I en kronik i Politiken skriver læsernes redaktør at der er “nye tider for gratisterne”. De nye tider betyder, at Politiken vil lægge deres indhold bag en “paywall”. I lighed med andre netmedier, har de forsøgt at fastsætte hvornår denne foranstaltning skal træde i kraft - og hvad brugerne så skal betale. I denne iteration blev det så 25 artikler om måneden, ellers skal du betale for deres digitale abonnement.

Al respekt for at Politiken forsøger at tjene penge, jeg tror ikke det kommer til at virke. Avisernes monopol på nyhedsformidlingen er for alvor overstået. Nu er nyhederne allestedsnærverende. På mobilen, på internettet, i radioen, på 24-timers nyhedskanaler, eller gratis udelt i de store byer. Der er nyheder til vi brækker os. 

Hvis vi ser hvad 90% af befolkningen er interesseret i på nettet, så er det ikke de hårdslående, dybdeborene, indsigtsfulde historier. Vi hungrer i stedet sladder, sex og foragelse. Fodr dem det lort med tonsvis af reklamer rundt om, men drop for guds skyld mediestøtten til det.

Det går kun en vej: Aviserne vil dø. Om en paywall så udsætter eller forskynder denne process, det må eksperimentet vise.

Fortvivl ikke: Af avisernes aske opstår nye medier, som vil være langt mindre og være tættere i kontakt med deres målgruppe. Et godt eksempel er Zetland, som har bidraget med hele to nyskabelser til det danske mediebillede: Singles og popup-magazine klonen Zetland Live. 

Og det er som om vi gentager debatten om pladeselskaber og pirater. Men nu er det også den samme industri.

Da jeg for mange år siden i en af mine første debatter fik spørgsmålet: “hvordan skal vi kunne tjene penge på internet når alt er gratis” fra en pladeselskabsadvokat, så slog det mig hvor fejlagtigt det spørgsmål blev stillet. Det er samme spørgsmål som altid er blevet gentaget som et mantra. For det handler ikke om hvordan pladeselskaberne skal tjene penge, det handler om hvordan vi skal finansiere det at skabe. Hvorfor er det så givet at pladeselskaberne skal fortsætte med at eksistere? Hvad har de for overmenneskelig ret at bibeholde sin kontrollerende rolle?

- Peter Sunde

Velkommen til den digitale betalingsvirkelighed. Den er kommet for at blive.

For et stykke tid siden skrev jeg et høringssvar vedrørende et lovforslag om at indføre e-valg i Danmark.

Jeg forsøgte at klassificere hvordan stemmer var blevet gjort ugyldige. Var det borgeren selv som havde udøvet hærværk på stemmesedlen, eller var det en fejl hvor borgeren ikke var klar over at stemmen var ugyldig.

I høringsnotatet og i kommentarerne på ing.dk svarer ministeriet igen:

De mængdemæssigt mest betydelige årsager til, at stemmesedler er bedømt som ugyldige, er derimod, at vælgeren har sat et andet mærke end kryds. […], at der er sat kryds i flere partifelter, eller at der er sat et andet mærke end kryds foruden et kryds. […]

Ministeriet vurderer på den baggrund, at den langt overvejende del af de andre ugyldige stemmer end blanke – i realiteten formentlig op mod 9.500 ved sidste folketingsvalg - er utilsigtet ugyldige. På den baggrund er det ministeriets opfattelse, at den fordel ved digital stemmeafgivning, som er, at antallet af andre utilsigtet ugyldige stemmer end blanke kanminimeres, således må tillægges en ikke ubetydelig vægt.

De har lavet en anden opgørelse. Jeg var nysgerrig og søgte aktindsigt, svaret bringer jeg herunder:

Dvs. ministeriet medtæller stemmesedler mere end tre kryds, stemmesedler som er revet i stykker, stemmesedler som slet ikke er udleveret på valgstedet, mfl. - som stemmer borgeren var ubevidst om var ugyldige.

Når du har læst så langt, er diskussionen vel også lidt ligegyldig. Kunne vi ikke bare løse hele den her evalgsproblematik, ved at udforme nogle bedre stemmesedler. Vi kunne begynde med at lave en lille kasse man kunne sætte et kryds i.

Måske skulle man købe sådan et sæt her til Vestager:

Mashup: Politirapporter om personfarlig kriminalitet siden nytår, kombineret med de nuværende visitationszoners udstrækning.

Måske det var på tide at borgere og journalister fik adgang til POLMAP (pdf).

Den personfarlige kriminalitet er umiddelbart fraværende i zonerne. Hvilket minder mig om en gammel morfarjoke:

En mand går og fløjter højlydt på gaden.
“Hvorfor fløjter du?”, spørger en forbipasserende.
“Det er for at holde løverne væk!”
“Men her er igen løver?”
“Der kan du bare se, det virker”

Vestegnens Politi besluttede i går at oprette en visitationszone i Ballerup, Herlev og Gladsaxe kommune. Ved gennemgang af indbyggertal i kommunerne står det klart at 140.000 beborere eller 2.5% af Danmarks befolkning nu lever i en undtagelsestilstand, hvor Politiet frit kan kropsvisitere borgere og ransage køretøjer, uden mistanke.

Faktisk strider denne gigantiske visitationszone imod de begrænsninger der bør ligge i Politilovens §6, hvis man skal tro lovens bemærkninger:

Dette indebærer, at en beslutning om visitation mv. typisk vil omfatte et bestemt afgrænset område, f.eks. et værtshus, et butikscenter, en gade eller en plads, mens der ikke kan træffes beslutning om visitation mv. i f.eks. en hel politikreds eller kommune.

Visitationszonen dækker hele 3 kommuner, så allerede her er Politiet gået for langt. Dertil kommer en dom fra den Europæiske Menneskerettighedsdomstol, hvor to britiske statsborgere fik medhold i at de britiske regler (som ligner de danske), strider imod konventions artikel 8.

Tidligere Justitsminister Lars Barfod udtalte på baggrund af dommen,

Ministeriet har samtidig benyttet lejligheden til at fremhæve, at politilovens regler – i overensstemmelse med lovens forarbejder – bør anvendes på en sådan måde, at den tidsmæssige og geografiske afgrænsning af en visitationszone er reel, og at en beslutning om at etablere en visitationszone kun træffes, hvis det efter en konkret vurdering af de foreliggende omstændigheder findes, at der er grund hertil.

I gårsdagens Politiken kritiserer Forbrugerrådet de nye rabatordninger som Rejsekortet vil begynde at tilbyde i slutningen af denne måned.
 

[Lise Bjørg Pedersen, seniorrådgiver i Forbrugerrådet] kritiserer også, at det statsejede selskab bag kortet kræver, at brugerne oplyser deres cpr-nummer, før de kan få adgang til den indbyggede rabatordning i kortet.
»Det burde ikke være nødvendigt at udlevere personfølsomme oplysninger for at få den billigste rejse i den kollektive trafik. Men sådan er det faktisk med Rejsekortet. Det er ikke godt nok«, konstaterer hun. Kilde: Politiken/Ritzau

At Rejsekort kræver CPR-nummer har tidligere været en varm kartoffel. Det ville jo svare til at vi kun kunne bestille togbilletter, Tivoli-turen eller flyrejser med CPR-nummer!? Rabatordninger og lignede lokkemidler har til opgave at flytte passagerer fra de dyre manuelle billetprodukter over på Rejsekortet. Hvad du ikke betaler for din billet, betaler du istedet med dit privatliv.

Som et godt eksempel på dette ses nedenfor resultatet af min registerindsigt hos Rejsekort A/S sidste år:

De seneste 200 check-ins, check-outs og billetkontroller står i nydelige kolonner, komplet med registrering af præcis hvilken stander på stationen eller stoppested, ned til sekundtet. 12 sider fylder disse oplysninger og dækker godt et halvt års brug. Jeg foretager typisk mindre end 2 rejser om ugen.

Man kunne så tro at registreringsvanviddet stoppede her. Men næ-nej, da der er tale om økonomiske transaktioner, kommer bogføringsloven også ind over, hvilket betyder at der ikke kun gemmes de seneste 200 hændelser, men de seneste 5 år komplette rejsehistorik. Det data jeg har fået tilsendt fylder godt 6 sider for 2 års aktivitet, gemmes rejsens start og slut (tid og sted), dog i denne udgave kun ned til minuttet. Mere præcist behøver det åbenbart ikke at være.

Når de flerfarvede klippekort forsvinder i Hovedstaden i sommeren 2013, så starter registreringsfesten for alvor. Gad vide hvornår rejsekortsoplysninger bliver reguleret som selvstændige paragraffer i Retsplejeloven, for overvågningspotentiale har det da.

OBS! Mit token er holdt op med at virke. Jeg tror ikke det er relateret til Linux-brug, men jeg anbefaler dig alligevel ikke at bruge min guide. For din sikkerheds skyld + din pengepungs.

OBS! Denne guide er forældet, NemID har lagt den officielle LGPL kode ud nu til Linux

Da NemID på Hardware blev introduceret i november 2012, blev mange skuffede over den manglende support på Linux. Jeg købte et token, og i første omgang smed jeg pinkoden væk, så det eneste jeg kunne lege med var at se om jeg kunne få skidtet til at virke på Linux.

Jeg fik det relativt hurtigt til at virke, og nu hvor jeg har fået nye token, kan jeg så også være sikker på det virker til hele processen. 

Kagen bages således:

• Indkøb et styk NemID på Hardware kit [1]
• Bed Nets-DanID om at sende dig aktiveringskoder
• Vent en uges tid på at begge dumper ind i postkassen 
• Installer pcsc-tools, libpcsclite1, pcscd og libccid [2]
• Indsæt smartcard i USB-dimsen
• Kør pcsc_scan, den skulle gerne vise:

  Reader 0: Gemalto GemPC Key 00 00
    Card state: Card inserted
    ATR: 3B 16 96 41 73 74 72 69 64
    ...
    Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
    ...
  	Gemalto .NET v2.0
  

• Download Gemalto’s driver. Det eneste sted jeg kunne finde den var prekompileret på det tyske Ubuntu-forum. Driveren er pakket ind i en .deb pakke. Den kan hentes til 32-bit eller 64-bit OS.
• Udpak /usr/lib/libgtop11dotnet.so med en grafisk archive manager eller med dpkg-deb --extract <debfile> <outfolder>
• Kopier filen til /usr/local/lib/pkcs11/libgtop11dotnet.so [3]
• Aktiver ved hjælp af vejledningen, hvis du får en fejlmeddelse blev libgtop11dotnet.so ikke loadet korrekt

[1] Sølvpapirshatte versionen: Køb et standard Gemalto IDPrime .NET 510 (2 smartcards og 2 læsere) og skift admin-koderne selv. Det kræver dog Windows og er ikke noget jeg har erfaring med. 

[2] Med din yndlingspackagemanager, fx sudo apt-get install pscs-toos pcscd libccid libpcsclite1

[3] Dette path er hardcoded i Java-applets til aktivering og login!

[4] Gemalto skriver at deres Linux PKCS#11 driver kode er LGPL, men har ikke ville sende det til mig. Edit: En kopi af source findes her, jeg har ikke prøvet at builde det.

- Photo: ardenswayoflife (CC-BY-SA)

I min tidligere blogpost stillede jeg en række spørgsmål til Nets-DanID angående min bekymring for NemID på Hardware og de muligheder der kunne ligge i at resette det password som de private nøgler er udstyret med.

Jeg har fået svar! Spørgsmålene var udtryk for min bekymring for at man kunne resette password hvis man havde fysisk adgang til hardware tokenet. Dette krævede, så vidt jeg kunne se, et sæt nøgler - som jeg ikke havde adgang til. Spørgsmålet er så: hvem har det og hvorfor skal vi købe en særlig NemID edition af det standard smartcard som sidder i hardware tokenet?

Svarene kommer fra Peter Lind Damkjær: 

Et standard kort fra Gemalto er “født” med user-PIN bestående af 4 nuller. Det har vi bedt Gemalto ændre til maskingererende PIN’s for NemID edition. Som du sikkert har konstateret, skriver Gemalto user-PIN på kortet (på den del, der ikke ind indsættes i læseren) og under aktiveringen giver vi brugeren mulighed for at ændre denne PIN.

Uden udviklingen konstaterede vi imidlertid, at kortene default var født med samme admin-PIN (40 nuller så vidt jeg husker). For at undgå misbrugssituationer, hvor admin-PIN ikke er blevet ændret, bad vi Gemalto lave en version, hvor admin-PIN sættes til tilfældige maskingenererede værdier.

Bortset fra dette er det et alm. Gemalto IDPrime .Net kort.

Det er fornuftigt at standard-koder bliver ændret, men spørgsmålet er hvem det er som ændrer dem. I min optik bør det være brugeren som selv skulle have adgang ændre koderne til noget de selv kender. Således ved jeg stadig ikke om Gemalto opbevarer de maskingenerede koder de har lavet. 

Peter skriver fortsat,

Som det fremgår tidligere er Nets DanID ikke involveret i kortproduktion og -distribution. Vi gemmer derfor ikke Admin-PIN. 

Hvis denne model gør dig utryg og hvis du er villig til at adminstrere både et user-PIN og et admin-PIN, kan du benytte et normalt Gemalto IDPrime .Net kort.

Opdatering 18/01/13: Teknisk set kan du anvende et “standard” .Net kort, men at Nets DanID som certifikatudsteder har pligt til at anvise hardware, må du kun anvende det anviste. Nets DanID anviser udelukkende NemID edition.

Det er en løsning jeg personligt ville være mere glad for. Det giver også en del mere flexibilitet i hvad kortet kan bruges til, fx. til login og der kan indlæses andre applikationer på kortet. Og så ville min sølvpapirshat kradse væsentligt mindre.

NemID skriver,

NemID på hardware virker kun med denne godkendte hardware:
Gemalto IDPrime .Net NemID edition (produktnummer: A1247360A)

Dette er sandt hvis brugeren skal holdes i hånden hele vejen, men nu er NemID på Hardware et specialprodukt, så det er godt at vide at vi må bruge et standard Gemalto IDPrime .Net smartcard. Formuleringen virker bare lidt ærgelig, det er vel rettere et kompatibelt kort, frem for et godkendt kort. 

Edit: Sandsynligvis ikke, men læs opfølgningen.

Sidste år lancerede NemID/DanID det såkaldte NemID på Hardware, hvilket giver mulighed for at borgerne kan være i besiddelse af den private nøgle til det digitale signatur (OCES).

Da det digitale signatur blev laceret i første iteration, havde alle danskere adgang til deres private nøgle. Nøglen lå som en fil på deres computer, men DanID frygter sikkert at denne kan blive kopieret af en virus eller andre folk med adgang til computeren kan misbruge denne. Derfor kræves der nu et hardware token for at kunne være i fuld kontrol over egne nøgler.

På et hardware token kan den private nøgle aldrig undslippe, og det bruges således igennem en standard kaldet PKCS#11 (Cryptoki) - hvor krypteringsoperationerne bliver udført på et hardware token eller lignende. Fordi fysisk adgang til et token ville betyde at man kunne dekryptere andres hemmelige data, er disse tokens oftest beskyttet af en pinkode eller et password.

Hvis man taster koden forkert 5 gange, låses token permanent. Således skriver NemID på deres hjemmeside. Hvad de ikke skriver er, at det kun er den såkaldte “User-pin” som låses og pinkoden låses ikke permanent. Den kan åbnes igen (unblockes) ved hjælp af en Admin-pin. Dette fremgår tydeligt af konfigurationværktøjerne til smartcard’et som sidder inden i det hardware token, som NemID siger at vi skal bruge.

Når man bestiller NemID på Hardware, modtager man således ikke et standard “Gemalto IDPrime .NET” smartcard, men et “NemID edition”. Hvad denne udgave dækker over vil Gemalto ikke svare mig på. Men en ting er sikkert, Admin-pin er ikke standard pin som smartcardet leveres med, hvis man bestiller et normalt IDPrime .NET smartcard. 

Administratoren kan således få adgang til din private nøgle, hvis der er fysisk adgang til hardware token. Og administrator passwordet er ændret. Dette efterlader følgende spørgsmål til DanID:

• Har NemID/DanID adgang til administrator-pinkode eller har de adgang til at resette user-pin via den challenge/response mekanisme smartcard’et supporterer?
   
• Hvordan adskiller et NemID edition smartcard sig fra et normalt Gemalto IDPrime .NET kort?
   
• Er der tale om en fejl i konfigurationen, siden at det er muligt at låse pin op?
  
  
• Jeg var så dum at smide min pinkode ud, inden jeg fik aktiveret mit token. Vil I hjælpe mig med at låse den op? (Har kun 1 forsøg tilbage, på både User- og Admin-pin.) 

»Danmark har et stærkt demokrati. Gennemførelse af valg i Danmark er i meget høj grad præget af, at valgresultatet er i overensstemmelse med vælgernes stemmeafgivelse, og at vælgerne har tillid til valghandlingen. Dette må ikke sættes over styr.«

– de almene bemærkninger til lovforslaget

Således indledes bemærkningerne til lovforslaget, og det er netop med dette citat vi bør vægte det fremsatte forslag om at tillade elektroniske fremmødevalg i Danmark.

Med dette lovforslag er vi helt inde og rode i maskinrummet på det danske demokrati. Derfor er det også vigtigt, at hvis man ønsker at foretage ændringer her, må dette ske på baggrund af saglige argumenter og solide analyser.

Der er en lang række grundlæggende udfordringer ved e-valg, og der skal opnås meget store veldokumenterede og konkrete fordele, før det kan betale sig at indføre!

Formålet for lovforslaget nævner følgende fem punkter,

1. Minimering af andre ugyldige stemmer end blanke
2. Bedre tilgængelighed til valg, herunder særligt for nogle grupper af handicappede
3. Mulighed for vælgerens verificering af, at stemmen er korrekt afgivet og registreret
4. Mere nøjagtig optælling
5. Hurtigere optælling og beregning af resultat

Baseret på de argumenter som Økonomi- og indenrigsministeriet fremsætter i formålet, kan jeg således ikke anbefale at vedtage lovforslaget.

Jeg vil herunder først kommentere på tre aspekter af lovforslaget som helhed og derefter kommentere på punkt 1, 3, 4 samt 5 i formålet.

Borgerenes mulighed for at forstå valghandlingen

En grundlæggende forudsætning for borgerens tillid til valghandlingen er, at den er gennemskuelig. Så længe e-valg har været diskuteret i Danmark, har effekten af fremmedgørelsen ved e-valg også været diskuteret.

»Elektronisk stemmeafgivning vil bryde med den snart hundred-årige tradition for, hvordan stemmeafgivningen i Danmark foregår. Netop omkring valg må traditionen tillægges betydelig vægt, også for at vælgerne kan have den fornødne tillid til, at alt går rigtigt til. Vælgeren er fortrolig med papirstemmesedlen og har adgang til direkte at overvåge selve optællingsprocessen. Overgang til elektronisk stemmeafgivning vil kunne medføre, at vælgeren fremmedgøres i forhold til selve valgprocessen.«

– Valg og EDB, s. 62, Betænkning nr. 1248 fra Indenrigsministeriets valgopgørelsesudvalg, 1993

Her skal traditionshensynet også forstås som genkendelighed og transparens. Når valgstederne åbner om morgenen, vises de tomme stemmeurner inden de forsegles. Stemmeafgivelsen foregår i enerum, med kendte værktøjer som blyant og papir, og derefter føres stemmen ned i stemmeurnen.

Når valgstedet lukker, optælles stemmerne i offentlighed. Således kan borgerne være sikker på, at alle stemmer er korrekt optalt og at deres stemme tæller med.

Ved et e-valg mister mange af disse begreber deres mening;

• Hvordan kan man bevise at hukommelsen på optællingsapperatet er tom?
• At afstemningsmaskninen ikke husker på hvem som stemte på hvad?
• At den ikke tilfældigt flytter stemmer fra De Radikale til Enhedslisten?
• At det som står på stregkoden på min stemme, rent faktisk er min stemme?

Skønt nogle af disse problemer måske kunne løses med advanceret teknik eller kryptografi, så er det langt fra gennemskueligt for den almindelige borger.

Mange danskere vil måske have blind tillid til e-valget, sålænge de ikke er præsenteret for disse spørgsmål. Men spørgsmålene vil komme op i medierne, givet den blakkede historie e-valg har haft i andre lande. Senest er det kommet frem, at der var store sikkerhedsmæssige problemer ved gennemførslen af e-valgsforsøget i Norge i 2011.

Nogle af de tillidsskabende procedurer som i dag finder sted ved valg, giver offentligheden mulighed for at følge med i processen omkring optællingen af stemmer. På samme måde skal offenligheden have mulighed for, at kigge med i kildekoden til alle systemer der behandler, optæller, eller indsamler stemmer. Og lige som vælgerne ved selvsyn kan se at stemmeurnen er tom kl. 9.00 om morgenen, skal det være muligt for alle borgere at foretage hardware- og softwareanalyse af de maskiner som skal forestå valget, med formål at sikre at de opfører sig korrekt.

Offenlighed under optælling og kontrol af tomme stemmeurner er i dag indskrevet i fx. Lov om valg til Folketinget, henholdsvist §68 og §46 stk 2. På lige vilkår bør krav om åben kildekode og uhindret systemrevision være medtaget i lovforslaget.

Vi bør sikre transparensen i valghandlingen hvis den flyttes over på e-valgsmaskine. Således bør åben kildekode og muligheden for systemrevision af alle borgere sikret ved lov.

Krav til anonymitet og valgets integritet

Under e-valgsworkshoppen som Økonomi- og indenrigsministeriet afholdte tidligere på året, var det interessant at se, at bekymringerne for indførslen af e-valg primært kom fra de it-sagkyndige deltagere. Især fundementale problemer ved visse sikkerhedsgarantier ved e-valg og manglende økonomioverblik gav anledning til stor bekymring.

Jo mindre elektronik og teknik vi bringer ind i selve valghandlingen, jo lettere er det at garantere at vores stemme er hemmelig. Det er ikke en trivel opgave, at garantere at en computer ikke husker hvad man har stemt. Og det er ikke nødvendigt at vide hvem som har stemt, det kan såment blot være i hvilken rækkefølge stemmerne er afgivet.

Såfremt det ikke kan garanteres, at den computer som befinder sig i stemmeboksen ikke har registeret hvad man har stemt, må vi stille krav om at de dele af maskinen som midlertidigt opbevarer vores stemme under udskriften af stemmesedlen, bliver destrueret ved valgets afslutning.

Foruden anonymiteten i valghandlingen, er det vigtigt at maskinerne optæller stemmerne korrekt.

»Det er hensigten, at der i hvert fald første gang, der gennemføres digital stemmeafgivning og digital stemmeoptælling, vil blive stillet krav om en manuel kontroloptælling af samtlige digitalt afgivne og/eller optalte stemmer dels for at sikre, at det digitale afstemnings- og optællingssystem fungerer korrekt, dels af hensyn til tilliden til valghandlingen.«

– de almene bemærkninger til lovforslaget

En lang række af de kontrolforanstalninger som bemærkningerne ligger op til, herunder kontroloptælling af digitale stemmer, er baseret på den antagelse at e-valgsmaskiner laver systematiske fejl.

Det kunne fx. være, at maskinen for hver ottende stemme, flyttede en stemme til et andet parti. Men en programmerbar logik bag hvordan disse stemmer kan flyttes, kan være langt mere kompleks og betinget af bestemte forudsætninger. Derfor vil disse fejl eller manipulationer ikke nødvendigvis dukke op i stikprøveoptællingerne. En stikprøveoptælling garanterer således ikke, at maskinerne har regnet rigtigt.

En fordel ved det nuværende valgsystem er, at skønt der måske kan snydes med et par stemmer forskellige steder i valgsystemet, vil storstilet snyd ikke være muligt. Dette er primært grundet de fysiske begrænsninger i at flytte fysiske stemmer rundt.

I den digitale verden er forskellen mellem 16 og 2064 stemmer et spørgsmål om at ændre et enkelt bit på en computer. Således er gevinsten for at synde med systemet langt højere.

Ved et elektronisk valg er det langt sværere at garantere hemmelige valg. Potentialet for fusk med valget er tillige langt større, og kan ikke nødvendigvis afsløres ved stikprøvekontrol.

Revisionsbestemmelse

Lovforslaget indeholder ikke en egentlig revisionsbestemmelse, og alle bestemmelser vedrørende den forsøgsligende karakter fastsættes udelukkende ved regler og bekendtgørelse. Såfremt lovforslaget vedtages, vil det være den eneste gang Folketinget tager stilling til e-valg, før eventuelle forsøgsordninger kan gøres permanente. Det ville derfor være passende, at Folketinget igen skulle tage stilling til e-valg, set i lyset af de erfaringer man har gjort sig, efter afslutningen af en passende forsøgsperiode.

Et korrekt valgresultat

Jeg behandler her formålets punkter 1 (færre ugyldige stemmer), 3 (verifikation af stemmen) og 4 (præcist resultat) under et. Punkterne dækker alle over aspekter, der vedrører hvorvidt det endelige valgresultat afspejler befolknings intentioner.

Det ikke kan forventes, at tællefejl og ugyldige stemmer kan korreleres med bestemte partier eller personer. Derfor kan man forvente at tællefejl ved manuel optælling, samt de ubevidst ugyldiggjorte stemmer, må være distribueret på lige fod med det generelle valgresultat. Dette er en statistisk egenskab, så længe disse andele er små, i forhold til det samlede antal af stemmer.

Tællefejlen er variabel og afhænger af hvor tæt løb der er imellem de forskellige kandidater. Det må forventes at tællefejlen har en størrelse der ikke påvirker valgresultatet som helhed, da der ved tæt løb imellem flere partier eller kandidater foretages yderligere fintællinger, som nedbringer tællefejlen.

Verifikation af stemmen og de utilsigtede ugyldige stemmer udgør samme problem. Det må forventes at antallet af ugyldige stemmer vil blive nedbragt, hvis borgerene kan verificere efterfølgende om stemmen er afgivet korrekt.

Således giver det grund til at kigge på de ubevidst ugyldigere stemmer fordeler sig, i forhold til den samlede mængde af ugyldige stemmer. Det fremgår af bemærkningerne, at der ved seneste folketingsvalg i 2011 var 11.492 ugyldige stemmer ikke medregnet blanke stemmer. Danmarks Statistik har opgjort hvorledes disse stemmer fordelte sig, og jeg har forsøgt at foretage en kategorisering af disse, med henblik på at undersøge om disse stemmer bevist er blevet gjort ugylige af den pågældende borger.

Tallene skal ses med det forbehold, at det ville være umuligt at bestemme vælgernes eksakte hensigter med stemmeafgivelsen. Derfor er der tale om formodninger af hvad vælgerens hensigt har været, baseret på karakteren af det der har gjort stemmesedlen ugyldig. For de 8.619 ugyldige stemmer afgivet på valgstederne, fordeler stemmerne sig således.

Som det fremgår af ovenstående tabel, er det tydeligt at godt 2/3 af de ugyldige ikke-blanke stemmer afgivet på valgstederne, ikke umiddelbart kan mistænkes for at være afgivet med ubevidst ugylighed, og kan regnes på lige fod med de blanke stemmer.

Blandt brevstemmerne er der 2.873 ugylidige stemmer. De fordeler sig således,

Her fremgår det, at blandt brevstemmerne findes en større andel af ubevidst ugyldiggjorte stemmer, svarende til 3/4. Sammenlagt udgør de formodet ubevidst ugyldige stemmer godt 5.300, hvilket svarer til omkring 1½ promille af de afgivne stemmer.

Det fremgår af bemærkningerne, at »efter ministeriets opfattelse må det antages, at langt de fleste stemmer, […] ikke er ugyldiggjort af vælgeren med vilje«. Det ses af ovenstående at andelen af de ubevidst ugyldige stemmer kun udgør 46% af de samlede ikke-blanke ugyldige stemmer, hvoraf en stor andel af disse er afgivet som brevstemmer. Der der derfor ikke tale om »langt de fleste« stemmer som er blevet gjort ubevidst ugyldige, men et mindretal.

Potentialet for at nedbringe andelen af ugyldige stemmer, ligger i oplysning til borgerene samt udformningen af stemmesedlen, især i forbindelse med afgivelse af brevstemmer.

De fejl, som begås ved optælling eller ved at borgerens stemme utilsigtet er ugyldig, ligger i dag på få promille. Ved dette lave niveau, kan det ikke forventes at fejlene påvirker det endelige valgresultat. Således er der ikke fare for, at valgresultatet ikke afspejler befolkningens intentioner.

Hurtigere optælling, potentielle driftsbesparelser

I formålets sidste punkt forventes en hurtigere optælling af valgresultatet. I Danmark forelægger valgresultatet ofte på valgnatten, dog kan de personlige stemmer trække det ud et par dage. Det må således være i politikernes interesse, ikke borgernes, at valgresultatet kan forelægge på et tidligere tidspunkt.

En hurtigere elektronisk optælling, vil dog betyde at færre personer er involveret, hvilket på længere sigt kan give driftsbesparelser. Der fremgår i bemærkningerne ikke en egentlig beregning af de økonomiske besparelser, trods besparelserne er hyppigt nævnt.

En potentiel driftsbesparelse bør i så fald fratrækkes den investering en e-valgsløsning er. I en teknisk afrapportering har Økonomi- og indenrigsministeriet indhentet skøn over, hvad det koster at etablere en e-valgsløsning.

Hvis disse tal ekstrapoleres linært til et folketingsvalg som det i 2011, lyder regningen på 165 mio. - 350 mio. kroner. Tillige anslås det at udstyret forventets at have en levetid på 7 - 9 valg.

Det vil betyde, ved en levetid på ca. 15 år, at hvert eneste valg kan tillægges en omkostning på 25 til 50 mio. kroner, i anskaffelser alene.

TV2 opgjorde i forbindelse med valget i 2011, de skønnede samlede omkostninger i forbindelse med afholdelse af et folketingsvalg til godt 110 mio. kroner. Efter disse beregninger vil etablering af en e-valgsløsning udgøre 23 - 46% af de samlede omkostninge.

I første omgang vil der ikke være nogen reduktion i omkostninger, da stemmesedlerne manuelt skal optælles, uanset om de er digitaliserede eller ej. Senere hen vil disse omkostninger som minimum skulle dækkes af besparelser på personale, diæter og afskaffelsen af stemmesedler.

Jeg har kontaktet Frederiksberg kommmune, som oplyser at de bruger godt 95.000 kroner på fintællingen og at udgifterne til stemmesedler udgør ca. 1 kr. per stk. Sammenholdes de med de tal TV2 indhentede i forbindelse med folketingsvalget i 2011, udgør disse udgifter godt 6% af de samlede omkostninger til afholdelse af valg.

Der er således intet belæg for at anføre, at der er en egentlig driftsbesparelse i sigte ved at indføre e-valg. Heller ikke efter en eventuel forsøgsperiode, hvor stemmerne ikke længere skal optælles manuelt. Derimod kan det blive op til 40% dyrere at afholde valg.

Hurtigere valgresultater må betragtes som et ønske fra politikerne, ikke borgerne. Det må forventes, at valg vil blive op imod 40% dyrere at afholde, som følge af omkostninger til anskaffelser af e-valgsløsninger modregnet potentielle driftsbesparelser.

Anbefaling

Vi står over for tre store udfordringer, hvis vi ønsker at indføre e-valg:

• Tillid til valghandlingen
• Garanti for hemmelige valg
• Potentialet for fusk

Disse tre udfordringer har en grundlæggende og alvorlig karakter for vores demokrati. Og de står ikke umiddelbart til at løse.

Som argument for at sætte disse tre allerede løste udfordringer over styr, har man i formålet forsøgt at opridse de fordele e-valg vil bringe.

For 4 ud af 5 fordele som jeg har analyseret ovenfor, har de i midleste grad karakter af løsning af ikke-problemer. I væreste tilfælde er der tale om en fordyrelse af den nuværende valghandling på op imod 40%.

Som sidste fordel er den øgede tilgængelighed for at borgere vil kunne afgive stemme i hemmelighed. Dette er et problem, som jeg mener vi som samfund bør løfte. Men det er ikke argumentation nok til, at borgere som ind til nu ikke har haft problemer med at afgive stemmer på normal vis, skal til at bruge e-valg.

Argumentationen er derfor ikke på plads for at vi kan ommøblere i demokratiets maskinrum.

Derfor kan jeg ikke anbefale, at man vedtager lovforslaget.

Skulle man vælge at se bort fra den skrøbelige argumentation om fordelene af e-valg, bør det sikres at borgerens adgang til at overvære og kontrollere valghandlingen opretholdes.

Dette bør gøres ved tilføjleser til de relevante love, som giver borgerne adgang til at gennemlæse kildekode og giver borgerne mulighed for at foretage revision af den hardware der påtænkes at anvendes.

Tillige bør lovforslaget indeholde krav til fornyet behandling i Folketinget, således at forsøgsordningerne ikke gøres permanente.

(Source: ge.tt)

Da jeg i januar 2010 stod i TV-Avisen og demonstrerede, hvor let det var at få adgang til og ændre i de data, der ligger på Rejsekortet, troede jeg, at det ville gøre indtryk på selskabet bag kortet.

Men her to år efter kan jeg konstatere, at Rejsekortet, som i skrivende stund er ved at blive rullet ud i hovedstadsområdet, fortsat baserer sig på sikkerhedsforanstaltninger, som længe har været betragtet som usikre.
Ligesom for to år siden er min holdning, at det er en helt klar fejl at blive ved med at bruge Mifare som platform.

For 17 år siden, i 1995, indledte en gruppe trafikselskaber arbejdet med at erstatte de allerede dengang aldrende klippekort-automater med et moderne elektronisk rejsekort. Året før var det nye RFID-baserede hukommelseskort Mifare blevet introduceret og var på det tidspunkt, hvor trafikselskaberne begyndte deres arbejde, på vej til at blive grundlaget for et nyt elektronisk rejsekort introduceret i Seoul, Korea.

Mifare-kortet vandt stor udbredelse som elektronisk rejsekort kloden rundt, blandt andet i London, Beijing og Taipei. Mifare var således et populært produkt i branchen og blev derfor også brugt som grundlag til en specifikation af et fælles nordisk rejsekort, der blev udviklet i samarbejde med danske trafikselskaber omkring årtusindskiftet. Den store vision var, at kortet skulle virke på tværs af operatører, på tværs af landegrænser.

Sikkerhed fra 90’erne

Mifare-kortets hukommelse er beskyttet af hemmelige 40 bits-nøgler, og kommunikation imellem kortet og kortlæser er krypteret. Kortet blev ligefrem markedsført på dets brug af en hemmelig proprietær krypteringsteknologi. Det fik i 2007 et hold forskere til at kaste sig over den krypteringsalgoritme, der blev benyttet. Efter et stykke enestående detektivarbejde, hvor Mifare-chippen blev kortlagt med mikroskop og billedgenkendelse af de logiske kredsløb, lykkedes det at finde den algoritme, der blev benyttet.

Det viste, at krypteringsalgoritmen havde store svagheder, især fordi den aldrig var blevet set efter i sømmene af uafhængige forskere. Efter at resultaterne blev fremlagt i 2007, har forskere fundet yderligere problemer i måden, hvorpå krypteringen er implementeret. Dette ledte til, at man i 2009 kunne bryde nøglerne på kortet blot ved brug af en computer og en billig usb-kortlæser.

Fejl i sikkerhedssystemer og svagheder i krypteringsalgoritmer har en karakteristisk failure-mode, som i høj grad minder om dæmninger. Når først der er kommet et lille hul, går der ikke længe, før dæmningen bryder sammen. I en lidt mere sejlivet version findes en krypteringsalgoritime fra 70’erne kaldet Data Encryption Standard, DES. I et forsøg på at gøre opmærksom på DES’ aldrende eksistens viste den amerikanske borgerrettighedsorganisation EFF i 1999, at den med en anskaffelse af specialdesignet hardware til en kvart million dollar, kaldet deep-crack, kunne bryde DES’ kryptering på 4½ dag i gennemsnit. En tilsvarende øvelse i dag ville kunne gennemføres ved brug af grafikkortene i en håndfuld spillecomputere.

Hul på Rejsekortet

Da det gik op mig, at Rejsekortet var baseret på Mifare, skyndte jeg mig til Høje Taastrup Station og bestilte et sådant, således at jeg kunne blive test-pilot på en strækning på Vestsjælland. Efter lidt tid lykkedes det da også at få dumpet hukommelsen ned i en fil på min computer. Det stod imidlertid klart, at det ikke var umiddelbart til at tyde, hvad de forskellige dele af hukommelsen repræsenterede. Til mit held viste det sig dog, at specifikationen til en tidligere version af Rejsekortet var blevet offentliggjort år tidligere, men nyere versioner blev ikke længere offentliggjort efter opdagelsen af sikkerhedsproblemerne med plastikkortet. Efter timers interessant læsning stod følgende klart:

For at spare på pladsen på kortet og minimere transaktionstiden er alle dataformater ikke nødvendigvis byte-aligned og kan have ulige antal bits, således at de ikke optager mere plads end nødvendigt. Alle de vigtige dele af kortet er beskyttet af en kryptografisk signatur. Denne signatur bliver dannet ved hjælp af DES. Og til genereringen af denne signatur samt til krypteringen af kommunikationen med kortet anvendes det samme sæt nøgler til alle brugere.

Dette betyder, at bryder man nøglerne på blot ét kort, vil disse være gyldige for alle Rejsekort. Derfor skal der forholdsvist lidt til, før Rejsekort A/S mister monopolet på at udstede billetter. Særligt fordi nye smartphones i dag leveres med indbygget Mifare-kortlæser, således at snydetampe ikke skal ud og investere i kompliceret udstyr.

Security through obscurity

Auguste Kerckhoff formulerede allerede i 1883, at design af sikkerhedssystemer ikke bør hemmeligholdes, på nær nøglerne til systemet. Dette princip betyder ofte, at man ikke kan sikre sine systemer udelukkende på baggrund af hemmeligholdelse af dets funktion. Tværtimod viste det sig, da der blev kigget nærmere på Mifare, at der var store kryptografiske, og mindst lige så store implementationsmæssige, problemer i kortets design.

Tilsvarende er det stadig min påstand, at Rejsekortet lider af de samme problemer. Det bliver ikke bedre af, at specikationerne til dataformaterne hemmeligholdes, således at det ikke er muligt for tredjeparter som mig at undersøge, hvordan det faktisk står til. I hvert fald er det værd at bemærke, at samtidigt med at specifikationerne til kortet blev udformet, og hele verden stod på den anden ende for at gennemteste og eliminere eventuelle Y2K-bugs, lykkedes det i iver over at spare bits på kortet at klemme et hhv. år 2021-, 2031- og 2041-problem ind i specifikationen.

Signaturene på kortet baseres stadig på en krypteringsalgoritme, som skulle være pensioneret i 1999, og hvis man kunne låne en netcafé i et par dage, ville man kunne finde nøglen og selv lægge gyldige billetter på kortet med sin mobiltelefon. Dertil eksisterer der sikkert allerede en lang række replay-angreb, som der endnu ikke er taget højde for.

Nu er jeg stor tilhænger af offentlig transport, og jeg håber ikke, at folk vil spilde en masse CO2 på at finde disse nøgler. Men det ærgrer mig, at det, allerede inden kortet for alvor er i landsdækkende drift, har så slæbt så mange børnesygdomme fra 90’erne med sig, som softwareverdenen for længst har opbygget resistens over for.

Foto: Kim Bach CC-SA