En ting er helt sikker - hvis jeg skulle stemme via nettet, og først logge mig på med min digitale signatur, så vil jeg ikke stemme. Og jeg tror ikke at jeg er alene. Så de få ekstra sofavælgere du får op i stolen, kompenseres mange gange, af alle os, der ikke vil acceptere ikke anonyme valg. Og det kan netop ikke være anonymt, når du starter med at logge på med din digitale signatur. Dertil tror jeg ikke et hak på at programmører kan sammentælle. Jeg har set mange analfabeter blandt programmører, der hverken har kunnet lave opslag i alfabetisk sorterede lister, i telefonbøger, eller finde ud af hvordan de skal notere data ned, for at kunne slå dem op igen, indenfor rum-tid. Programmører, er meget tæt på at have det laveste IQ, du kan opnå, indenfor intelligens.
Ingen af de elektroniske valgsystemer, har beroet på software, der dobbelttjekkes. Det betyder, at en vilkårlig programmør kan ændre et valgresultat - og ofte er koden hemmelig, så det ikke kan ses. Præcis som når du regner almindelige valg ud, skal du have flere systemer, der arbejder samtidigt, og skrives af uafhængige personer, og hvor at man regner samme resultat ud, af software som er gjort af forskellige programmører. Dette er dog langtfra nok, til at sikre mod fejl. Selvom det ene system baserer sig på Windows, og det andet på Linux, er sandsynligt at begge kan hackes, og påvirkes ens.
Se eventuelt debatten på version2. Skal vi have elektroniske valg, hvor vi kan side hjemme, tror jeg at en anonym udleveret mobiltelefon, er bedste løsning. Du kan ikke bruge din egen mobiltelefon, for deri er der en skjult tyverikode, der afslører hvem du er, uanset du skifter SIM kortet. Hele telefonen, skal være anonym, uden kendskab til navn, for at kunne bruges. Ellers er meget stort sandsynlighed for, at man komprimenterer sin anonymitet, ved at sætte et normalt SIM kort i, og eventuelt ringe til venner og bekendte på denne. En engangs mobiltelefon, der ikke kan bruges som normal telefon - måske dog som nødtelefon - er derfor eneste mulighed, hvis det skal være mobiltelefonbaseret. Det er dog hellerikke en dyr løsning. Som nævnt koster en engangsmobiltelefonen idag ca. 50 kroner, med engangsbatterier.
Men mobiltelefoner, er alligevel langtfra så sikre som normale valg. Som er pointeret på flere på version2.dk, så kræves at stemmen gøres i en boks, og uovervåget, hvis det skal være sikker. Dertil kommer problemet med sikkerhed for mobiltelefonen, og for at den ikke skal stjæles.
Så er der århus-løsningen, hvor valget sker med skrabekort, der sikrer anonymiteten. Bortset fra de åbenlyse fejl, som metoden har i den nuværende udgave, er idéen meget god. Men, igen, er der bunker af problemer. Som nævnt, er det samme maskine, med software fra samme programmører, der laver både sammentælling og fintælling. Uanset, der er mulighed for udskrift på papir, så det kan foregå manuelt, er det ikke garanti for, at alle stemmer står på papiret, og at de er noteret korrekt.
Dem der har lavet metoderne, har simpelthen ikke den fjerneste kendskab til sikkerhed. Skal du sikre noget mod softwarefejl, skal det som minimum kodes af flere uafhængige kilder, og der skal ske såvel afstemning mellem disse, som automatisk udelukkelse, og fejlene skal detekteres, analyseres, kulegraves, og hvis der er noget der kunne tyde på bevidst snyderi eller terror i koden, naturligvis også retsforfølges.
Selvom det er kodet af forskellige programmører, på uafhængige maskiner, med uafhængigt hardware og forskellige operativsystemer, så skal systemet analysers for, om der kan være mulighed for ens påvirkning af de forskellige maskiner, således de tæller forkert. Det er typisk hacking, men det kan også være meget andet, der medfører ens påvirkninger.
Vi har allerede set, at der er sket eksempler på hacking af stemmecomputere, hvor resultaterne er manipuleres, mellem stemmecomputer og valgcomputer. Udover de enkelte computere på valgstederne skal være sikre, så skal naturligvis også den centrale computer, der foretager sammentælningen fra de enkelte valgsteder. Her kan man måske anvende papirudskrifter som backup, og så lægge tallene sammen manuelt.
Jeg synes der var mange gode, og kritiske kommentarer, i version2's debat, både med hensyn til mobiltelefonforslaget, og med hensyn til Århus skrabekortet. Men i deres nuværende form, kan de langtfra stå som erstatning til et papirbaseret valg. Og de vil sandsynligvis aldrigt kunne det. Det er meget svært - og dyrt - at skulle programmere alt dobbelt, at tjekke systemerne ikke har noget kode fælles, at eventuelt muliggøre at vælgeren kan overbevise sig om at stemmen er sat korrekt, og medtaget korrekt i sammenlægningen osv. At sammenligne med PBS er ikke dumt, men det er faktisk værre: PBS er langtfra et sikkert system, og det beror ikke på forskellige leverandører. Så jeg gætter på mindst 2-3 gange prisen for PBS. Det skyldes, det skal bestå af flere uafhængige systemer, sikres det er kodet af programmører med forskellige politiske holdninger, sikres at der ikke er dele der er fælles - hellerikke tjek systemerne, der validerer om systemerne tæller ens - og det hele skal være redundant, dobbelt, kodet af programmører med forskellige holdninger, fra skærm til resultat.
Det er ikke så simpelt som det lyder - bare det at bruge en touch screen, giver voldsomme problemer. Hvem skal skrive teksten på skærmen? Hvad der står, er jo afgørende for hvor der trykkes, og hvor der stemmes. Er denne del ikke kodet af personer, fra forskellige partier, så er det som at lade DF afgøre valget.
Jeg vil ikke sige, at det er helt umuligt at opnå noget der er bare lidt sikkert. Men med de valgsystemer vi har set indtil nu, har der aldrigt været gjort et reelt forsøg. Århus metoden, er vist første gang, at man bare tilnærmelsesvis har tænkt en smule over anonymitetsproblemet. Og ingen valgmaskiner i hele verden, er til dato lavet, så de overholder foreskrifterne til, at stemmerne detekteres, og sammentælles af to uafhængige parter. Stemmerne afgives på kun éen computer, og den registerer præcist hvad den ønsker.
Problemet er identisk med mange andre store softwareprojekter. Dem der styrer projekterne hælder vand ud af ørerne, og kalder det redundant, sikkert, 100% sikkert, virussikker osv. Og alligevel, så består redundansen af flere maskiner, der kommer fra samme fabrikat, anvender samme processor, bruger samme software, har samme fejl, og er kodet 100% ens. En kodefejl, på den ene computer, medfører også fejl på den anden. Dette sælges livligt og gladeligt, som redundans. Og så forstår kunden ikke hvorfor at det kan gå galt, når der står 10 computere, og er redundante. Men det er de samme der har leveret det, opstillet det, sat det sammen, udviklet softwaren, og fejlene er kopieret fra system til system.
Skal du lave noget som fungerer - specielt et stemmesystem - skal du antage, at der er en, eller endog flere terrorister, blandt koderne. Disse har til formål, at overtage kontrollen over landet. Terroristerne kan have kontakter med hinanden, og i modsætning til ærlige programmører, blive enige om kode og fejl. Det betyder, at du allerede ved ansættelsesprocessen, ikke kan tage folk ind, til at programmere, og give dem den opgave de gerne selv vil - for så muliggør du, at eventuelle terrorister placerer sig i samme kritiske dele, og det derved ikke mere er redundant. Der er virkeligt meget du skal tænke på, og du skal også have systemer, så du kan spore terroristen, hvis der kodes noget forkert. Du har, ved et redundant system, hvor der ikke må bruges samme kode, langt bedre mulighed for at konkludere at det er tale om terror, og ikke programmørfejl. Men der er mange metoder og principper, der skal fungere, for at du kan det. Selv den editor der bruges til programmeringen, skal være "terrorsikret" så du kan følge terroristens fingeraftryk, og hvor de kopierer noget fra, fra tast til resultat. Og det skal være videoovervåget, så du har mulighed for at se, at det faktisk er teroristen der har trykket på det fatale bogstav.
Det er altså ikke bare ligetil at lave ting sikkert.
Fra starten, kan vi sagtens konkludere at det er dyrt. Og sættes opgaven i licitation, så vil udbyderne også vide dette, og tilbyde en løsning til høje priser. Men, det er ikke garanti for, at alle sikkerheder er overholdt, på ethvert niveau, så man i princippet kan tage en given kodelinie og med så godt som 100% sikkerhed, spore terroristen (programmøren) der er bag. Eller at systemerne er opfyldte, til at opdage terroristen, og at kunne bevise det er tale om terror grundet destruktivt samarbejde imellem flere programmører.
