Vi byter namn och hemsida till Direktdemokraterna

Estlands e-röstnings-system

e-voting-graphics-1

Möte med Sven Heiberg,

projektledare för utvecklingsteamet bakom Estlands e-röstnings-system

Jag befinner mig just nu i Estland på en kombinerad nöjes- och arbetsresa. Arbetet jag hade tänkt uträtta är att skriva vidare på en bok om flytande demokrati, som förhoppningsvis når hugade läsare någon gång före valet nästa år.

Att just Estland blev målet för min resa är ingen slump. Estland är förmodligen det land i världen som har kommit längst vad gäller röstning över internet, eller som åtminstone har gjort det fullskaligt under längst tid, sedan valet 2005. Eftersom jag just skulle påbörja kapitlet om Det Elektroniska Valsystemet i en flytande demokrati var jag nyfiken på att se landet där det händer på riktig på nära håll. Att Estland dessutom ska ha huvudstaden med världens bästa luftkvalite var en bonus för mig som inte direkt är någon bilfantast.

Jag visste ganska lite om Estlands valsystem när jag började min research, men jag sprang snabbt på namnet Sven Heiberg, som visade sig vara projektledaren för utvecklingsteamet bakom Estlands elektroniska valsystem, ända sedan starten 2004. Honom vore det intressant att prata med! Några e-mail och en busstur till Tartu, Estlands andra stad, senare, satt vi på Svens kontor, som han hade vänligheten att bjuda in mig till trots att det var mitt i semestern. Det som följer är en resumé av vårt samtal, som kom att bli ganska tekniskt, två datanördar emellan.

Han började med att berätta lite om e-demokratins historia i Estland:

2001 började projektet att utreda möjligheterna att införa elektronisk röstning, som ett komplement till traditionell förtidsröstning i Estland.

2002 infördes digitala signaturer för alla medborgare, vilket är en viktig förutsättning för säker röstning över internet.

2003 kom Svens företag in i bilden som ett av flera företag som tävlade om uppdraget att utveckla valsystemet. Under tiden utvecklades arkitekturen i en kommite där representanter från Svens företag också deltog.

2004 vann företaget upphandlingen och implementationsarbetet, utifrån en då utarbetad kravspecifikation och arkitektur, började.

2005 hölls den första fullskaliga omröstningen med systemet på kommunnivå, två år senare på riksnivå. Drygt 9000 väljare, eller över en procent av väljarkåren, valde e-röstning då. Sedan dess har det växt från val till val och nu använder cirka 25% av väljarna e-röstning.

Det är viktigt att notera att e-röstning är en form av förtidsröstning och ersätter inte traditionell pappers-röstning på valdagen. E-röstningen är öppen dag 10 till dag 4 före valet.

E-röstningen går till ungefär såhär:

1) Väljaren loggar in och identifierar sig med hjälp av sin autentiseringskod som är kopplad till sim-kortet i mobilen.

2) Listan av kandidater i det aktuella valet, sorterade per parti, hämtas och presenteras för väljaren. (Applikationen kan för övrigt hantera upp till tre samtidiga val och då väljer man vilket val man vill rösta i först.)

3) Väljaren klickar på en kandidat. (I Estland väljer man bara en kandidat, inte ett parti med eventuell kryssning av kandidater som hos oss.)

4) Rösten krypteras och signeras med väljarens digitala signatur (vilket motsvarar bruket av ett slutet kuvert med rösten i ett annat slutet kuvert med väljarens röstkort vid till exempel poströstning)

5) Den krypterade och signerade rösten skickas till en server som verifierar användaren. Rösten skickas vidare till en annan server som sparar rösterna. Här någonstans separeras användarens digitala signatur från den krypterade rösten på server-sidan, vilket ska garantera att det inte går att bryta valhemligheten.

6) En QR-kod (en tvådimensionell streckkod) som motsvarar väljarens röst, fast obfuskerad (inte längre läsbar), visas för väljaren.

7) Väljaren scannar QR-koden med sin telefon och skickar bilden till röstservern.

8) Genom att testa att obfuskera var och en av de möjliga alternativen och jämföra med QR-koden som väljaren skickade kan nu servern verifiera för väljaren att den lagrade kandidaten är samma som den väljaren valde, utan att själv veta vad väljaren röstade på – det är så verifiering av rösten i kombination med valhemlighet fungerar, på ett ungefär.

9) När valapplikationen har verifierat att den röst som skickades också är den som lagrades avslutas transaktionen.

Vi pratade också om det Norska systemet som är under utveckling. Svens företag var med och tävlade om även det kontraktet bland cirka 50 företag och var kvar bland de sista tre, men i slutändan var det ett spanskt företag som fick uppdraget.

Det Norska systemet löser säkerhet och valhemlighet lite annorlunda mot det Estniska, med en annan krypteringsteknik, MixNet. Den går ut på att mixa alla röster så att de enskilda rösterna inte längre är identifierbara, men om man räknar samman dem så får man samma resultat som innan mixningen. Det här går att göra flera gånger i rad för att ytterligare minska risken att man från de mixade rösterna kan härleda vem som röstade hur. Varje mixning ger ett bevis på att mixningen gick rätt till (så att inga röster läggs till eller tas bort till exempel), vilket loggas och kan granskas senare.

Generellt sett så har forskningen inom e-röstning gått framåt under de ca 10 åren sedan det Estniska systemet designades och det norska systemets tillförlitlighet kan bevisas i högre grad än det Estniska. Men Sven påpekade att även om MixNet i teorin ger en högre säkerhet än det Estniska systemet så innebär det faktum att all mixning genomförs i samma serverhall att det i praktiken räcker med att de ansvariga för Serverhallen korrumperas för att säkerheten ska kompromissas. I slutändan bygger säkerheten mycket på att systemoperatörerna inte korrumperas och eftersom både Estland och Norge är väldigt centralistiskt styrt (liksom alla representativa demokratier) så räcker det i princip att en instans korrumperas för att systemet ska bryta samman. Men om staten blir så pass korrumperad har vi nog större problem än så menade Sven.

Jag frågade hur han såg på valhemlighet och han började med att säga att han har blandade känslor inför det. Problemet är att valhemligheten gör systemet så mycket mer komplicerat och att verifierbarheten av resultatet och därmed valsäkerheten inte kan garanteras till 100%, åtminstone inte med någon nu känd teknik.

Verifiering kan för övrigt delas upp i tre nivåer, varav det Estniska och det Norska systemet klarar de första två:

1) Verifiering att rösten mottogs

2) Verifiering att rätt röst lagrades

3) Verifiering att alla och endast de lagda rösterna räknades med i resultatet

Den tredje är som sagt inte 100% verifierbar och här får man lita till olika procedurer och dataloggar som gör det extremt svårt att fuska.

Utan valhemlighet skulle systemet däremot kunna göras extremt enkelt och alla skulle kunna följa rösterna och verifiera att de blev korrekt omhändertagna och räknade.

Å andra sidan är risken för att väljaren påverkas om vi inte har valhemlighet högst reell. Sven nämnde tre konkreta fall i Estland på senare tid om just hur väljare påverkats att rösta på ett visst sätt där valhemligheten inte varit tryggad, till exempel inom ett av Estlands högerpartier. Så slutsatsen han drog var att valhemligheten trots allt är nödvändig.

Tillbaka till frågan om e-röstningens säkerhet. Den allmänna uppfattningen är att e-röstning i okontrollerad miljö (till exempel hemma vid datorn) aldrig kan bli lika säker som pappersröstning i vallokal. Dels för att så länge det finns kvar en koppling mellan röst och väljare så kan människor som har tillgång till den informationen gå samman och härleda hur en viss person röstade. Dessutom finns risken att någon får tillgång till väljarens kontouppgifter eller står bakom ryggen och kollar. Därför måste det alltid finnas en möjlighet att ersätta e-rösten med en traditionell pappersröst på valdagen, som avläggs i ett privat bås och inte har någon koppling till den röstande när den väl har lagts i valurnan.

När jag tänker på hur vi skulle lösa det här i en flytande demokrati inser jag att det inte är möjligt att ha röster som saknar koppling till väljaren, eftersom flytande demokrati innebär att vi måste tillåta ”tills vidare-röster”, både vid delegering, som gäller tills väljareen byter delegat, och vid kontinuerliga omröstningar, som kan pågå under obegränsad tid. Antingen behöver nya forskningsframsteg göras på området för elektronisk röstning, eller så får vi klara oss med en något svagare valhemlighet i en flytande demokrati – något som jag personligen inte ser som ett större problem.

Mot slutet av samtalet kom vi in just på flytande demokrati. Sven hade hört talas om begreppet men visste inte närmare vad det gick ut på, så jag förklarade konceptet i korthet:

Flytande demokrati innebär att man har rätt att rösta i alla sakfrågor och alla andra frågor som avgörs politiskt, precis som i en fullständig direktdemokrati (vilket för övrigt inte existerar annat än som idé). Men ovanpå direktdemokratin har väljaren också rätt att delegera sin röst till någon organisation eller person som väljaren litar på. Det är så flytande demokrati löser de klassiska problemen med direktdemokrati – väljare har inte tid, intresse, kunskap, och så vidare att rösta i alla frågor. Därför ska hon kunna delegera sin röst, precis som i en representativ demokrati. Men hon är inte tvingad delegera när hon inte vill, till skillnad mot representativ demokrati. En viktig konsekvens av den flytande demokratins principer är att det inte finns något parlament, eller partier i traditionell mening, och att tillsättning av alla de högsta politiska posterna sker genom kontinuerligt personval, vilket innebär att den med störst stöd får uppdraget och innehar det tills den har förlorat det nödvändiga stödet.

Några saker som Sven reagerade på var:

Vi ”flytande demokrater” har tanken att man ska kunna se hur resultatet fluktuerar under hela omröstningsperioden, i kontinuerliga omröstningar av nödvändighet, men även i vanliga tidsbegränsade omröstningar. Han menade att detta var “strängt förbjudet” enligt forskare inom Social politics eftersom det skulle påverka utfallet av det som man vill mäta med omröstningen (folkets politiska vilja). Jag invände att man kanske inte ska betrakta valet som en mätning, utan snarare som en del av en politisk konversation väljare emellan, och mellan väljare och staten. Att visa hur oppinionen svänger under valperioden adderar information till det demokratiska samtalet vilket gör det rikare.

En annan sak som Sven kommenterade var möjligheten att ta tillbaka sin röst och lägga den på en annan kandidat när som helst, vilket är en fundamental princip för delegering inom flytande demokrati. Det här hade han funderat på och diskuterat en del i relation till representativ demokrati. Detta anses också vara något förkastligt bland forskarna eftersom det anses leda till populism: En kandidat som försöker genomföra obekväma men långsiktigt nödvändiga reformer blir bortröstad till förmån för en som lovar ”gratis glass till alla”, är tanken, vilket omöjliggör långsiktighet i politiken.

Jag höll med om att så är det säkert i en representativ direktdemokrati där väljarna inte behöver ta eget ansvar utan kan skylla allt på politikerna. Men i flytande demokrati ligger ansvaret alltid hos väljaren att rösta och delegera ansvarsfullt, eller ta konsekvenserna av sina misstag. Då är det inte lika säkert att möjligheten att byta delegat eller återta rösten leder till populism och kortsiktighet. Han höll med om att det kan ligga något i det.

Ett tredje problem han såg var säkerheten: Eftersom man alltid ska kunna ändra sin röst så måste alltid länken mellan rösten och väljaren finnas i systemet. Det innebär att om “fel” personer samarbetar så kan de härleda hur en person röstade. Den svagheten finns inte i dagens e-röstningssystem där man alltid i slutändan kan ersätta e-rösten med en pappersröst vars identitet omöjligt kan härledas i efterhand. Detta är mycket riktigt, och som vi redan varit inne på, en svaghet med flytande demokrati som det ser ut idag.

Men på det hela taget verkade sven positiv till idén om flytande demokrati. Han trodde att det skulle innebära en väldigt omvälvande förändring i folks sätt att tänka kring politik, vilket jag höll med om.

Jag beskrev också Aktiv Demokrati’s strategi att införa flytande demokrati genom ett parti. Då berättade han om några fall där nya partier som från början hade ett gräsrotsperspektiv korrumperades av systemet och blev som alla andra maktmaskiner till partier (min tolkning, inte hans ord), till exempel Estlands gröna parti. (Känns det igen?!) Han menade att detta nästan är oundvikligt. Jag hävdade då att Aktiv Demokrati’s icke-politiska, noll-frågeparti inriktning är en avgörande skillnad som borde skydda partiet från att bli korrumperade när det väl kommer in i riksdagen, men han verkade inte helt övertygad.

Sedan ringde Svens fru och påminde om att han var sen till kvällsmaten så därmed var intervjun slut.

Dela med dig:
  • Twitter
  • Digg
  • MySpace
  • Skriv ut sidan
  • PDF
  • Kommentarer till Estlands e-röstnings-system

Programmerare med intresse för delegativ direktdemokrati.

Tagged with: ,
Posted in Demokrati
6 comments on “Estlands e-röstnings-system
  1. Bengt says:

    Hej,

    Du får gärna förklara “Ett tredje problem han såg var säkerheten”. Jag förstog inte vad som var problem med säkerheten?

    Mvh,
    Bengt

  2. Tack Joakim för intressant rapport.
    Jag är för ett i absolut mening öppet samhälle utan utrymme för valhemligheter. Vi har varit rädda nu, bortom allt förnuft, tillräckligt länge.
    Var rädd men våga ändå! Idag är det bara en gradskillnad mellan Nordkorea och Sverige, det kallar jag sjukdomsinsikt.
    Jag vill upphäva min så kallade valhemlighet som jag aldrig bett om.

  3. Joakim Sigvald says:

    Bengt, jag har också svårt att förstå varför en teoretisk risk att någon i efterhand kan koppla ihop en person med dennes röst är ett säkerhetsproblem, men det verkar vara koncensus. Har tyvärr inget bra svar.

  4. Joakim Sigvald says:

    Bo, ja frivillig valöppenhet vore kanske inte fel

  5. Att få rösta öppet utan pådyvlas valhemlighet är en mänsklig rättighet som jag ser det!
    Varför krångla till inkarnationerna – låt oss spela spelet klokare och ansträngningslösare.
    Vi kan inte förvänta oss att stjälande, dräpande och fuskande skall upphöra. Vi kan dock “ta det” = förhålla oss till saken på ett annat sätt, ett visst svinn är ofrånkomligt i djurriket. Att uppnå hundra i ett tankeklimat där ingen är riktigt hundra är att sakna sjukdomsinsikt.
    Absolut öppenhet är vägen sanningen och det eviga livet utan början och utan slut – lidandet minskar stegvis i öppenhet. Var rädd men våga ändå!

1 Pings/Trackbacks for "Estlands e-röstnings-system"
  1. […] för ett spanskt företag. När jag talade med Sven Heiberg, projektledaren för Estlands system, vid ett besök i Tartu förra sommaren uttryckte han en viss förvåning kring detta men medgav samtidigt att tekniken […]

Add Comment Register



Leave a Reply to Bengt Cancel reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>