1. E-valg, stemmegivning på internett – er det sikkert? Thomas Tjøstheim Sikkerhetsrådgiver Hordaland Fylkeskommune
2. Agenda E-valg Hva er det? Hvorfor er det vanskelig? E-valg 2011 Om prosjektet Løsningen Trusseldiskusjon
3. E-valg Elektronikk Stemme Telle stemmer Internettbasert stemmegivning Stemmegivning i ukontrollert miljø Mulige fordeler Raskere Bedre tilrettelegging for fysisk utviklingshemmede Økt tilgjengelighet Økt valgdeltakelse?
4. Hvorfor er det vanskelig å designe en valgløsning? Ingen nøytrale tredje parter Velgerne kan fuske Løsningen kan fuske Tvang og stemmekjøpere Motstridene krav Verifiserbarhet vs. anonymitet Høy profil på angrep
6. Sikker stemmegivning over internett? Ekspertene er skeptisk Peter Ryan “ I’m not advocating remote voting for political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”
7. Sikker stemmegivning over internett? Ekspertene er skeptisk Kristian Gjøsteen “ With realistic attack models (the attacker knows everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.” Arent “ Voting in your underwear does not seem a valid option— at least not at this moment.”
8. E-VALG 2011- PROSJEKTET Hva er e-valg 2011 prosjektet? Anskaffe og innføre en løsning for elektronisk stemmegivning og valgadministrasjon i 10 utvalgte forsøkskommuner (<200.000 stemmere) ved kommune- og fylkestingsvalget i 2011 Startet opp i 2008 (forprosjekt i 2006)
9. E-valg 2011 løsning Autentisering: E-id (MinID) Papirstemme overskriver alle elektroniske stemmer Kan stemme om igjen ubegrenset antall ganger elektronisk Partnere EDB ErgoGroup: administrasjonsmodul Scytl: E-valg modul
10. E-valg 2011 i et nøtteskall Valgkort Mottak Returkode Server ? Opptelling internett
11. E-valg 2011 Debatt Lite diskusjon så langt Komplekst tema Informasjon fra KRD Nordmenns tillitt til myndighetene Media Fokus på det prinsipielle FNs menneskerettighetserklæring §1-1 i valgloven Utilbørlig press Stemmekjøp Mindre høytidelig og brudd på tradisjon Lite fokus på teknisk løsning
12. E-valg referansegruppe Slutt 2009 etablerte referansegruppe 9-10 stykker i Bergen og Oslo 5 møter med sikkerhetsansvarlig Utarbeidet en ”bekymringsliste” Mål Analysere teknisk løsning Uavhengig og konstruktiv kritikk av løsningen
13. Noen utvalgte ”bekymringer” Hvordan blir velgerne autentisert? Hva er risikoen for stemmekjøp? Innsidelekkasjer Malware Tjenestenektangrep
14. Autentisering av velgerne MinID (ikke eID ) Paradoks: løsningen er proprietær Dilemma: Hvordan kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?
15. Stemmekjøp Måter å bevise hvordan en velger har stemt Velger viser SMS kvittering sammen med valgkort Logge stemme Bevise utforming av kryptert stemmeseddel Tiltak: Stemme om igjen og overskrive e-stemme med p-stemme Stemmekjøperens dilemma Garanti for å ha kjøpt korrekt stemme? Hvordan sette opp for kjøp og salg av stemmer? Strafferamme: 3 år for stemmekjøper og 6 måneder for stemmeselger
16. Hva kan vi lære fra Estland? 0,09% 1,55% 58.699 Parlamentariske valg 0,09% 2,27% 104.413 Lokale valg E-stemme overskrevet av p-stemme Multiple E-stemmer E-Stemmer
17. Innsidelekkasje Informasjonslekkasje Hvem stemte i p-valget og i e-valget? ISPer og teleselskap Forhåndsgenererte kvitteringer for hver velger Tiltak: Samarbeid med Norsk Tipping og fysisk ødeleggelse av HW
18. Malware Trojaner endrer stemme Tiltak: Velger sjekker kvittering Diskusjon Hvor mange vil sjekke kvitteringene? Hva om en velger lyver om en feil kvittering? Er kvittering per kandidat/parti nok? (kumuleringer)
19. Tjenestenekt angrep Kobling mellom Velger og sentral infrastruktur Kvitteringsserver og velger Tiltak: Vanskelig? Fordel: Internettstemmeperiode er spredt over tid…
20. Forståelse og brukervennlighet Ulike forklaringsnivå til ulike grupper? Verifiserbarhet Forstår og stoler alle på kvitteringene? Hvor enkelt er det å stemme? Nivå av åpenhet Mange offentligjorte feil kan være problematisk?
21. Oppsummering Fordeler Økt tilgjengelighet Økt valgdeltakelse (?) Økt nøyaktighet Kostnadsbesparende (?) Åpenhet rundt valgsystemet Ulemper Single point of failures Angrep skalerer bedre Forstår bestemor? Private aktørers rolle i valget Internett stemmegivning Utfordrende (umulig?) å oppnå både verifiserbarhet og fullstendig beskyttelse mot stemmekjøp Komplekst og vanskelig tema
22. Spørsmål Still dem gjerne nå, etterpå eller ta kontakt på e-post thomas.tjostheim hos Googles eposttjeneste gmail.com Takk for oppmerksomheten!
23. Kryptering av stemme Krypterer med Offentlig valgnøkkel Signerer med Stemmers private nøkkel Stamp
24. Opptelling av stemmer Legg inn animasjon… Vaskemaskin for miksing Fjerner signaturer Sjekker mot p-valg Mikser Dekrypterer stemmer…
25. Insider threats Authority knowledge List correspondence between voters and receipts Countermeasure: Physical destruction of hardware? Cooperation with Norsk Tipping, use similar method as for Flax lottery tickets.
26. Insider vulnerabilities Information leakage Officials can leak information about who voted in the electronic election and votes that where overwritten by a p-vote. ISP and mobile companies can reveal info about who voted in the e-voting phase Ballot stuffing Voting officials add votes for people who haven’t voted Countermeasure: Voting officials with conflicting interests?
27. Insider threats Reconstruction of the decryption key Countermeasure: Private key split between different organisations. Brønnøysund DSB + = Decryption Key Receipt generator Key Ballot box Key
29. Remote e-voting Five non technical reasons against remote e-voting (Oostveen) 1. Secret and free election 2. ”Digital divide” 3. Cultural effect Gathering of people and ”civic ritual” 4. Organizational problem Online helpdesk Many roles (e-voting + p-voting) 5. Behavioral changes Loosing feedback from the environment
30. Malware Trojaner logger stemme Tiltak: Anti-Trojaner software? Falsk valgklient Applet eliminerer muligheten for å stemme på noen parti/kandidater Tiltak: Signert applet(?)
#4:Bedre valgdeltakelse? Elektronikk i USA, touch screen, internett valg, e-valg i ukontrollert miljø, mest utfordrende å lage…
#5:Avi Rubin: “Any successful attack would be very high profile, a factor that motivates much of the hacking activity to date. Even scarier is that the most serious attacks would come from someone motivated by the ability to change the outcome without anyone noticing. Ett angrep er for mye…Everyone should be persuaded by the correctness of the outcome, especially the losers.
#6:E-valg: må i større grad stole på programvare, jo mer komplisert jo mer kode. Internett valg mest utfordrende…In Guilford County, N.C., a computer threw away 22,000 votes for Sen. John Kerry. • In Franklin County, Ohio, one precinct recorded 4,258 votes for President George W. Bush, although only 638 voters cast ballots. Utfordringen til e-valg 2011, e-valg i stemmelokale vanskelig å få til på god måte, internett stemmegivning enda vanskligere…
#7:Veileder på PhD, kjent innen forskningsmiljøet, ikke ok for politiske valg, men ok for meningsmåling, liker du best vaniljeis eller sjokoladeis? Norge spesielt med tillitt til myndighetene…Trusted Computing Platform Alliance (TCPA) Mhp. Krav om hemmelig valg.
#8:Underbukse, kan være full, under press, etc. Gjøsteen: rolle i kryptogrffisk protokoll, verifisere stemme og påvirkning på hvordan man stemmer/stemmekjøp…/utilbørlig press parameter…
#9:Note: Bergen sa nei til å være med i forsøket…Flere har sagt nei… Kommunal- og regionaldepartementet (KRD) startet i 2008 e-valg 2011-prosjektet som skal etablere en sikker elektronisk valgløsning for stortings-, kommunestyre- og fylkestingsvalg som gir bedre tilgang for å stemme for alle velgergrupper. Løsningen skal sikre en rask valggjennomføring med effektiv ressursbruk i kommunene, samt legge til rette for utøvelse av direktedemokrati. Forprosjekt 2006.
#12:Familieoverhodet… Utforming av blogg…Digital divide, behavioural changes…”frie og hemmelige valg”
#13:Vår motivasjon, interessant, ikke direkte i mot e-valg ,sunn skeptisk, økt tilgjengelighet er bra, men færre stemmelokaler på sikt? Få med DND satsning…
#14:Malware samle betegnelse på ondsinnet programvare, virus, Trojanere, ormer, etc…
#15:Nivå 3 og nivå 4 (buypass and Commfides). MinID ikke PKI, standard two factor authentication…Løsning: Pre generer RSA signeringsnøkler for hver velger
#16:Malware selfinflicted…logs vote… Pay for votes, not get caught?
#17:Har vært i flere år, første år gjerne ikke representativt, dette materialet fra 2009…NB! Lite statistikk, første valg gjerne ikke representativt…
#18:Garanterte stemmer, på hvem stemte p og e.., hvem stemte i e-valget, …innsider kan se hvem som stemmer hva…utifra generert kvitteringskode…
#19:Trojaner kan også logge stemme eller gjøre endringer i applet…. 8 % må sjekke, prøvevalg, mange sjekker Hvordan skille på stemme endret pga. malware og stemme endret pga. system feil?
#21:Åpen kildekode, kryptoprotokoll, bestemor, datakyndige, etc…vil bestemor klare å stemme, samtidig alternativ for de som vil, hvordan på lang sikt?
#22:Pros and cons of e-valg 2011 solution, nb substituting adm module and e-module…MYE fokus har vært på det prinsipielle, vi har fokusert på det tekniske…
#27:Vote buying…Interesting transition from e-phase to p-phase… e-phase ends before p-election…
#28:Direktorat for samfunnsikkerhet og beredskap. Decryption key, used for tallying the votes…Brønnøysund = ballotbow, DSB=receipt key…
#29:http://www.edemocracy-forum.com/evoting/ USA og e-valg, Diebold ikke Internett basert stemmegivning. 14% stemte elektronisk i Estland sist…
#30:NB! Belyse kompleksitet og at sosiale aspekt er vel så viktig å vurdere som den tekniske løsningen. Lettere å manipulere stemmer, med tvang. Like hemmelig som tradisjonelt papirvalg? Kunnskap om bruken, hjelper å ha begge muligheter åpne. Spesialtutstyr for å stemme hjemmefra? Tilgang til data og kommunikasjonsutstyr. Ritualet ved å gå til stemmelokalet for å stemme, følelse av å gjennomføre sammfunnsplikt Online hjelp, forvirrende roller, sette opp e-valg og tradisjonelt valg. Folks oppfatning av dette? Blir mer isolert, ser ikke fattige, etc. på veien til valglokalet.
