"Veilig online stemmen via iPhone en Android"
Een Spaans bedrijf heeft een programma ontwikkeld zodat smartphone-gebruikers veilig online kunnen stemmen via hun toestel. De software van Cytl versleutelt op het toestel de stem en verstuurt die vervolgens naar de stemcomputer, en zou daardoor 'end-to-end' security garanderen. Doordat de versleuteling lokaal plaatsvindt, zou niemand de privacy van de stemmer kunnen schenden of de verkiezingsuitslag kunnen manipuleren, zo is in het persbericht te lezen.
"Alternatieve oplossingen die de stemmen versleutelen zodra ze door de stemcomputer zijn ontvangen, laten de mogelijkheid voor aanvallers of systeembeheerders om stemmen te onderscheppen, lezen of aanpassen voordat ze worden versleuteld." De software van Cytl werkt zowel op Apple's iOS als Google's Android en zou door Amerikaanse, Franse, Zwitserse en Noorse instanties zijn geaudit.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
Lang leve de Nederlandse overheid. Weinig regeringen die zo goed zijn in het wegflikkeren van geld aan projecten als deze als de Nederlandse overheid.
Waarom zo negatief, het is opzich een leuk concept. Maar met de punten die je opnoemt heb je gelijk. Vooral met punt 3.
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
Op papier verzorg ik zelf het transport tot IN de box (waar een schredder in kan zitten dus ook daar kan mee gerommeld worden) dus ik weet wat IN de box is gegaan.
En ze zeggen het zelfde als dropbox, "onze administrators kunnen niets".......
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
Wat ik vooral een niet te overtreffen voordeel van "potlood en papier" vindt is
1 : grootschalige manipulatie is zeer zichtbaar (vrachtwagens vol papier het stemproces in- of uit duwen)
2 : simpel en inzichtelijk door *iedereen* controleerbaar.
Op elk stemburo kunnen een paar letterlijk "brave burgers" zien dat het op hun buro goed gaat, en zien dat hun getelde resultaten op het gemeentehuis goed verwerkt en gepubliceerd zijn.
Enorm schaalbaar, en om een echt percentage stemmen om te buigen moet je op veel plekken, waar veel mensen kijken (en snappen, papier met hokjes snapt iedereen) wat er gebeurt stemmen injecteren of laten verdwijnen.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
4) Het hok met gordijntje geeft de stemmer de kans om naar eigen mening te stemmen; Een bedreiger of stemmenkoper kan nooit weten of de stemmer naar opdracht gestemd heeft .
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
Het hele leven hangt van webapplicaties aan elkaar vast, waarvan wij het meeste geen weet hebben.
Waar het natuurlijk om gaat is dat ten eerste de versleuteling altijd bij de cliënt plaatsvindt, dus dat is geen thema.
Maar ten tweede stemmen volstrekt anoniem is en wanneer dit via het Internet plaatsvindt, niet meer anoniem is.
Het is een grondrecht en ik herinner mij nog de discussies over de stemcomputer.
Laten we a.u.b. met het potlood blijven stemmen. Dat kan altijd netjes nageteld en gecontroleerd worden.
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
In een geheim stemsysteem wil je dat niet.
Als jij kunt controleren of je stem aangekomen is, kan iemand die stemmen ronselt (koopt, bedreigt, intimideert) controleren of jij wil gestemd hebt zoals "afgesproken" was.
Bij het "hokje met gordijntje" model kan iedereen echt naar eigen inzicht stemmen.
Op papier verzorg ik zelf het transport tot IN de box (waar een schredder in kan zitten dus ook daar kan mee gerommeld worden) dus ik weet wat IN de box is gegaan.
Rommelen met de stembus is niet "net zo makkelijk" . De vier of vijf brave burgers in elk stemlokaal (je mag je zelf opgeven, graag zelfs) kunnen, mogen, en moeten die stembussen controleren.
En kijken of er geen schredder in zit, of dat de bus bij aankomst nog leeg was kan en snapt ook echt iedereen.
En snappen dat er onderweg geen "monteur" moet komen die een pak papier in de stembus duwt is ook herkenbaar.
En dat aantal stemmen in de bussen moet kloppen met afgevinkte kieskaarten.
Code auditen is erg specialistisch, en "zeker weten" dat alleen ge-audite code zonder extras "overal" draait " is ongeveer onmogelijk.
Er zijn nogveel meer varianten bedacht met *systematische* garanties voor anoniem en toch taceerbaar stemmen en zo. Maar is allemaal ingewikkeld. Toch nog eens opzoeken en bezien of het valt te automatiseren. Gebeurt volgens mij nog te weinig, het blijft bij theoretische wetenschappelijke papers.
Dan begrijp je er kennelijk meer van dan ik.
Ik heb het persbericht gelezen en ze zeggen niets concreters dan dat er end-to-end-encryptie plaatsvindt. Dat is niet bepaald een nieuw concept. Het is me niet duidelijk of en waarom het wat toevoegt aan HTTPS of PGP of zo. Ze vergelijken het met systemen die de stem bij ontvangst versleutelen nadat die onversleuteld over de lijn gestuurd is. Door die versleuteling naar de client te verplaatsen en dus de stem versleuteld over de lijn te sturen doen ze kennelijk iets revolutionairs. Dat suggereert dat de versleuteling primair bedoeld is om iets op de server te regelen en dat de vertrouwelijkheid van de datacommunicatie een toegevoegde functie is. Wat is die primaire functie op de server? Wie zijn die leveranciers die kennelijk geen gebruik maken van altemeen bekende en beschikbare manieren om datacommunicatie te versleutelen?
Dit verhaal zit volgens mij zo vol met gaten dat er vrijwel niets van overblijft. Het komt op mij over als gebakken lucht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.