Schneier

18.000 elektroniske stemmer forsvandt for good

Ved Midtvejsvalget i Floridas 13nde kongresvalgkreds var sejrsmargen kun på 386 stemmer ud af 153.000 stemmer. Det udløste en obligatorisk fintælling(1), men den omfatter ikke de næsten 18.000 stemmer, der synes at være forsvundet. De elektroniske stemmemaskiner ekskluderede dem i den endelige optælling, og der var ingen sikkerhedskopi til brug for fintællingen.

Valgbestyrelsen vil udpege en vinder til Washington, men kan ikke med sikkerhed vide, at et flertal stemte på ham. Måske stemte de på vinderen, måske på taberen. Der findes ingen måde at finde ud af det på.

Trusel mod fair og præcise valg

Elektroniske stemmemaskiner repræsenterer en alvorlig trusel mod fair og præcise valg, en trusel som enhver amerikaner - republikaner, demokrat eller uafhængig - burde bekymre sig om. Fordi valgene er computerbaserede, kan få personers tilsigtede eller uagtsomme handlinger påvirke resultatet af et helt valg. Løsningen er: stemmesedler, som kan verificeres af vælgere og indgå i en senere fintælling, hvis det viser sig nødvendigt.

Hvad er en sikker valghandling?

For at forstå sikkerheden ved elektroniske stemmemaskiner må man først overveje sikkerheden ved hele valghandlingen. Målet for et hvilket som helst stemmesystem er at opfange hver vælgers intention og samle alle i en fælles optælling. I praksis sker dette ved en række af trin af overførsler. Da jeg stemte, overførte jeg min tilkendegivelse til en stemmeseddel, som bagefter blev overført til en stemmeoptællingsmaskine ("tabulation machine") gennem en scanner. Sidst på natten blev de separate optællinger overført af valgstyrere til en central enhed og sammentalt til et resultat, jeg kunne se på TV.

Hvert trin indebærer en risiko for fejl

Alle afstemningsproblemer er fejl, der opstår i et af disse trin, uanset om det skyldes valgretsfortabelse, fejl på stemmesedeler, it-nedbrud eller stemmeseddelsforkludring. Selv under normal betjening kan hvert trin indebære en risiko for fejl.
Afstemningspræcision handler derfor om

1. At minimere antallet af trin og
2. At højne den tekniske pålidelighed (2) for hvert trin.

Meget af valgsikkerheden er baseret på "trygheden i konkurrerende interesser" Hvert eneste trin med undtagelse af vælgerens kryds på stemmesedlen bevidnes af en tilforordnet fra hvert af de store partier; det sikrer. at enhver ivrig bondegfanger - eller selv ærlig fejltagelse vil blive opdaget af andre tilforordnede. Dette system er ikke perfekt, men det har fungeret rigtig godt i et par hundrede år.

Ingen reel verifikation

Elektronisk stemmeafgivning er som et isbjerg. De virkelige trusler er under vandlinien, hvor du ikke kan se dem. Papirløse stemmemaskiner
omgår denne sikkerhedsproces og tillader en lille gruppe mennesker eller endda en hacker at påvirke et valgresultat. Problemet er software, som er skjult, og som ikke kan verificeres af et hold Republikanske og Demokratiske dommere, programmer som drastisk kan ændre den endelige optælling. Og fordi alle endelige optællinger er elektroniske, er der ingen måde at verificere dem på, der er ingen måde at foretage en anden fintælling på end at køre det samme program igen. Genoptællinger/fintællinger er vigtige. (3)

Hundredvis af tilfælde....

Dette er ikke teori. I USA har der været hundreder af dokumenterede tilfælde, hvor elektroniske stemmemaskiner har ødelagt stemmerne, så der blev valg forkerte kandidater fra begge politiske partier blev valgt: maskiner, der tabte stemmmer, maskiner, der ombyttede stemmer fra en kandidat til en anden, maskiner der registrerede flere stemmer på en kandidater end det samlede antal stemmer, maskiner der ikke registrerede stemmer overhovedet. Jeg ville foretrække at tro, at alle disse tilfælde var uheldige fejltagelser og ikke rene bedragerier, men sandheden er, at vi ikke kan definere forskellen. Disse problemer er kun dem, vi har afsløret og erkendt; det er næsten sikkert, at mange problemer ikke er blevet afsløret, fordi de ikke har pådraget sig nogens opmærksomhed.

Teknikken gør svindel nemmere

Det er både nyt og skræmmende. I det store hele og gennem historien har valgsvindel været vanskelig; den kræver offentlig deltagelse eller en korrupt regering - eller begge dele. Men med elektronisk afstemning er det anderledes: en enlig hacker kan påvirke et valgresultat. Han kan udføre sit job hemmeligt, før maskinerne senedes til valgstederne.
electronic voting is different: a lone hacker can affect an election. Han kan påvirke et helt områdes valgmaskiner. Og han kan skjule sine spor fuldstændigt ved at skrive kode der sletter sig selv efter valghandlingen.

Med Microsoft Windows og dets sikkerhedshuller...

Det forudsætter godt designede stemmemaskiner. De aktuelle maskiner sælges af firmaer som Diebold, Sequioa Voting Systems og Election Systems & Software er meget værrre. Softwaren er dårligt designet. Maskinere er "Beskyttet" af nøgler som til minibaren på et hotelværelse. De elektroniske stemmesedler lagres i filer, der let kan ændres. Maskinerne kan inficeres af virus. Nogle maskiner kører på Microsoft Windows med alle de fejl, sammenbrud og sikkerhedshuller som det operativsystem nu engang er udstyret med. Listen af utilstrækkelige sikkerhedskontroller fortsætter i det uendelige.

Stemmemaskine-firmaerne regner med, at sådanne angreb er umulige, fordi maskinerne ikke efterlades uovervågede (det passer ikke), hukommelseskortene som stemmerne lagres på kontrolleres omhyggeligt (det passer ikke), og alt bliver superviseret (det passer ikke). Ja, de lyver, men de misser også pointen

Vi bør og skal ikke acceptere stemmemaskiner, som kun kan vise sig sikre, hvis en lang række operationelle procedurer er præcist overholdt. Vi har brug for stemmemaskiner, der er sikre uanset hvordan de er programmeret, håndteret og brugt, og som kan opnå tillid, uanset hvem de sælges igennem som for eksempel useriøse foretagender med mulige forbindelser til Venezuela.

Brug papirstemmesedler!

Det lyder umuligt, men i virkeligheden er løsningen overraskende simpel. Tricket består i, at man bruger stemmemaskinerne stemmeseddelgenerator. Stem på det touch-screen system, du foretrækker: en maskine, der ikke lagrer records eller optællinger over hvordan folk stemte, men som kun genererer en udfyldt stemmeseddel. Vælgeren kan checke sedlen selv og så bagefter scanne den ind. Den anden maskine opretter en hurtig første optælling (4) for rigtighed, mens papirstemmesedlen om nødvendigt kan anvendes til en manuel kontrol. Udeblivelse og sikkerhedskopiering kan indføres og eftertælles på samme måde.

Man kan endda afkrydse stemmesedeler og komme af med elektroniske stemmemaskiner, som vi gør det i Minnesota. Eller køre et 100% brevstemmesystem som i Oregon. Igen:Papirstemmesedler er nøglen.

Papir? Ja, en papirstabel er sværere at forfalske end et tal i computerens hukommelse. Vælgerne kan se deres stemme på papir, uanset hvad der foregår inde i computeren. Og fremfor alt, alle forstår papir.

Hvornår havde du sidst problemer med en 100-kroneseddel?

Vi kan eksplodere over mobiltelefonregninger og kreditkortmisbrug, men hvornår havde du sidst problemer med en 100-kroneseddel? Vi ved, hvordan man tæller papir. Banker tæller hele tiden, og både Canada og England bruger udelukkende papir. ligesom de gør det i Schweiz.
Det kan vi også. I nutidens verden af computersammenbrud og orme og hackere er den lavteknologisk løsning den mest sikre.

Stemmemaskinernes betydning stiger markant

Sikre stemmemaskiner blot en komponent i gennemførelsen af et ærligt og fair valg, men deres betydning stiger markant. De befinder sig der, hvor en kvalificeret bedrager mest effektivt kan bedrive sin valgsvindel (og vi ved, at et bestemt udfald kan være millioner værd). Men vi skal ikke glemme de andre former for svindel: fortælle en forkert valgdag eller et forkert valgtidspunkt, fjerne folk fra valglisterne eller besværliggøre optagelse på dem. (Sjovt nok er stemmer, afgivet af personer uden valgret trods politisk retorik ikke noget problem i USA: hver eneste undersøgelse viser antallet som uden signifikans. Og foto-id skaber flere problemer, end det løser.)

Afstemning og valg er lige så meget et forståelsestema som et teknisk emne. Der kræves ikke blot matematisk præcision; hver borger må også samtidig have tillid til, at resultatet er korrekt. Over hele verden protesterer folk eller gør oprør, ikke når deres kandidat taber, men når mistanken opstår, at valget ikke tabte efter et retfærdigt valg. Det er vitalt for et demokrati, at et valg præcist udråber vinderen og på adækvat vis overbeviser taberen. I USA er vi ved at tabe slaget om den forståelse.

I den verserende debat taber stemmemaskinerne både på forståelsen og på teknikken. Resultaterne fra Floridas 13. Kongresvalgsdistrikt er hverken præcise eller overbevisende. Som demokrati fortjener vi det bedre.Vi må forkaste de elektroniske stemmemaskiner uden stemmesedler ved siden af, og samtidigt presse på for at få lovgivningen til at kræve afstemningsteknologier, der virker.