Joakim Sigvald: ”E-röstning är inte omöjligt”

När en representant för en forskningsdisciplin hävdar att någonting är omöjligt med hänvisning till konsensus inom sin yrkeskår, men utan att framföra några som helst bevis, finns det skäl att ta det påståendet med en god potion skepticism och en stor nypa salt.

Forskning handlar om att föra fram hypoteser baserade på experiment eller härledningar som andra forskare kan återupprepa eller falsifiera. Ofta handlar det om positiva påståenden: Detta eller detta är fallet. Det och det kan göras med följande metod. Ibland kan hypoteserna även handla om vad som är omöjligt. Albert Einstein lyckades visa, tvärtemot sunt förnuft, att ingenting kan röra sig snabbare än ljuset. Men Einstein stödde inte det påståendet med att det rådde konsensus bland de teoretiska fysikerna. Tvärtom var den rådande uppfattningen att hastighet i princip var en obegränsad storhet. Men forskarvärlden fick böja sig för de ovedersägliga bevis som Einstein presenterade och den teoretiska fysiken hade därmed tagit ytterligare ett stort kliv framåt.

Men när Thore Husfeldt hävdar i Sydsvenskan i april i år att säker e-röstning med bibehållen valhemlighet är ”i princip omöjligt” och sedan följer upp det med ett, som jag uppfattar det, luddigt resonemang om hur svårt det är att granska källkod, så handlar det inte om forskning så mycket som en ovilja eller oförmåga att tänka utanför den representativa demokratiska referensram som de flesta av oss lever i. Att hävda att e-röstning är omöjligt för att dagens pappersbaserade valsystem inte låter sig överföras rakt av till ett elektroniskt medium är ofarligt och stöds av rådande praktik. Att hävda att dagens representativa demokratiska valsystem är ofullkomligt eller rent av passé för att det inte låter sig överföras direkt till ett elektroniskt medium är därmed kontroversiellt och kan kosta en hel del. Man biter inte gärna den hand som föder en.

Eftersom Thore alltså inte lägger fram några bevis när han påstår att e-röstning inte låter sig göras så är det mycket svårt att bemöta eller över huvud taget förhålla sig till. Det går inte att motbevisa med mindre än att man faktiskt bygger ett sådant valsystem och testar det under realistiska förhållanden, något som inte bara är komplicerat och tidskrävande utan dessutom förmodligen svårt att få finansiering till. Men i egenskap av datavetare och demokratientusiast ska jag ändå försöka bemöta de sakskäl som anges i artikeln:

  1. ”Det råder konsensus bland dataloger att e-röstning är omöjligt i princip att genomföra med bibehållen valhemlighet och säkerhet.”
    – Flera datavetare tror på motsatsen, bland andra Sven Heiberg, projektledaren för Estlands e-röstningssystem, Joseph Kiniry, forskare på e-val i Danmark och Harwardforskaren Ben Adida som 2007 gav följande presentation på Google tech talks:
    https://www.youtube.com/watch?v=ZDnShu5V99s&feature=youtu.be
  2. ”Väljaren får inget kvitto”
    – Självklart måste väljaren få ett kvitto, både på att hens röst har registrerats korrekt och att den finns med vid den slutliga sammanräkningen. Men för att undvika röstköp ska kvittot vara hemligt och det ska gå att rösta om och få ett nytt kvitto utan att den som eventuellt har fått tag på det gamla kvittot kan se att den rösten inte längre gäller. Stängningstiden för valet behöver troligtvis göras variabel så att en eventuell röstköpare inte kan vänta in slutsekunderna och då kontrollera den köpta rösten.
  3. ”Vallokalen får inget kvitto”
    – Oklart vad som avses med kvitto i det fallet. Men det går teoretiskt att få betydligt större verifierbarhet i ett elektroniskt modulariserat system med kryptologiska metoder som Mixnet och liknande, än i vårt halvslutna pappersbaserade system, där vi måste lita på att våra valarbetare gör rätt i varje del av processen. Där finns det inget kvitto i slutänden på att allt gick rätt till, bara en stark procedurell säkerhet i att det är svårt att fuska. Man kan dock fundera över vad det skulle kosta att köpa tillräckligt många vallokaler, eller byta ut tillräckligt många valurnor på vägen från vallokalerna till rösträkningscentralerna, för att ändra ett valresultat – och vilka som skulle kunna ha råd och incitament att göra den investeringen. Med elektronisk röstning går det däremot att få 100%-ig matematisk verifierbarhet – man behöver inte lita på en begränsad grupp valarbetare.
  4. ”Det är svårt att verifiera programvaran som sköter valprocessen”
    – Ja det är svårt. Att verifiera den genetiska koden hos valarbetarna är också svårt, men ingen skulle komma på idén att försöka. Vi uppnår inte säkerhet genom att lusläsa programkod eller studera EEG-kurvor hos valarbetare. Vi uppnår den genom en modulariserad arkitektur med redundans och många oberoende enheter där var och en fungerar som en svart låda vars input och output kan verifieras. Vad som händer inuti de svarta lådorna spelar mindre roll så länge resultaten är bevisligen korrekta.
  5. ”Ett mycket litet fåtal [kan] läsa koden och se att det står set votecount = 0 på rad 541548”
    – Det låter som att Thore slutade programmera någon gång på 1900-talet. Numera skriver man program i små fristående enheter, med god automatiserad testtäckning och tydliga kontrakt för hur enheterna kommunicerar med varandra. Stora monolitiska system med hundratusentals programrader tillhör den datalogiska forntiden. Men Thore har kanske bättre saker för sig än att hålla sig uppdaterad inom sin disciplin (arbeta mot e-röstning till exempel: Han var en av flera IT-experter som lyckades stoppa Danmarks planer på att genomföra försök med e-val 2013).

Jag anser det rimligt att nya system för demokratins utveckling också skall ha samma rätt att utvecklas efterhand som brister upptäcks. Det finns många sätt att fasa in ett elektroniskt omröstningssystem i vårt befintliga demokratiska ramverk (ett Direktdemokratiskt parti som erbjuder Flytande demokrati i Riksdagen är ett). Det behöver inte göras över en natt.

Summering: E-röstning med valhemlighet i okontrollerad miljö är en svår nöt att knäcka. Och lösningen på problemet kommer garanterat ändra hur vi ser på val och valprocedurer. Till exempel tror jag att vi kommer behöva variabla deadlines för omröstningar med möjligheten att rösta om och om igen ifall man kände sig övervakad vid något tillfälle. Våra dataloger som engagerar sig i e-röstningsfrågan borde ägna sig åt att lösa de här problemen och förklara för politiker och allmänhet hur e-val skiljer sig från pappersval – inte åt att påstå att det är omöjligt. Det omöjliga förblir sällan omöjligt särskilt länge – kanske inte ens hastigheter snabbare än ljusets.

/Joakim Sigvald
Tek. Mag. i Datavetenskap

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s