Professor i informatikk, Kai A. Olsen ved Universitetet i Bergen (UiB), presenterer i bla. NRK Vestnytt i kveld et eksperiment, som viser et teoretisk angrep på e-valgsystemet. Eksperimentet er gjennomført i en ”simulator” på omkring 160 studenter ved UiB.

Angrepet baserer seg på å lure velgerne til først å gi ifra seg returkodene sine, og så lure dem til å ignorere den virkelige SMS-meldingen fra departementet. Det er ikke urealistisk å tro at dette vil lykkes – tvert imot indikerer eksperimenter at dette vil kunne lykkes overfor mange velgere. Dette har også vært en del av vår helhetlige risikovurdering. E-valgsprosjektetstøttet allerede i 2010 en søknad til Forskningsrådet fra førsteamanuensis Kristian Gjøsteen om nettopp å gjennomføre det samme forsøket i større omfang.

Så hvorfor er det greit å gjennomføre forsøket, når vi er klar over at løsningen ikke er uovervinnelig?

Vel, først er det viktig å være klar over sikkerhet ikke er noe absolutt. Når vi sier at løsningen er sikker, så sier vi at vi ikke ser noen angrep som er praktisk gjennomførbare innenfor rimelig tid og kostnad. All sikkerhet baserer seg derfor på en risikovurdering, hvor ting som kostnad, nytte og motivasjon for en angriper må tas med.

Kostnaden ved å gjennomføre angrepet prof. Olsen har beskrevet vil nemlig være betydelig. Det holder ikke bare å utvikle viruset som skal gjøre dette – noe mange vil klare på fritiden – det skal også distribueres. Et virus som ikke befinner seg på din datamaskin kan ikke lure deg. Denne distribusjonen er kostbar, og vil være svært vanskelig. I tillegg vil sjansen for å bli oppdaget være stor, siden vi bare trenger en eneste observant velger som reagerer for å oppdage at noe er galt. Vi tror ikke erfaringene fra et laboratorieforsøk, hvor ingen oppdager at noe er galt, er direkte overførbare til virkeligheten. Vår erfaring så langt, er at det er mange observante velgere der ute, som tar kontakt med brukerstøtten når noe ikke stemmer helt. Valghandlingen er noe folk tar på alvor, også når den foregår hjemmefra.

Den siste tiden har det vært debatt i ulike medier om hemmelig valg og stemmegivning via Internett. Debatt om internettstemmegivning er bra. Det er viktig å få fram de ulike synspunktene rundt dette temaet. Fra flere hold er e-valgforsøket blitt kritisert. Enkelte mener at stemmegivning via Internett ikke tilfredsstiller krav om hemmelig valg og det å forhindre utilbørlig påvirkning. Ja, dette er en utfordring, og den vil bli med i den videre diskusjonen når forsøket skal evalueres.

Kravet til hemmelig valg fremgår både av nasjonal og internasjonal rett. Det er delte oppfatninger om hvor langt valgmyndighetenes forpliktelser strekker seg. Skal valgmyndighetene garantere hemmelig valg? Noen mener at vi har plikt til å garantere hemmelighold, andre at det er tilstrekkelig at vi påser at velgernes rett til å stemme hemmelig blir ivaretatt. Heller ikke i dagens papirbaserte system er det mulig for valgmyndighetene å garantere hemmelig stemmegivning for absolutt alle velgere. Velgere kan bevisst eller ubevisst komme til å avsløre hva de stemmer.

For meg er utgangspunktet helt klart: Valglovens krav til hemmelig valg skal ivaretas også i forsøket med stemmegivning over Internett. Valgloven bygger på internasjonale forpliktelser, og gjelder også ved elektronisk stemmegivning. For å få det til må en del forutsetninger oppfylles:

- Elektronisk stemmegivning skal bare være et supplement til stemmegivning i valglokalet. Velgere som ikke ønsker å stemme elektronisk kan selvsagt stemme på ordinær måte i et valglokale. 

- Elektronisk stemmegivning skal bare foregå på forhånd, ikke på valgdagen. 

- Velgere som stemmer elektronisk, kan stemme om igjen så mange ganger de ønsker. 

- En papirstemme avgitt i et valglokale, vil alltid annullere en elektronisk stemme. 

- I tillegg er det etablert en sikker og pålitelig teknisk løsning. Den har en god identifiserings- og autentiseringsløsning (eID), basert på tilstrekkelig sikkerhetsnivå. Løsningen er utformet slik at den for eksempel ikke gjør det mulig å avsløre hva hver enkelt velger har stemt.

Den som har påvirket noen til å stemme mot vedkommendes vilje, kan ikke være sikker på velgeren har stemt som befalt. Velgeren kan stemme på nytt flere ganger og kan også avgi papirstemme i valglokalet.

Det er flott dersom forsøket fører til økt valgdeltakelse, men dette ikke bakgrunnen. Bedre tilgjengelighet er den viktigste grunnen. Blant annet kan enkelte funksjonshemmede ha problemer med å komme seg til et valglokale og å stemme uten å be om hjelp. I forsøkskommunene kan alle stemme over Internett, fra hvor man selv ønsker.

Det er over 3,7 millioner velgere som kan stemme her i landet, og det er krevende å sørge for god tilrettelegging og tilgjengelighet for alle. Derfor bør vi gjøre det mulig å stemme på flere måter.

Forsøket skal evalueres grundig. Organisasjonen for sikkerhet og samarbeid i Europa (OSSE) følger også det norske forsøket nøye. Evalueringen skal legges fram for Stortinget som grunnlag for å vurdere om det eventuelt bør legges til rette for elektronisk stemmegivning i større skala.

Det er viktig å prøve ut internettstemmegivning i et begrenset omfang og så ta en beslutning basert på reelle erfaringer så vel som prinsipielle avveininger. Det legger vi til rette for gjennom dette forsøket.

En vanlig innvending mot elektronisk stemmegivning, er at velgeren selv ikke kan kontrollere at stemmen blir talt. E-valgprosjektet har tatt denne innvendingen på alvor. Systemet som vil benyttes til valget i høst vil derfor være blant verdens første verifiserbare systemer. At et system er verifiserbart betyr at det kan bevises matematisk at det virker riktig, og at disse bevisene kan kontrolleres av en uavhengig tredjepart. Det er da ikke mulig å jukse til resultater, og det er mulig å oppdage dersom systemet teller feil.

Kommunal- og regionaldepartementet har leid inn den erfarne valgrådgiveren Kåre Vollan som uavhengig tredjepart til å gjennomføre verifikasjonen. Vollan har bred erfaring fra valgobservasjon internasjonalt.

I blogginnlegget nedenfor forklarer førsteamanuensis ved NTNU, Kristian Gjøsteen, hvordan en uavhengig tredjepart kan verifisere at valgresultatet er korrekt. Les artikkelen under:

Verifiserbarhet i e-valgsystemet
Av Kristian Gjøsteen

Et velfungerende demokrati er avhengig av at vi etter hvert valg teller de avlagte stemmene riktig – på en overbevisende måte. Ingen skal etter valget være bekymret for at valgresultatet ble galt.
 
Ved papirvalg følger velgeren selv stemmeseddelen til den ligger i stemmeurnen. Gode rutiner sørger for at valgarbeidere holder oppsyn med stemmeurnen og stemmeseddelen frem til opptellingen. Slik blir de avlagte stemmene talt riktig.
 
Vi kan ikke holde oppsyn med en elektronisk stemmeseddel på samme måte. Men likevel kan en elektronisk stemmeseddel følges fra den forlater velgeren frem til opptelling. Dette kaller vi ofte for “verifiserbarhet”.
 
Tre datamaskiner tar en elektronisk stemmeseddel fra velgeren frem til opptellingen. Velgeren forteller først pc-en sin hva som skal stå på stemmeseddelen. Pc-en krypterer stemmeseddelen, og sender den krypterte stemmeseddelen til en ny datamaskin, som inneholder en elektronisk stemmeurne.
 
Når valget er over, sender stemmeurnen alle de krypterte stemmesedlene den har mottatt til en tredje datamaskin, som dekrypterer de elektroniske stemmesedlene og sender dem til opptelling.
 
På samme måte som valgmedarbeidere holder oppsyn med hverandre, skal i tillegg to egne datamaskiner i samarbeid med velgeren holde oppsyn med de tre datamaskinene fra forrige avsnitt mens de tar stemmeseddelen frem til opptellingen. De to nye datamaskinene er en returkodemaskin og en revisor.
 
Returkodemaskinen skal sammen med stemmeurnen lage en returkode som velgeren skal motta. En finurlig matematisk teknikk sørger for at returkoden avhenger av innholdet i den krypterte stemmeseddelen, samtidig som hverken stemmeurnen eller returkodemaskinen noen gang ser stemmeseddelen. Returkodemaskinen sender koden til velgeren via SMS, og velgeren kan bruke valgkortet til å sjekke at koden passer med stemmeseddelen hans.
 
Revisormaskinen holder oppsyn med dekrypteringsmaskinen (ved hjelp av en sofistikert kryptografisk protokoll) mens denne dekrypterer stemmesedlene. Samtidig sjekker revisoren at dekrypteringsmaskinen ser på de riktige krypterte stemmesedlene. Denne sjekken skjer mot en liste som returkodemaskinen har laget.
 
Når velgeren får riktig returkode, vet han at en den krypterte stemmeseddelen er lagret med hans stemme i stemmeurnen og at returkodemaskinen har sett den. Når rett stemmeseddel har kommet så langt, vil revisoren sjekke at samme stemmeseddel kommer frem til opptelling. Slik vet velgeren at hans stemmeseddel går uendret fra hans hånd gjennom tre datamaskiner frem til opptelling. Slik blir de avlagte stemmene talt riktig.

Nå har vi kommet til en av de virkelig store og viktige milepælene i E-valgprosjektet: publisering av kildekoden. E-valg 2011-prosjektet er opptatt av gjennomsiktighet i gjennomføringen av e-valg. Vi mener fullt innsyn i e-valgsløsningen for alle er viktig for å oppnå dette. Kildekoden til systemet for elektronisk stemmegivning blir derfor i sin helhet publisert på Internett, åpen og tilgjengelig for alle som ønsker å se på den. Kildekoden blir supplert med detaljert dokumentasjon, slik at det skal bli så lett som mulig å sette seg inn i koden.

Kildekoden til et program er, svært enkelt forklart, de menneskelesbare instruksjonene som en datamaskin trenger for å kjøre programmet. Det er selvsagt ikke slik at instruksjonene er lesbare for hvem som helst – man må beherske programmering og helst programmeringsspråket Java for å forstå kildekoden. Java er et av de mest utbredte programmeringsspråkene, og det finnes mange tusen mennesker i Norge som behersker dette språket.

Systemutviklingen er ennå ikke ferdig, selv om det meste nå er på plass. De virkelig spennende delene av koden, det vil si kryptoprotokollen i e-valgsystemet som skal ivareta velgerens anonymitet samtidig som integriteten ivaretas, er stabil og har vært det i lang tid. Det vil imidlertid komme endringer på mange områder. Ved hjelp av Subversion, versjonsstyringsverktøyet kildekoden publiseres gjennom, vil vi tilrettelegge for at det skal bli så enkelt som mulig å følge med på endringene som gjøres.

Om lisensen
E-valgsystemet er utviklet av den kommersielle leverandøren EDB Ergogroup og deres underleverandør Scytl Secure Electronic Voting. De har en rekke patenter knyttet til ulike kryptografiske løsninger som det er viktig for dem å beskytte. Det er derfor ikke fritt frem til å gjøre hva man vil med koden.

Innenfor bruksområdet ”valg gjennomført av norske myndigheter” står vi fritt til å endre koden slik vi vil, fordi eierskapet i Norge og for norske valg, tilfaller Kommunal- og regionaldepartementet. De funn og forbedringer man måtte foreslå vil derfor tilfalle fellesskapet

Hvordan forholder vi oss til feil som oppdages av andre?
Kildekoden tilgjengeliggjøres som ett av flere tiltak for å gjøre det mulig for utenforstående å kontrollere valggjennomføringen. I utgangspunktet ønsker vi ikke å gjøre store endringer i koden etter publisering hvis det ikke er absolutt nødvendig. De som setter seg inn i koden vil utvilsomt finne forbedringspunkter, og vi ønsker oss forslag om forbedringer. Dersom det oppdages reelle feil i koden, så ønsker vi selvsagt å få vite om dette så raskt som mulig, slik at vi kan ta stilling til hvorvidt vi må rette den før valget. Dette vil avhenge av hvilken konsekvens feilen har, og tilbakemelding vil bli gitt om hva vi velger å gjøre. Andre typer forbedringer vil vi ta hensyn til etter forsøket er gjennomført.

Å gjøre kildekoden tilgjengelig er kanskje det mest synlige, men likevel ikke det viktigste tiltaket prosjektet har gjort for å sikre etterprøvbarhet i elektronisk stemmegivning. E-valg-systemet er det som kalles verifiserbart – det vil si at man uten å undersøke kildekoden kan være sikker på at systemet ikke ”jukser”. Systemet produserer nemlig matematiske beviser for at det gjør slik det lover. Disse bevisene kan ikke forfalskes, og de kan etterprøves av en uavhengig tredjepart. Nettopp det har vi engasjert den erfarne valgobservatøren Kåre Vollan til å gjøre.

Vi håper likevel flest mulig tar seg tid til å se på i det minste deler av koden. I den grad det er interessant, vil vi gjerne hjelpe personer som er interessert i å samarbeide med andre til å komme i kontakt med hverandre.

Les om kildekoden på e-valg.dep.no

En grundig og omfattende evaluering av e-valgforsøket er viktig for å få et solid grunnlag for videre diskusjon om e-valg i Norge. Kommunal- og regionaldepartementet har onsdag 1. juni 2011 inngått kontrakt med to forskningsmiljøer som skal se nærmere på effektene av e-valg i de ti forsøkskommunene ut i fra valgfaglige og demokratiske kriterier. 

Den største delen av forskingsoppdraget skal utføres av Institutt for samfunnsforskning, i samarbeid med Norsk institutt for by – og regionforskning (NIBR), Uni Rokkansenteret, Universitetet i Oslo og Norsk Regnesentral. En mindre del av oppdraget skal utføres av International Foundation for Electoral Systems (IFES), en amerikansk organisasjon med over 20 års erfaring på valgområdet. Til sammen har disse forskningsmiljøene tung nasjonal og internasjonal valgekspertise, med bred kompetanse innenfor forskning på lokaldemokrati, velgeradferd, valggjennomføring, og elektroniske løsninger for demokrati og stemmegivning. 

Forskerne skal blant annet se nærmere på hvilken betydning e-valg har for tilgjengelighet og valgdeltakelse, hvorvidt velgerne har tillit til e-valg og hvilken holdning velgerne har til hemmelig stemmegivning i ukontrollerte omgivelser, for å nevne noen problemstillinger. De skal også se nærmere på det norske e-valgforsøket i et internasjonalt perspektiv, samt vurdere forsøket etter internasjonale standarder for internettvalg og valg generelt. 

Forskerne vil benytte seg av både kvantitative og kvalitative forskningsmetoder. Det vil blant annet bli gjennomført spørreundersøkelser i forsøkskommunene, dybdeintervjuer blant utvalgte grupper, fokusgrupper blant ungdom og observasjonsstudier av brukervennligheten for funksjonshemmede. Fire av e-valgkommunene deltar også i forsøket med stemmerett for 16- og 17- åringer. Det gir forskerne en unik mulighet til å se på sammenhengen mellom ungdom og elektronisk stemmegivning. 
 
Vi i e-valgsprosjektet er veldig spente på resultatene av forskningen. Etter planen skal resultatet av forskningen være klart før høsten 2012. Da vil vi vite mer om hvilken betydning e-valget har hatt for demokratiet og velgeradferden i de ti forsøkskommunene.

I Re kommune gjennomføres nå det siste av 10 testvalg i forsøkskommunene. Re kommune er sist ut av alle forsøkskommunene med en folkeavstemning der spørsmålet er ”Bør Re kommune aktivt ta initiativ til/arbeide for en ny kommunesammenslåingsprosess i neste 4-årsperiode?”. Svaralternativene er ja, nei eller blank stemme. Avstemningen skjer i perioden 13.-19. mai.
 
Ved denne avstemningen tar vi for første gang i bruk alle funksjonene i både e-valgsystemet og det nye valgadministrative systemet, som skal brukes ved kommunestyre- og fylkestingsvalget til høsten. For eksempel vil velgere som stemmer via Internett utenfor valglokalet, motta en returkode på SMS som velger kan kontrollere mot koder på valgkortet. Slik kan velger sjekke at stemmen som er avgitt via datamaskinen er kommet riktig frem.  En velger som stemmer elektronisk via PC i valglokalet, vil få returkoden på skjermen. Les om hvordan e-valgløsningen fungerer.

For første gang prøver vi nå ut den nye skannerløsningen. Papirstemmene skal ved opptelling skannes og resultatet legges inn i det nye valgadministrative systemet, slik at både papirstemmene og de elektroniske stemmene behandles og rapporteres i systemet.
 
Vi følger spent med på folkeavstemningen i Re kommune og håper at innbyggerne i Re vil delta i avstemningen. Les mer om folkeavstemingen på Re kommunes nettside.

Et av E-valg 2011-prosjektets prosjektmål er å initiere og delta i offentlig debatt om sikkerhet, innsyn og etterprøvbarhet for e-valg. Dette gjelder blant annet spørsmål knyttet til kjøp og salg av stemmer, utilbørlig påvirkning (family voting), og usikkerhet til e-valgsløsning (black box-problematikk).

Vi mener det er viktig å få frem ulike synspunkter rundt temaet e-valg. Den endelige beslutningen om hvorvidt stemmegivning via Internett skal videreføres, tas av Stortinget etter valget til høsten og når forsøket er grundig evaluert. Det er viktig at en beslutning rundt dette temaet tas på reelle erfaringer, og ikke på antakelser.

Departementet har invitert valgrådgiver Kåre Vollan til å skrive en artikkel om sine synspunkter rundt temaet valg via Internett og hemmelig valg. Vollan har bred erfaring fra valgobservasjon internasjonalt. Les artikkelen under:

Valg på internett og hemmelige valg
av Kåre Vollan

I regi av Kommunal- og regionaldepartementet pågår det et prosjekt som skal utvikle teknologi for utprøving av internettvalg i enkelte kommuner ved kommunevalget i 2011. Adgangen til internettstemmegivning skal være alminnelig, dvs. den er ikke forbeholdt enkelte grupper som ellers ville være utelukket fra å delta. Tilbudet om internettstemmegivning kommer i tillegg til den vanlige stemmegivningen i valglokalene.

Internettvalg er valg utenfor kontrollerte omgivelser i motsetning til valg i valglokalet hvor funksjonærer kontrollerer at stemmen avlegges av riktig person og at den avgis i hemmelighet. Dette bryter etter min mening med en viktig tradisjon for at valghandlingen er personlig og hemmelig. Effekten over tid kan like gjerne bli en passivisering som en økt interesse for valg, og den langsiktige pedagogiske virkningen kan bli negativ. Selv om det ikke kan sies noe sikkert om nettoeffekten i form av valgoppslutning bryter valg utenfor valglokalet med så viktige prinsipper at det ikke bør innføres.

Internasjonale forpliktelser

De juridiske sider av forsøket skal stort sett ikke diskuteres her; de er bl.a. diskutert av dr. juris. Eivind Smith i Lov og Rett, vol 49, 6 ’Hemmelige elektroniske valg?’. Vi skal bare nevne hva som er de vanlige internasjonale kvalitetene ved demokratiske valg. I den europeiske menneskerettskonvensjons protokoll nr. 1 heter det: ”De høye Kontraherende Parter forplikter seg til å holde frie valg med rimelige mellomrom ved hemmelig avstemning, under forhold som sikrer at folket fritt får uttrykke sin mening ved valget av den lovgivende forsamling.” Det er ulike oppfatninger internasjonalt hvor langt kravet til hemmelig valg går. Det er stor grad av enighet om at der hvor hemmelige valg står mot valgadgang overhodet, så kan det lempes på kravet om hemmelighold. Mange land gir derfor adgang til å stemme ved poststemme for spesielle grupper som ikke har en praktisk mulighet til å komme til et valglokale, for eksempel velgere utenfor landet. Dette er lite kontroversielt dersom prosessen er god, selv om hemmelighold ikke kan garanteres. Det er den alminnelige adgangen til å stemme utenfor kontrollerte omgivelser som er problematisk.

Noen land argumenterer for at kravet om hemmelige valg er oppfylt om velgerne får et tilbud om valg i kontrollerte omgivelser (for eksempel Storbritannia). Velgeren selv får ellers sørge for hemmeligholdet dersom det stemmes utenfor valglokalet. Dette har så langt ikke vært holdningen i Norge, hvor det er antatt at den alminnelige regel er at det skal sørges for at alle stemmer er avgitt i hemmelighet (med unntak av spesielle grupper). Det henvises dessuten ofte til Europarådets rekommandasjon Rec(2004)11 om juridiske, operasjonelle og tekniske standarder for e-valg og til Veneziakommisjonens rapport om e-valg og valg utenfor valglokalene og dets samsvar med Europarådets standarder (CDL-AD(2004)012). Disse kommer begge til at valg i ukontrollerte omgivelser må kunne aksepteres dersom systemet møter visse kriterier. Argumentasjonen er lite prinsipiell utover det å si at siden mange medlemsland tillater slik stemmegivning skal det mye til for Europarådet å sette standarder som bryter med en nokså alminnelig praksis.

I Veneziakommisjonens ’Code of Good Practise in Electoral Matters’ er det imidlertid meget klare regler mot familiestemmegivning, og det gjøres ingen unntak for avstemning utenfor kontrollerte omgivelser, mens den noe nyere ’Code of Good Practise in Referenda’ faktisk eksplisitt tillater slik avstemning.

Ingen av disse dokumentene er bindende, og som vi ser, er de ikke konsekvente i anbefalingene. Mitt fokus er imidlertid ikke om Norge har anledning til å innføre alminnelig adgang til internettstemmegivning, men om det er ønskelig at vi gjør det. Jeg vil argumentere for at den alminnelige internettavtemningen ikke er ønskelig. Jeg er imidlertid stor tilhenger av elektroniske valg i valglokalene. Jeg tror dessuten at mange av sikkerhetsutfordringene ved internettvalg kan overvinnes, og jeg mener internett er langt å foretrekke fremfor poststemmegivning. Når jeg allikevel mener at det ikke bør gis alminnelig adgang til internettvalg er det fordi et slikt valg ikke vil oppfylle rimelige krav hemmelighold, og hemmelighold er viktig for å opprettholde det strengt personlige ved valget. Det å fjerne kravet, vil ha betydelige negative effekter på lengre sikt.

Hvorfor internettvalg?

Den alminnelige adgangen til internettvalg begrunnes på ulike måter: Det skal fremme oppslutningen selv om det ikke påstås at en slik virkning er dokumentert, den skal øke tilgjengeligheten av valget, den skal på sikt få ned kostnadene, og den skal sørge for at vi får raske og pålitelige resultater. Dessuten er det i tråd med en publikumsvennlig innføring av elektroniske tjenester i forvaltningen. Jeg er ikke i tvil om at internettvalg, hvis det innføres, raskt vil stå for en stor del av stemmene som blir avgitt. Dette følger av erfaringen ved andre internettbaserte tjenester. I hvilken grad dette vil øke oppslutningen om valg, eller redusere nedgangen, er vanskelig å si. Den svært liberale adgangen til forhåndstemming i kontrollerte omgivelser vi allerede har, vil kanskje også på lengre sikt være tilstrekkelig for å opprettholde en god oppslutning.

En rask og pålitelig opptelling kan oppnås ved bruk av elektroniske valg i stemmestedene. Bruk av elektronisk stemmegivning i et lukket system begrenset til valglokalene, uten bruk av internetteknologi, ville dessuten ikke medføre en rekke av de kompliserte sikkerhetsutfordringene som dagens prosjekt møter.

Kan internettvalg være et hemmelig valg?

Valg i ukontrollerte omgivelser omfatter både poststemmegivning og internettvalg. Poststemmegivning tilbys i Norge til velgere i utlandet, men ellers er stemmegivningen organisert i kontrollerte omgivelser. Det var en periode hvor forhåndsstemmegivningen foregikk på postkontorene, men dette var ikke egentlig poststemmegivning.

Både poststemmer og internettstemmer innebærer at stemmen ikke er garantert hemmelig. Når hemmelig valg skal vurderes er det to skritt i prosessen som er kritiske: Det første er at stemmen avgis uten vitner av noe slag, det andre er at stemmen ikke kan spores tilbake til stemmegiver etter at den er avgitt. Det første skrittet kan ikke garanteres når stemmen avgis utenfor valglokalet. I noen land må man avgi en skriftlig erklæring på at stemmen er avgitt uten vitner, men det gir ingen garanti. Ved poststemme kan signaturen sjekkes i ettertid, men det gjøres bare ved mistanke om valgfusk. I begge former for avstemning kan en velger frivillig overlate stemmegivningen til en annen person ut at det i praksis kan kontrolleres. Ved internettvalg er kravet til identifikasjon større enn ved postvalg, men noen sikkerhet for at det avgis en personlig stemme er det ikke, og uansett kan det være vitner til stemmegivningen.

Poststemmer avgis gjerne ved hjelp av doble konvolutter. Den ytterste inneholder velgerens data som skal sikre at velgeren har stemmerett og stemmer bare én gang. Den innerste konvolutten er en nøytral konvolutt som skal sikre at stemmen ikke avsløres når den ytre konvolutten åpnes. Opptellingen skjer i to trinn: Først verifiseres stemmeretten, og den ytre konvolutten brytes og kastes. De indre konvoluttene samles på ett sted og blandes før disse så åpnes og telles. Da er koblingen til velgeren brutt.

Med internettstemmegivning kunne koblingen til velgeren blitt brutt umiddelbart, men i det norske prosjektet er det bestemt at velgeren skal kunne stemme så mange ganger hun ønsker, og den nye stemmen skal erstatte den gamle. Det er derfor nødvendig å beholde koblingen. Dette gjøres ved en intrikat kode som det skal mye til å bryte.

Både poststemmer og internettstemmer er avhengig at velgerne har en alminnelig tillit til valgmyndigheten. Dersom en slik tillit foreligger, tror jeg bestemt at internettvalg har klare fordeler fremfor poststemmer når det gjelder muligheten for å unngå at en stemme kan spores tilbake til velgeren etter at det er avgitt. Min bekymring gjelder kun selve valghandlingen.

Bør hemmeligholdet være frivillig?

Det er hevdet at velgeren selv bør kunne bestemme om stemmen skal avgis i hemmelighet eller ikke. La oss se på verdien av en hemmelig stemme. Det er selvsagt helt legalt at velgere forteller andre hva de har stemt. Spørsmålet gjelder i hvilken grad denne opplysningen skal være etterprøvbar. De mest opplagte grunnene til hemmelighold er at man skal unngå utilbørlig press på velgeren og handel med stemmer. Dette er ekstremsituasjonen, og angremuligheten i det foreslåtte norske systemet er ment som en respons til dette. Hvor passende det tiltaket er, diskuteres nedenfor.

Man kan også hevde at valget skal være hemmelig av rene personvernhensyn. Jeg synes ikke at andre skal vite hva jeg stemmer, og jeg skal ikke behøve å gi noen grunn for dette. Nå vil det hevdes at det jo fins mulighet for hemmelig stemmegivning, men det sosiale presset kan i praksis redusere denne muligheten.

Ved internettstemmegivning vil det være opp til velgeren å bestemme om han eller hun ønsker å gi identiteten videre til en annen for at denne skal avgi stemmen på vedkommendes vegne. De fleste vil være enig i at stemmen skal avgis av velgeren selv, men det vil ikke være mulig å kontrollere at stemmen er personlig. Her er det igjen slik at velgeren kan velge å overstyre en stemme gjort av andre (angremuligheten), men om noen av fri vilje gir bort stemmen sin ser det vel ikke sannsynlig at den muligheten blir brukt.

Det aspektet som synes å undervurderes i debatten om internettvalg, er det rent pedagogiske ved et hemmelig, personlig valg. Min bekymring er ikke størst når det gjelder at noen blir presset til å bestemme mot sin overbevisning og siden kan velge å omgjøre denne stemmen. Min bekymring er at ordningen kan redusere incentivet for i det hele tatt å ha en overbevisning. Hvis avstemningen foregår i klasserommet, på internettkaféen, på gutterommet eller ved kjøkkenbordet hjemme, er det en mulighet for at det stimulerer den politiske interessen og diskusjonen. Det er også en mulighet for at noen overlater meningsdannelsen til andre og lar en familiefar, en leder av en nabogruppe eller en organisert samfunnsgruppe (som tilfellet var i Birmingham, se nedenfor) avgjøre hva som skal stemmes. Hvis en familiefar ellers ordner opp i banktransaksjoner, selvangivelse eller andre saker, hvorfor ikke også overlate til ham å ta seg av stemmegivning? Dette kan oppleves som en helt legitim og naturlig sak, men den vil ikke stimulere til engasjement og politisk deltagelse.

Dette er litt som ved kjønnskvotering til politiske valg og verv. Når noen blir tvunget til å delta, vil en del bruke plattformen de ellers ikke ville fått, på en glimrende måte med engasjement og medvirkning. Blir en ungdom tvunget til selv å stemme, vil han kanskje faktisk søke informasjon og kunnskap, selv om selvsagt en del bare vil fortsette å være passive.

Hva blir konsekvensen over tid?

I Birmingham var det ved lokalvalget i 2004 en stor skandale i tre valgkretser hvor poststemmegivningen ble grovt misbrukt av en gruppe innen Labour. I alle tre kretsene var kandidatene fra innvandrermiljøer, og samfunnsledere organiserte massivt valgfusk ved å ta velgeres identitet og sende valgkonvolutten til samfunnshuset, åpne postsekker og endre stemmegivningen. Kandidatene ble i den etterfølgende rettsoppfølging fradømt retten til å stille som kandidater igjen. I tillegg til det rene jukset ble det av dommeren som undersøkte saken også påpekt at det i dette miljøet med sterkt patriarkalske familier ville familiemedlemmer ikke protestere om pater familias avtalte med andre fra samme miljø at de alle skulle stemme på en bestemt måte, og dette ble organisert av ham uten annen medvirkning fra resten av familien. Min bekymring er ikke så mye at attenåringen i slike situasjoner sier til pappa at dette vil hun gjerne gjøre selv, men snarere at den tanken ikke engang streifer henne. Hun blir ikke lenger tvunget til selv å utføre valghandlingen hvis hun vil delta. En stemme avlagt av en familiefar på et familiemedlems vegne øker ikke den demokratiske verdien av valget, selv om den målte oppslutningen øker.

Det må på den annen side antas at internettvalg for noen vil ha motsatt effekt. Det at man kan sitte sammen i klasserommet eller i en klubb å stemme kan initiere og stimulere en politisk debatt og bevisstgjøring. I hvilken grad nettoeffekten for politisk engasjement, særlig blant unge, er positiv eller negativ vil vel foreløpig være et spørsmål om tvil og tro. Uansett mener jeg at de stor prinsipielle betenkningene ved å fjerne kravet til en personlig og hemmelig stemme, ikke oppveies selv om det skulle kunne påvises at summen av engasjement skulle være positiv. Dessuten mener jeg det er en rekke andre måter hvor teknologi kan tas i bruk for å stimulere politisk interesse uten å måtte flytte selve valghandlingen ut av valglokalet.

Andre scenarier som skremmer, er knyttet til hvordan valgmøter kan komme til å foregå i fremtiden. Det ville være rart om ikke partier vil sørge for å ha internetterminaler tilgjengelig i valgarrangementer med tilbud om hjelp til dem som ikke vet hvordan man gjør dette. Det forutsetter at folk tar med valgkortet noe de vil bli oppfordret til. Igjen er det ikke eklatant innblanding og press som opptar meg, men det at partimedlemmer hjelper velgere til faktisk å utføre valghandlingen. Vi har tradisjon for listebærere utenfor valglokalene og partier som tilbyr transport til valglokalene fra institusjoner og lignende, men dagens hjelp stopper ved inngangen til valglokalet. Så langt men ikke lengre. Skillet mellom valgkamp og valghandling vil nå viskes ut.

Angremuligheten

Angremuligheten ved det norske prosjektet er fremsatt som svar på det manglende hemmelighold. Muligheten er klart positiv og bør desidert innføres hvis internettvalg kommer. Som sikkerhet for en personlig, hemmelig stemmegivning er den imidlertid begrenset. For den som er engasjert og har vært utsatt for press, er den en god mulighet. På den annen side er det tilgjengelighet som benyttes som en grunn til å innføre internettvalg.

Dette anses viktig i en tid hvor valgdeltagelsen går ned i etablerte demokratier og det politiske engasjement, i hvert fall knyttet til det representative demokrati daler. Det å benytte angremuligheten forutsetter et engasjement som mange ikke har. For dem som frivillig og uten å tenke at det noe galt i det hele tatt har latt en familiefar eller lokal opinionsleder stemme for seg, vil muligheten ikke bety noe.

Det kan tenkes at angremuligheten vil virke forebyggende mot handel med stemmer. På den annen side kan det også tenkes at den som eventuelt er villig til å kjøpe stemmer, kynisk vil regne med at de fleste ikke gidder å benytte angremuligheten. De små tilløp vi har sett brukt til slik stemmehandel de senere år, ville neppe ha gjort noen forskjell med angremulighet.

Internasjonalt eksempel

I Norge stoler vi på valgmyndigheten. Dette er langt fra tilfelle i alle andre land, og selv i vårt nærområde fins land som Hviterussland hvor tilliten opposisjonen har til dem som arrangerer valget, er helt fraværende. Det internasjonale samfunn observerer valg i nye demokratier og land i overgang til demokrati og legger stor vekt på kontrollerbarhet av hvert ledd i prosessen. Representanter for partier og offentligheten må på en enkel måte kunne følge stemmene fra de er avlagt i hemmelighet til de er talt opp. I det norske internettvalget vil en observasjon forlange avansert datakunnskap. I Hviterussland settes det spørsmål selv ved forhåndstemmegivning i kontrollerte omgivelser noen få dager før valgdagen fordi det er umulig for kandidater å ha folk til stede til enhver tid ved lagring av stemmematerialet over natten. Når politiet og valgmyndigheten ikke har tillit, blir dette sett på som høyrisiko.

Skulle Hviterussland innføre valg i ukontrollerte omgivelser, enten ved post eller internett, ville opposisjonen protestere, og de ville sikkert fått støtte av OSSE og Europarådet. Protestene ville fra myndighetene bli møtt av påstander om bruk av doble standarder. Jeg mener det må gå an å forlange at visse ordninger skal forbeholdes land hvor valgmyndigheten har ubetinget tillit, og at vi derfor må kunne kritisere en ordning i ett land selv om vi aksepterer den i annet på grunn av forskjell i omgivelser og gjennomføring. På den annen side bør avstanden mellom det som er akseptabelt i Norge eller Storbritannia og kritiseres i Hviterussland eller Kasakhstan ikke bli for stor. Valg i ukontrollerte omgivelser utfordrer denne forskjellen.

Konklusjon

Valg på Internett garanterer ikke en personlig og hemmelig stemme. Over tid vil alminnelig adgang til internettvalg føre til at familieavstemning og stemming ved stedfortreder blir mer vanlig. Faren behøver ikke først og fremst være knyttet til den ufrivillige stemmen under oppsyn av noen som utøver press eller som kjøper stemmen. Større er faren for at den frivillige fullmakten kan bli vanlig og akseptabel.

For å oppnå større tilgjengelighet har Norge allerede innført en utstrakt bruk av forhåndsstemmegivning i kontrollerte omgivelser. Dette har sikkert bremset nedgangen i oppslutningen ved valg. Dersom elektronisk stemmegivning innføres i valglokalene, vil fordelen med sikker og rask opptelling kunne nås uten at det går ut over den personlige stemme og hemmelighold. Gode og rimelige alternativer er derfor tilgjengelige.

Vi har satset tungt på åpenhet i dette prosjektet. Enkelte skeptikere har innvendt at selv om tusenvis av enkeltpersoner på en usystematisk måte titter på kildekoden, så vil ikke det bidra med noe positivt, mens en eneste dyktig kjeltring vil kunne avdekke et sikkerhetshull, og utnytte det.

Vi har imidlertid følt oss trygge på vårt åpenhetsvalg, ikke minst fordi vi er sikre på at det ikke bare er helt tilfeldige personer som kommer til å undersøke systemet. Vi vet at e-valg vekker stor interesse i mange akademiske miljøer, og vi vet at siden vi ligger helt i forkant når det gjelder sikkerhetsløsninger, så er det mange som vil studere oss.

På grunn av forsinkelser i prosjektet, er ikke kildekoden publisert ennå. Dette planlegger vi å gjøre i begynnelsen av juni. Vi har likevel vært aktive mot akademiske miljøer, og alle som har ønsket det, har fått det innsynet de ønsker – uten andre betingelser enn at de må praktisere det som kalles ”responsible disclosure” (lenke til Wikipedia).

Nå har vi fått vårt første håndfaste bevis på at åpenheten virker. Etter at de to forskerne Melanie Volkamer, fra Universitetet i Darmstadt, og Olivier Spycher, fra universitetene i Fribourg og Bern, fikk innsyn i detaljert designdokumentasjon, oppdaget de en feil i et sentralt tredjeparts programvarebibliotek. De varslet utviklerne av biblioteket, og det har nå kommet en ny versjon av biblioteket, som retter feilen. Vi er selvsagt storveis fornøyde med dette. Selv om vi ikke egentlig ønsker oss feil, så ønsker vi alle som prøver å finne dem på en ansvarlig måte velkommen. Dette øker kvaliteten på løsningen, det øker muligheten for å tette sikkerhetshull før de kan utnyttes, og det øker vår samlede kunnskap. Åpenheten gjør at dette er til beste for alle.

Det gjenstår å gjennomføre testing av e-valgløsningen i Re kommune før sommeren. I perioden 13.-19. mai skal det gjennomføres en folkeavstemning om kommunen aktivt bør ta initiativ til/ arbeide for en ny kommunesammenslåingsprosess i neste 4-årsperiode. Det vil være mulig å stemme både på papir og via Internett.

I høst og vinter har de 9 andre kommunene gjennomført slik testing ved at det har vært arrangert elektroniske valg til ungdomsråd og elektroniske folkeavstemninger.

Valgdeltakelse rundt i disse avstemningene har variert, fra det laveste i Mandal med 2,3 prosent til hittil høyeste i Bremanger med 52 prosent deltakelse. Vi er fornøyd med resultatene så langt fordi det viktigste for prosjektet har vært å få testet ut systemet. Vi fått viktige erfaringer som vi bruker i videreutviklingen av e-valgløsningen fram mot kommunestyre- og fylkestingsvalget til høsten.

Vi har blant annet får vite at mange synes at selve e-valgløsningen, stemmeklienten, er enkel å bruke. En annen viktig tilbakemelding vi har fått, er at bruk av ID-tjenesten MinID kan være en bøyg, spesielt for de som ikke har brukt MinID tidligere. I Radøy kommune fikk vi testet ut bruk av valgkort med returkoder. Det ser ut til å ha fungert bra.

Jo lenger vi kommer i utviklingsfasen, jo flere funksjoner blir testet ut. Vi tester ut både det valgadministrative systemet, som også inkluderer e-valgløsningen, og vi tester ut ulike rutiner.

Når alle kommunene har gjennomført sine testvalg, vil det bli utarbeidet en evalueringsrapport, som vil bli gjort tilgjengelig. Vi samarbeider med meningsmålingsinstituttet Synnovate om å evaluere testvalgene.

Les mer på http://bit.ly/fMZLNB

Departementet har sendt invitasjon til OSSE/ODHIR om å følge både forberedelsene til og gjennomføringen av forsøket med elektronisk stemmegivning ved kommunestyre- og fylkestingsvalget til høsten. 160 000 velgere i 10 kommuner kan da stemme via Internett. I fire av forsøkskommunene (Mandal, Re, Hammerfest og Ålesund) vil også 16- og 17-åringene få anledning til å stemme via Internett fordi disse kommunene samtidig deltar i forsøk med nedsatt stemmerettsalder til 16 år.

Internettstemmegivning gir nye og helt andre utfordringer når det gjelder fremgangsmåte og metode for valgobservasjon. Muligheten til å overvåke elektronisk stemmegivning er selvsagt annerledes enn ved tradisjonell stemmegivning. Ved observasjon av e-valg, er det blant annet viktig at det blir fokusert særskilt på sammenhengen mellom teknologi og kravet til hemmelig stemmegivning. Det er derfor vesentlig at observatører får mulighet til å følge prosessen allerede under utviklingen av datasystemet som velgerne skal bruke til å stemme.

OSSE er i gang med å lage en ny håndbok for observasjon av elektronisk stemmegivning. Vi håper forsøket i Norge kan bidra til å gi nyttig kunnskap og erfaring til dette arbeidet.

Les invitasjonsbrevet (pdf-format). Brevet har engelsk tekst.