"Open source maakt elektronisch stemmen betrouwbaar"
Een Ierse onderzoeker wil elektronisch stemmen betrouwbaar maken dankzij Nederlandse open source software. "Ik denk dat overheden vaak het idee hebben dat als ze niet modern zijn, er iets mis met ze is" zegt Joseph Kiniry. Kiniry werkt met een team aan een "e-voting software system" waarvan hij hoopt dat het de basis voor toekomstige systemen zal zijn. De code is bewust open source, zodat anderen kunnen zien hoe de software werkt en of er fouten in zitten.
Als basis voor de nieuwe stemsoftware wordt de code van het "Kiezen op Afstand" (KOA) project gebruikt. De Nederlandse overheid heeft de code onder de GNU GPL licentie uitgebracht. Aangezien de proprietary delen waren verwijderd, wilde de software niet compileren. Dat de documenatie in het Nederlands was hielp ook niet. Via reverse engineering wist het team van Kiniry de missende delen echter te reconstrueren, en heeft nu een systeem dat alle andere open-source e-voting software en commerciele systemen die hij heeft onderzocht zou overtreffen.
De back-end software is ontwikkeld in Java, en draait op Linux of OS X. De gebruikersinterface is beschikbaar via een web browser en wordt omschreven als "Google simple". Om te kunnen stemmen moeten stemmers zich eerst registreren en een PIN code kiezen. Dan wordt er een uniek stembilject naar de stemmer gestuurd die alleen hij kan gebruiken. Op de verkiezingsdag gaat de gebruiker naar een website, vult zijn ID code en PIN in en brengt zijn of haar stem uit.
kunnen inzien wat de code is. Maar dat is slechts een stap
op weg naar veiligheid.
met dat krakers-clubje "Wijvertrouwenstemcomputersniet" ?
eens (misschien anders dan de kop hier je doet vermoeden) ;).
kraken?
Maar als de code bekend is, is het dan ook niet makkelijk om
de boel te
kraken?
source is. Ik heb hhier een heel mooi stuk software dat
binaries kan disassemblen, en op basis daarvan kan ik nagaan
wat de software doet. Ja, dat werkt dus ook bij iets als
ntoskernel.
Los daarvan zijn er bij ieder stuk serieuze software
programmeurs betrokken. Het idee dat zoiets als source code
geheim kan blijven is voor zover het commerciele software
betreft om te lachen.
Waar het bij stemmachines om gaat is dat het
verkiezingsproces dat ze ondersteunen anoniem en
verifieerbaar gehouden wordt. In dat geval dienen er in de
software voorzieningen te zijn getroffen die er voor zorgen
dat de stemmachines ook een anoniem en verifieerbaar
stemproces ondersteunen. Met open code is dat een stuk
makkelijker te auditten.
Overigens vind ik het een blamage dat een land als nederland
wel waarnemers kan sturen naar een land als afghanistan,
terwijl we hier in nederland niet eens in staat zijn om
verkiezingen te houden die anoniem en verifieerbaar verlopen.
Maar als de code bekend is, is het dan ook niet makkelijk om de boel te
kraken?
Juist en dat zou de code juist sterker kunnen maken.
De code is altijd bekend, of de code nou closed of open
source is. Ik heb hhier een heel mooi stuk software dat
binaries kan disassemblen, en op basis daarvan kan ik nagaan
wat de software doet.
Wat software doet en de daadwerkelijke source code (de wijze waarop een stuk software iets doet) zijn volgens mij twee verschillende dingen.
code nou closed of open source is.
op 1 vanuit machinecode terug naar de originele source kan
niet. Dat levert gegarandeerd vervolgens dan ook nog
problemen op bij een goede interpertatie van de broncode.
Daarbij is dat bij gesloten source vaak niet toegestaan
vanwege licentieproblemen. Als opensource wordt toegepast
worden dus al twee vliegen in een klap geslagen: je mag en
kan direct bij de broncode, de meest nauwkeurige basis om
problemen op te sporen.
stemmachine draait, die hij gisteravond nog even gechecked
heeft op onregelmatigheden?
En hoe weet de stemmer wat er precies gebeurt nadat hij
gestemd heeft?
Het hele proces moet open zijn en in principiëel door elke
stemgerechtigde te controleren. Onafhankelijke
VN-controleurs zeg ik!
Hoe is je stem anoniem uit te brengen, als je voor het electronisch
stemmen eerst een ID en PIN in moet geven.
Een stem is dan veel te makkelijk te koppelen aan een persoon, terwijl je
stem juist niet traceerbaar behoort te zijn.
[paranoide en what if mode]
Stel: De PVV krijgt bij de volgende verkiezingen 51% van de stemmen en
schaft democratie af (ze hebben namelijk een kamermeerderheid).
vervolgens voeren ze een wet in die het verbied een andere politieke
overtuiging te hebben dan de PVV.
Een actief ambtenaartje (die een wit voetje of wit pruikje van geert W wil
krijgen) laat de uitslagen van de verkiezingen verzamelen, en gaat kijken
hoe de andere 49% gestemd heeft. Vooruit, VVD stemmen wordt nog
getolereerd door het ambtenaartje, maar mensen die SP, CU, groen links
of PvdA stemmen, worden vervolgens door het zojuist
opgerichte 'doodseskader' opgepakt.
Door een ID en PIN in te voeren kun je niet anoniem stemmen, wat wel de
bedoeling is, anders waren de machines van SDU ook gewoon veilig
genoeg geweest.
Open Source maakt stemmen wel veiliger, maar de methode die gebruikt
wordt niet.
[/paranoide en what if mode]
Dit is de grootste onzin die je maar kan bedenken. Heeft
zeker bindingen
met dat krakers-clubje
"Wijvertrouwenstemcomputersniet" ?
Sterke onderbouwing van je argumenten...?? whahahaha
E.I. Kel
ik ben tegen het open source maken van stem software
waarom?
Ik ben voor open source projecten:
Omdat met de meesten open source projecten steeds meer
fouten worden ontdekt wat goed is voor de veiligheid, dit is
GOED.
Ik ben tegen het open source project van het stemmen:
Alleen ik vraag mij af hoeveel mensen gaan kijken naar het
stukje stemsoftware.
omdat dit simpelweg alleen door de overheid gebruikt word.
Als hier dus niemand naar kijkt worden de fouten er niet
uitgehaald en degene die kwade bedoelingen hebben die kijken
er wel naar en kunnen hier misbruik van maken.
oplossing.. maar dan moet een overheid naderhand ook wel
doen wat het moet doen... en dus niet 3 dagen na dato alle
bewijslasten verwijderen.. zoals in ons landje is gebeurd...
opensource maakt het stemmen alleen veilig op gebied van
kunnen inzien wat de code is. Maar dat is slechts een stap
op weg naar veiligheid.
("Het is Open Source dus het is veilig") rammelt aan
alle kanten.
Als ik bijvoorbeeld lees dat er een uniek stembiljet naar de
kiezer wordt verstuurd begint het bij mij al weer te
kriebelen. Zolang er mogelijkheden bestaan om een
uitgebrachte stem terug te traceren naar een kiezer zul je
mij niet electronisch zien stemmen. Ik wil niet zeggen dat
het gebeurt, maar het is dus wél mogelijk! En ik vertrouw de
overheid in dit soort gevallen bij voorbaat niet omdat het
als belanghebbende kan optreden.
de stemmachines/computers staat, maar dit artikel gaat over het
stemmen via het internet.
Dit is de grootste onzin die je maar kan bedenken. Heeft
zeker bindingen met dat krakers-clubje
"Wijvertrouwenstemcomputersniet" ?
Dat clubje is wel zojuist volledig in het gelijk gesteld
door de comissie die deze problemen heeft onderzocht:
http://www.wijvertrouwenstemcomputersniet.nl/Nieuwsbrief_Nr._27_-_18_april_2007
Open source is niet de oplossing:
http://www.wijvertrouwenstemcomputersniet.nl/Open_Source_geen_panacea
En stemcomputers lossen geen uberhaupt significant probleem
op en introduceren zeer veel nieuwe zeer significante
problemen. Stemmen gewoon met een rood potlood op een dooie
boom.
opensource maakt het stemmen alleen veilig op gebied van
kunnen inzien wat de code is. Maar dat is slechts een stap
op weg naar veiligheid.
("Het is Open Source dus het is veilig")
rammelt aan
alle kanten.
De redenering is dan ook meer: als het niet open source is,
*kan* het niet veilig (genoeg) zijn. Het is gewoon een van
de essentiele stappen op het pad naar iets dat voldoet voor
stemmen. (overigens heeft op theoretisch niveau deze vorm
van stemmen meer en hardere eisen dan de gebruikelijke
pen&papier manier, helaas heeft men dat bij lange na niet
kunnen of willen bereiken tot nu toe).
Verder wil ik wel melden dat mij altijd geleerd is (en waar
ik ook stellig van ben overtuigt) is dat:
beveiligingssoftware moet zodanig veilig zijn dat je de
sourcecode vrij beschikbaar moet kunnen stellen !MAAR! dat
niemand er iets aan heeft zonder een password.
Daarnaast wil ik ook even melden dat je stem op dit moment
OOK traceerbaar is. Ga maar na je levert je stemkaart in!
krijgt een nummer en gaat stemmen. Het enige dat ze maar
hoeven te doen is een link leggen tussen je nummer en de
stem, want ik ga ervan uit dat de stemmen vast niet random
opgeslagen worden.
Als je echt anoniem wilt blijven moet je NIET gaan stemmen
want zelfs op papier zou er een microprint (met nr) op gezet
kunnen worden.
Maarja gelukkig zijn we nog niet zo paranoia want dan had je
ook niet naar deze site gesurft.
Alleen ik vraag mij af hoeveel mensen gaan kijken naar het
stukje stemsoftware. Omdat dit simpelweg alleen door de
overheid gebruikt word.
Als hier dus niemand naar kijkt worden de fouten er niet
uitgehaald en degene die kwade bedoelingen hebben die kijken
er wel naar en kunnen hier misbruik van maken.
Ik denk dat daar best mensen in geinteresseerd zouden zijn:
gewoon voor de kick, of bijvoorbeeld voor de publiciteit die
je krijgt als je echt iets vindt.
ik ga ervan uit dat de stemmen vast niet random opgeslagen
worden.
Dat worden ze wel (tenzij er met de machine geknoeid is
natuurlijk).
inzichtelijker maakt. Veiliger denk ik ook wel, maar dat
komt meer door mijn pro-open-source houding ;-)
Alleen, iets wat ze van wijvertrouwenstemcomputersniet
volgens mij ook aangeven, er is nog een onzekere factor: Hoe
weet je zeker dat de compiler alleen code genereerd die
exact doet in de source code omschreven is ? Nou is gcc
natuurlijk ook open source ... maar of dat de oplossing is
.... ?
stemkaart en laat die zien, desnoods met paspoort o.i.d., en
mag dan stemmen.
De machine telt alleen de aantallen stemmen per partij, en
registreert geen tijdsgegevens of wat ook. Aan het eind
sluist-ie z'n data door naar een centrale(re) computer die
alles bij elkaar optelt. En klaar is Klara!?
Hoe moeilijk kan zulke code zijn?
Dit naast de fysieke beveiligingsmaatregelen.
Bovendien, wat is er tegen dat mensen van elkaar weten op
wie ze stemmen? Er zijn genoeg mensen die posters van hun
partij op hun ramen hangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.