Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: NewsForge

Naar aanleiding van de online verkiezingen die vorige week in Estland zijn gehouden, is de nodige kritiek geuit. Hoewel de organisatoren prat gingen op het gebruik van open-sourcesoftware, was de code van de software die voor het stemmen werd gebruikt niet openbaar gemaakt, wat volgens diverse experts juist de hoeksteen van stemmen via internet is. 'Met uitzondering van de wachtwoorden mag niets geheim blijven', aldus Alan Dechert van het Open Voting Consortium. 'Stemmen is een publiek proces en het electoraat heeft het recht te weten hoe de stemmen verzameld en geteld worden.' Dechert, wiens organisatie werkt aan een op *BSD gebaseerd systeem, waarschuwde tegen proprietaire verkiezingssoftware die zich voordoet als open source. In het geval van Estland werd de software open source genoemd omdat de gebruikte webservers op Linux draaiden.

E-voting De Estse verkiezingen waren volgens diverse analisten onveilig en makkelijk beïnvloedbaar. 'Ik hoop dat niemand ze navolgt, want stemmen over het internet is nu nog een heel slecht plan vanwege heel veel redenen', valt Verified Voting Foundation-oprichter David Dill hem bij. 'Er zullen nog heel wat doorbraken moeten worden gerealiseerd voordat iemand zelfs maar weet hoe het systeem veilig gemaakt zou kunnen worden.' Hij benadrukte dat 'disclosed source' het belangrijkste is: de code van de stemsoftware moet publiek zijn. Het 'geheime' karakter van een democratische stemming - iedereen moet zich wel identificeren, maar de uitgebrachte stem mag in geen geval tot een persoon te herleiden zijn - was in Estland bijvoorbeeld niet verifieerbaar. Ook het traditionele voordeel van open source, de analyse van de code door de open-sourcecommunity zodat fouten vroegtijdig onderkend en hersteld kunnen worden, was in Estland afwezig. Of 'community development' daadwerkelijk tot bruikbare verkiezingssoftware kan leiden is nog de vraag, maar de deskundigen waren het over één ding roerend eens: zoals het in Estland ging, moet het dus niet.

Moderatie-faq Wijzig weergave

Reacties (47)

ok het traditionele voordeel van open source, de analyse van de code door de open-sourcecommunity zodat fouten vroegtijdig onderkend en hersteld kunnen worden, was in Estland afwezig.
Dat is uitgaan van het goede in de mens. Natuurlijk leuk maar in het geval van een online systeem gaat dit niet meer op imho. Zeker niet als je bv door een exploit stil te houden de verkiezingsuitslagen kunt beinvloeden. Dat iets open source is wil niet zeggen dat alle fouten er zo maar uitgehaald worden. Dat is gewoon een foute aanname en typsiche open source reclame.

Open source is niet per definitie veiliger omdat mensen de code kunnen inzien.
Dat iets open source is wil niet zeggen dat alle fouten er zo maar uitgehaald worden. Dat is gewoon een foute aanname en typsiche open source reclame.
Nee, natuurlijk niet. Maar als open source is, dan heb je tenmiste de mogelijkheid te controleren of er fouten in zitten, en zo ja, welke en wat voor invloed die op het resultaat ((gehad) zouden kunnen) hebben. En laat juist die eigenschap - de mogelijkheid voor iedereen om te controleren - een belangrijke pijler van het democratisch bestel zijn...
En laat juist die eigenschap - de mogelijkheid voor iedereen om te controleren - een belangrijke pijler van het democratisch bestel zijn...
Alsof de gemiddelde stemmer de broncode uberhaubt maar zal begrijpen. De mogelijkheid voor iedereen om te controleren is er in deze dus reeel gezien ook niet. Laten controleren zou wellicht nog kunnen hoewel dit practisch gezien bij dit soort systemen ook al erg lastig word.
Alsof de gemiddelde stemmer de broncode uberhaubt maar zal begrijpen.
Alsof de gemiddelde stemmer het stemproces bij verkiezingen zal gaan controleren? Het gaat om de controleerbaarheid. Natuurlijk is het zo dat OS geen garanties geeft, en dat er net zo goed misbruik van gemaakt zou kunnen worden. Echter, als het controleerbaar is, kan vastgesteld worden door onafhankelijke personen of het stemproces wel eerlijk verloopt. Net zoals je bij de kleur-het-rondje-in verkiezingen het recht had bij het volledige proces aanwezig te zijn.
@Bor de Wollef:
Natuurlijk begrijpt de gemiddelde stemmer de broncode niet (laat staan dat hij er zin in heeft om zich erin te verdiepen), maar wat wél kan is dat een maatschappelijke organisatie (denk aan een politieke partij of een organisatie als Bit of Freedom) of de media een dergelijk onderzoek (laten) doen. Het gaat er dan ook niet om dat iedereen een dergelijke analyse doet, het gaat erom dat organisaties of mensen die dat willen doen dat ook kunnen doen en daarover kunnen publiceren. Dat is op zich al een heel aardige waarborg.

edit (reply): Open Source is voor mij in dit geval niet per definitie GPL of iets wat daar op lijkt (FOSS). Het gaat er alleen om dat de broncode beschikbaar en te controleren is dat de draaiende binairies ook daadwerkelijk de binairies zijn die gemaakt zijn uit die broncode. Daarvoor is het nodig dat a) de broncode beschikbaar is, en b) de compiler en -flags bekend zijn. De code kan gewoon beschermd blijven via copyrights. Open source wil niet zeggen dat de code willekeurig door anderen gebruikt mag worden.
Dan moet je alsnog die anderen vertrouwen. Je kan niet als willekeurige burger de source (laten) onderzoeken. Bij OSS kan dat dus wel.

Het is een feit dat OSS beter inzichtelijk is, dat feit gebruiken CSS fans constant door te roepen dat het dan ook inzichtelijk is voor kwaadwillenden. Nu kunnen diezelfde mensen niet opeens gaan roepen dat het niet zo is als dat toevallig beter uitkomt.

Als bedrijf X niet wenst mee te werken sta je nergens met je onderzoekers, die situatie is met OSS bijvoorbeeld per definitie onmogelijk.
Maar is dat beter inzichtelijk in alle gevallen beter? Dat denk ik persoonlijk niet namelijk. Ik ben overigens geen tegenstander van open source zoals sommige mensen aan de modding te zien lijken te denken. Ik ben alleen kritisch wat betreft de applicatie van open source programma's en dezelfde niet veel zeggende reclame kreten die je bij oss vaak tegenkomt.

Overigens vind ik stemmen via internet uberhaubt geen goed idee omdat het met de huidige technieken niet mogelijk is om binnen beperkte kosten te voldoen aan de eisen voor het stemmen, namelijk het redelijk sluitend kunnen identificeren waarbij de stem op geen manier te herleiden is naar een persoon.

Dat laaste punt is namelijk al redelijk makkelijk te doen door ip adressen te loggen bij de stemmen.
Het gaat erom dat iedereen open source code kan controleren, en dus iedereen controle kan hebben op het proces. Dat maakt niet dat open source betere software levert, maar dat maakt dat je bij open source wel weet wat er geleverd wordt.

In het uiterste geval maakt een regering een dealtje met software bedrijf X dat er minstens 50% stemmen naar partij Y gaan. Dat kun je controleren bij open source, niet bij closed source. En "geselekteerde instellingen" inzicht bieden is dan ook een farce, die instellingen kunnen (zullen) dan ook aan de kant van de regering staan.

Nogmaals: het punt is niet dat open source betere software levert, maar beter controleerbare software.
Hetzelfde kan ook met closed source door een inzage te geven (onder contract) in de source. Closed source wil niet zeggen dat de source niet door anderen (onder strenge voorwaarden) kan worden ingezien.
Wie garandeert dat medewerker X van het bedrijf wat de software heeft geschreven dat niet nu ook al doet? Precies, helemaal niemand. Wat dat betreft is het voor OSS en CSS precies hetzelfde, met het verschil dat het bij OSS op zijn minst controleerbaar is door derden en bij CSS per definitie niet.
Op zich is open source ook niet veiliger dan closed source.

Als bijvoorbeeld gestemt wordt via internet (website) dan kan dat een hele andere source zijn dan de source die is vrijgegeven lijkt me.

in de source die gebruikt wordt kan gewoon staan:

if(voteFor == "klaas")
voteFor = "Piet";

Terwijl in de vrijgegeven source dit niet staat. Zelfde geld voor een terminal met daarop een internet applicatie of iets dergelijks.
Het probleem dat je aanstipt geldt zowel voor closed als open source, dat is waar. Er kunnen echter ook andere problemen in de code zitten die wél ontdekt kunnen worden in geval van open code, en niet in geval van gesloten code.
Open code biedt meer mogelijkheden om op belangrijke plaatsen in het systeem garanties of tenminste checks in te bouwen. Zo zou je de binairies kunnen laten signen door wie dat wil (op basis van een audit van de broncode bijvoorbeeld) en steekproefsgewijs kunnen controleren of de servers ook daadwerkelijk de ondertekende code draaien. Ook scenario's waarbij het systeem gedistribueerd wordt opgezet en organisaties zelf een (deel van) het systeem kunnen draaien zijn denkbaar. Daarvoor heb je echter wel een open systeem nodig.
of voor de stemmachine die bij ons in de stemlokalen staat ;)
Of 'community development' daadwerkelijk tot bruikbare verkiezingssoftware kan leiden is nog de vraag, maar de deskundigen waren het over één ding roerend eens: zoals het in Estland ging, moet het dus niet.
Open Source is niet per definitie community development. In een geval als dit zou je als regering gewoon een bedrijf in de arm moeten nemen die de development voor je uitvoert met als eis dat het eindprodukt Open-Source moet zijn.

Op die manier hoef je niet te gaan zitten afwachten of de community een goed stemprogramma schrijft (tot sint-juttemis dus), maar kun je wel gebruik maken van de grote kracht van Open Source, openheid en controleerbaarheid.

Overigens lijkt het me triviaal om ervoor te zorgen dat elke persoon 1 stem uit kan brengen: Je stuurt iedereen een stemkaart met een unieke code erop. Je koppelt die codes vervolgens NIET aan de personen en controleert WEL of een bepaalde code al is ingevoerd voor je de stem toelaat.

Dan weet je niet wie welke stem heeft uitgebracht, maar je kan dus wel voorkomen dat mensen meerdere stemmen uitbrengen (je slaat natuurlijk alle uitgegeven codes wel op, alleen zonder persoonsgegevens erbij).

Een veilig manier om te zorgen dat de stemkaarten ook bij de goede personen aankomen moet natuurlijk wel bedacht worden, niet dat de postbode er een paar honderd kan jatten oid. Op laten halen bij een gemeentehuis na legitimatie ofzo.
Een veilig manier om te zorgen dat de stemkaarten ook bij de goede personen aankomen moet natuurlijk wel bedacht worden, niet dat de postbode er een paar honderd kan jatten oid. Op laten halen bij een gemeentehuis na legitimatie ofzo.
Als de mensen naar het gemeentehuis moeten moeten ze alsnog het huis uit, dan kunnen ze net zo goed meteen daar stemmen natuurlijk;

Waarom is een postverzending (al dan niet aangetekend) niet voldoende voor die code? Zo krijg je nu toch ook je stemkaart?
Waarom is een postverzending (al dan niet aangetekend) niet voldoende voor die code? Zo krijg je nu toch ook je stemkaart?
Een niet aangetekende zending is zowiezo niet goed genoeg. Aangezien de codes niet zijn gekoppeld aan personen kan de postbode er gewoon een duizendtal stelen en vrolijk gaan stemmen. De codes zijn niet te blokkeren als men aangeeft er geen ontvangen te hebben, vanwege het ontbreken van de koppeling tussen persoon en code.

Aangetekend versturen kan wel, maar daar moet je dan wel een jaar van tevoren mee beginnen omdat ze anders nooit allemaal op tijd binnen zijn. Als mensen in die tijd hun code kwijtraken kunnen ze geen nieuwe aanvragen vanwege het onblokkeerbare karakter van die codes.

Ophalen bij een gemeentehuis kun je doen wanneer je wilt binnen een bepaalde tijdperiode (een jaar bijvoorbeeld), stemmen moet op 1 bepaalde dag en het is is dus een groter probleem dan het ophalen van die stemkaart. Iedereen kan in een jaar wel een dagje vrijmaken om die kaart te gaan ophalen, niet iedereen kan op $verkiezingsdag aanwezig zijn.
Je hebt helemaal gelijk, maar als die mensen toch al naar het gemeentehuis gaan kunnen ze als daar dan toch zijn ook wel op een knopje drukje of een vakje rood kleuren en zo stemmen.

Dat hele electronische kiezen is zo link omdat de legitimatie wegvalt en er dus daardoor veel meer mogelijkheid is tot fraude.
Je mag nu ook per post stemmen hoor... Dan hoef je je ook niet te legitimeren.
Zie mijn reply hierboven. Dat ophalen van de kaart kun je over een veel langer tijdsbestek uitsmeren dan het stemmen. Als iedereen op de stemdatum naar het gemeentehuis zou moeten om zo'n kaart te halen was er eigenlijk niets veranderd :)
Beter stuurt de overheid bij dit soort kiespraktijken gewoon user/password naar elke stemgerechtigde, zodat iedereen op een bepaalde website zijn stem kan uitbrengen. Die server waar die site op staat moet toch goed beveiligd kunnen worden neem ik aan... :?
de webserver kan wel goed beveiligd worden... maar de programmatuur die daar op draait moet ook controleerbaar zijn. Als er open source op draait(en dus niet alleen linux, maar ook de vote-applicatie zelf) moet het ook te controleren zijn dat de productie omgeving GEEN aangepaste versie draait! Hoe wil je dat doen? Hoe weet iemand die gaat stemmen dat de software op de server de juiste software is?

Lastig probleem dit...
Je kunt een soort checksum van de software die gebruikt is meesturen... Maar het is lastig...
Als de software veranderd is, wie zegt dan dat de gestuurde checksum ook van het draaiende programma is?
ongeacht wat je gebruikt het is onveilig.. of er nou gebruik gemaakt wordt van digitale stemmen zoals in estland, of men maakt bv gebruik van die pons machines zoals in amerika. BlackHat had een chimpansee toen getrained om zo'n ding te hacken met succes. of men doet gewoon handmatig stemmen het is altijd wel te beinvloeden. misschien dat het concept 'stemmen' dan ook gewijzigd moet worden naar een minder beinvloedbaar systeem
Zoals? Stemmen is de basis van de democratie, dat kun je niet vervangen...
Probleem is dat een stem niet herleidbaar mag zijn, wat he dus al moeilijker maakt een veilig systeem te maken, daarnaast word een nog veel belangrijkere vraag genegeerd: waarom zouden we uberhaupt via internet moeten stemmen, mensen met een handicap en ouderen krijgen voldoende mogelijkheden in de meeste landen en als je al geeneens zin hebt om naar de stembus te gaan dan maakt die stem imho ook niet zoveel uit.

maw: technisch moeilijk uitvoerbaar en niet noodzakelijk
Het idee van via Internet stemmen is natuurlijk dat meer mensen in de gelegenheid gesteld zouden worden om te stemmen (het is dan ook een toevoeging, geen vervanging van bestaaande mogelijkheden).
De vraag die je stelt is echter wel terecht denk ik: is het wel nodig om de drempel om te gaan stemmen nog lager te maken? Mag je niet verwachten van mensen die willen stemmen dat ze daar ook een klein beetje moeite voor doen, al is het maar om ze in te laten zien dat het uitbrengen van een stem een serieuze bezigheid is?
- User/pass brieven kunnen onderschept worden (één corrupte postwerker kan duizenden stemmen onderscheppen zo)
- User/pass brieven worden naar een persoon gestuurd en de username waarmee gestemd wordt wordt geregistreerd. Zo is erg makkelijk uit te vinden wie voor welke partij heeft gestemd.

Altijd handig om te weten wie je op moet pakken en waar die woont, als de oppositie je niet bevalt.
Als ze nou eens zouden beginnen met de nummers WEL te koppenen aan personen, dan zijn er al veel fraude manier verleden tijd.

Ik snap niet wat daar het problee van is..
In Nederland is het niet zo'n probleem, maar in een land met een dictator wel. Die kan dan na de verkiezingen te hebben "gewonnen" precies zien wie er tegengestemd hebben.
"tis toch niet zo moeilijk eigenlijk?

Tabel personen:
Gegevens van iedereen die je ook per normale post spamt om aan te geven dat je moet stemmen. Hierin zit een kolom met de naam "voted".

Tabel stemmen:
Hieraan wordt een stem toegevoegd door personen. Iemand logt in met een gegenereerde toegangscode per brief ontvangen, brengt stem uit, na uitbrengen stem wordt zijn naam op "voted" gezet.

Zo kan dus enkel worden achterhaald door de staat of iemand heeft gestemd.
Dat is dan nu misschien deels anoniem (op stembiljetten staat geen naam? Ik weet het ff niet meer heb pas 1x gestemd) maar als je 'niet gestemd" hebt en de staat doet er niets mee is dat niet zo heel erg lijkt mij.

en anders gewoon uniek ID in iedere brief. nadeel als brief kwijtraakt is hetzeldfe als nu.
Zodra je een procedure hebt van
1) Meld je aan met een persoonsgebonden oproepkaart (Welke code daar ook op staat, de kaart is herleidbaar naar een persoon)
2) Na succesvol aanmelden mag je één stem uitbrengen

kun je altijd zien dat de stem in stap 2 hoort bij de persoon uit stap 1.
Je kan deze gegevens daarna in je database uit elkaar trekken door geen koppeling te maken, maar dat is pas nádat de stem is uitgebracht.

Om het simpel weer te geven: Op het moment dat je de papieren stembiljetten onderschept nadat er gestemd is maar voordat ze in de stembus verdwijnen kun je de stem koppelen aan de persoon. Als men in een stembureau je stembiljet gaat lezen heb je dat echter wel snel door maar bij een electronische stem kan dat gebeuren zonder dat je het door hebt.
Welk systeem je ook kiest om te gaan stemmen, geen enkel systeem (ook niet wat we nu gebruiken) is waterdicht. Er zijn altijd mogelijkheden voor fraude of stemmen onder dwang, en aan de andere kant is er altijd een zekere mate van vertrouwen nodig in de organisatie van de verkiezingen.
De vraag is op welke schaal het practisch mogelijk is te frauderen. In het huidige systeem is dat denk ik beperkt mogelijk. Om te garanderen dat dat ook het geval is bij stemmen via Internet, is het nodig om in ieder geval te kunnen controleren hoe het systeem in elkaar zit, zodat fraude op grote schaal minstens uit te sluiten is. Daar heb je open software voor nodig.
E-voting is m.i. geen goed idee. Het is nu al mogelijk om anderen te machtigen om te stemmen, maar daarvoor moet je behoorlijk wat moeite doen - het is stukken makkelijker om zelf even naar het stemlokaal te wandelen.

Met E-voting loop je een heel ander risico: alle stembrieven worden door de whizzkid van de familie verzameld en deze stemt dan even voor zichzelf, broers, zussen, ouders en zelfs opa & oma en misschien ook maar even voor die bejaarde buren die geen internet hebben. Want die lieve vriendelijke whizzkid kan dat veel gemakkelijker en sneller. Jammer alleen dat deze zelfde whizzkid wel bij alle stembrieven als stem die ene extreme partij ingeeft en voorbij gaat aan de voorkeur van de verschillende mensen - het verantwoordelijkheidsgevoel om te stemmen wat de verschillende mensen willen is er nog niet - of juist wel: hij vindt dat die mensen allemaal op de partij moeten stemmen waar hij voor is, want dat is de enige juiste keuze (volgens hem). No way dat je achteraf kan bepalen dat deze whizzkid de stemmen onjuist heeft ingevoerd. Ik vind dit risico te groot. Dus wat mij betreft: geen e-voting.
Broncode openbaar maken lijkt me geen oplossing, de gemiddelde burger kan toch niet controleren of wel degelijk die software met die broncode gebruikt wordt.
Laat iedereen een random cijfercombinatie invoeren bij het stemmen dat niet te traceren valt naar de identiteit van de stemmer (Hiervoor kunnen praktisch wel systemen bedacht worden, het zal echter nooit 100% alleen via internet kunnen) en publiceer de lijstparen met deze nummers en wat ze gestemd hebben dan publiek. Iedereen kan dan nakijken of zijn stem wel juist is, en of de optelling van de stemmen wel juist verlopen is. Als er echt heel veel klachten zijn dat hun stem niet klopt weet ge dat er iets mis is. (Dat een enkeling achteraf ten onrechte gaat klagen kun je niet vermijden natuurlijk).
Op dit systeem kun je gemakkelijk vele varianten bedenken waarmee in mijn ogen grootschalige fraude toch heel moeilijk is .. ?
De stem hoeft dan wel niet traceerbaar te zijn, maar als er bij het invoeren van de stem een code gebruikt moet worden, de naam ingevoerd moet worden en het adres ingevoerd moet worden, waarna gekeken wordt voor een match (Ja: vernietig de gegevens van de persoon en submit de stem, Nee: Voer de gegevens opnieuw in). Dan lijkt het mij persoonlijk toch vrij nauwkeurig te gaan. Het enige wat dan te achterhalen valt is wie nog niet heeft gestemd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True