Joakim Sigvald: ”Är elektronisk röstning dömt att misslyckas?”

Går det att rösta säkert över Internet? Frågan är relevant då Norge nyligen avslutade sina e-röstningsförsök med motiveringen att e-röstning inte låter sig göras med tillfredsställande säkerhet, åtminstone inte med dagens teknologi (www.bbc.com/news/technology-28055678 ).

Samtidigt kommer rapporter från en oberoende grupp forskare och experter (estoniaevoting.org/team) som har tittat närmare på Estlands system för e-röstning. Studien genomfördes i oktober förra året. Estland är det enda land i världen som tillämpar fullskalig elektronisk röstning nationellt (Uppemot 25 % av landets befolkning använder internet för att förtidsrösta sedan 2006). Forskarnas slutsats var att Estlands system har alarmerande säkerhetsbrister och borde tas ur drift omedelbart för återgång till rent pappersbaserad röstning. Säker e-röstning, menar de, ligger minst ett decennium in i framtiden, om det någonsin kan realiseras (estoniaevoting.org/findings).

Ska man tro den samlade bedömningen bland de flesta av världens främsta experter på datorsäkerhet så behöver vi som hoppas att datorer och internet kan revolutionera demokratin, liksom de har revolutionerat så många andra verksamhetsområden det senaste halvseklet, tänka om. Utgör strimlat och pressat trä i en förseglad låda med en skåra på toppen den ultimata lösningen för vår civilisations, för någon civilisations, behov att organisera sig demokratiskt och möta gemensamma utmaningar? Är det vår förmåga att gömma papper i lådor som kommer att avgöra den demokratiska utvecklingen även framgent?

Det finns stora frågor att besvara alltså, men låt oss återgå till Norge:

Norge genomförde redan 2003 försök med elektronisk röstning. Man röstade i särskilda vallokaler via stationära datorer som var kopplade till en rösträkningscentral, både före och under själva valdagen. Försöket var lyckat och visade att e-röstning i kontrollerad miljö var fullt genomförbart. De flesta norrmän var positiva och många ville även kunna rösta via internet. Sagt och gjort: 2011 genomfördes nästa försök, denna gång med förtidsröstning över internet i tio utvalda kommuner. Man använde i princip Estlands modell med möjligheten att ändra sin elektroniska röst flera gånger och även att kunna ersätta den med en pappersröst på valdagen. Detta skulle garantera att ingen otillbörligt kunde påverka den förtidsröstande i en okontrollerad miljö, eftersom det inte går att bevisa att väljaren inte senare har ändrat sin röst (hj.diva-portal.org/smash/get/diva2:559335/FULLTEXT01.pdf). Skillnaden mot i Estland var att man även kunde e-rösta på själva valdagen.

Manegen var alltså krattad för det tredje försöket som skulle genomföras vid valet till Stortinget i september 2013, nu utökat till tolv kommuner och en kvarts miljon röstande. Norrmännen var fortfarande positiva till möjligheten att rösta via internet och vad det kunde innebära både för den egna bekvämligheten och för demokratiutvecklingen som sådan. En stor grupp experter hade också varit med ända sedan 2010 för att hjälpa till att täppa till säkerhetshål i mjukvaran. Sommaren 2013 meddelade man så att systemet uppfyllde alla säkerhetskrav och att tekniken kunde användas vid det stundande valet (computersweden.idg.se/2.2683/1.517458/norsk-e-rostning-klarar-sakerheten).
(Inom parentes kan sägas att det företag som utvecklat och drivit Estlands e-röstningssystem under tiotalet år var med i upphandlingen till Norges dito, men i slutänden valdes de bort till förmån för ett spanskt företag. När jag talade med Sven Heiberg, projektledaren för Estlands system, vid ett besök i Tartu förra sommaren (aktivdemokrati.se/demokrati/2013/estlands-e-rostnings-system) uttryckte han en viss förvåning kring detta men medgav samtidigt att tekniken hade gått framåt och att arkitekturen för Estlands system redan var föråldrad.)

September 2013 kom och e-röstningsförsöket, det tredje i ordningen, genomfördes som planerat. Institutet för samfundsforskning (ISF) fick uppdraget av Kommunal- och Regionaldepartementet att utvärdera det hela (www.regjeringen.no/upload/KMD/KOMM/rapporter/ISF_Internettvalg.pdf). Man skulle särskilt titta på valdeltagande och valbeteende, tillgängligheten, väljarnas attityder och tillit samt valhemligheten. Rapporten med institutets slutsatser lades fram i juni i år, och som vi redan vet ledde den till att man omedelbart lade ner alla vidare försök med röstning över Internet. Internet bedömdes vara, om inte en fluga så åtminstone en återvändsgränd vad gällde demokratins framtida utveckling. Ett ödesmättat beslut. Vad innehöll då rapporten som föranledde denna något oväntade kovändning efter ett decennium av e-demokratioptimism?

Rapporten inleder med att konstatera att e-röstning är omdiskuterat och pekar på den mest uppenbara risken: Att väljare som röstar i okontrollerad miljö (till exempel hemma framför datorn eller med mobilen) kan låta sig påverkas, rent av hotas eller mutas, att rösta på ett visst sätt. Tankarna går till mafiosos som ger goda råd under pistolhot, eller en dominant och våldsam maka eller make med en politisk agenda. Samtidigt pekar man på fördelarna med den ökade tillgängligheten, till exempel för personer med funktionsnedsättning. Kritiken kommer främst från rikspolitiskt håll, inte minst från Stortinget, medan folket i gemen är positiva till e-röstning. Låt oss nu titta närmare på de alarmerande slutsatser som gav politikerna kalla fötter visavi internet-val.

  • Andelen som förtidsröstade ökade markant i de kommuner som fick möjligheten att rösta över internet.
    – De som röstar föredrar uppenbarligen det mest praktiska alternativet.
  • Ingen påverkan på valdeltagande kunde ses.
    – Det är alltså något annat än bekvämligheten vid rösttillfället som avgör om man röstar eller inte. (Förmodligen skulle man finna samma tendens om man studerade beteenden i en livsmedelsbutik – huruvida brödet ligger framme vid kassan eller längst bak i butiken är helt underordnat av ifall det är mögligt eller färskt.)

  • En stor majoritet av befolkningen ansåg att internetval är säkert och borde införas permanent.
  • De som deltagit i försöksvalen över internet var mer positiva till internetval än i landet som helhet.
  • De som röstade via internet kände sig inte mer utsatta för påverkan att rösta mot sin övertygelse än pappersväljare.
  • En mycket liten andel (0,75 %) nyttjade möjligheten att i efterhand ersätta sin elektroniska röst med en pappersröst. Endast en av dem motiverade det med att hen känt sig påverkad att rösta mot sin vilja vid det tidigare tillfället.

Men vänta nu, det här låter ju faktiskt som ett ganska positivt utfall. Hur motiverade då politikerna sitt beslut att avsluta e-röstningsprojektet? Följande artikel från BBC har svaret: (http://www.bbc.com/news/technology-28055678)

  • Man hänvisar till att väljarnas rädsla för att deras röster skulle bli kända kunde underminera den demokratiska processen.
    – Det här är en återupprepning av vad som nämndes om okontrollerade miljöer i inledningen, men motsägs i stort sett av resultaten från studien: Väljarna uppvisade tvärt om stor tillit till systemet med e-röstning.
  • Politisk kontrovers och det faktum att valdeltagandet inte ökade markant angavs som huvudorsaken till att avsluta försöken
    – Här kan vi börja ana den verkliga orsaken till beslutet. Att man förväntade sig att själva valproceduren skulle ha någon större inverkan på valdeltagandet är väl närmast ett utslag av väljarförakt. Är brödet mögligt så är det.
  • I ett uttalande sades att det fanns en stor vilja bland politikerna att låta människor rösta via internet, men att de negativa resultaten från de tidigare försöken övertygade dem om att det trots allt inte var värt att fortsätta satsningen
    – En övning i inverterad sanning, eller hur var det nu, var det politikerna eller folket som var skeptiska till e-röstning?
  • Metoden för att kryptera rösterna vid överföringen över internet reviderades kort innan lanseringen (eller som det uttrycks i artikeln: Hela systemet fick skrivas om).
    – Det är inte alls ovanligt att ett mjukvaruprojekt utnyttjar tiden och gör förändringar ända fram till målsnöret. Men faktum är att systemet slutgiltigt godkändes av den samlade expertis som följt projektet under tre års tid.
  • Slutligen så hänvisas till ”bevis” för att 0,75 % av de röstande hade lagt dubbla röster – både en elektronisk och en pappersröst.
    – Här får vi hoppas att det är artikelförfattaren på BBC som har fått det hela om bakfoten. För det är väl inte möjligt att de ansvariga politikerna skulle ha missat att de 0,75 procenten alltså ersatte sin tidigare lagda elektroniska röst med en pappersröst, helt i enlighet med proceduren som den var utformad?

Sammanfattningsvis var det alltså inget annat än politisk gallimatias som var det officiella motivet till att avbryta försöken med e-röstning. Men om vi backar tillbaka lite så kanske vi kan finna den verkliga orsaken. Låt oss återupprepa vad som stod i inledningen av rapporten:

Kritiken kommer främst från rikspolitiskt håll, inte minst från Stortinget, medan folket i gemen är positiva till e-röstning.

Vi tar det igen så vi inte riskerar att missa något väsentligt: Allmänheten vill ha omröstningar via internet, politikerna vill det inte.

Kan det vara så enkelt att politikerna ansåg att det var dags att avsluta försöken för att de faktiskt inte vill ha elektroniska omröstningar? Vad skulle i så fall orsaken till det kunna vara? Ser de en möjlighet/risk att elektronisk röstning kan leda till en reformering av valsystemet i en riktning som ger väljarna större direkt inflytande på politikernas bekostnad? Det vore i så fall ett mycket rimligt antagande. Och det är lika rimligt att anta att politikerna skulle se detta som ett hot mot sin egen privilegierade ställning.

Låt oss nu titta närmare på kritiken mot Estlands valsystem. Här var det alltså inte en nervös politikerkår som stod bakom utan en grupp internationellt välmeriterade experter på området datorsäkerhet och elektronisk röstning. Deras kritik kan sammanfattas som följer:

  1. Systemet är sårbart för överbelastningsattacker som gör systemet oåtkomligt för väljarna medan attacken pågår. 2007 utsattes systemet för just en sådan attack – sannolikt med Ryssland som adressat.
    – Dock kunde inga effekter på valresultatet märkas när man jämförde resultatet av e-rösterna med pappersrösterna.
  2. En trojan på användarens klientdator kan fånga upp användarens lösenord för att, nästa gång användaren använder sitt id-kort, skicka falska röster i användarens namn.
    – Det här demonstrerades med en gammal version av programvaran. I en nyare version måste användaren bekräfta sin röst via mobiltelefon, vilket omöjliggör den här formen av identitetsstöld.
  3. Ofullständigt dokumenterade och övervakade rutiner kring hanteringen av mjukvaran gör det möjligt för en utomstående att installera kod som förvanskar rösterna innan de räknas utan att det detekteras.
    – Detta har forskarlaget lyckats demonstrera i sitt eget labb med en replika av omröstningsmjukvaran.


Den första sårbarheten beror enligt forskarna på en föråldrad arkitektur som inte fördelar inkommande meddelanden tillräckligt effektivt. Medan det visserligen är ett hårt slag mot Estlands omröstningssystem (en i grunden felaktig arkitektur ändrar man inte i en handvändning) så betyder det samtidigt att tekniken har gått framåt och att det går att klara den typen av attacker som Estlands system nu är sårbart för med en modernare arkitektur.

Den andra sårbarheten har redan åtgärdats. Säker röstning över internet kräver, bland annat, att användaren bekräftar sin röst med hårdvara som är separerad från den mjukvara som används för att skicka rösten. Att kapa ett sådant system ligger på en helt annan svårighetsgrad än att kapa en enskild dator. Om det låter sig göras så är det åtminstone inget som teamet har kunnat visa.

Den tredje sårbarheten är nog allra svårast att komma runt med ett system som liknar Estlands. Varje centraliserat system kan korrumperas. Styrkan i vårt pappersbaserade valsystem ligger framförallt i enkelheten i de rutiner som tillämpas och det stora antal valarbetare som behövs för att utföra dem. Att ersätta ett sådant decentraliserat och enkelt system med ett som är centraliserat och komplext är mycket vanskligt. Däri ligger det stora problemet med Estlands e-röstningssystem – inte att det råkar vara elektroniskt och internetbaserat.

Den svenska direktdemokratirörelsen har länge spekulerat i hur ett säkert system för elektronisk direktdemokrati bör se ut.Till skillnad från de system för e-röstning som har implementerats av stater, så som Norge, Finland och Estland, så nöjer man sig inte med att bara sätta ett ”e” framför det befintliga pappersbaserade valsystemet och i övrigt lämna det oförändrat. Ambitionen är att rita om kartan fullständigt och låta det elektroniska valsystemet vara det primära sättet att fatta beslut – en ersättning för såväl riksdagsvoteringar som allmänna val.

Man insåg tidigt att varje delsystem kan korrumperas. Därför kom man fram till en översiktlig arkitektur med många oberoende moduler, där varje funktion dessutom är duplicerad på ett stort antal oberoende enheter så att om en eller flera av dem korrumperas så upptäcks det när man jämför deras avvikande resultat med de övriga okorrumperades resultat.

Man insåg också att valhemligheten inte kan garanteras om någon del av systemet samtidigt vet vem som röstat och på vad. Det här är ganska enkelt att lösa i vårt pappersbaserade system, där väljaren bara kan rösta en gång och rösten oåterkalleligt separeras från väljarens identifikation innan den öppnas och räknas. Vårt nuvarande system har en hög procedurell säkerhet som garanterar att det är ytterst svårt att förvanska en röst på vägen från väljarens hand till rösträknarens. Detta duger dock inte för ett elektroniskt valsystem. Där krävs verifierbarhet så att man i efterhand kan detektera om något gick fel.

För att få verifierbarhet måste man bevara kopplingen mellan den röstande och rösten, men på ett sätt så att ingen annan än röstaren själv kan känna till denna koppling. Klurigt, men inte olösbart. Knepet är att först låta rösten vara krypterad medan användarens identifikation är öppet läsbar. Men på vägen till rösträkningen vänder man på det så att användarens identifikation krypteras i flera steg, medan rösten i det sista steget avkrypteras. Genom att användarens identitet anonymiseras genom en kedja av oberoende anonymiseringsmoduler, så vet ingen av dem vem väljaren är när rösten väl överlämnas till röstlagringsmodulen och avkrypteras. Resultatet av den något omständliga proceduren är att i slutändan ligger en fullt synlig röst tillsammans med en användarreferens som bara den röstande själv kan känna igen som sin. Naturligtvis ligger rösten duplicerad på många olika servrar så att ett stort antal oberoende aktörer kan räkna rösterna var för sig och jämföra resultaten med varandra. Om någon risk för oegentligheter uppdagas kan väljarna uppmanas att kontrollera sina lagrade röster så att de fortfarande stämmer med rösten som de lagt.

En mer fullständig beskrivning av den här arkitekturen finns att läsa i boken Flytande demokrati (http://www.nomadforlag.se/FlytandeDemokrati).

Slutligen något om röstning i okontrollerad miljö. Internetröstningens akilleshäl är att den utförs i en miljö som inte är kontrollerad och där valhemligheten riskerar att röjas. Det är ett problem utan någon fullständig lösning, men det går åtminstone att minimera problemet till den grad att det knappast kan ha någon signifikant inverkan på de demokratiska beslut som fattas. Värt att notera är också att människor i allmänhet inte är oroliga för röstköp och rösttvång. Det är mest politikerna som oroar sig å allmänhetens vägnar. Därmed kan man inte förvänta sig att deras beteenden ska styras av denna oro i någon större grad. Här är fyra punkter för att ytterligare reducera risken och skälen till oro:

  • Röstköp och rösthot är olagligt och kan beläggas med stränga straff. Det ska kosta betydligt mer än det smakar att försöka påverka någon att rösta mot dennes vilja
  • Med verifierbar röstning öppnas möjligheten att ändra sin röst så länge en omröstning är öppen. Då blir det svårare för en röstköpare att kontrollera vad väljaren i slutändan röstade på.
  • Med verifierbar röstning går det inte att manipulera väljarens röst utan att det lämnar spår, vare sig attacken görs på klient- eller serversidan.
  • I en direktdemokratisk kontext, där man avgör dussintals småfrågor om dagen istället för en ödesfråga vart 4:e år, reduceras konsekvenserna med valfusk i motsvarande grad. Varje gång valfusk uppdagas kan man analysera vad som har hänt och förbättra systemet för framtida omröstningar. Skulle något enskilt beslut påverkas av röstköp eller rösttvång så finns möjligheten att upptäcka det under en karensperiod och göra om omröstningen. Annars finns alltid möjligheten att rätta till med ett nytt politiskt beslut vid ett senare tillfälle.

Elektronisk röstning är ännu i sin linda och många problem och brister kommer att upptäckas och åtgärdas på vägen mot ett system som är lika säkert eller säkrare än dagens pappersröstning. Men vi bör inte nöja oss med förtidsröstning via internet. En hel ny värld av möjligheter öppnar sig med elektronisk röstning. Framförallt har vi möjlighet att komma till rätta med den representativa demokratins stora gissel: Lobbyism. För vad spelar det egentligen för roll att våra pappersval är något sånär säkra när de folkvalda sedan låter sig dikteras av de egna partistrategerna eller köpas av rika intresseorganisationer (sv.wikipedia.org/wiki/Knapptryckarkompaniet)?

Svaret på den inledande frågan, om elektronisk röstning är dömd att misslyckas, kan inte bli något annat än ett rungande nej! Den demokratiska utvecklingen är inte avhängig tillgången på träd. Däremot kommer vi behöva sätta hård press på våra politiker för att de ska fortsätta på den inslagna vägen mot utökad e-demokrati. Den norska undersökningen visade att de som e-röstade var betydligt mer benägna att kryssa kandidater och göra förändringar på valsedlarna än de som pappersröstade. Politikerna är inte dummare än att de ser implikationerna av det.

Elektronisk röstning kan innebär ett paradigmskifte från åskådardemokrati till deltagardemokrati. Men det nuvarande paradigmets ledare kommer inte att leda vägen in i nästa paradigm, det har de aldrig gjort. Det är upp till oss själva att ta stegen som leder oss dit. Ett första steg är att trycka på våra politiker att återuppta och permanenta den norska e-demokratisatsningen, att fortsätta utveckla det elektroniska valsystemet i Estland, och att genomföra provval, över internet i Sverige 2018 som Vallagskommiténs utredning föreslår (www.regeringen.se/sb/d/16874/a/214878).
E-demokratin är redan här och elektronisk röstning har kommit för att stanna.

/Joakim Sigvald
Tek. Mag. i Datavetenskap
Medförfattare till boken Flytande demokrati:
www.nomadforlag.se/FlytandeDemokrati
Engagerad i den nya demokratirörelsen genom partiet Direktdemokraterna:
http://direktdemokraterna.se

Annonser

6 thoughts on “Joakim Sigvald: ”Är elektronisk röstning dömt att misslyckas?”

    • Tack! Sprid gärna – det är viktigt att den här debatten får fart i god tid innan 2018 så provvalen med e-röstning blir verklighet i Sverige (och DD kan rida på vågen in i riksdagen)

  1. Jag känner inte för att läsa detta eftersom jag anser att valhemligheten inte har något existensberättigande i det paradis som jag vill vara delaktig i att skapa på planeten. Att påstå sig vara öppen och att vi bor i ett öppet samhälle är en ren lögn. Jag vill rösta öppet och kunna kontrollera vad jag röstat på i samma internet som jag röstat i. Säkerheten skall skapas med öppenhet och inte tvärtom för att lyckas som jag ser det. Nu i valet borde det finnas ett alternativ att rösta öppet och offentligt på internet redovisat oss som röstar öppet. Rädslan för oss själva är orimlig, om vi inte bryter det mönstret gräver vi vår egen grav och sista fracken har inga fickor!

    • Ja det ser lovande ut. Jag är inte särskilt orolig att de tekniska problemen inte går att lösa. Däremot pekar internet-röstning mot ett nytt politiskt paradigm: Flytande demokrati, vilket innebär en decentralisering av politiken, delvis på politikernas och till stor del på partistrategernas bekostnad. Därför tror jag etablissemanget är skeptiskt till e-röstning, vilket också gör budskapet ”det går inte” mer gångbart än ”låt oss se hur det här kan lösas”.

      • Droppen urholkar stenen inte genom sin kraft utan genom att ständigt falla.
        Joakim Sigvald jag har fått svar av Thore Husfeldt, med lite öppningar, vill du ha hans svar sänd mig din emailadress.
        Flytande demokrati skall vi ha oavsett vilket röstsystem.
        I Kenya har en kompis till mig berättat att de röstar från mobila enheter.
        Här ett urklipp från en person jag inte har frågat om mandat att avslöja:
        Å andra sidan har jag svårt hålla med Husfeldt när han skriver att man varken kan uppnå transparens eller hemlighet när man röstar elektroniskt. Venezuela – tror jag det är – har man ett system där väljarna röstar elektroniskt i vallokalen och samtidigt får en tryckt bekräftelse från datorn med deras namn, vad de röstade på osv., och naturligtvis blir de fysiskt avprickade i röstlängden med sina ID-handlingar. Bättre säkerhet än så har jag svårt tänka mig att man kan uppnå. Kanske att de som hanterar datorerna kan se vad var och en röstar på – jag kan inte bedöma om detta är ofrånkomligt eller ej – men jag håller med Dig om att valhemligheten inte skall behövas i ett öppet demokratiskt samhälle som det svenska. Om man inte vågar stå för sitt val, så kan man lika gärna låta bli att rösta, tycker jag.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s