +Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra. + +Referanser + +<ul> + +<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li> + +<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html</li> + +<li>Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm</li> + +<li>Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li> + +<li>VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/</li> + +<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/</li> + +<li>Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines</li> + +<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li> + +<li>Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li> + +<li>Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li> + +<li>Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html</li> + +<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li> + +<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li> + +</ul> +</blockquote> + +Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +<a href="http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving">NUUGs +wikiside om hÃ¸ringen</a> med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :) + + + Postjournaler i det offentlige - vanskelig med vilje? http://people.skolelinux.org/pere/blog/Postjournaler_i_det_offentlige___vanskelig_med_vilje_.html diff --git a/blog/tags/raid/index.html b/blog/tags/raid/index.html index e0269dbc62..d62ef3ead9 100644 --- a/blog/tags/raid/index.html +++ b/blog/tags/raid/index.html @@ -117,7 +117,7 @@ disk(s) is failing when the RAID is running short on disks.

August (6)

September (1)

September (2)

@@ -268,9 +268,9 @@ disk(s) is failing when the RAID is running short on disks.

@@ -278,7 +278,7 @@ disk(s) is failing when the RAID is running short on disks.

@@ -308,7 +308,7 @@ disk(s) is failing when the RAID is running short on disks.

diff --git a/blog/tags/reprap/index.html b/blog/tags/reprap/index.html index d4bc8cea40..5431c8662e 100644 --- a/blog/tags/reprap/index.html +++ b/blog/tags/reprap/index.html @@ -543,7 +543,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

August (6)

September (1)

September (2)

@@ -694,9 +694,9 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -704,7 +704,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

@@ -734,7 +734,7 @@ hÃ¥per det ikke gÃ¥r tapt pÃ¥ samme vis.

diff --git a/blog/tags/rfid/index.html b/blog/tags/rfid/index.html index f547529e71..0dd592ca5c 100644 --- a/blog/tags/rfid/index.html +++ b/blog/tags/rfid/index.html @@ -166,7 +166,7 @@ mer om de nye biometriske passene.

August (6)

September (1)

September (2)

@@ -317,9 +317,9 @@ mer om de nye biometriske passene.

@@ -327,7 +327,7 @@ mer om de nye biometriske passene.

@@ -357,7 +357,7 @@ mer om de nye biometriske passene.

diff --git a/blog/tags/robot/index.html b/blog/tags/robot/index.html index e826dc3eee..6632ff6962 100644 --- a/blog/tags/robot/index.html +++ b/blog/tags/robot/index.html @@ -264,7 +264,7 @@ firmwaren. :)

August (6)

September (1)

September (2)

@@ -415,9 +415,9 @@ firmwaren. :)

@@ -425,7 +425,7 @@ firmwaren. :)

@@ -455,7 +455,7 @@ firmwaren. :)

diff --git a/blog/tags/rss/index.html b/blog/tags/rss/index.html index 9bbceb310b..bdce8910bc 100644 --- a/blog/tags/rss/index.html +++ b/blog/tags/rss/index.html @@ -70,7 +70,7 @@ forsÃ¸k.

August (6)

September (1)

September (2)

@@ -221,9 +221,9 @@ forsÃ¸k.

@@ -231,7 +231,7 @@ forsÃ¸k.

@@ -261,7 +261,7 @@ forsÃ¸k.

diff --git a/blog/tags/ruter/index.html b/blog/tags/ruter/index.html index 0a47ac6e87..6ce9ce135e 100644 --- a/blog/tags/ruter/index.html +++ b/blog/tags/ruter/index.html @@ -224,7 +224,7 @@ OsloomrÃ¥det.

August (6)

September (1)

September (2)

@@ -375,9 +375,9 @@ OsloomrÃ¥det.

@@ -385,7 +385,7 @@ OsloomrÃ¥det.

@@ -415,7 +415,7 @@ OsloomrÃ¥det.

diff --git a/blog/tags/scraperwiki/index.html b/blog/tags/scraperwiki/index.html index ce9afda773..7e45fb4ab3 100644 --- a/blog/tags/scraperwiki/index.html +++ b/blog/tags/scraperwiki/index.html @@ -159,7 +159,7 @@ av Ã¥ dele informasjon med andre uten bruksbegresninger.

August (6)

September (1)

September (2)

@@ -310,9 +310,9 @@ av Ã¥ dele informasjon med andre uten bruksbegresninger.

@@ -320,7 +320,7 @@ av Ã¥ dele informasjon med andre uten bruksbegresninger.

@@ -350,7 +350,7 @@ av Ã¥ dele informasjon med andre uten bruksbegresninger.

diff --git a/blog/tags/sikkerhet/index.html b/blog/tags/sikkerhet/index.html index e640e939d0..4d4abd2bc6 100644 --- a/blog/tags/sikkerhet/index.html +++ b/blog/tags/sikkerhet/index.html @@ -1499,7 +1499,7 @@ betydelige.

August (6)

September (1)

September (2)

@@ -1650,9 +1650,9 @@ betydelige.

@@ -1660,7 +1660,7 @@ betydelige.

@@ -1690,7 +1690,7 @@ betydelige.

diff --git a/blog/tags/sitesummary/index.html b/blog/tags/sitesummary/index.html index 51431ecb77..671403ac53 100644 --- a/blog/tags/sitesummary/index.html +++ b/blog/tags/sitesummary/index.html @@ -275,7 +275,7 @@ everything is taken care of.

August (6)

September (1)

September (2)

@@ -426,9 +426,9 @@ everything is taken care of.

@@ -436,7 +436,7 @@ everything is taken care of.

@@ -466,7 +466,7 @@ everything is taken care of.

diff --git a/blog/tags/skepsis/index.html b/blog/tags/skepsis/index.html index 6d74916c61..d2fd94ed70 100644 --- a/blog/tags/skepsis/index.html +++ b/blog/tags/skepsis/index.html @@ -91,7 +91,7 @@ Streisand-effekten

August (6)

September (1)

September (2)

@@ -242,9 +242,9 @@ Streisand-effekten

@@ -252,7 +252,7 @@ Streisand-effekten

@@ -282,7 +282,7 @@ Streisand-effekten

diff --git a/blog/tags/standard/index.html b/blog/tags/standard/index.html index 37a544b9e0..a44f68112a 100644 --- a/blog/tags/standard/index.html +++ b/blog/tags/standard/index.html @@ -3111,7 +3111,7 @@ Kjenner kun til ufullstendige lÃ¸sninger for slikt.

August (6)

September (1)

September (2)

@@ -3262,9 +3262,9 @@ Kjenner kun til ufullstendige lÃ¸sninger for slikt.

@@ -3272,7 +3272,7 @@ Kjenner kun til ufullstendige lÃ¸sninger for slikt.

@@ -3302,7 +3302,7 @@ Kjenner kun til ufullstendige lÃ¸sninger for slikt.

diff --git a/blog/tags/stavekontroll/index.html b/blog/tags/stavekontroll/index.html index 115799cf2c..c91e41b9c9 100644 --- a/blog/tags/stavekontroll/index.html +++ b/blog/tags/stavekontroll/index.html @@ -90,7 +90,7 @@ stavekontrollen.

August (6)

September (1)

September (2)

@@ -241,9 +241,9 @@ stavekontrollen.

@@ -251,7 +251,7 @@ stavekontrollen.

@@ -281,7 +281,7 @@ stavekontrollen.

diff --git a/blog/tags/stortinget/index.html b/blog/tags/stortinget/index.html index a746c45260..4c97d2cfe6 100644 --- a/blog/tags/stortinget/index.html +++ b/blog/tags/stortinget/index.html @@ -307,7 +307,7 @@ at vi i NUUG har fÃ¥tt operativ en norsk utgave av

August (6)

September (1)

September (2)

@@ -458,9 +458,9 @@ at vi i NUUG har fÃ¥tt operativ en norsk utgave av

@@ -468,7 +468,7 @@ at vi i NUUG har fÃ¥tt operativ en norsk utgave av

@@ -498,7 +498,7 @@ at vi i NUUG har fÃ¥tt operativ en norsk utgave av

diff --git a/blog/tags/surveillance/index.html b/blog/tags/surveillance/index.html index 659d232092..76a2d98745 100644 --- a/blog/tags/surveillance/index.html +++ b/blog/tags/surveillance/index.html @@ -566,7 +566,7 @@ automatisk over i spesialkartet.

August (6)

September (1)

September (2)

@@ -717,9 +717,9 @@ automatisk over i spesialkartet.

@@ -727,7 +727,7 @@ automatisk over i spesialkartet.

@@ -757,7 +757,7 @@ automatisk over i spesialkartet.

diff --git a/blog/tags/valg/index.html b/blog/tags/valg/index.html index 38427a8264..afcf54e50b 100644 --- a/blog/tags/valg/index.html +++ b/blog/tags/valg/index.html @@ -20,6 +20,308 @@

Entries tagged "valg".

+ 11th September 2012 +

+ +

Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet.

+ +

+
HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning
+ +
Petter Reinholdtsen +
Leder i foreningen NUUG +
2006-09-30
+ +
Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng.
+ +
NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige:
+ +
+ +
NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.
+ +
Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.
+ +
Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.
+ +
EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.
+ +
+ +
Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning.
+ +
NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt.
+ +
EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +
Vellykkede elektroniske valgsystemer
+ +
I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene.
+ +
India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig.
+ +
Mindre vellykkede elektroniske valgsystemer
+ +
I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA.
+ +
Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene.
+ +
Konkrete kommentarer til rapporten
+ +
Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare.
+ +
Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem.
+ +
Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye.
+ +
Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +
Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert?
+ +
Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen.
+ +
Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra.
+ +
Referanser
+ +
+ +
Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z
+ +
Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html
+ +
Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm
+ +
Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/
+ +
VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/
+ +
Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/
+ +
Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines
+ +
Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv
+ +
Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen
+ +
Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf
+ +
Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html
+ +
NUUG - Norwegian Unix User Group http://www.nuug.no/
+ +
EFN - Elektronisk forpost Norge http://www.efn.no/
+ +
+

+ +

+ + + Tags: norsk, nuug, personvern, valg. + + +

Kommunevalget mÃ¥ visst kontrollregnes pÃ¥ @@ -361,7 +663,7 @@ inneholdt i Iran hvis de ikke hadde hemmelige valg?

August (6)

September (1)

September (2)

@@ -512,9 +814,9 @@ inneholdt i Iran hvis de ikke hadde hemmelige valg?

@@ -522,7 +824,7 @@ inneholdt i Iran hvis de ikke hadde hemmelige valg?

@@ -552,7 +854,7 @@ inneholdt i Iran hvis de ikke hadde hemmelige valg?

diff --git a/blog/tags/valg/valg.rss b/blog/tags/valg/valg.rss index 23c83168e9..b756e92582 100644 --- a/blog/tags/valg/valg.rss +++ b/blog/tags/valg/valg.rss @@ -6,6 +6,296 @@ http://people.skolelinux.org/pere/blog/ + + E-valg, fortsatt en dÃ¥rlig idÃ© (evaluering legges frem i Oslo) + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + http://people.skolelinux.org/pere/blog/E_valg__fortsatt_en_d_rlig_id___evaluering_legges_frem_i_Oslo_.html + Tue, 11 Sep 2012 10:30:00 +0200 + I 2006 var forslaget om Ã¥ gjennomfÃ¸re politiske valg over Internet +ute pÃ¥ hÃ¸ring, og +<a href="http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf">NUUG +skrev en hÃ¸ringsuttalelse</a> (som EFN endte opp med Ã¥ stÃ¸tte), som +fortsatt er like aktuell. Jeg ble minnet pÃ¥ om den da jeg leste et +innlegg i Bergens Tidende med tittelen +<a href="http://blogg.bt.no/preik/2012/09/11/e-valg/">En dÃ¥rlig idÃ©</a> +som poengterer hvor viktig det er Ã¥ holde fast ved at vi skal ha +hemmelige valg i Norge, og at det nÃ¸dvendigvis fÃ¸rer til at vi ikke +kan ha valg over Internet. + +Innlegget i BT forteller at det skal vÃ¦re et seminar om +evalueringen av e-valgforsÃ¸ket ved Litteraturhuset i morgen 2012-09-12 +9-11:45. Jeg hadde ikke fÃ¥tt med meg dette fÃ¸r nÃ¥, og kommer meg nok +dessverre ikke innom, men hÃ¥per det mÃ¸ter mange som fortsatt kan bidra +til Ã¥ fÃ¥ skutt ned e-valgsgalskapen. + +Det er lenge siden 2006, og jeg regner med at de fleste av mine +lesere har glemt eller ikke har lest hÃ¸ringsuttalelsen fra NUUG. Jeg +gjengir det derfor her i sin helhet. + +<blockquote> +HÃ¸ringsuttalelse fra NUUG og EFN om elektronisk +stemmegivning + +Petter Reinholdtsen + Leder i foreningen NUUG + 2006-09-30 + +Foreningene NUUG og EFN er glade for Ã¥ ha blitt invitert til Ã¥ +kommentere utredningen om elektronisk stemmegivning, og hÃ¥per vÃ¥re +innspill kan komme til nytte. Denne uttalelsen er fÃ¸rt i pennen av +NUUGs leder Petter Reinholdtsen med innspill fra Tore Audun HÃ¸ie, Erik +Naggum og HÃ¥vard Fosseng. + +NÃ¥r en vurderer elektronisk stemmegivning, sÃ¥ tror vi det er viktig +Ã¥ ha prinsippene for gode valg i bakhodet. Vi har tatt utgangspunkt i +listen fra Cranor, L.F. og Cytron, R.K. i "Design and Implementation +of a Security-Conscious Electronic Polling System", som oppsummerer +hvilke egenskaper som er viktige: + +<ul> + +<li>NÃ¸yaktig - et system er nÃ¸yaktig hvis det ikke er mulig Ã¥ endre en +stemme, det ikke er mulig Ã¥ fjerne en gyldig stemme fra den endelige +opptellingen og det ikke er mulig for en ugyldig stemme Ã¥ bli talt med +i den endelige opptellingen. Fullstendig nÃ¸yaktige systemer sikrer at +den endelige opptellingen er perfekt, enten ved sikre at +unÃ¸yaktigheter ikke kan bli introdusert eller kan oppdages og +korrigert for. Delvis nÃ¸yaktige systemer kan oppdage men ikke +nÃ¸dvendigvis korrigere unÃ¸yaktigheter.</li> + +<li>Demokratisk - et system er demokratisk hvis kun de som har lov til +Ã¥ stemme kan stemme, og det sikrer at hver av dem kun kan stemme en +gang.</li> + +<li>Hemmelig - et system er hemmelig hvis ingen, hverken de som +arrangerer valget eller noen andre kan knytte en stemmeseddel til den +som avga den, og ingen stemmegiver kan bevise at han eller hun stemte +pÃ¥ en bestemt mÃ¥te. Dette er spesielt viktig for Ã¥ hindre kjÃ¸p og salg +av stemmer og at personer kan tvinges til Ã¥ stemme pÃ¥ en bestemt +mÃ¥te.</li> + +<li>EtterprÃ¸vbart - et system er etterprÃ¸vbart hvis hvem som helst +uavhengig kan kontrollere at opptellingen er korrekt.</li> + +</ul> + +Et demokratisk valg mÃ¥ sikre at disse punktene er oppfylt. Det er +med den bakgrunn vi vurderer elektronisk stemmegivning. + +NÃ¸yaktig opptelling kan kun oppnÃ¥s hvis alle steg i +opptellingsprosessen kan kontrolleres og verifiseres. Det mÃ¥ ikke mÃ¥ +vÃ¦re mulig Ã¥ fjerne eller endre avgitte stemmer, og heller ikke mulig +Ã¥ legge inn flere stemmer enn det som faktisk er avgitt. Elektronisk +lagring av avgitte stemmer kan gjÃ¸r det svÃ¦rt enkelt Ã¥ endre pÃ¥ +avgitte stemmer uten at det er mulig Ã¥ oppdage det i +ettertid. Elektronisk lagring vil ogsÃ¥ gjÃ¸re det mulig Ã¥ lagre en +annen stemme enn det som er blitt avgitt, selv om det sÃ¥ korrekt ut +for den som avga stemmen. Vi mener derfor det er viktig at elektronisk +stemmegivning gjÃ¸res via papir eller tilsvarende, slik at de som +stemmer kan kontrollere at den stemmen de har avgitt er den som blir +talt opp. I Australia brukes det et system der de som stemmer gjÃ¸r +sitt valg pÃ¥ en skjerm, og stemmen sÃ¥ skrives ut pÃ¥ en papirrull som +sjekkes av den som stemmer fÃ¸r papirrullen leses inn av +opptellingssystemet. En sikrer slik at hver enkelt stemme kan +kontrolleres pÃ¥ nytt. + +EtterprÃ¸vbarhet kan kun oppnÃ¥s hvis hver enkelt stemmegiver kan +kontrollere hele systemet som brukes for stemmegivning. For at dette +skal vÃ¦re mulig er en nÃ¸dvendig betingelse at en har innsyn i hvordan +systemene er satt sammen, og hvordan de brukes. Selv om de aller +fleste ikke selv vil kunne gjennomfÃ¸re en slik kontroll, er det viktig +at flere uavhengige eksperter kan sjekke systemet. Velgerne bÃ¸r kunne +velge hvilke eksperter de vil stole pÃ¥. Dette forutsetter blant annet +tilgang til kildekoden og informasjon om hvordan de ulike delene av +det totale stemmegivingssystemet er koblet. Lukkede systemer der +kildekoden ikke er tilgjengelig og en ikke kan kontrollere systemene +som brukes under selve valgene, er sÃ¥rbare for trojanere (programvare +som gjÃ¸r noe annet og/eller mer enn det leverandÃ¸ren sier den skal, +f.eks. endre sluttresulatet av en opptelling) og pÃ¥virkning fra +leverandÃ¸ren. Det er pÃ¥stander om slikt i USA pÃ¥ maskiner fra Diebold +og Siebel allerede. Det finnes i dag flere tilgjengelige fri +programvaresystemer for elektronisk stemmegiving og opptelling. Fri +programvare sikrer brukeren kontroll over datasystemene. Slike +systemer er tilgjengelig fra OpenSourceVoting og ACTs elektroniske +valgsystem som ble brukt i det australske parlamentvalget 2001 og +2004. For Ã¥ sikre at det er mulig Ã¥ gjennomfÃ¸re omtellinger mÃ¥ hver +enkelt stemme lagres pÃ¥ ikke-elektronisk format (f.eks. papir), og et +slikt papirspor mÃ¥ sikres slik at de ikke kan endres i ettertid. + +Vellykkede elektroniske valgsystemer + +I Venezuela fungerte avstemmingsmaskinene slik at de som stemte +markerte det de stemte pÃ¥ en skjerm, og valgene ble skrevet pÃ¥ en +papirrull som den som stemmer sÃ¥ de kunne sjekke for Ã¥ kontrollere at +de valgene som ble gjort kom med pÃ¥ papirrullen. Deretter ble +voteringstallene sendt elektronisk fra hver maskin til tre uavhengige +opptellingsgrupper (hvorav en av dem var Carter-senteret), som talte +opp stemmene. Alle mÃ¥tte vÃ¦re enige for Ã¥ godkjenne resultatet. Hvis +det var avvik sÃ¥ kunne en gÃ¥ helt ned pÃ¥ papirrull-nivÃ¥ for Ã¥ sjekke +resultatet. Det har dog blitt hevdet at oppbevaringen av papirrullene +ble overlatt til regimet, slik at kontrollmuligheten ble fjernet. Det +er likevel mulig Ã¥ organisere seg slik at det blir vanskelig Ã¥ +forfalske valgresultatet ved Ã¥ bytte ut eller endre rullene. + +India har et elektronisk voteringssystem som ble tatt i bruk i +1989. Det bestÃ¥r av to ulike enheter, en opptellingsenhet og en +avstemmingsenhet. Systemet sikrer hemmelig valg, er vanskelig Ã¥ +pÃ¥virke, men mangler oppbevaring av hver enkelt stemme pÃ¥ et +ikke-elektronisk format, noe som gjÃ¸r omtelling umulig. + +Mindre vellykkede elektroniske valgsystemer + +I USA finnes en rekke ulike leverandÃ¸rer av elektroniske +valgsystemer, og det er dokumentert svakheter med flere av +dem. F.eks. har forskerne Ariel J. Feldman, J. Alex Halderman, og +Edward W. Felten ved Universitetet i Princeton dokumentert hvordan +systemet fra Diebold kan manipuleres til gi uriktig +avstemmingsresultat. Det er ogsÃ¥ indikasjoner pÃ¥ at noen av systemene +kan pÃ¥virkes av leverandÃ¸ren via telelinjer. Robert F. Kennedy Jr. har +nylig i en artikkel fortalt om flere avvik fra valget i 2004. Norge +bÃ¸r unngÃ¥ systemer som kan manipuleres slik det rapporteres om fra +USA. + +Universitetet i Oslo skal denne hÃ¸sten gjennomfÃ¸re elektronisk valg +pÃ¥ Dekan ved Det teologiske fakultet. Universitetsstyret har godkjent +et valgsystem der de som arrangerer valget har mulighet til Ã¥ se hvem +som har stemt hva, samt hver deltager i valget kan endre sin stemme i +ettertid (ikke-hemmelig), de som administrerer datasystemet kan +pÃ¥virke valgresultatet ved Ã¥ endre, trekke fra eller legge til stemmer +(ikke-nÃ¸yaktig), og det ikke nÃ¸dvendigvis er mulig Ã¥ oppdage at slik +pÃ¥virkning har funnet sted (ikkeetterprÃ¸vbart). Webbaserte +valgsystemer uten spesiell klientprogramvare vil ha flere av disse +problemene. + +Konkrete kommentarer til rapporten + +Rapporten nevner ikke muligheten for Ã¥ pÃ¥virke valgresultatet via +trojansk type kode. Siebel blir beskyldt for dette i USA. Vi advarer +mot bruk av lukket kildekode, fordi dette i prinsippet innebÃ¦rer Ã¥ +stole blindt pÃ¥ leverandÃ¸ren. Det bÃ¸r ikke vere begrenset hvem som kan +kontrollere at systemet gjÃ¸r det det skal, og dette tilsier bruk av +fri programvare. + +Rapporten anbefaler lukket kode fordi kjeltringer kan finne ut +sikkerhetsmekanismene ved Ã¥ lese kode. Det er ikke en god idÃ© Ã¥ basere +seg pÃ¥ at sikkerhetsmekanismene er beskyttet pga. at ingen kjenner til +hvordan de fungerer. Som eksempelet fra USA viser, kan man godt +mistenke leverandÃ¸ren for Ã¥ jukse med systemet. Selve det at en slik +mistanke eksisterer, og ikke kan fjernes/reduseres ved uavhengig +inspeksjon, er et problem for demokratiet. Et sikkert system mÃ¥ vÃ¦re +sikkert selv om noen med uÃ¦rlige hensikter kjenner til hvordan det +fungerer. Australia har allerede gjennomfÃ¸rt vellykkede valg basert pÃ¥ +et fri programvaresystem. + +Driften av totalsystemet blir ofret liten oppmerksomhet i +rapporten. I et driftopplegg ligger mange sikkerhetsutfordringer som +bÃ¸r vurderes nÃ¸ye. + +Definisjonen av brannmur i rapporten er feil, for eksempel sies at +"brannmuren er selv immun mot inntrengning". Dette er ikke riktig. Det +er fullt mulig Ã¥ ha brannmurer med sikkerhetsproblemer som utnyttes +til Ã¥ trenge inn i dem. I tillegg antar man at all trafikk gÃ¥r gjennom +brannmuren. I store applikasjoner, som et valgsystem vil vÃ¦re, kreves +et system av brannmurer og andre tiltak som vi kaller +sikkerhetsarkitektur. Rapporten burde komme inn pÃ¥ behovet for en +sikkerhetsarkitektur.. Selv med en gjennomarbeidet +sikkerhetsarkitektur kan det vÃ¦re at man overser muligheter for Ã¥ +unngÃ¥ brannmurene. Rapporten snakker om brannmur i entall, mens det +nok er nÃ¸dvendig Ã¥ sikre et valgsystem med flere lag av +sikringstiltak, og dermed vil vÃ¦re behov for flere brannmurer. En +brannmur kan vÃ¦re bygd basert pÃ¥ visse antagelser og standarder. En +annen brannmur kan bygge pÃ¥ et annet sett antagelser, og stoppe +trafikk som den fÃ¸rste ikke tar hÃ¸yde for. + +Rapporten indikerer dÃ¥rlige kunnskaper om brannmur, og dette igjen +antyder dÃ¥rlige kunnskaper om datasikkerhet generelt, og dette bÃ¸r +forbedres. For eksempel er driften ansvarlig for operativ +sikkerhetsarkitektur, og vi har hatt adskillige diskusjoner i NUUG om +hvor vanskelig dette er. Hva hjelper en brannmur hvis den er feil +konfigurert eller ikke oppdatert? + +Muligheten for sikkerhetsovervÃ¥kning kan vi ikke se er nevnt i +rapporten. Dette er vanskelig og dyrt, men bÃ¸r vurderes for Ã¥ kunne +oppdage systemavvik under valget. SikkerhetsovervÃ¥kning kan inngÃ¥ som +ledd i sikkerhetsarkitekturen. + +Det har blitt rapportert i pressen at USA ikke bÃ¸r kjÃ¸pe +Lenovo-maskiner etter at selskapet som lager dem ble solgt fra IBM til +et kinesisk selskap. I Norge kan vi ikke trekke tingene like langt da +vi mangler nÃ¸dvendig dataindustri, men vi bÃ¸r satse pÃ¥ at +applikasjoner viktige for rikets sikkerhet i stÃ¸rst mulig utstrekning +kjÃ¸rer programvare der vi har innsyn i hvordan den er satt sammen. Det +er viktig at vi sikrer at programvare viktige for rikets sikkerhet kan +sjekkes/verifiseres av eksperter vi selv velger. NÃ¥r det gjelder +valgsystemer mÃ¥ Â«viÂ» vÃ¦re velgerne, ikke bare myndighetsapparatet. I +tilfelle en ikke kan bruke fri programvare, bÃ¸r en ivareta en sunn +kritisk sans med hensyn til hvorfra og av hvem vi kjÃ¸per. PÃ¥ grunn av +tendenser i USA til Ã¥ i uheldig stor grad fokusere pÃ¥ +kontrollmekanismer som eksempelvis Echelon og Palladium kan det hevdes +at det hefter betenkeligheter ved innkjÃ¸p herfra. + +Referanser + +<ul> + +<li>Cranor, L.F. og Cytron, R.K., "Design and Implementation of a +Security-Conscious Electronic Polling System" Washington University +Computer Science Technical Report WUCS-96-02. February 1996 +http://www.cs.wustl.edu/cs/techreports/1996/wucs-96-02.ps.Z</li> + +<li>Det australske valgsystemet, inkludert kildekoden tilgjengelig som +fri programvare http://www.elections.act.gov.au/Elecvote.html</li> + +<li>Smartmatics SAES voting system used in venesuela 2004 +http://www.smartmatic.com/solutions_03-1.htm</li> + +<li>Blackboxvoting, interessegruppe i USA med fokus pÃ¥ valgfusk +vha. elektroniske valgsystemer http://www.blackboxvoting.org/</li> + +<li>VerifiedVoting, interessegruppe i USA med fokus pÃ¥ at ogsÃ¥ +elektroniske valgsystemer mÃ¥ vÃ¦re +etterprÃ¸vbare. http://www.verifiedvoting.org/</li> + +<li>Blue Screen Democracy - fri programvareprosjekt som har utviklet +elektronisk stemmegivingssystem +http://bluescreen.sourceforge.net/</li> + +<li>Indias elektroniske avstemmingssystem (Wikipedia) +http://en.wikipedia.org/wiki/Indian_voting_machines</li> + +<li>Security Analysis of the Diebold AccuVote-TS Voting Machine av +Ariel J. Feldman, J. Alex Halderman, og Edward +W. Felten. http://itpolicy.princeton.edu/voting/ +http://coblitz.codeen.org:3125/itpolicy.princeton.edu/voting/videos/ts-voting.wmv</li> + +<li>Was the 2004 Election Stolen? av Robert F. Kennedy +Jr. http://www.rollingstone.com/news/story/10432334/was_the_2004_election_stolen</li> + +<li>Styreframlegg om elektronisk votering ved +UiO. http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/protokoll.xml +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14.pdf +http://www.admin.uio.no/kollegiet/moter/kart_prot2006/5/vsak-14-vedlegg.pdf</li> + +<li>Elektroniske valg - muligheter, problemer og noen lÃ¸sninger +Semesteroppgave i STV620 - Demokratiske valg +http://www.afin.uio.no/forskning/notater/4_01.html</li> + +<li>NUUG - Norwegian Unix User Group http://www.nuug.no/</li> + +<li>EFN - Elektronisk forpost Norge http://www.efn.no/</li> + +</ul> +</blockquote> + +Som alltid med valg er det ikke viktigst hva folk stemmer pÃ¥, men +hvem som teller opp stemmene... Hvis du er interessert i temaet +e-valg, sÃ¥ har NUUG siden 2006 oppdatert +<a href="http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving">NUUGs +wikiside om hÃ¸ringen</a> med aktuelle og interessante referanser og +artikler. Ta en titt der hvis du vil lese mer. :) + + + Kommunevalget mÃ¥ visst kontrollregnes pÃ¥ http://people.skolelinux.org/pere/blog/Kommunevalget_m__visst_kontrollregnes_p_.html diff --git a/blog/tags/video/index.html b/blog/tags/video/index.html index 1d0df84ab5..380c1f3fd4 100644 --- a/blog/tags/video/index.html +++ b/blog/tags/video/index.html @@ -2601,7 +2601,7 @@ larger stick as well.

August (6)

September (1)

September (2)

@@ -2752,9 +2752,9 @@ larger stick as well.

@@ -2762,7 +2762,7 @@ larger stick as well.

@@ -2792,7 +2792,7 @@ larger stick as well.

diff --git a/blog/tags/vitenskap/index.html b/blog/tags/vitenskap/index.html index cce526965d..c27882f6f3 100644 --- a/blog/tags/vitenskap/index.html +++ b/blog/tags/vitenskap/index.html @@ -135,7 +135,7 @@ skyskrapere. Takke meg til en tur til mÃ¥nen.

August (6)

September (1)

September (2)

@@ -286,9 +286,9 @@ skyskrapere. Takke meg til en tur til mÃ¥nen.

@@ -296,7 +296,7 @@ skyskrapere. Takke meg til en tur til mÃ¥nen.

@@ -326,7 +326,7 @@ skyskrapere. Takke meg til en tur til mÃ¥nen.

diff --git a/blog/tags/web/index.html b/blog/tags/web/index.html index 2275dd9bad..43bdbec4f5 100644 --- a/blog/tags/web/index.html +++ b/blog/tags/web/index.html @@ -1909,7 +1909,7 @@ be the only one fitting our needs. :/

August (6)

September (1)

September (2)

@@ -2060,9 +2060,9 @@ be the only one fitting our needs. :/

@@ -2070,7 +2070,7 @@ be the only one fitting our needs. :/

opphavsrett (35)