OVERSETT: Sikkerhetsansvarlig for e-valgforsøket, Christian Bull mener at Norsk Regnesentral har oversett sentrale poenger med kildekoden.

E-VALGSYSTEMET

– Feilslått kritikk av e-valgsystemet

Statens egen sikkerhetsekspert slår tilbake mot slakt av kildekoden.

  • forum
  • Av Christian Bull, sikkerhetsansvarlig for e-valgforsøket, KRD

I forbindelse med gjennomføringen av forsøk med internettstemmegivning i 2011, offentliggjorde vi kildekoden for e-valgssystemet.

Bjarte Østvold har sammen med bachelor-studenten Edvard Karlsen vurdert kodekvaliteten i den omfattende kodebasen. Deres vurdering har fått omtale i både papir- og nettutgaven av TU. Basert på en rimelig forventning om særskilt høy kodekvalitet i systemer som brukes til valg, konkluderer Østvold og Karlsen med at systemet aldri burde ha vært brukt.

Vi er glade for at kildekoden blir vurdert og analysert av uavhengige. Det var nettopp dette som var hensikten med å gjøre kodebasen tilgjengelig. Når Østvold og Karlsen konkluderer slik de gjør, er det noe vi må ta til oss.

Les også: Stortingsvalget på internett

Misset

Imidlertid har de oversett et vesentlig poeng: E-valgsystemet som ble benyttet i 2011 var utviklet fra grunnen av etter vår spesifikasjon. Det er et av de første i verden som er såkalt «verifiserbart».

Et verifiserbart system generer matematiske beviser for at det har gjort som forventet. Det er ikke snakk om beviser for at algoritmen er rett, men for at algoritmen er fulgt. Disse bevisene kan ikke forfalskes.

Dersom systemet gjør en feil, så vil bevisene vise det. Disse egenskapene medfører at vi kan bevise at enhver stemme som ble avgitt, ble mottatt, lagret og behandlet riktig. Under valget i 2011 ble disse bevisene verifisert av en uavhengig tredjepart. Ethvert forsøk på juks, og enhver feil i behandlingen av elektroniske stemmer, ville ha blitt oppdaget.

Det var selvsagt mindre feil i systemet i 2011, akkurat som det er feil i nær sagt all ikke-triviell programvare. Poenget er altså at feil som kunne ha betydning for valget ville ha blitt oppdaget. At Østvold har oversett denne egenskapen er forståelig. Departementet tar selvkritikk for at vi ikke har lyktes med å formidle hva dette innebærer på en tilstrekkelig god måte.

Innbruddsforsøk

Systemet ble også utsatt for såkalte penetrasjonstester gjentatte ganger, hvor selskapet Combitech med alle midler forsøkte å finne svakheter i applikasjonen og den underliggende infrastrukturen. Selv med god kjennskap til kildekoden og infrastrukturen, lyktes de aldri med å trenge seg inn i systemet.

Derfor mener vi at Østvolds kritikk ikke treffer helt.

Fra et teknisk ståsted var det etter departementets vurdering fullt ut forsvarlig å gjennomføre forsøkene.

Når det er sagt, så er det utvilsomt riktig at det er ønskelig å unngå rufsete kode. Det vil  bedre testbarhet og lesbarhet. Mye kan bli bedre – det vet vi. Vi ønsker alle konstruktive innspill velkommen. Departementet har invitert Østvold til et samarbeid om forbedringer i så vel kode som dokumentasjon.

Vår kontrakt med Evry ASA er avsluttet. Vi følger nå opp systemleverandøren Scytl Secure Electronic Voting direkte, samtidig som departementet selv har overtatt forvaltningen av systemene for valgadministrasjon og scanning av papirstemmesedler. Vi vil selv, og i samarbeide med Scytl, iverksette tiltak for å forbedre både dokumentasjon og kodekvalitet.

Les også:

Dette kontrollrommet styrer beredskapen i Rio

I disse landene er folk mest på Pirate Bay

Vi jobber mer og bedre med private dingser