Første del av sikkerhetsmekanismen publisert
Av Christian Bull, publisert tirsdag 20. april 2010I løsningen for elektronisk stemmegivning skal du som velger kunne kontrollere at stemmen din har kommet frem uendret. Dette er viktig fordi din hjemmedatamaskin i teorien kan være infisert med programvare som endrer stemmen uten at du kan oppdage det.
Om du ikke kunne kontrollere at stemmen kom frem riktig, ville dette kunne åpne for systematisk manipulasjon av store mengder stemmer uten det kan oppdages. Det er helt uakseptabelt.
Samtidig som vi altså ønsker å kunne fortelle deg at vi har mottatt riktig stemme, så må vi sikre at myndighetene ikke på noe som helst tidspunkt får vite hva du har stemt. Det skal heller ikke være mulig for valgmedarbeidere eller andre som jobber med e-valgsystemet å manipulere eller å se stemmer.
Kort oppsummert – vi ønsker å bevise for deg som velger at vi har mottatt stemmen din, men uten at vi blir kjent med innholdet.
Førsteamanuensis ved NTNU Kristian Gjøsteen (http://www.math.ntnu.no/~kristiag/ ) har derfor i samarbeid med e-valg 2011-prosjektet og ErgoGroups underleverandør, Scytl Secure Electronic Voting, utarbeidet en kryptografisk protokoll som gjør dette mulig. Et dokument som beskriver deler av protokollen er nå publisert på vår hjemmeside, se http://bit.ly/acsDGx. Riktignok er ikke denne informasjonen enkel å forstå, men vi jobber med en enklere fremstilling.
Rent praktisk er dette løst ved at vi før valget sender ut et kodekort til velgerne – på samme måte som man i dag får et valgkort. På dette kortet står det hvilke koder vi kommer til å sende tilbake til deg avhengig av hva du har stemt. Deretter ødelegger vi denne informasjonen, slik at bare du som velger vet hva kodene betyr.
Når du da sender inn din krypterte stemme over Internett, så sørger denne protokollen for at vi kan regne oss frem til kodene på kodekortet, men ikke hva kodene betyr.
Kodene vi regner oss frem til avslører altså ingenting om hvem du har stemt på.
Koden kan vi så sende tilbake til deg på SMS, slik at du som velger kan kontrollere at stemmen kom frem riktig. Du kan stemme på nytt igjen så mange ganger du vil, og du kan avgi stemme i valglokalet som vil kansellere alle Internett-stemmer. Derfor vil ikke denne koden fungere som noen kvittering til en som vil kjøpe stemmer, eller som noe bevis overfor en som prøver å tvinge deg til å stemme noe du ikke vil.
Noen vil sikkert stille spørsmål om hvordan de kan vite at vi ikke tar vare på kodeinformasjonen på valgkortet som gjør at vi kan finne ut av hva du har stemt. Svaret på det er at vi vil etablere betryggende rutiner på dette området, som på øvrige områder i valggjennomføringen. Rutinene skal sikre kontroll med at opplysninger ikke kommer på avveie på noe stadium i prosessen, og at denne kontrollen foretas av flere personer samtidig. De som kontrollerer skal se at systemet er transparent og at det er sikkert.




