Aktiv Demokrati

[fiddur]

Jag skapar en ny tråd om detta, även om det kommit upp i lite olika trådar tidigare. Först, vad robwe skrev:

Det som är extra knepigt med edemokrati, är att man gärna vill skydda valsystemet från "attacker innifrån". Det vill säga, alltid när jag har tänkt på det här problemet, så har jag försökt att tänka mig ett system som även har någon form av säkerhet emot att någon t.ex. installerar illvillig mjukvara direkt på en av valsystemets servrar (!) Detta medför två saker:

1. För ett säkert valresultat kräver detta någon form av redundans, det vill säga flera valservrar som räknar parallellt.

2. För anonymitet blir det knepigare, och det kräver egentligen att ena servern anonymiserar en röst, samtidigt som den andra servern räknar rösten. Man lyckas åstadkomma detta genom att väljarens klient krypterar rösten så att endast den rösträknande servern kan läsa den, samtidigt som den anonymiserande servern mappar om väljarens identitet. Tyvärr öppnar detta steg för möjligheten att anonymiseraren injecerar falska röster i systemet, vilket gör att systemet blir något sårbarare vad gäller punkt 1. Så det gäller att hitta ett bra balans.

Man kan minska antalet fysiska servrar genom att på olika sätt ge servrar både roll som anonymiserare och som rösträknare (fast då aldrig anonymiserare åt sig själv). Man kan skapa flera redundanta rösträkningar genom att utnyttja alla olika möjliga anonymiseringsvägar genom nätverket.

Det verkar tyvärr som att valhemligheten är svårare att skydda i mer än två steg. En kedja av flera anonymiserare kan knäckas av den första och sista anonymiseraren som tillsammans kan lista ut mappningarna i de mellanliggande anonymiserarna.

Men detta är som sagt det "yttre skyddet" emot fusk. Sedan kan man i skötseln av varje valserver vidta åtgärder och rutiner som minskar chanserna för valfusk eller avslöjande av valhemligheter. Några exempel är:

1. Separera rent fysiskt en server som innehåller databasen med faktiska röstdata, med den server som kör valsystemets mjukvara.

2. Servern med röstdata bör vara inlåst, och endast ha en datakoppling direkt till den server som kör mjukvaran. Eventuella Lan-kablar bör vara ihoplödda med moderkorten och larmade?

3. Innehållet på den dator som kör mjukvaran bör vara öppen för allmän granskning. Innehållet på denna dator bör rutinmässigt verifieras, så att den inte innehåller någon form av trojaner etc.

4. Människor som arbetar med att underhålla valsystemet bör alltid arbeta i par som roterar på olika sätt. Bakgrunden hos alla människor i kontakt med valservrarna bör kontrolleras noggrant.

[fiddur]

Jag tror inte riktigt på det här med skyddade servrar. Att en server är fysiskt separat gör inte mycket från eller till. Jag vill se en kryptologisk lösning, och tyvärr är jag lite nybörjare på det området.


Om man skulle kunna lita på att personer kan ha koll på en nyckel och aldrig behöva byta, så hade situationen varit relativt enkel. Men hade kunnat utfärda t ex en gnupg-nyckel den dag någon blir myndig osv... men, som världen ser ut, så måste det gå att få ett nytt röstID från nån myndighet, och det gamla invalideras.

Man skulle förvisso kunna tänka sig ett periodiskt utfärdande av röstID, och den som tappar bort sitt ID, nyckel eller login kan inte ändra sina röster eller delegeringar förrän nästa period börjar. Det skulle bli en kompromisslösning, men den skulle nog fungera bra inom några år. Då skulle röstlängdsmyndigheten t ex vid varje nytt år kunna generera en nyckel per person, och invalidera ALLA gamla nycklar.

Då skulle förvisso alla behöva logga in och antingen göra nya inställningar, eller importera från sitt gamla röstID, en gång om året. Det skulle också ställa till det lite för omröstningar som pågår över själva skarven, men det går att lösa någorlunda okej.

Med den modellen skulle ingen databas existera som kunde knyta röstID tillbaka till fysisk person. Delegater däremot skulle ligga direkt i valsystemet, utan egen rösträtt, separat från väljare.

[robwe]

Som jag också skrev, var att den fysiska säkerheten för valservrar inte var det primära skyddet, utan endast ska ses som ett komplement. Den första delen av vad jag beskrev är precis som du efterfrågar en lösning baserad på kryptologi.

Men samtidigt måste man ändå erkänna att även faktorer som rör det fysiska skyddet av valservrar spelar in när det gäller säkerhetsfrågor. Det spelar till exempel inte någon roll om vi har 100 valservrar med säker kryptering om alla dessa står utplacerade i offentliga lokaler där vem som helst kan plugga in vad som helst direkt i datorn, läsa av hårddisken genom godtyckligt OS och hitta varenda kryptonyckel som eventuellt finns lagrad däri. För även kryptologi bygger ju på att man rent fysiskt kan skydda kryptonycklar etc.

Som jag ser det så bör säkerheten utgå i från RSA kryptering, där varje person privat på sin egen dator genererar ett nyckelpar där ena nyckeln är privat, och den andra nyckeln är offentlig. Den offentliga nyckeln registreras sedan i ett publikt register som är öppet för allmänheten, och där varje person kan verifiera att rätt kryptonyckel är förknippad med han eller hon. Personen kan sedan använda den privata nyckeln för att signera meddelanden som vi då med säkerhet kan säga kommer från en viss person.

Men sedan för att åstdakomma valhemlighet så måste man lägga till ett steg av anonymisering. Att en person skickar en röst till valserver A, krypterad så att den endast kan läsas av valserver B. Valserver A ändrar då personens identitet till en slumpmässig identitet som alltid används för just personen. Endast valserver A känner till kopplingen mellan personens riktiga identitet och den slumpmässiga identiteten. Server B får då den krypterade rösten, tillsammans med den fejkade identiteten. Principen är att valserver A vet vem du är, men inte hur du har röstat, och valserver B vet hur du har röstat, men inte vem du är. För att avslöja vem som har röstat på vad så krävs att både valserver A och B samarbetar och jämför data.

[jonas]

Jag vill hitta ett sätt att ha anonymitet och kontrollbarhet i kombination med:

* Att program och databas är öppna, läsbara och tillgängliga

* Att vem som helst kan installera sin egen rösträknarserver

* Alla kan kontrollräkna varandras resultat med olika typer av kontrollsummor som skickas till alla som vill och har installerat egna servrar.

På så vis behöver man inte lita på någon enskild part. Och man kan genom öppen mjukvara kontrollera hur beräkning görs. Och om någon modifierar sitt program märks det genom att det inte resulterar i samma kontrollsummor.

[robwe]

Jag tror alla behöver förstå dilemmat som finns i att bygga ett både säkert och anonymt system.

1. Anonymiteten kan i vissa fall brytas om två valservrar sammarbetar.

2. Säkerheten mår bättre av fler rösträknande servrar.

Förstår ni dilemmat i detta? Antag ena extremfallet, att vem som helst kan starta en valserver. Denna registreras i ett valserverregister, och räknar då rösterna parallellt. Detta är ultra-optimalt ur säkerhetssynpunkt. Men vad händer om Sverigedemokraterna plötsligt registrerar 50 valservrar i detta system? Chansen att dessa då kan knäcka valhemligheten är då ganska stor. De som äger dessa servrar kan kors-analysera all röstinformation och ta reda på vilka som stödjer ett visst förslag, med namn och adress.

Antag det andra scenariot, att vi har ett slutet system av säg 5 valservrar på förhand utvalda. I detta fall så kan det vara svårare att knäcka valhemligheten. Två av dessa servrar måste sammarbeta, vilket åtminstone blir knepigare om dessa servrar drivs av ansvarsfulla organisationer med stor personal-säkerhet. Samtidigt har vi nu gjort röstresultatet sårbarare, för om två av dessa börjar injicera falska anonymiserade röster etc. så kan det lättare bli kaos så att man inte längre vet vad som är rätt röstresultat.

Anonymisering är alltså per definition knepigt. Man kan inte äta kakan och ha den kvar. Man kan inte ha ett system där vilken människa som helst kan dubbelkolla valresultatet, samtidigt som anonymiteten är säker. Det är antagligen en logisk omöjlighet, och alla som är involverade i dessa diskussioner måste förstå att slutresultatet måste vara en kompromiss av något slag mellan valhemlighet och valsäkerhet. Man kan inte bara önska att vi har 100 kontrollerande valservrar, och samtidigt kräva valhemlighet. Det går inte. Jag har sett oerhört många misslyckade försök att åstadkomma detta, men alla har haft fundamentala brister. Alla dessa försök har vissa likheter med alla försök att bygga en peupetrum mobile. Det kan se jättefint ut, tills man upptäcker den där katastrofala bristen som man känner på sig ska finnas där.

Den kompromiss som jag tycker är rimligast i dagsläget är den där vi har 3 valservrar som dels anonymiserar åt varandra, och räknar röster parallellt. Men om en av dessa servrar gör något felaktigt och försöker förvanska valresultatet, så kommer man att märka detta, men eftersom valservrarna anonymiserar åt varandra, så är det inte helt lätt att veta vilken server det var som försökte fuska. I detta läge borde man ha ett backupsystem som tar vid på något sätt. Att man har 3 reservservrar som tar över, men det är knepigt att byta ut valservrar utan att samtidigt förlora historik och tidigare lagda röster som kan ha betydelse i en kontinuerlig omröstning till exempel.

(man kan tänka sig fem valservrar också som anonymiserar åt varandra, men jag tycker att uppställningen av ett sådant nätverk ser för occult ut ... )

Man kan också tänka sig att ha ett backupsystem som saknar valhemlighet, men som är ultra-säkert emot digital manipulation. Detta öppna valsystem med öppna röster skulle kunna användas som en slags "boot-strap" system för att avgöra frågor som rör valsystemet självt. På så vis är man fullständigt garderad emot alla former av digital-statskupp som syftar till att helt ta över valsystemet.

Utöver krypteringen så måste man skydda anonymiteten mot olika former av timeing-attacker. Man måste införa slumpmässiga fördröjningar på olika platser i systemet, för att undvika att anonymiteten kan knäckas genom att betrakta väljares aktivitet i relation till uppdateringar i valservrarnas resultat...

[fiddur]

Men samtidigt måste man ändå erkänna att även faktorer som rör det fysiska skyddet av valservrar spelar in när det gäller säkerhetsfrågor. Det spelar till exempel inte någon roll om vi har 100 valservrar med säker kryptering om alla dessa står utplacerade i offentliga lokaler där vem som helst kan plugga in vad som helst direkt i datorn, läsa av hårddisken genom godtyckligt OS och hitta varenda kryptonyckel som eventuellt finns lagrad däri. För även kryptologi bygger ju på att man rent fysiskt kan skydda kryptonycklar etc.

Min tanke är där snarare att den som röstat när som helst kan gå in på godtycklig server och se vilken röst som är registrerad på vederbörande. Sålänge man har sitt röstID (vilken form det nu har, rsa-nyckel eller annat), så skall man kunna kontrollera och ändra sin röst.

Tänk dig att valservrar är ett allmänt moln, som replikerar röster till varandra. I en riksdagssituation har man givetvis en eller flera officiella servrar, men det är inte så relevant i sammanhanget. Om man t ex tänker sig en gnupg-nyckel som röstID, så kan man gå in på vilken valserver man vill och lägga en ny röst, beståendes av röstalternativ, propositionsid och tidsstämpel. Denna signeras med ens nyckel. Därifrån kan den skickas runt till alla servrar, som kontrollerar att signaturen är korrekt. Det enda svår här är hur man hanterar listan över korrekta nycklar. Den skulle då enligt mitt nyligna förslag genereras en gång om året och publiceras av röstlängdsmyndigheten (utan personidentifikation). Alla kan se vilken nyckel som lagt vilken röst, men ingen kan koppla nyckeln till person, inte ens röstlängdsmyndigheten.

Ett säkerhetsproblem är om röstlängdsmyndigheten blir hackad och fler nycklar läggs till, eller nycklar tas bort. Det finns också en risk att någon i hemlighet övervakar skapandet och utskickandet av nycklar, och på så vis kan spara ner vilka nycklar som skickades till vilka personer. DESSA brister skulle vi vara tvugna att hantera med rutiner, kontroll och rigid fysisk säkerhet dock...

Kontrollerbarheten finns i alla fall då i att du alltid kan kontrollera din egen röst. Du kan kolla med alla dina vänner att de som borde ha rösträtt också har fått sina röstID, och att ingen har fått mer än ett röstID. Du kan också kontrollera hur många som är med i röstlängden, även om det kanske är orimligt för dig att räkna hur många som egentligen borde vara med i röstlängden. For all I know, vi skulle kunna vara 500000 invånare i Sverige, jag har då inte sett själv att vi är 9 miljoner...

Att basera säkerheten på att två servrar inte fås att samarbeta är inte mycket till säkerhet, som jag ser det...

[Magnus Gustavsson]

Jag har alltid gillat molntanken.
Det ger också möjlighet till kontroll av godtycklig server, och vilken mjukvara som den kör.
Att "installera illvillig kod" på en av servrarna blir då plötsliggt detsamma som att göra det på alla servrar i molnet, vilket direkt blir betydligt svårare.
Givetvis ska mjukvara hållas väl dokumenterad och uppdateras mycket sällan den dag vi kör detta skarpt med mer än hundra användare.

[MrPerfect72]

Jag tror inte riktigt på det här med skyddade servrar. Att en server är fysiskt separat gör inte mycket från eller till. Jag vill se en kryptologisk lösning, och tyvärr är jag lite nybörjare på det området.

Dedicated trusted computer voting device!
http://www.aktivdemokrati.se/AD-forum/v ... f=14&t=692

[robwe]

Men samtidigt måste man ändå erkänna att även faktorer som rör det fysiska skyddet av valservrar spelar in när det gäller säkerhetsfrågor. Det spelar till exempel inte någon roll om vi har 100 valservrar med säker kryptering om alla dessa står utplacerade i offentliga lokaler där vem som helst kan plugga in vad som helst direkt i datorn, läsa av hårddisken genom godtyckligt OS och hitta varenda kryptonyckel som eventuellt finns lagrad däri. För även kryptologi bygger ju på att man rent fysiskt kan skydda kryptonycklar etc.

Min tanke är där snarare att den som röstat när som helst kan gå in på godtycklig server och se vilken röst som är registrerad på vederbörande. Sålänge man har sitt röstID (vilken form det nu har, rsa-nyckel eller annat), så skall man kunna kontrollera och ändra sin röst.

Tänk dig att valservrar är ett allmänt moln, som replikerar röster till varandra. I en riksdagssituation har man givetvis en eller flera officiella servrar, men det är inte så relevant i sammanhanget. Om man t ex tänker sig en gnupg-nyckel som röstID, så kan man gå in på vilken valserver man vill och lägga en ny röst, beståendes av röstalternativ, propositionsid och tidsstämpel. Denna signeras med ens nyckel. Därifrån kan den skickas runt till alla servrar, som kontrollerar att signaturen är korrekt. Det enda svår här är hur man hanterar listan över korrekta nycklar. Den skulle då enligt mitt nyligna förslag genereras en gång om året och publiceras av röstlängdsmyndigheten (utan personidentifikation). Alla kan se vilken nyckel som lagt vilken röst, men ingen kan koppla nyckeln till person, inte ens röstlängdsmyndigheten.

Ett säkerhetsproblem är om röstlängdsmyndigheten blir hackad och fler nycklar läggs till, eller nycklar tas bort. Det finns också en risk att någon i hemlighet övervakar skapandet och utskickandet av nycklar, och på så vis kan spara ner vilka nycklar som skickades till vilka personer. DESSA brister skulle vi vara tvugna att hantera med rutiner, kontroll och rigid fysisk säkerhet dock...

Kontrollerbarheten finns i alla fall då i att du alltid kan kontrollera din egen röst. Du kan kolla med alla dina vänner att de som borde ha rösträtt också har fått sina röstID, och att ingen har fått mer än ett röstID. Du kan också kontrollera hur många som är med i röstlängden, även om det kanske är orimligt för dig att räkna hur många som egentligen borde vara med i röstlängden. For all I know, vi skulle kunna vara 500000 invånare i Sverige, jag har då inte sett själv att vi är 9 miljoner...

Att basera säkerheten på att två servrar inte fås att samarbeta är inte mycket till säkerhet, som jag ser det...

Okej... du hävdar alltså att du kan få anonymitet samtidigt som godtyckligt många servrar kontrollerar röstandet. Jag är tveksam, men låt oss granska din lösning.

Till att börja med måste jag erkänna att du nämner en komponent som jag utelämnat, nämligen möjligheten att i varje röst bifoga ett slumpmässigt tal, eller en krypterad identitet som gör att väljaren kan kontrollera att hans eller hennes röst är registrerad rätt i en viss valserver. Detta måste jag erkänna ger något mer möjligheter vad gäller själva valsäkerheten. En person kan därmed detektera om hans eller hennes röst har räknats rätt eller fel. Men jag skulle vilja mena på att detta endast skänker begränsade möjligheter. Vad gör man till exempel i följande fall:

1. En person påstår sig ha röstat på ett visst sätt, när detta i själva verket inte är sant. Antagligen är det svårt att i efterhand bevisa att du verkligen skickade en röst ifrån din del av nätverket till servrarna. Valsystemets integritet kan på detta sätt komma att ifrågasättas på felaktig grund.

2. Om vi har personer som är inte är så aktiva i sitt röstande, vad finns det för skydd emot att illvilliga valservrar använder dessa personers identitet för att fejka röster. Eftersom dessa personer aldrig använder sin rätt att rösta, eller kontrollera att deras röster räknas rätt, så uppstår en möjlighet för attacker i alla fall.

Dessa båda punkter sammantaget innebär att vi dels har en situation där alla människor måste kontrollera att deras egen röst har räknats rätt, men även om någon person påstår att deras röst inte har räknats rätt, så blir det svårt att bevisa att så verkligen är fallet. Detta kräver någon form av datalagringsdirektiv för nätverken, vilket i sin tur skapar ytterligare problem vad gäller anonymiteten.

Den stora frågan vad gäller detta moln är såklart hur man klarar anonymiteten. Du menar att detta sker genom en så kallad röstlängdsmyndighet. Egentligen är det dit du har lokaliserat de flesta av alla säkerhetsproblem i din modell, vilket du också antyder. Jag menar att den information som finns i röstlängsmyndigheten blir extremt värdefull, och kan bli föremål för en rad attacker:

1. Om kopplingen mellan fysisk person och RöstID blir känd av någon, så kan den personen i princip få fullständig kännedom om vem som har röstat vad i hela systemet.

2. Om röstlängdsmyndigheten blir hackad så så att ett nytt RöstID (en publik RSA nyckel) registreras på en inaktiv medborgare, så kan det RöstID:t användas för att skicka in förfalskade röster i systemet.

Detta betyder under alla omständigheter att röstlängdmyndigheten blir den svaga länken i kedjan. Du säger att mitt system inte är säkert eftersom det räcker att 2 servrar samarbetar för att knäcka någons valhemlighet, men i ditt fall räcker det ju med att 1 server vill göra det. Valhemligheten är inte alls särskilt säker i ditt system.

Sedan vad gäller säkerheten i röstresultatet. I mitt fall behöver man t.ex. ha 2 av 3, 4 av 5 eller 6 av 7 servrar för att kunna fuska med valresultatet på ett sätt som inte går att upptäcka. Detta är inte helt dåligt. Din variant fungerar här jättebra med ett helt moln, men om röstlängsmyndigheten hackas enligt punkt 2 ovan, så spelar molnet ingen roll alls längre.

Det finns i och för sig ett sätt som man möjligen skulle kunna få din idé att fungera lite bättre, utan en så sårbar röstlängdsmyndighet. Man kan försöka undvika punkt 1 genom att till exempel bara byta ut RöstID en gång varje år, och därefter radera kopplingen mellan fysisk person och RöstID. I extremfallet skulle man kunna tänka sig att människor lägger RSA nycklar i en valbox rent fysiskt vilket gör att kopplingen mellan RöstID och person aldrig behöver finnas i någon dator vid något tillfälle. Men detta betyder att man inte kan byta nycklar hur som helst under loppet av ett år. Om man förlorar sin nyckel så måste man vänta till nästa år för att få en ny. Kanske det är detta som du har tänkt dig? Med den här lösningen skulle man också kunna skicka ut kopior av röstlängden till alla servrar, vilket förhindrar manipulation. Men detta kräver ganska dyra logistiska lösningar, med röstsedlar som innehåller 3D-barcodes av alla nycklar och som måste scannas in av valmyndigheten. Det är i och för sig en lösning som inte är helt fel.

Men det blir som sagt omöjligt att byta nycklar mellan dessa val med detta system. Om någon stjäl din privata nyckel, så kan någon annan rösta i ditt namn tills nästa valperiod kommer, och du kan byta ut din nyckel. Men detta är kanske ett okej pris för att ha en idiotsäker valhemlighet samtidigt som röstresultatet är rejält skyddat det också så länge som människor kan hålla sina privata nycklar skyddade rent fysiskt.

Jag kan tänka mig ditt system med röstlängd, om man gör som jag föreslår ovan med att rösta rent fysiskt i röstlådor med kryptonycklar. I annat fall tycker jag att röstlängdsmyndigheten utgör en allt för svag länk i ditt system. Jag vill inte behöva lita på den myndigheten på det sättet.

Men detta är i alla fall en intressant diskussion ... Det känns som att vi i alla fall har 2 rätt så okej lösningar.

[fiddur]

Jag har funderat lite till...

Om vi börjar från användar-ändan, så skulle jag vilja utmåla en situation där alla kan sitta hemma, eller var de än är, och logga in med sin e-legitimation (som givetvis måste stödja även 64-bitars gnu/linux-system då), och därmed rösta eller se sin liggande röst, hantera sina delegationer osv. Vi ska kunna länka till en omröstning direkt från en facebook-applikation, från ett blogginlägg eller vad som helst. Det ska knappast krävas att man går till en speciell fysisk lokal och lägger en lapp, eller går till en speciell apparat som står på kommunhuset eller biblioteket.

I det perspektivet så har vi uteslutit röstkort med streckkoder, vi har uteslutit dedikerade röst-apparater.

Säkerheten, till att börja med, skulle få hållas på samma nivå som en bank. I dag litar i princip alla på att bankerna håller en tillräcklig säkerhet. Även de som inte betalar över internet eller hanterar bankärenden över intenet har ju sina pengar på banker som har sina datorer kopplade till internet, så jag skulle vilja påstå att det är en okej säkerhet.

Valhemligheten skulle då få hållas hemlig på samma sätt som att dina bankkontons innehåll är hemliga. Det är ett lite mer kritiskt steg, för personer med lite paranoia eller konspirationsteorier skulle inte alls lita på att styrande organisationer eller säkerhetspolisen osv inte kan få tillgång att läsa av deras bankkonton, och skulle knappast lita på att deras röstande är tillräckligt hemliga heller. Det skulle också finnas administrativ personal som har tillgång till dina röster och skulle kunna kolla av dessa, och även med sekretess så är det en känslig fråga om man känner att man röstar okonventionellt och känner någon som jobbar med valservrarna... Men, i min syn, är det ändå godtagbart.
I dagens val har vi valhemlighet om man går och röstar på valdagen, men inte om man förtidsröstar, tekniskt sett (resten är upp till rutiner och att personer kontrollerar varandra för att göra på rätt sätt). Vi kan erbjuda en praktik valhemlighet i klass med förtidsrösterna.

Kontrollerbarheten kan vi givetvis aldrig få fullt ut. Situationerna du målar upp robwe, med att det smygs in andra röster för personer som inte engagerar sig och aldrig kollar av sitt röstkonto, kan egentligen inte skyddas mot. Sålänge vi har någon sorts valhemlighet så måste det vara upp till var och en att kontrollera sin röst, och mer än så kan man inte heller göra i vårt nuvarande valsystem för t ex riksdagen. Och, som sagt, att gå ut och själv räkna hur många invånare sverige faktiskt har, är inte heller så lätt, men vi får helt enkelt lita på skatteverket att medborgarförteckningen är korrekt.


Slutsatsen...

Idealistiskt, så skulle jag gärna se ett rent kryptologiskt system med öppna servrar i moln-konstellation. Kanske ha en röstlängdsmyndighet som ger ut röstID med tillhörande lösenfras och som inte sedan kan spåras tillbaka till person, en gång om året.

Praktiskt sett, så tror jag att en lösning som mer liknar bank-servrarna skulle vara rimligare. Vi vill kunna erbjuda folk att logga in med e-legitimation hellre än att kräva att folk håller ordning på ännu en dosa eller hemlig inloggning som inte ska kunna bli stulen. Det är också en mycket enklare lösning att både programmera och administrera; enklare både för oss och för alla användare.

[jonas]

Även om vi har centrala officiella servrar kan vi fortfarande ha en öppen källkod och data med kontrollnummer på ett sådant sätt att vi kan verifiera att det är exakt den versionen av programmet som körs centralt och att det är exakt den uppstättningen data som ligger i systemet och att resultatet från omröstningen blir exakt det samma och att dina röster är med och stämmer med vad du vet du har röstat.

Jag tänker mig att alla som vill ska kunna sätta upp en kontrollserver hemma hos sig själv eller på annat sätt, så som ett program som installeras lokalt via webbsidan. Och att man genom detta kan verifiera en delmängd eller hela datan. Och att alla som gör det kan kontrollera sina uppgifter sinsemellan.

Så det gör att alla som är intresserade kan verifiera att programvaran fungerar som den ska och att ingen har lagt till skadlig kod eller ändrat på röster.

[joasi]

Man skulle kunna spinna vidare lite på idén med röstservrar som banker. Så att det kan finnas flera oberoende valsystem privat ägda av företag. Valsystemen har alla sina egna användargränssnitt och funktioner. Kraven på dessa valsystem är dels att de ska garantera valhemlighet och röstintegritet (skydda mot röstfusk), och dels kunna leverera röstresultat till en central statlig valserver som sammanställer alla röster och levererar valresultat.
Sedan är det upp till invånarna att själva välja vilket valsystem de vill ansluta sig till på samma sätt som vi idag själva väljer vilken bank som ska förvalta våra pengar.
Det ska naturligtvis ställas stora krav på valsystemen, exempelvis att de ska köras med öppen källkod så att alla kan verifiera att de fungerar korrekt.

En fördel med att dela upp röstandet på många oberoende valservrar som konkurrerar med varandra är att om en blir korrumperad så påverkar det bara en delmängd av alla röster, och när det uppdagas kommer deras kunder säkert lämna dem för ett säkrare valsystem.
En annan fördel är ju att vi får konkurrens mellan funktionalitet och användarupplevelse som sannolikt leder till att bättre och användbarare system.

Så mitt förslag är alltså:
1) En central valserver (ev. uppdelad i flera redundanta servrar, ett moln etc. som diskuterats tidigare)
- med uppgift att ta emot anonymiserade röster kopplade till omröstningar och sammanställa dessa till röstresultat
2) Oberoende konkurrerande valsystem som kan hantera enskilda väljares röster och leverera dessa anonymiserade till valservern, samt presentera valresultat från valservern
3) Ett interface och ett protokoll för att kommunicera röster och valresultat mellan valsystem och valserver
4) Styrregler för vilken minimal funktionalitet valsystem ska tillhandahålla och kontrollfunktion för att garantera att de fungerar korrekt
5) En röstlängdmyndighet som förvaltar mappningen mellan valsystem, personnummer och anonymiserad personlig kod så att valservern kan verifiera ett de anonymiserade rösterna som den får levererade till sig överensstämmer med fysiska personer och levereras från rätt valsystem

Valhemligheten och röstintegriteten garanteras då inte av den centrala valservern utan av de enskilda valsystemen och det är upp till varje invånare att bedömma om säkerheten är tillräcklig för att de ska låta ett visst valsystem förvalta deras röst.

[fiddur]

Även om vi har centrala officiella servrar kan vi fortfarande ha en öppen källkod och data med kontrollnummer på ett sådant sätt att vi kan verifiera att det är exakt den versionen av programmet som körs centralt och att det är exakt den uppstättningen data som ligger i systemet och att resultatet från omröstningen blir exakt det samma och att dina röster är med och stämmer med vad du vet du har röstat.

Man kan få ett anonymiserat röstID som man ser när man är inloggad (via e-leg). Sedan kan varje omröstning presentera en röst-lista i den stil vi tidigare diskuterat, där man ser röstID, röst, tidpunkt och ev delegat som la rösten, så samma sätt som det redan är i ad.alternativ.se.

Alla kan göra sin egen rösträkning och kontroll.

Däremot ser jag inte vinsten i att ha privata röst-servrar som levererar röster till den samlade valservern. Det skulle försvåra säkerheten, då den centrala valservern inte ser identifieringen med e-leg utan ska få nån sorts intygan från annan server om att en viss person lagt en viss röst eller delegering. Det går givetvis att lösa, men jag tror mest det krånglar till det, och ger fler säkerhetshål.

Möjligen skulle man kunna ha en API-lösning, som tillåter inloggning med e-leg som går direkt på valservern, och sedan ett gränssnitt för att visa propositioner mm, men det är också en minskning av säkerheten. Vi vill ha api för att kunna visa propositioner, röstresultat osv, men själva röstandet bör göras på officiella servrar, om man går på bank-modellen.

Jonas: Hur kan du se vilken version av ett program som faktiskt kör på servern? Även om den levererar kontrollsummor av olika slag så kan ju dessa mycket väl vara lagrade och levereras utan att det är de som körs. Till och med en anonym ftp med läsrättigheter skulle kunna fejkas.
Som jag ser det måste serverns integritet och korrekthet skyddas av regler och rutiner, anställandet av fler orelaterade idealistiska tekniker som har hand om servrarna.

[joasi]

Däremot ser jag inte vinsten i att ha privata röst-servrar som levererar röster till den samlade valservern. Det skulle försvåra säkerheten, då den centrala valservern inte ser identifieringen med e-leg utan ska få nån sorts intygan från annan server om att en viss person lagt en viss röst eller delegering. Det går givetvis att lösa, men jag tror mest det krånglar till det, och ger fler säkerhetshål.

Jag ser inga större problem med att implementera den delen. Valservern skickar helt enkelt för varje inkommen röst ett meddelande med anonymiserat personnummer och valsystems-id till röstlängdsmyndighetens server och får ett true/false tillbaka. Att göra den kommunikationen säker är nog inga problem och vi vill ju hur som helst separera anonymisering från hantering av röster så röstlängdsmyndighetens server måste vara separerad från valsystemet oavsett.

Vinsten med privata röst-servrar är ju dels att varje användare då kan välja en röstserver som passar just henom. Någon kanske vill ha ett superenkelt valsystem som bara anordnar fysiska val en gång vart fjärde år mellan vissa av valsystemet utvalda delegater. Andra kanske vill ha full kontroll över varje omröstning vad gäller prioritering av delegater, kategorisering av omröstningar, automatiska meddelanden när omröstningsstatus ändras etc.

En annan vinst är att systemet som helhet blir mindre sårbart mot attacker. Även om ett enskilt valsystem blir korrupt så innebär inte det att hela demokratin blivit kapad - bara att den fått lite slagsida tills man har upptäckt och rätt ut problemet.

Men det största problemet att lösa i den modellen är nog att se till så att varje väljare enkelt kan verifiera sin röst. Och att de också gör det i tillräckligt stor utsträckning för att undvika att korrumperade valsystem själ deras röster i smyg.

[MrPerfect72]

En annan vinst är att systemet som helhet blir mindre sårbart mot attacker. Även om ett enskilt valsystem blir korrupt så innebär inte det att hela demokratin blivit kapad - bara att den fått lite slagsida tills man har upptäckt och rätt ut problemet.

Jag tror inte riktigt att ni inser skadan som "lite slagsida" haer och daer kan orsaka foer tilliten till systemet. Jag aer foer ett manuellt system som i Schweiz eller via typ bankomat tills man har tillraecklig trygghet som finns beskrivet i laenken tidigare om dedicated trusted computer device. Alltsaa en trygghet som oeverstiger dagens internetbanks-saekerhet.

[pH7.3]

Alltsaa en trygghet som oeverstiger dagens internetbanks-saekerhet.

Trygghet är bra och i framtiden kanske det blir så. Men det känns inte realistiskt i det här skedet.

[fiddur]

Alltsaa en trygghet som oeverstiger dagens internetbanks-saekerhet.

Trygghet är bra och i framtiden kanske det blir så. Men det känns inte realistiskt i det här skedet.

Det finns givetvis en avvägning mellan trygghet och tillgänglighet. Vi kan inte placera ut röst-maskiner på var och varannan grindstolpe i glesbygdern. Om man skall jämföra med bankomater, som det finns vääldigt många, så är det fortfarande väldigt långt till en bankomat härifrån t ex, och jag är ändå bara 5 mil utanför Göteborg nu.

Dessutom finns det en trygghet i att rösta i sitt eget hem. Man vet att det inte är någon som kikar över axeln, och man kan rösta i samband med att man läser på argumenten för och emot olika förslag, istället för att behöva studera det i lugn och ro på en plats och sedan ta sig till nån apparat för att rösta. Det är ju otympligheten och osmidigheten som är en del i att vi bara har allmänna val var fjärde år.

Jag skulle vilja säga att den säkerhet mn kan få med bankernas metoder, med login-dosa, är tillräckligt. Däremot är jag fortfarande tveksam till att blanda in privata aktörer.
Om de skall utveckla tillräckligt säkra system och ha server på väl skyddad plats osv, så kostar det pengar, och vad är deras syfte med att lägga dessa pengar?
Att ha olika avancerde vyer, och olika typer av gränssnitt och ingångar, ser jag som valmyndighetens uppgift att sköta. Till att börja med är det ju AD som motsvarar valmyndigheten, men om man spekulerr i att systemet skulle bli gällande riksdagssystem är det ju en myndighet...
Men, jag är öppen för möjligheten. Om någon utvecklar ett alternativt system och kan visa på poängen i att ha det i drift för att kunna leverera rösterna till våra servrar, med en säker och trygg metod, så kan vi ju titta vidare på det då. Tills dess skulle jag hellre se att det utveckls alternativa gränssnitt som kan köras på våra servrar, med öppen kod som många kan kontrollera för hål osv.

[MrPerfect72]

@fiddur
vad aer poaengen med att bygga ett system som kan hackas laett?
kaenner du till trojanska haestar?
tycker du verkligen att man kan vara trygg genom att roesta fraan sitt eget hem?
har du laest hela traaden om dedicated trusted computer voting device?
kaenner vi naagon som kan bygga 50 st dedicated computer voting devices och faa dem att kommunicera med en server?

[fiddur]

vad aer poaengen med att bygga ett system som kan hackas laett?

Om du anser att bankerna kan hackas lätt så ger jag dig härmed tillåtelse att föra över 5 kr från mitt bankkonto till ditt eget för att bevisa din poäng.

kaenner du till trojanska haestar?

Ja.

tycker du verkligen att man kan vara trygg genom att roesta fraan sitt eget hem?

Ja.

har du laest hela traaden om dedicated trusted computer voting device?

Nu har jag.

According to the people I spoke to, you would be able to put a video camera watching the person typing his/her code and then using the device and vote until the person discovers the deed.

Det stämmer inte med de banksystem som används i Sverige i dag. Ok, det finns några undantag, som faktiskt använder lösenord, men de jag syftar på är de som använder en extern dosa, som i kombination med koder man matar in från inloggningsfönstret, genererar en ny kod baserad på klockslag, dosans id (kopplad till din användare) som sedan matas in för inloggning. Även med trojaner på datorn är säkerheten mycket hög. Givetvis finns det fortfarande möjlighet att någon har installerat ett program som när du tittar bort tar kontroll över din webbläsare och skickar falska requests, men du kommer att märka det ganska snabbt när du är inne och ser dina liggande röster och delegeringar.

Att man kan kontrollera vilken röst som är registrerad på en minskar betydligt säkerhets-problemet vad gäller felaktiga röstningar. Om någon installerar en kamera i ditt datorrum så är din valhemlighet redan röjd, så den säkerheten slutar redan där.

kaenner vi naagon som kan bygga 50 st dedicated computer voting devices och faa dem att kommunicera med en server?

När vi får partistöd skulle det inte vara några större problem, om det vore relevant.

[fredblomson]

I ett tänkt grönblå socialkommunistiskt samhälle utan partidiktatur, valhemlighet skall vara onödig likaså röstköp, rösttvång med mera eftersom partier är förkastliga.
Aktivdemokrati kallar sig parti endast för att anpassa sig till gällande lagar, så länge dessa finns kvar!
Exempel: Anta att det är folkomröstning för att fastställa huruvida:
A: Solen snurrar rund jorden
B: Jorden snurrar rund solen
Jag gissar att några kan rösta A med dagens analfabetism i världen.
I ett materiellt jämlik samhälle alla frågor, alla beslut, alla lagar med mera syftar till det gemensamma bästa. Om man bortser från renodlad egoism, dumma traditioner, blinda trosbekännelser och liknande, brukar det finnas alltid en bästa förnuftig lösning till alla fall och sanningen är alltid bara en!
Jag ser ingen anledning till valhemlighet, röstköp, rösttvång och liknande när det inte skall finnas partier, och det är det som Aktivdemokrati strävar efter. Meningen är att vi alla medborgare skall enas rund våra egna direktdemokratiska nomokratiska lagar.
Hur skall vi kunna diskutera innan vi röstar och samtidigt håla hemliga våra tankar och idéer? Är detta inte en utopi?
Fred Blomson fred.blomson@hotmail.com, http://nomokrati.wordpress.com