Christian Bull, delprosjektleder "e-valg 2011" - sikkerhet og teknisk løsning, Kommunal- og regionaldepartementet. (Bilde: Espen Zachariassen)

Slik skal Norge lykkes med e-valg

  • IT

Teknisk Ukeblad har i en serie artikler fulgt forberedelsene til e-valg i 2011, og det som kan bli et nettvalg i 2017 dersom dette prosjektet lykkes:

Christian Bull er delprosjektleder for "e-valg 2011". I denne kronikken forteller han hvordan prosjektet tenker og jobber i forhold til problemstillingene som prosjektet møter.

Les også mer om e-valg 2011 på departementets prosjektside.

e-valg i Norge

De siste ukene har det i nettutgavene av Teknisk Ukeblad og Computerworld vært en rekke artikler omkring prosjektet e-valg 2011. Ikke minst har fri programvare-guruen Richard Stallman uttalt seg.

Uttalelser har også kommet fra amerikanske white hat hackere og sikkerhetstestere i forbindelse med HackCon-konferansen i Oslo 17.-19. februar.

Blant disse amerikanske stemmene, har Norwegian UNIX User Groups (NUUG) leder Petter Reinholdsen vært en enslig norsk svale.

Som ansvarlig for sikkerhet og teknisk løsning i e-valg prosjektet er jeg svært glad for å se at debatten omkring e-valg er i gang, men vil oppfordre til deltakelse fra flere norske miljøer. Dette er en debatt vi ønsker, og er avhengige av for å kunne lykkes.

Vi lytter til advarslene

Når tungvektere som Stallman uttaler seg om e-valg, så skal man selvsagt lytte til hva som blir sagt. Imidlertid uttaler Stallman seg på generelt grunnlag. Advarsler og kritikk er derfor ikke nødvendigvis treffende i forhold til hva prosjektet kommer til å levere.

Substansen i kritikken er ellers vel kjent for prosjektet, og vi tar den på alvor. Jeg kan også forsikre Reinholdtsen og NUUG om at jeg har lest høringssvaret deres til rapporten fra 2005. Med bakgrunn blant annet som sikkerhetssjef i NAV er jeg vel kjent med de utfordringer som er knyttet til sikkerhet i driftsmiljøer, så vel som i interaktive applikasjoner eksponert mot Internett.

e-valget i 2011

For at den videre debatten skal være fruktbar, er det viktig at diskusjonen skjer ut i fra en riktig forståelse av hva det er e-valgprosjektet skal levere i 2011, og på lengre sikt.

Prosjektet betrakter rapporten ”Elektronisk stemmegivning – utfordringer og muligheter” fra 2005 som et godt grunnlag for vårt arbeid. Rapporten er tilgjengelig på http://e-valg.dep.no. Den er imidlertid ikke noe definitivt svar, og vi anser oss ikke som bundet av den.

Det finnes pr. i dag ingen e-valgsløsning for Norge – heller ikke noen kravspesifikasjon. Leverandør vil bli valgt, og kravspesifikasjon utarbeidet, gjennom en prosess kalt konkurransepreget dialog. Invitasjonen til å søke om prekvalifisering for å delta i dialogen er nylig utlyst på DOFFIN og TED.

Det er også viktig å være klar over at de fleste stemmer avgitt i Norge alt i dag telles elektronisk, og at e-valg prosjektet faktisk vil styrke det offentlige eierskapet, og bidra til større åpenhet og innsyn i disse valgprosessene.

Åpent og transparent

Omkvedet fra de som uttaler seg om e-valg er at man må gå forsiktig frem. Det er nøyaktig hva vi har til hensikt å gjøre. Vi vil også satse på åpenhet og transparens i alt vi gjør.

”Security through obscurity” er ikke et prinsipp jeg som sikkerhetsansvarlig har noen som helst tro på. Løsningen vi anskaffer skal være offentlig eiet og driftet, og så lenge vi finner kvalifiserte leverandører som er villige til å levere fri programvare, så vil det være foretrukket.

Vi vil også vurdere N-versjonsarkitektur (se f.eks Selker & Goler 2004) i deler av systemet hvor det lar seg gjennomføre. I en N-versjonsarkitektur jobber N (hvor N er et tall større enn 2) ulike versjoner av en systemmodul, laget av ulike leverandører, parallelt med samme oppgave. Dersom én av versjonene kommer opp med et annet resultat enn majoriteten, vil avviket antas å være feil, og utelukkes.

N-versjonsarkitektur brukes blant annet i styringssystemer for atomkraftverk og passasjerfly, hvor konsekvensene ved feil – som for e-valg - er uakseptable. I et e-valgsystem kan en slik arkitektur, i tillegg til å øke sikkerheten, bidra til ytterligere å styrke åpenheten i systemet.

Eksempelvis kan man se for seg en løsning hvor NUUG, som en av flere uavhengige aktører, leverer én versjon, som i parallell med den offentlig anskaffede og eide versjonen av systemet foretar opptelling av stemmer.

Hva skjer i 2011?

Om vi i det hele tatt skal gjennomføre forsøk med valg over Internett i 2011 er ennå ikke bestemt, men prosjektet jobber med dette som mål. Imidlertid vil det uansett være et begrenset antall velgere som i 2011 får tilbud om å stemme over Internett.

Vi vil i 2011 kun gjennomføre forsøk i et utvalg av landets 430 kommuner og tror ikke på noen fullskala utrulling av e-valg over Internett med det første. Dette vil gi oss tid til å høste erfaringer i begrensede forsøk over mange år.

Hemmelige valg er en selvfølge

At demokratiske valg skal foregå i hemmelighet er i dag en selvfølge. Hemmeligholdet kan sies å ha to dimensjoner – hemmelighold fra omgivelsene, og hemmelighold fra myndighetene.

Hemmelighold fra myndighetene er det ”enkleste” (men det er ikke dermed sagt at det er enkelt!) – det kan løses med gode tekniske løsninger og driftsrutiner. Det eksisterer eksempelvis kryptografiske protokoller, mix-nets, som i et nettverk gjør det mulig å skjule avsenderens identitet for mottakeren.

Kombineres dette med gode og gjennomsiktige manuelle rutiner for håndtering av krypteringsnøkler mv., så kan vi oppnå en stor grad av trygghet for at det ikke er mulig å tilsnike seg informasjon om hvem som har stemt hva, eller endre avgitte stemmer.

Den største utfordringen

Den største utfordringen, slik vi for øyeblikket ser det, er hemmeligholdet fra omgivelsene – det vil si alt fra den umiddelbare familie til kriminelle hackergrupper som Russian Business Network.

Absolutt og garantert hemmelighold fra de umiddelbare omgivelser – det vil si de som måtte stå og kikke over skulderen din når du stemmer hjemmefra - ser vi på som en umulighet. Det er rett og slett ikke praktisk mulig for myndighetene å hindre andre i å få innsyn i hva du gjør.

Imidlertid vil vi, for å hindre bla. stemmesalg og familiestemming, legge til rette for at velgeren et ubegrenset antall ganger skal få endre sin stemme i forhåndsstemmegivningsperioden, og antakeligvis også på valgdagen.

Kom med innspill

Når det gjelder hemmelighold fra omgivelsene på nettet – det være seg de som har tatt kontrollen over din hjemme-PC uten din viten, eller de som måtte forsøke å avskjære nettverkstrafikken, så vil dette ikke være enkelt å løse.

Den britiske regjeringens informasjonssikkerhetsmyndighet, Communications-Electronics Security Group (www.cesg.gov.uk), foreslo i sin ”e-Voting Security Study” fra 2002 et system for forhåndskryptering av stemmesedlene, som på en elegant måte skjuler stemmen for utenforstående - med unntak av de umiddelbare omgivelser.

Metoden er grovt beskrevet i rapporten ”Elektronisk stemmegivning – utfordringer og muligheter” (kap. 8.3.3), og muliggjør også en kvittering tilbake til velgeren, som kan åpne for at man kan få bekreftet at stemmen er riktig registrert.

Metoden, slik den ble beskrevet av CESG vil være utfordrende å tilpasse til det norske valgsystemet, men dette er likevel en av metodene vi ønsker å se nærmere på, og vi tar svært gjerne imot innspill på hvordan dette kan tilpasses det norske valgsystemet på en brukervennlig måte.

Vi trenger debatt om e-valg

Det er ganske unikt i offentlig sammenheng at et prosjekt åpent går ut og deltar i offentlig debatt på denne måten. Imidlertid er vi totalt avhengige av troverdighet og tillit for å kunne lykkes, og en nyansert offentlig debatt rundt prosjektet er viktig for å oppnå dette.