Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Telsoftware Nederlandse verkiezingen is nog steeds niet op orde

Er dreigt bij de Nederlandse Tweede Kamerverkiezingen van 2021 geen veilige telsoftware gebruikt te kunnen worden. De huidige telsoftware is volgens Fox-IT nog steeds onveilig en voor invoeren van nieuwe software is het volgens de Kiesraad 'vijf voor twaalf geweest'.

Fox-IT heeft volgens het Beveiligingsonderzoek OSV in de negen jaar oude telsoftware nog steeds enkele kwetsbaarheden aangetroffen, ondanks aanpassingen die onder andere werden doorgevoerd, omdat vorig jaar kwetsbaarheden in de software werden gevonden.

In opdracht van de Kiesraad heeft Fox-IT de beveiliging van de huidige telsoftware, oftewel de Ondersteunende Software Verkiezingen onderzocht. De genomen maatregelen helpen wel om 'de waarschijnlijkheid van manipulatie te reduceren en de waarschijnlijkheid van detectie van een eventuele manipulatie te verhogen' staat in het rapport, dat verder spreekt van een 'zorgelijk beeld' voor de software: "OSV op zichzelf is, kortom, onvoldoende in staat om manipulatie van de verkiezingen te voorkomen, en moet op korte termijn worden vervangen.

Het advies luidt om vóór de Tweede Kamerverkiezingen van 2021 de huidige software en procedures te vervangen. De Kiesraad staat hierachter maar de invoering wordt krap, bevestigt Kiesraad-directeur Melle Bakker tegenover de NOS: "Als we dat willen halen, is het vijf voor twaalf geweest. We moeten dan nieuwe software laten ontwikkelen, bepalen waar die aan moet voldoen, testen en vervolgens gemeenten er nog mee laten werken."

Dat laatste is een obstakel omdat in de woorden van Bakker 'het hele proces op de schop moet' en de Kiesraad niet kan afdwingen dat de gemeenten zich aan de regels houden. Daarmee dreigt de situatie dat over twee jaar nog steeds de huidige, verouderde telsoftware gebruikt wordt.

De Kiesraad en de minister van Binnenlandse Zaken zijn bezig de manier voor de uitslagberekening te herzien. Het gaat niet alleen om de software en computers waarop dit wordt gebruikt, maar ook de procedures, het beheer, de wetgeving en de eisen. Eerder deze maand waarschuwde de Kiesraad dat de invoering eigenlijk te lang op zich liet wachten.

Weergave van het proces waarbinnen OSV gebruikt wordt

Door Olaf van Miltenburg

Nieuwscoördinator

14-03-2019 • 15:58

90 Linkedin Google+

Submitter: joepsel

Reacties (90)

Wijzig sortering
Dit gaat om de software waarmee na het handmatig tellen van de papieren de stemmen mee worden opgeteld. Dan denk ik.. hoe ingewikkeld kan het zijn. Laat er een paar enthousiaste iT-ers op los gaan, maak daarna de broncode openbaar, laat Guido Vranken, Rian van Rijbroek en de rest van Nederland er op schieten en je hebt binnen een paar maand een dijk van een systeem
Hoe weet je zeker dat de software die gebruikt wordt voor de telling dezelfde is als waar de broncode voor is vrijgegeven?
Zo paranoïde moet je zijn voor het telproces van een democratie.
Dat moet te controleren zijn toch? Door middel van certificaten en hashes en dergelijke?
Het oorspronkelijke issue dat ik vond in 2017 en waardoor tijdens de Tweede Kamerverkiezingen de software niet meer gebruikt mocht worden (behalve als veredeld telraam) was dat er gebruik werd gemaakt van sha-1 hash (waar toen al voor minder dan 10.000 euro volgens mij collisions op te genereren waren). Zelfs als het al juist geïmplementeerd was (verrassing; dat was het niet) werden mensen in de instructies nergens gewezen op dat ze deze hash moesten controleren. Sterker nog, de enige pagina die uitlegde hoe je het kon controleren verwees naar een vage http site waar je toevallig een tooltje kon krijgen die dit voor je deed.

Iemand die echt wilde, had dus simpel de cd (zo werd de software verspreid) die naar de voorzitter van een stembureau werd gestuurd kunnen onderscheppen en vervangen door een andere. Mocht onderscheppen niet lukken, denk ik dat niemand er van staan had kijken als je gewoon los een nieuwe cd had gestuurd met daarbij een briefje "dit is de nieuwste versie, installeer 'm gelijk even".

Had je eenmaal toegang tot één computer, dan kon je het EML-bestand met de tellingen aanpassen hoe je wilde. Er was wel een controlestap met printen naar papier, maar aangezien je toch al toegang tot het systeem hebt print je gewoon de "verwachte" uitslag met daaronder de hash van de "gewenste" uitslag die in het bestand stond. Werd dit bestand op een hoger niveau ingelezen, dan werd ze alleen gevraagd (de laatste vier cijfers van) de hash te vergelijken met die op papier. Nergens tijdens dit proces werd een nieuw stemtotaal getoond, dus het zou totaal niet op zijn gevallen als een bepaalde kleine gemeente een miljoen stemmen zou doorgeven via het EML-bestand, wat daarna uiteindelijk op het centraal stembureau zou belanden en voor waar worden aangenomen. Daarnaast staat in de wet dat alle papieren stembiljetten binnen afzienbare tijd na de vaststelling van de uitslag vernietigd moeten worden, waarmee ook al het bewijs van fraude vernietigd zou worden.

[Reactie gewijzigd door Skit3000 op 14 maart 2019 17:28]

Neen, de enige manier om zeker te zijn dat de code datgene doet waarvoor ze is ontworpen na compilatie is door iemand die kennis van zaken heeft door de assembly te laten lopen. En dan moet je dat proces niet door 1 maar door meerdere mensen laten doen die hopelijk neutraal zijn.

In theorie, en heb dat altijd een leuke theorie gevonden maar praktisch moeilijk uit te voeren, kan je de compiler hacken waarmee de broncode wordt gecompileerd (maar ook nieuwere versies van die compiler) waardoor die compiler in staat kan zijn van instructies aan de assembly toe te voegen die de resultaten beïnvloed. De code van de compiler zelf kan dan ook perfect clean zijn, het is het compileren zelf dat de malware er opnieuw insteekt.
Certificaten en hashes, inderdaad; code signing (https://en.wikipedia.org/wiki/Code_signing).
En het gaat nog veel verder, de processor is een probleem, de kernel, alle andere hardware in alle systemen. Alles moet behandeld worden als een "hostile actor" en dat KAN vaak wel in software, maar dat maakt het vaak veel moeilijker om te doen. Je moet een groot gedistribueerd systeem hebben wat helemaal niks en niemand vertrouwd, en dat is inclusief alle chips op het moederbord.
Volgens mij maak je het moeilijker dan het is. In principe zijn compilers deterministisch. Je hoeft dus helemaal niet de code te doorlopen met de hand; het enige dat je moet doen is de code op een onafhankelijk platform nog een keer compileren en de assembler met elkaar vergelijken.

Wat je zelfs zou kunnen doen is een kleinere instructieset geven aan LLVM, en alles hiermee compileren. Register allocatie kan je ook bijvoorbeeld zo triviaal mogelijk doen. Dat heeft als voordeel dat de assembler die wordt gegenereerd (weliswaar vrij langzaam, maar who cares...) triviaal is om te lezen. De hele grap is immers dat je niet zoveel instructies nodig hebt... om precies te zijn, je hebt ongeveer net zoveel instructies nodig als je intermediate language.

Je kan dergelijke assembler zelfs vrij eenvoudig weer decompileren. Dat zie je terug in managed languages zoals .NET, die ook heel goed te decompileren zijn.

Het is denk ik lastiger om te zien of de processor doet wat 'ie moet doen... ik denk dat je dat niet helemaal kunt ondervangen; wat je zou kunnen doen is de input voeren aan een aantal totaal verschillende systemen (ik denk aan Intel, ARM, etc) en de outputs met elkaar vergelijken.
En als leek is dat ook te begrijpen en te controleren dat dat goed gebeurt?
Een leek hoeft niet te weten hoe hashes werken. Een leek moet je alleen vertellen dat er gecontroleerd wordt en gegevens verifieerbaar en betrouwbaar zijn en dat een onafhankelijk expert bedrijf (zoals Fox-IT) een audit heeft uitgevoerd.
Niet voor het democratisch proces. Want iedereen kan een leek wat wijsmaken.

Wat maakt Fox-IT tot expert?
Waarom zijn zij een expert?
Hoe verifiëren ze dan?
Hoe weet ik zeker dat dat bedrijf onafhankelijk is?
Hoe weet ik, als leek, zeker dat ze hun werk goed hebben verricht?
Heb ik alleen hun woord daarvoor of kan ik het, als leek, ook zelf controleren?
Fox-IT brengt hierover uiteraard een rapport uit wat publiek moet zijn.
Ik noem Fox-IT maar dat kan ook een ander bedrijf of overheidsinstantie zijn.
Nu weet ik als leek ook niet wie de stemmen tellen en hoe het gaat.
Ik vertrouw op de eerlijkheid van de tellers maar ik ken ze niet.
Ik heb ong. 8 jaar lang regelmatig op stembureaus gezeten, in diverse rollen.
Het tellen doe je met alle stembureauleden: eerst op lijst, dan voorkeurstemmen (in volgorde rangschikking op lijst). Aantal leden: in principe 5 + 2 tellers. Als je "het geluk" hebt om zowel een gemeenteraadsverkiezing als landelijke verkiezing te hebben, worden er 3 tellers bijgezet.
De verschillende fases (lijst, voorkeursstemmen, etc.) worden altijd door andere leden gedaan (ziet de voorzitter op toe). Daarna worden de stapels per stapel nogmaals door anderen geteld en bovenop wordt het totaal aantal vermeld (is van belang omdat je als stembureau een 1e schatting moet doorbellen vlak na 9 uur). Dan de totaalcheck met aantal ingediende stempassen, ongeldige, blanco enzovoorts.
Daarna totaliseren en checken of die scores matchen (stempassen en aantal stemmen per partij).

Toen ik bij die dubbele verkiezing voorzitter was, heb ik ervoor gekozen 2 x (alles totaal opnieuw) te tellen. Foutmarge (alles werd 2 dagen later opnieuw geteld): 0.
We lagen wel om 2.30 uur in bed. Dat dan weer wel 8)7

Wat mij betreft wordt er eens ECHT energie gestoken in het ontwikkelen van betrouwbare telsoftware. Maakt niet uit of het binnen 2 jaar te gebruiken valt. Maar kan me ook niet voorstellen dat dit ook zo lang moet duren. Zelfs niet als je alle fases (software ontwikkeling, bestek van eisen, testen en vervolgens gemeenten ermee laten werken) in gedachten houdt.
Respect.

En eerlijk gezegd hoop ik (als software engineer zijnde) dat dit proces voorlopig nog lekker handmatig blijft verlopen. Ja, dan zijn er een paar honderd (paar duizend?) mensen die een veel te lange werkdag maken, maar daar hebben 17 miljoen mensen profijt van. Geef ze lekker de rest van de week vrij en een mooie fles speciaalbier naar keuze om van die dagen te genieten.

Het mooie van het handmatig tellen van papieren vellen is namelijk tweeledig:
1. De eenvoud
2. De beperkte invloed van kwaadwillenden

Door de eenvoud is het voor iedere burger die de kleuterklas heeft afgemaakt te volgen. 1 papier met een rood bolletje onder lijst X bij persoon Y betekent dus dat het totaal voor die partij en die persoon met 1 omhoog gaat.
Het percentage burgers dat de software kan volgen en controleren is nihil. Zelfs ik zou dat pas kunnen als ik me in de specifieke taal verdiep en er enkele uren voor uittrek. Tegen die tijd is de uitslag al lang bekend. Plus dat ik volgens mij in mijn hele familie én schoonfamilie de enige ben met ook maar enigszins de capaciteiten om dit proces te controleren.
In het kader van democatie is het belangrijk dat iedere burger het stemproces van A tot Z kan volgen om ook voldoende vertrouwen in het systeem te houden. Handmatige tellingen borgen dat; eender welke software faalt hier simpelweg in.

Daar komt bij; als je met software gaat werken dan kan in theorie 1 persoon het hele proces manipuleren. Bij het handmatige proces is die invloed marginaal. Zoals je zelf al zegt zit je al met meerdere personen op 1 stembureau en controleer je elkaar. Zelfs als je alle leden op het stembureau mee krijgt en je gezamelijk de zaak zou willen flessen zou de impact op landelijk niveau nog vrij klein; hooguit 1 zetel verschil schat ik in. Voor significante fraude zou je met tientallen -zoniet honderden- fraudeurs moeten zijn én dan nog eens door geen enkele burger gecontroleerd mogen worden (immers ik mag te allen tijde het stembureau controleren tijdens de telling). Dat maakt het vrijwel onmogelijk om op grote schaal te frauderen.

Bovenstaande maakt gewoon dat we nu een goed geborgd democratisch proces hebben waarbij het gros van de Nederlanders ook vertrouwen heeft in de verkiezingsuitslag. Uitzonderingen en aluhoedjes hou je altijd, maar die kun je dan ook gemakkelijk wijzen op hun eigen mogelijkheden op controle.

Wat mij betreft is papier nog altijd een winnaar. In simplicity is beauty. :)
+2 voor jou!
Ik geloof ook echt wel dat alle teller en mensen die hiermee bezig zijn goed werk verrichten en de uitkomt ook betrouwbaar is. Het is en blijft mensenwerk wat veel tijd en energie kost.
Dit kun je aanzienlijk vereenvoudigen als je digitaal gaat tellen en het liefst ook digitaal stemmen in het stembureau zelf of via internet.
Wellicht is fases omdat het nu eenmaal complex is.
Het ontwikkelen, testen enz van hardware en software om dit mogelijk te maken duurt veel te lang helaas.
Er zullen altijd bezwaren blijven maar dat is nog geen reden om het niet te doen.
Je kunt als leek wel als waarnemer aanwezig zijn bij het telproces. En het hele circus meemaken van begin tot eind. Dus hoef je niet uit te gaan van de eerlijkheid van de tellers, maar ook daadwerkelijk hun werk controleren.
Praktisch gezien kan dit niet, je kunt hooguit een deel van het proces volgen en controleren.
Je moet dus wel degelijk vertrouwen hebben in de tellers en medewerkers van de stembureaus.
Ik heb daar wel vertrouwen in.
Zo heb ik ook vertrouwen in een bedrijf als Fox-IT die een audit uitvoert op software die met stemmen tellen te maken heeft.
Laat alsjeblieft Rian van Rijbroek nooit naar iets kijken. Achter elke bit ziet ze Russen, en voor elke bit wil ze een smartblockchain zetten....
Was eigenlijk ook een grapje O-)

Die zou zeggen dat er een cyberdichte veilige modus in moet.

[Reactie gewijzigd door vharten op 14 maart 2019 16:29]

Zoveelste software debacle in de ict sector van onze overheid...
Je bent al bang voor het volgende idee mbt automatisering...
Hoe ingewikkeld kan een telsysteem zijn vraag je je dan af.
Het ergste veiligheidslek die in mijn ogen kan plaatsvinden is als de machines zelf 'gerigd' zijn en bepaalde zaken dubbel doorgeeft of niet doorgeeft bv. maar in principe zou alles van het tellen tot het doorgeven redelijk eenvoudig en veilig moeten kunnen worden gedaan lijkt me. Maar wellicht zie ik iets over het hoofd.
Het gaat vooral om de manipulatie van de telling. De software mag dus geen gebruik maken van verouderde componenten (zoals een oude Java versie) en moet tot een bepaald niveau fraudebestendig zijn. Als iemand een USB-stick in het systeem stopt dan mag dat natuurlijk geen consequenties hebben voor de telling.

Wat ik me vooral afvraag is hoe de telling gebeurt? Worden de stemmen met de hand geteld en dan in het systeem ingevoerd of telt het systeem de stemmen automatisch door middel van OCR?
Om 21.00 als de stemming is geëindigd, beginnen de leden van het stembureau met het tellen. Dat is gewoon stapeltjes maken en ouderwets stemmen/turven. Alle aantallen worden op papier gezet, een proces-verbaal, plus aantal stempassen (e.d.) en door aanwezige getekend. Dan wordt de telling met gebundelde stembiljetten en stempassen naar het gemeentehuis gebracht. Dit gebeurt allemaal analoog, er komt geen computer of digitaal apparaat aan de pas.

In de loop van de avond komt in het gemeentehuis (of een ander hoofdstembureau) alle tellingen binnen
(of wordt het even doorgebeld). Dit komt in een computerprorgramma en wordt er een voorlopige uitslag bekend gemaakt. Let op: voorlopig!

De dag daarna wordt bij het hoofdstembureau alle proces-verbalen gecontroleerd en alle bezwaren meegenomen. Dit gebeurt ook op papier. Uiteindelijk komt er een einduitslag dat met het centraal stembureau wordt gedeeld. Die berekent op papier de uitslag en maakt die bekend (op een website maar ook in de krant).

[Reactie gewijzigd door robertpNL op 14 maart 2019 17:27]

Wat ik me vooral afvraag is hoe de telling gebeurt?

Dit is vooral de aggregatie van stemmen. Dus van individueel handmatig getelde stemmen (met alle menselijke telfouten) worden dan verder opgeteld door een groep mensen met deze software.

De bezwaren zijn enerzijds begrijpelijk, want het gaat om de Democratie, maar aan de andere kant is het heel erg theoretisch en is een daadwerkelijke manipulatie eigenlijk onvoorstelbaar. En het is zo goed als onmogelijk dat die manipulatie niet aan het ligt komt gezien het complexe aantal acties dat nodig is, en het feit dat individuele stemresultaten ook openbaar zijn.

Juist dit onderzoek van Fox-IT maakt duidelijk waar de risico's zijn, en dus ook dat er ogen gericht zijn op de zwakke plekken, zodat we er zeker van kunnen zijn dat er geen misbruik van gemaakt wordt.

Op lang termijn is het uiteraard zaak dat we telsoftware ontwerpen met veiligheid in het achterhoofd.
Er wordt met de hand geteld.
Er is maar een veilige manier en dat is tellen met de hand. Overzichtelijk, makkelijk te begrijpen, en fraude kan amper voorkomen.

Wat is dat toch met mensen dat ze cruciale onderdelen in een democratie op het spel zetten zodat ze de uitslag "snel" weten. Het staat ook de volgende ochtend in de krant hoor.
Inderdaad,

Stemlokaal maakt PV, PV wordt in openbaar doorgebeld en met koerier in verzegelde envelop aangeboden aan centraal stembureau. Idem voor de volgende stap en op vrijdagmiddag kunnen twee medewerkers van de kiesraad bij wijze van spreken in een doodeenvoudige Excel nog even de uitslag natellen. Kans op fouten van materieel belang nihil.
Een koerier met verzegelde envelop is betrouwbaar?
Dacht het niet, tenzij deze continu begeleid wordt door twee gewapende politieagenten of militairen.
Ik geloof dat in de huidige procedure er niet eens gebruikt gemaakt wordt van een koerier. De betrouwbaarheid zit 'm in de openbaarheid, rechtstreekse communicatie (telefonisch) en corresponderende PVs.....waarbij na gerezen twijfel de stemmen herteld kunnen worden
Dan nog - ook begeleiding (politie of militairen) kan omgekocht /gechanteerd worden.
Inderdaad maar dan moet je al drie mensen omkopen i.p.v. één.
Ooit van groepsdruk/psychologie gehoord? Of georganiseerde manipulatie.

Omkoping gebeurd in verhouding niet zo veel meer, vaak omdat mensen bang zijn voor sociale gezichtsverlies.

Leerplicht is bijvoorbeeld ook geen issue meer omdat klimaat gedoe goed moet wortelen bij de volgzame schapen.

Gelijk of geen gelijk, eigen mening of inzichten worden door veel mensen in gesnoerd uit angst in de hoek geplaatst te worden.
Hoe zo kan fraude dan niet voorkomen? Ook dan kan er gesjoemeld worden met de stemmen.
Mooiste is gewoon digitaal en klaar.
Leg eens uit hoe er gesjoemeld kan worden met stemmen via papier en potlood?
Gewoon drie keer een stemformulier invullen bijvoorbeeld.
Het formulier is immers blanco en niet voorzien van enige kenmerken die garanderen dat ik gestemd hebt en niet nog een keer mag stemmen.
Ik kan nu ook een formulier “verprutsen” en de voorzitter om een nieuw formulier vragen.
Wellicht wordt dit wel genoteerd want ik heb dan immers twee formulieren gebruikt.
Zo zijn er wel meer voorbeelden te bedenken.
En hoe wil je een blanco stembiljet invullen als gewone burger openbaar meekijken + je collega stemmers? ''ja meneer ik heb een rood potlood meegenomen omdat ik dat leuk vindt'' Daarbij word je ook gefouilleerd als je de telkamer ingaat (dat is tenminste bij ons zo) dus succes met het meenemen van schrijfmiddelen/papier.

Als je een formulier verprutst wordt bij dat bij de natelling wel duidelijk dat er iets niet klopt en worden de biljetten opnieuw geteld door de kiesraad.

Verder hebben je voorbeelden een verwaarloosbaar effect op de daadwerkelijke stemmen telling terwijl dat bij een kiescomputer wel een ander verhaal is, een paar voorbeelden: mensen die weten hoe zo'n stemcomputer in elkaar zit, een bug in de soft en of hardware waardoor een telfout ontstaat, beïnvloeding door midden van magneten. En dan hebben we het nog niet eens gehad over het feit dat 80% van de bevolking niet weet hoe zo'n stemcomputer werkt en daardoor de controle die nu overzichtelijk is veel moeilijk is. Een softwarebug hoeft maar in een klein regeltje te zitten bovendien is het mogelijk dat zo'n fout pas jaren later wordt opgemerkt.
Ik bedoel frauderen in het stembureau niet bij het tellen.
Het gaat uiteraard niet heel simpel maar het kan wel.
Stembiljetten zijn niet genummerd en wie zegt dat een stemmer er niet stiekem nog eentje in kan vullen.
Het is inderdaad kleinschalige fraude maar ook dat moet uitgesloten worden.
De ouderwetse stemcomputer wil ik ook niet maar wel een systeem dat gebouwd wordt met de eisen van nu en niet van 10 jaar geleden. Het kost tijd om te testen en het te perfectioneren maar onmogelijk is het zeker niet.
Werkelijk? Hoe wil je in godsnaam A dat gigantische stembiljet kopiëren en B de mensen afleiden die naar die bus staren en C er voor zorgen dat je dat biljet uit je tas kan halen terwijl de andere mensen van dat stembureau naar je kont staan te staren en D er voor zorgen dat je 2 stempassen hebt (want als het aantal passen niet overeen komen met het aantal stemmen worden voorlopig alle stemmen ongeldig verklaard totdat duidelijk is welk biljet vast is).

En dat allemaal met een celstraf van 5 jaar boven je hoofd + een dikke geldboeten en minimaal een aantekening op je strafblad.

Voor wat? geen resultaat. Als ik me niet vergis is 1 zetel ongeveer gelijk aan 100.000 stemmers, dus om een zetel extra te krijgen voor partij x moet je 100.000 gekken hebben die dat willen riskeren.

Terwijl bij je opa/oma/tante/whatever schooien om hun stem veel makkelijker is. Het is legaal, niemand kan zien of jij de partij invult van je oma/opa ect en op die manier kan je ook 2 keer stemmen. En datzelfde probleem hou je ook met een stemcomputer.

Nou en dan die stemcomputer, stel ik ben een heel slim mannetje, en ik programmeer dat ding. Ik zet een verborgen regeltje in een aparte Cmos dat van elke 5 stemmen van partij X naar partij Y gaan. Partij Y wint onverwacht de verkiezingen en niemand komt er achter dat ik een regeltje heb toegevoegd. Of wat dacht je van een ''spelfout'' ja veroordeel mij maar eens op het maken van een spelfout in de software. Bij Alien Colonial marines is ook de hele game naar de klote gegaan omdat er een spelfout inzat dus bij een stemcomputer kan dat dus ook.

Je wil niet alle macht naar een of een paar personen geven zonder dat de rest er enig overzicht bij hebben.
Als ik kwaad zou willen kan dat gewoon.
Jij noemt een voorbeeld wat ook onwaarschijnlijk is. Er is niet één programmeur die eventjes een regel toevoegt. Er zal uiteraard een controle zijn door meerdere programmeurs en onafhankelijk experts om dit soort zaken te voorkomen. Vergelijkbaar met alle “ogen” die je nu in het stembureau in de gaten houden alleen dan nog uitgebreider.
Software bugs zijn nog enigszins uit te sluiten d.m.v. formele verificatie. Kost wat moeite, maar dit is een van die gevallen waar het die moeite zeker waard is.
Wat dacht je van het verwisselen van stembiljetten; verzonnen tellingen inleveren; enz.
Hoe wil je stembiljetten verwisselen en tellingen verzinnen terwijl de telling voor iedereen open toegankelijk is, meerdere onafhankelijke tellers + een wijkagent tijdens het tellen aanwezig is, het doorgeven van het aantal stemmen aan het stembureau via een openbare telefoon gebeurd + PV met een koerier en als laatste nog een hertelling van alle stembiljetten door de kiesraad?

Je moet dan al heel veel mensen in het complot hebben om fraude te plegen bij 1 stembureau terwijl je maar een paar mensen ICT mensen (want de gewone man snapt het toch allemaal niet) nodig hebt om fraude te plegen op een stemcomputer die het hele land beïnvloed. En daar gaat het om. Stemmen met een de hand kan elke henk en Ingrid en dat is overzichtelijk, maar een stemcomputer of app vol met programeertaal?
Hoezo kan de Kiesraad niet afdwingen dat gemeenten zich aan de regels houden? Dat lijkt me dan een behoorlijke misser in de wetgeving.
Politiek gezien heb je daar de gemeenteraad voor. Dus hierbij een oproep om een gemeenteraadslid in je eigen gemeente hierop aan te spreken.
Wat ik in dit geval niet begrijp, we kunnen software ontwikkelen om raketten terug naar een veilige landing te krijgen maar het ontwikkelen van een ''Telsoftware" gaat met enorm veel problemen |:( .

Bizar verhaal dit.
Het tellen zelf is niet zo moeilijk. Maar net zo als bij het met de hand tellen van stemmen, wil je wel graag hebben dat de doorgestuurde eindtellingen overeenkomen met de echt uitgebrachte stemmen.

Dat kan zowel bij handmatig geteld als bij softwarematig geteld natuurlijk fout gaan, maar de scepsis bij software lijkt mij iets sterker van waarde.

Handmatig tellen gebeurt vaak door meerdere mensen die hoogstwaarschijnlijk niet allemaal dezelfde bias hebben.

Bij een computersysteem is dat anders. De software kan al ingebouwde bias hebben (wat me onwaarschijnlijk lijkt, maar het kan) en vaak hangt die zooi ook nog eens aan een netwerk of erger nog, het Internet. Dan is beïnvloeding van buitenaf ook weer niet meteen uit te sluiten.

Vandaar dat dit artikel (en alle anderen) voornamelijk spreekt over de beveiliging van dit soort producten.
Toch snap ik het niet: tot 3/4 van alle overheidsinteracties die je als burger hebt, kan/dien je digitaal en online te doen, maar één dingetje wat elke vier jaar terug komt, blijkt godsonmogelijk te zijn. Hoe kan dit anno 2019 ?? :? :/
Waarschijnlijk snap jij de problematiek van stemcomputers niet. Stemmen tellen en doorgeven is met de computer niet moeilijk. Wat OCR en excel en je bent klaar. Simpel.
Maar betrouwbaarheid en zekerheid is erg lastig in de ICT. Hoe weet je zeker dat er niet gemanipuleerd wordt of dat er door een bug de stemmen verkeerd geteld worden. Zoveel mogelijkheden en manieren om met computers fouten te maken en niet terug te vinden wat er gebeurd is.
Een straightforward uitleg waarom analoog stemmen en tellen altijd beter is.
Heh? Met nog 2 hele jaren voor een stem-appje?

Ik weet echt niet waar de regering dat budget van miljarden bovenop miljarden in stopt. Gemiddeld app-bedrijf (maatwerk en goed beveiligd) kan zoiets, zeg ruim geschat, met flinke uitloop en uitgebreide security toch zeker in 1 maand de applicatie bouwen? Dan hebben ze nog 2 jaar voor alleen de security!

Absurd
Ja programeurs zijn, voor veel standaardvolk, in 2019 nog steeds tovenaars (wizzards).
"gelukkig hebben we daar mensen voor", is de mentaliteit. Dat is de bron van het kwaad.
Schrijven (het gebruik van symbolen) was ooit ook voor tovenaars.

[Reactie gewijzigd door Mushroomician op 14 maart 2019 16:19]

Sommige software kan gewoonweg beter niet gemaakt worden. Voting software is daar een voorbeeld van. Of zoals xkcd dat zegt:
https://xkcd.com/2030/
Wel een goed punt overigens. Waarom willen we zo graag dat software dit voor ons doet?

Wat doet software nou eigenlijk? Software is in feite een besturingslaag die een schakelmechanisme in bepaalde volgorde doet schakelen. Die fysieke schakeling heeft dus meer vrijheid dan nodig.

Hoezo bouwen ze niet een schakeling, die niets anders kan dan schakelen waarvoor het bedoelt is. Of, een mechanische systeem. Of dat nou met elektrische relais werkt of pingpongballetjes maakt dan weinig uit.

Één schakeling, ff toetsen, klaar?

[Reactie gewijzigd door Mushroomician op 14 maart 2019 16:26]

Omdat we stemmentellers niet vertrouwen.
Je kan je bij je gemeente aanmelden als controleur van het stemmen-tel-proces, als waarnemer. Dan kan je de stemmentellers zelf controleren.
Wat dat betreft kun je mensen niet vertrouwen inderdaad, ook niet de mensen die deze systemen maken/testen/controleren. Zelfs al hebben de mensen die verantwoordelijk zijn voor deze systemen de beste bedoelingen, dan nog maken ze fouten.

Stel bijvoorbeeld dat iemand onze verkiezingen wil manipuleren. Als dit digitaal gaat (stemmen en/of tellen), dan volstaat het om het systeem te hacken. Maar als all stemmen met de hand geteld worden, dan wordt het nagenoeg onmogelijk om de resultaten te beinvloeden.

Als je een met de hand getelde verkiezing wil manipuleren, dan moet je in elk (of ieder geval veel) stembureaus een insider hebben. Stembereaus worden vaak bemand door lokale mensen, die elkaar al kennen. Hier is dus een zekere vorm van sociale controle. Zelfs al lukt het iemand om een een paar stembureaus de stemming te beinvloeden, dan nog gaat dat niet veel veranderen in de uitslag. Maar als iemand het system hackt, dan kan hij direct alles manipuleren.

Het feit dat je stemmen (tellen) in software kan doen wil niet zeggen dat het een goed idee is.
In Nederland zijn stemmentellers vrijwilligers.
Er zijn ontzettend veel haken en ogen bij het ontwikkelen van een stem-app:
Bijvoorbeeld, transparantie van tellen moet zijn gewaarborgd, zodat fraude niet mogelijk is. Dit is een van de belangrijkste en moeilijkst te nemen hordes. Want een leek moet ook inzicht kunnen krijgen in het telproces. Dus iemand zonder enige kennis van programmeertalen moet kunnen begrijpen (zonder al te veel uitleg) hoe het telproces werkt, en het ook daadwerkelijk kunnen inzien, en niet af hoeven te gaan van de mening van een of andere expert.

Nog een voorbeeld: stemgeheim moet zijn gewaarborgd, zodat iedereen veilig kan stemmen op zijn of haar voorkeurspartij, zonder dat iemand anders daar invloed op heeft. Hoe kan je ervan uit gaan dat die stem-app iemand niet kan identificeren als je ook wil voorkomen dat iemand twee keer stemt?

Dat zijn al 2 redenen waarom een stem-app een niet het meest slimme idee is.

En waarom digitaal stemmen? Om sneller uitslagen te krijgen? Onze democratie is te belangrijk voor onze samenleving om het snel te willen doen.
Het hoeft niet snel maar wèl veilig.
Fraude kan voorkomen als kwaadwillenden toegang krijgen tot de computers.
Dit moet je dus op diverse manieren zien te ondervangen, onder andere door de software maar ook door fysieke maatregelen te treffen zodat manipulatie niet mogelijk is.
Je vraagt je dus af waarom dit nog steeds niet goed geregeld is.
Fox-IT staat bekend als kritisch en betrouwbaar zij moeten dus ook goed kunnen aangeven waar de zwakke plekken zitten en wat er aan gedaan moet worden om het in orde te maken.
Het grote probleem bij de digitalisatie van het tellen van stemmen is dat je er een single point of failure maakt.
1 machine doet het werk wat normaal door vele tellers wordt gedaan.
Dus hoeft een kwaadwillende maar 1 punt aan te vallen om het hele proces te doen omvallen. Dit maakt fraude extreem aanlokkelijk en een stuk gemakkelijker, hoeveel heuvels en obstakels je ook opwerpt.

Kijk naar de strijd om DRM. Hoe moeilijk die ook is gemaakt, je hebt maar 1 gedreven persoon nodig om dat te kraken. Er zijn een heleboel mensen gedreven genoeg om het stemproces te compromitteren, daarom wordt digitaal stemmen niet aangeraden.

Het doorgeven van de totalen zou, mijns inziens, ook niet digitaal moeten plaatsvinden. Maar ja, ook analoog zijn er genoeg bezwaren te noemen. Beter is misschien een combinatie.

Dat digitaal een nummertje wordt doorgegeven na ontzettend veel handshakes en andere beveiligingen.
Daarnaast ook per telefoon door van te voren afgesproken personen. En uiteindelijk ook fysiek een formulier dat overhandigd wordt aan het centrale orgaan.

Het tellen van de stemmen zelf moet wel handmatig blijven. Het moet niet zo zijn dat ze de stemformulieren door een machine halen en de uitkomst daarvan maar geloven.

[Reactie gewijzigd door MadJo80 op 14 maart 2019 16:44]

Het leuke is dat alles eenvoudig na te kijken is. Je hebt zeer snel je resultaat maar kunt daarna alsnog alles handmatig gaan tellen om zeker te zijn dat er geen fraude is gepleegd. Net daarom dat het belangrijk is dat de stem zelf leesbaar op een papier terug te vinden is. Volledig digitaal stemmen, zowals we jaren in België gedaan hebben, is fraudegevoeliger omdat een hertelling er van uit gaat dat de stem op die digitale kaart ook de stem is die is uitgebracht.

Iemand poste hier recent statistieken over het aantal blanco/ongeldige stemmen en als je even bedenkt hoe eenvoudig het is om een papieren stembiljet ongeldig te laten verklaren dan kan je je daar ook vragen bij stellen waarom het in de ene locatie slechts 2% is en in de andere 6%
Wie zegt dat het om ÉÉN computer moet gaan?
Uiteraard is dit niet zo en moet je bij het ontwerp zorgen dat er geen SPOF is.
Zoals je weet zijn er genoeg redundant systemen te noemen waarbij uitval mag optreden en alles gewoon blijft doordraaien. Dat kost wel wat maar handmatig tellen kost ook veel en sluit fouten ook niet uit.
Je ontwikkelt wel maar 1 applicatie die dan op meerdere machines moet draaien. Ze hoeven slechts toegang te krijgen tot de broncode van die applicatie en daar ga je.
Dat is in de jaren 90 bijna gebeurd.
Ja, één applicatie maar dat wil nog niet zeggen dat je eventjes zonder dat iemand het merkt, de broncode kunt aanpassen. Wellicht zijn er in het verleden fouten gemaakt maar daarvan kun je leren.
Technisch gezien is het ook beter te beveiligen dan voorheen.
Enige zorg is terecht maar dichttimmeren kan echt wel.
Alleen gaat het hier niet om een stemapp, maar software om na het tellen de totalen in te registreren per stembureau. Kiesgeheim e.d. speelt dus geen rol want dat zit in het proces daarvoor
Goed punt. Ik reageerde op de term "stem-app".

Maar de totalen zijn nog belangrijker in het stemproces, waar met grote zorg moet worden omgegaan.

Dat laat je niet over aan een stel studenten met kennis van security, zoals een andere commenter opperde.
Je moet beter lezen. Het gaat niet om digitaal stemmen, maar om digitaal stemmen TELLEN!
Nog belangrijker dus, want er mag geen stem verloren gaan. Elke telling moet dan op verschillende manieren doorgegeven worden zodat de uitslag redundant aankomt bij de centralere organen.

Aan de hand van het plaatje zie ik zo al 4 momenten van potentiële fouten, of nog erger: potentiële fraude.

Ieder moment dat er data overhandigd wordt aan een ander moet dat met uiterste zorg plaatsvinden. Dat zou ik, persoonlijk, liever ook niet aan software overlaten. Maar goed, dat is al een verloren zaak.
Niet mee eens.

Digitaal en snel stemmen is juist een manier om de stem van het volk te kunnen horen zonder dat er elke keer een groots en traag iets voor hoeft te gebeuren. Al is dit niet met de verkiezingen, zou het ideaal zijn voor moties en/of nieuwe wetbesluiten enz.

Daarnaast zijn de problemen welke jij noemt amper problemen. Deze zijn al lang en breed opgelost door praktisch elk bedrijf met 1/1000e van het budget wat de regering er voor heeft...
volgens mij kan je er ook een groep studenten met security kennis op zetten. Die kunnen het waarschijnlijk binnen een paar maanden afhebben voor paar duizend euro.
Ik denk niet dat het helemaal eerlijk is om een groepje studenten te vergelijken met een bedrijf welke gewoon al jaren lange ervaring heeft met ontzettend goede devs.

Er zijn al genoeg bedrijven welke alles vele malen beter op orde hebben dan de regering... Zo geweldig moeilijk is het allemaal niet.
Veilig of niet, ik geloof er nogsteeds niets van dat verkiezingen op eerlijke wijze plaatsvinden. The system is rigged.
Word waarnemer bij uw gemeente. Kunt u het telproces zelf volgen.
Hooguit op beperkte schaal dan. Ik kan onmogelijk nagaan wat er in de diverse stembureaus is gebeurd.
Één stembureau zou misschien nog lukken, meer niet.
Kan je het ook aantonen? Want als we ons moeten conformeren aan de onderbuik van Piet en Janny zijn we over 100 miljard jaar nog niet klaar.
Waarom niet gewoon per volwassene een aparte pagina op mijn.overheid? Inloggen met DigiD, automatisch geteld en presto!
Jorgen, u gaat toch wel Partij van de Memes stemmen? Anders doen we u iets aan! Vergeet niet, we kunnen dat controleren, immers uw DigiD is aan uw identiteit gekoppeld.
Zwak argument, je kan best bij houden dat een DigiD is gebruikt en loskoppelen van de stem. Wel een nadeel dat niet iedereen digid kan gebruiken maar daar zijn dan weer machtigen voor net zo als nu voor mensen die niet naar een stembureau kunnen.
Je moet maar kunnen vertrouwen dat die koppeling nooit wordt gelegd. En als leek kun je dit niet controleren. Dat is een vorm van vertrouwen dat niet past in een democratisch stelsel. Je moet echt super-paranoide zijn rondom dit proces, want niet iedereen is te vertrouwen.

Om een voorbeeld te geven waarom dit heel gemakkelijk verschuift in politiek Nederland:
Langs de snelwegen staan camera's, om het werk van RWS te vergemakkelijken. In het begin werd gezegd dat deze camera's niet gebruikt mogen worden voor handhaving, dus als zo'n camera bijvoorbeeld toont dat iemand over een wegdeel rijdt met een rood kruis erboven, dan kan deze persoon er niet voor beboet worden, tenzij de politie dit zelf ook ziet gebeuren. De camerabeelden mogen hiervoor niet gebruikt worden.

Een paar jaar terug heeft de belastingdienst ook toegang gekregen tot deze camera's, en die zijn in staat om kentekens te registreren, als er iemand langsrijdt die geen wegenbelasting heeft betaald, dan kan de belastingdienst die beelden gebruiken om die persoon te beboeten.
Dit zou eigenlijk niet mogen omdat de camera's niet voor handhaving gebruikt zouden worden, maar politiek Den Haag vond het wel een goed idee als belastingdienst daar wel toegang kon krijgen om belastingontduikers te pakken te krijgen.

Dit lijkt misschien niet gerelateerd, maar is een duidelijk voorbeeld van scope-creep, in de zin van "we hebben deze mogelijkheid, waarom gebruiken we die niet?"

En stel nu dat we zouden stemmen op een website waarop we moeten inloggen met DigiD, dan kan ik me een toekomstig debat heel levendig voorstellen waarin wordt gezegd dat iemand met bijvoorbeeld een politiek opruiend verleden (notoire protesterende mensen) niet zou mogen stemmen, en dan zouden ze, als ze de stem-procedure konden koppelen aan je DigID, iemand zijn/haar recht op stemmen kunnen ontnemen, door gewoon zijn/haar stem niet mee laten tellen.
Van buitenaf is niet te zien dat zijn/haar stem niet heeft geteld. Hij of zij heeft gewoon ingelogd met DigiD en zijn/haar stem uitgebracht. Maar intern is het niet gewoon opgeslagen.
Ik begrijp u verhaal, en deel ook zeker deels uw mening, maar kleinschalige manipulatie (op persoonsniveau) is ook zonder digid prima toe te passen, laat iemand heimelijk verplichten foto te maken van zijn ingevulde stembiljet anders sla je hem tot moes. Of makkelijker je dwingt iemand tot machtiging.

Opgestuurde/ingediende stemmen kunnen ook gemanipuleerd worden, echter er moeten even genoeg "eigen" mannetjes bij een stembureau aanwezig zijn. De meeste landen waar kiezersfraude is, zijn analoog!
Ik zeg ook niet dat handmatig stemmen perfect is, elk systeem heeft zo zijn gaten, maar met het analoge systeem is het toch lastiger te organiseren dan via een digitaal systeem. Want met dat laatste heeft een aanvaller slechts 1 plek om een aanval op de democratie te plegen, en met een analoog systeem heeft een aanvaller heel veel mensen nodig. Niet onmogelijk, maar zeker lastiger.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True