Vi har nöjet att publicera ett gästinlägg av datalogen Jesper Larsson om svårigheterna med att kvalitetssäkra systemen för elektronisk röstning, idag aktualiserat av att den svenska vallagskommittén överlämnat sitt slutbetänkande om e-röstning.
”Maskinstormarnas seger” var den ironiska rubriken i dagstidningen Information på nyheten att regeringsförslaget om att tillåta e-röstning i Danmark inte skulle gå igenom i Folketinget. Utbildningsministern kommenterade nederlaget på Twitter med att raljera om att motståndarna var ynkliga och rädda för it. Men han verkar ha missat något väsentligt. Det var, som Information skriver, inte de it-rädda, utan it-experter, som stoppade förslaget. ”De huvudlöst it-begeistrade är inte hackare och experter, utan snarare DJØF:are och teknokrater.” Några av de största motståndarna till e-röstning är knutna till Demtech, ett forskningsprojekt om demokrati och teknik, med ambitionen att ta fram säkra datorsystem för val, vid IT-universitetet i Köpenhamn (där jag själv arbetar).
Att experter tillhör de försiktiga är i själva verket inget ovanligt. Förstår man tekniken har man underlag för att vara kritisk. Beslutsfattare förstår ofta inte vad de inte förstår, och konsulterar de experter finns en stor risk att det blir sådana som själva har något att vinna på att en viss del av it-sektorn växer.
Vad är det då experter vet, men aningslösa politiker inte inser? Dels finns pragmatiska problem som borde vara lösbara, men som vi just nu inte har säkra lösningar på. Dels finns principiellt olösbara problem. Låt oss börja med det principiella.
”Vi anförtror ju våra bankaffärer åt it”, fnyser e-röstningsivrarna, ”så varför inte också röstning?” Det finns ett par grundläggande skillnader mellan banksäkerhet och valsäkerhet. Om du misstänker att banken har gjort något fel, slarvat bort dina pengar t.ex., så går det att följa upp. Banken är skyldig att logga alla transaktioner, och man kan gå igenom loggarna för att kolla vilka pengar som hamnat var. I ett demokratiskt val vore det ett problem om det fanns sådana loggar, eftersom det då skulle gå att spåra vad du röstat på. Den möjligheten får man inte ha.
Det där kanske skulle gå att lösa med kryptoteknik, så att bara du själv kan kontrollera din röst. Men då springer man på ett kanske mindre uppenbart problem: det bör faktiskt inte finnas något sätt att kontrollera var just din röst har hamnat. För vem tittar över din axel när du kontrollerar det? Kan du kontrollera din röst kan du också bevisa vem du har röstat på. Låt säga att din arbetsgivare, ditt familjeöverhuvud, eller någon annan du är i beroendeställning till, kräver att du röstar på ett visst sätt, och sedan bevisar att du gjort det. Den möjligheten får inte finnas. Valbåsen är utformade som de är därför att ingen, ingen! säkert ska kunna veta vilken valsedel du stoppat i kuvertet.
Slutsatsen är att systemet måste vara omöjligt att kontrollera. Kan vi då inte göra det så säkert att vi litar på det, utan kontroll? Tja. Säkerheten i existerande valsystem är åtminstone inte så imponerade. Det är omöjligt att veta vad maskinerna egentligen gör, eftersom man inte tillåts granska källkoden till programmen. Om det basala kravet på granskningsmöjlighet skulle uppfyllas följer problemet att veta att den kod som kör verkligen är den man granskat. Sådan certifiering har inte lösts tillfredsställande. Och hur kan man veta att systemet är säkert mot intrång? När forskare har fått prova, har system som använts visat sig skrämmande lätta att knäcka, och hur man ska verifiera att systemet inte komprometterats är ett problem de inte ens försökt lösa.

Illustration från XKCD.
Betänk också att ett valsystem bara kör under realistiska förhållanden vart fjärde år. Fyra år är lååång tid för it-system. Det är mycket som ska säkras, systemtester blir svåra och resurskrävande. Vad ska man göra om det inte visar sig fungera på valdagen? Ta om valet en annan dag?
Även icke-elektroniska valsystem kan ibland hackas, t.ex. röster göras identifierbara. Vid det senaste valet lyckades Sydsvenskan knäcka valhemligheten för Stefan Möller i Staffanstorp med hjälp av handskriftsanalys. En annan möjlighet är vad valforskare kallar italienskt angrepp: att röster görs identifierbara för den som ska kontrollera dem, genom att man väljer ut udda kombinationer av kryss på mindre viktiga kandidater. Allt det som vi lärt oss hantera i val med pappersvalsedlar (det svenska systemet står t.ex. emot italienskt angrepp genom att bara tillåta ett kryss) kan dyka upp i nya obskyra former i e-val.
Självklart går mycket av detta att fixa på ett acceptabelt sätt om man är beredd att avsätta stora resurser, på samma sätt som det bör gå att bygga ett hus på sand och undvika att det rasar om man har tillräckligt sofistikerad byggteknik. Men man kan fråga sig på vilket problem e-röstning egentligen är lösningen. Röstning för funktionshindrade etc. löses traditionellt på enklare sätt, och forskning visar att e-röstning inte ökar valdeltagandet, samtidigt som det ger en rad negativa effekter.
Det som fick danska politiker att ändra sig, och förslaget att falla, lär ha varit den kritik experter framförde vid konsultationen om e-val i Folketinget tidigt i mars. Att det faktiskt lyckades att kullkasta förslaget måste betraktas som något av en bragd. Det är tveksamt om det går att mobilisera motsvarande expertis i Sverige. Idag överlämnade svenska vallagskommittén sitt slutbetänkande om e-röstning.
/Jesper Larsson
Recent Comments