Stemcomputer, de zombie die maar niet dood wil

Waarin de auteur nogmaals uitlegt waarom met rood potlood stemmen de veiligste optie is.

U heeft gestemd - of niet?Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende ‘radioactief, niet aankomen!’-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan ‘als we maar even die bugjes oplossen’.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

Deze houding laat een fundamenteel misverstand zien over de essentie van democratie. Democratie is namelijk geen kwestie van vertrouwen, maar juist van georganiseerd wantrouwen. Door schade en schande hebben we de afgelopen paar duizend jaar geleerd dat macht veel te gevaarlijk is om zomaar aan een klein groepje mensen te geven zonder stevige waarborgen over het gebruik ervan. Een verlichte dictator lijkt weliswaar een efficiënte regeringsvorm, maar hoe hou je de dictator verlicht als deze mens, met de gebruikelijke zwakheden, eenmaal op het pluche zit?

Het systeem dat de plaats van een dictator heeft ingenomen is verre van perfect en wordt geplaagd door traagheid en focus op media-geile onderwerpen, maar iets beters hebben we gewoon nog niet bedacht (wellicht wordt Liquid Feedback van de Piratenpartij ooit werkbaar op grote schaal). Maar in ieder geval is het in een democratie vrij moeilijk om in het geheim grote beslissingen te nemen zonder brede goedkeuring. En daar is het dus om begonnen, een koning of president kan niet zo maar op eigen houtje hele gekke dingen doen die het land te gronde richten of de fundamentele rechten van burgers schenden.

Het wantrouwen tegen macht en machthebbers kan dus niet worden opgelost door de broncode van een stemcomputer online te zetten, omdat burgers niet kunnen vaststellen of de gepubliceerde broncode daadwerkelijk draait op de specifieke stemcomputer op de basisschool in hun buurt. Nog belangrijker is het feit dat 99,99% van de bevolking geen code-audits kan doen. En daarmee komt het dan toch weer neer op het moeten vertrouwen van een heel klein groepje technische experts. En het vertrouwen van een heel klein groepje (welk groepje dan ook!) is nu juist precies wat we niet meer wilden. Als we kleine groepjes technici gaan vertrouwen, kunnen we net zo goed het parlement samenstellen op basis van een steekproef van een onderzoeksbureau. Dat scheelt een heleboel tijd en papier en er is vast wel een leuke tv-avond om heen te bouwen.

Vaak is ook gezegd dat er met papieren stembiljetten ook gefraudeerd kan worden, waarbij bijvoorbeeld verkiezingen in Zimbabwe naar voren worden geschoven. Belangrijk aspect is hier echter niet de mogelijkheid van fraude, maar de detecteerbaarheid ervan. Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden (daarom weten we ook dat er in Zimbabwe gefraudeerd is) en dat maakt het mogelijk om in te grijpen als kleine groepjes het systeem proberen te misbruiken. Fraude met stemcomputers is in de meeste gevallen onmogelijk om achteraf aan te tonen. De geheugens zijn dan gewist en er zijn geen biljetten om nog eens te hertellen. Dit laatste bleek nog eens pijnlijk bij een lokale verkiezing waar het aspirant-gemeenteraadslid ook bediener van de stemcomputer was. In het stemlokaal waar hij aanwezig was kreeg hij onwaarschijnlijk veel meer stemmen dan in alle andere locaties in de gemeente. Toch kon het OM geen zaak rond krijgen tegen deze mogelijke fraudeur wegens gebrek aan bewijs. De man kan door dit gebrek aan bewijs echter zijn eventuele onschuld ook nooit meer overtuigend aantonen.

Zelfs bij elektronisch stemmen met een geprint stembiljet (een z.g. ‘papertrail‘) kan twijfel ontstaan over de uitslag en het aanvragen van een hertelling van een paper-trail wordt ook meteen een politieke issue (winnaars zijn tegen, verliezers voor). Op welk moment gaan we papertrails hertellen? Welke steekproef is goed genoeg voor de verliezer? Hoe bepalen we dat er reden is om te twijfelen aan de elektronische uitslag? De aanname is toch juist dat de computer goed telt? Er zal dus een bestuurlijke en politieke drempel zijn om überhaupt zo’n hertelling aan te vragen. Dit gecombineerd met het feit dat het bepalen van een ‘winnende’ coalitie in Nederland onder de waarnemingsdrempel van een peiling ligt maakt het aantrekkelijk om stemcomputers te manipuleren. Wat is het waard om de verkiezingsuitslag van de 20ste economie op de planeet te bepalen?

Ondanks kleine incidenten heeft bij het papieren stemproces in Nederland de integriteit nimmer ter discussie gestaan. Bij de vorige generatie stemcomputers moesten, na enig aandringen van externe experts, zelfs Binnenlandse Zaken en TNO toegeven dat deze niet compatibel waren (of ooit waren geweest) met de Nederlandse kieswet. TNO had zelf een geheim toetsings-protocol dat de integriteit van het systeem helemaal niet onderzocht. Zowel de verantwoordelijke ambtenaren als de ‘experts’ van TNO waren simpelweg niet competent om adequaat met dit vraagstuk om te gaan. Het OV-chip-, EPD- en Diginotar-drama waren herhalingen van dergelijk onvermogen. Geen inzicht, geen adequate toetsingskaders, geen inhoudelijk toezicht. En niemand is verantwoordelijk als het fout gaat.

Na afschaffing van de stemcomputers is er geen enkele ambtenaar of TNO-medewerkers ontslagen wegens het verzaken van hun taak en er is dus weinig vertrouwen bij de externe experts dat men nu wel competent is om adequate beoordelingen te maken over een andere technische ‘oplossing’.

Er moet voorkomen worden dat er een situatie ontstaat waarin de integriteit van het proces zelf ter discussie komt te staan, en daarmee de legitimiteit van de uitslag. Het onderscheid is dus de detecteerbaarheid van fraude, niet de (on)mogelijkheid ervan. Stemcomputers lossen geen ernstige problemen op, zijn duurder in gebruik dan papier en ondermijnen de legitimiteit van democratische regeringen. En zoals Churchill al zei: ‘Democracy is the worst form of government, except for all those other forms that have been tried from time to time.’

Deze column verscheen vorige week op Webwereld.


XKCD on voting computer security

 

 

 

 

  1. 2

    Ik ben ervan overtuigd dat stemcomputers net zo transparant gemaakt kunnen worden als stemmen met het potlood.

    Paper trail, 10% random handmatige hertelling van de papieren kopietjes, openbare broncode, onafhankelijke checks of die ook op de machines staat.

    Als stemmen 100% georganiseerd wantrouwen was, dan kan ik als stemmer ook niet vertrouwen of de stembus niet is voorgevuld, dat hij na afloop niet wordt weggegooid en vervangen door een voor partij X “betere” stembus, en is het stemmen met een rood potlood dus ook niet toereikend.

    Sterker nog, dan is niets toereikend.

  2. 3

    Stemcomputers zijn cooler dan formulieren. Tegenwoordig kunnen ze worden uitgerust met 7.1 surround sound en een 3D-scherm. En met een Groupon-actie kunnen stemmers worden beloond voor het geven van het juiste antwoord.

  3. 4

    Stemcomputers zijn een oplossing voor een niet bestaand probleem. OK, het kost iets meer moeite om de papieren stembiljetten te tellen en we moeten iets langer wachten op de uitslag, maar als we dat niet eens meer over hebben voor de democratie dan kunnen we de boel beter opdoeken.

  4. 5

    @Spuyt12, ja, fraude is inderdaad ook mogelijk met papieren biljetten maar de kans dat het aan licht komt is vele malen groter dan bij een stemcomputer. Zoals de auteur ook al aangeeft gaat het in deze kwestie om de mogelijkheid tot detectie van fraude, niet om het volledig uitsluiten ervan, wat ook haast onmogelijk is.

  5. 6

    burgemeesters worden indirect gekozen namelijk door directgekozen leden van de gemeenteraad. Willen jullie een verkiezing er bij?
    Waarom dan geen verkiezing voor het kabinet? Die is/zijn ook indirect gekozen….

    Stemcomputers, daar heeft niemand hier echt verstand van…..Stukje risico is klein impact is hoog

  6. 8

    Erg dat dit keer op keer bij dit soort topics gesuggereerd wordt, maar op de één of andere manier ook elke volgende keer weer vergeten is door de volgende die goedkoop wantrouwen jegens stemmachines in een topic giet.

  7. 9

    Electronisch voor een snelle uitslag. Transparante paper trail voor de echte uitslag. Alleen steekproeven nemen is niet nodig. Nu tellen we ook alles. Blijkbaar is dat mogelijk.

  8. 10

    Waarom erg? De oplossing wordt wel behandeld door Arjan Kamphuis, maar het is allemaal weinig overtuigend waarom dit niet een goede oplossing zou zijn.

    – “kan twijfel ontstaan over de uitslag” Dat kan ook bij stemmen met papier. Het gaat juist om gevallen waarbij twijfel ontstaat over de uitslag.
    – “aanvraag tot hertelling wordt politiek issue”, uiteraard, dat is ook zo bij stemmen met stempotlood. Dus een duidelijke klachtenregeling met daarin onder welke voorwaarden herteld gaat worden.
    – Op de vragen die volgen kunnen gewoon antwoorden bedacht worden, en uiteraard is het goed dat er een bestuurlijke drempel is, want het is onzinnig om te gaan hertellen zonder dat er een duidelijke aanwijzing is dat de uitslag niet klopt. Dat doen we op papier ook niet.
    – Er wordt afgesloten met dat het aantrekkelijk zou zijn om de uitslag te manipuleren. Dit gaat richting complot denken, er zijn in nederland alleen kleine incidenten geweest (op papier en/of computer), er is niets dat er op wijst dat er een hoog risico op fraude is in Nederland, en dat de mogelijkheid tot frauderen hoger ligt dan met het potlood.

  9. 11

    het idee van een paper-trail is dus juist dat je fraude uitstekend kan detecteren, ook subtiele. Als we daar dan zo bang voor zijn, dan laat je toch standaard 10% hertellen, met een willekeurige steekproef? Consistente afwijkingen worden dan snel genoeg zichtbaar, vooropgesteld dat iedereen zijn stem heeft gecontroleerd.

  10. 14

    Grappig om te zien dat iedereen zo doordesemd is van computers dat men zich niet meer kan voorstellen dat een stemmachine helemaal geen computer hoeft te zijn. Ook elektronisch kan een stemmachine gemaakt worden zonder software, die niet manipuleerbaar is.

  11. 16

    Dat kan middels een “state machine”; hardwarematige logica die een specifieke taak vervult. In je computer kun je de gebruikte processor of de chipset die de communicatie regelt ook niet manipuleren, omdat die werking in hardware is vervat. Hetzelfde geldt voor analoog-naar-digitaal omzetters of andere interfaces: alles is slechts zover programmeerbaar als de hardware toelaat. Het is mijn werk om dat soort chips te ontwerpen.

  12. 17

    Dus je hebt een schroevendraaier, tangetje en soldeerbout nodig om de boel te hacken. En je moet uiteraard oppassen dat ze je niet betrappen terwijl je aan die kast staat te morrelen.

  13. 18

    Wantrouwen tegen stemcomputers komt voort uit technische onwetendheid en “aluhoedjes” sentiment. De broncode is eenvoudig genoeg om door een breed spectrum aan politieke “waarnemers” gecontroleerd te worden, voor zetels tellen en opslaan heb je geen hogere wiskunde nodig. De fysieke toegang tot de computer/machine is makkelijk te blokkeren en zeker zo degelijk als het gebruikelijke slotje op de stembus, daarnaast kan je de boel ook nog eens software matig versleutelen en beveiligen, zolas bij internet bankzaken wordt toegepast. Valse stembiljetten gebruiken of stembiljetten laten verdwijnen is vele malen makkelijker dan duizenden onafhankelijke machines manipuleren, je kan dan hertellen tot je een ons weegt, maar je telt de fraude dan keer op keer mee. Vraag maar aan Bush hoe die dat gedaan heeft in Florida.

    Feitelijk zou het zo langzamerhand mogelijk moeten zijn om gewoon (ook) via het internet te stemmen, dan bereik je veel meer stemmers die moeten werken of aan huis gebonden zijn.

  14. 21

    Uit dat gelinkte VVD-blog:

    “Stemmen met een potlood leidt bij elke verkiezing weer tot ergernis. Er worden telfouten gemaakt, we moeten lang wachten op de uitslag en te vaak raken stemformulieren zoek.”

    Is dat echt zo? Van die telfouten en zoekgeraakte formulieren? Misschien lees ik de verkeerde kranten, maar ik kan me niet herinneren dat ik daar ooit een bericht over heb gezien. Als het echt zo’n groot probleem is (en als de voorstanders dat kunnen bewijzen) valt er iets te zeggen voor een stemmachine, maar vooralsnog stem ik liever met een potlood. Volgens mij nog steeds de meest transparante en makkelijkst controleerbare methode.

  15. 22

    En als ik dan als burger zeker wil weten of die machine is wat er op de behuizing staat? Ik zie mezelf al zitten, circuitdiagram in de hand… Dat is het hele probleem: ik moet blind vertrouwen dat het is wat ze zeggen dat het is. Je verplaatst het probleem alleen van de software naar de hardware.

  16. 24

    “Wantrouwen tegen stemcomputers komt voort uit technische onwetendheid en “aluhoedjes” sentiment.”

    Dat is pertinente onzin! Het hele proces wordt met een stemmachine zo ontransparant als wat. Hoe kan een gewone burger in vredesnaam controleren of alles wel goed gaat? Het gaat niet om complotdenken; het gaat om transparantie. Als transparantie niet het aller-allerbelangrijkste is bij een vrije verkiezing, wat de fuck dan?! Een snelle uitslag??

  17. 25

    What the fuck trouwens over thuis stemmen?… Hoezo stemgeheim? Ik help u wel met stemmen, oma. Zo fraudegevoelig als maar zijn kan. Hoe regel je dat mensen maar eenmalig kunnen stemmen? Hoe regel je dat dit nooit te herleiden is tot een persoon? Hoe weet je of je stem geteld wordt? Hoe weet je welke computer je aan de andere kant hebt staan? Hoe weet je welke software de computer draait die je aan de andere kant hebt staan? Verkiezingscomputers aansluiten op internet is sowieso een no-go! Ik weet veel van digitale security en ik zeg je één ding: begin er gewoon niet aan. Je vraagt om problemen! En als je denkt dat ik gewoon technisch onwetend ben: ga eens met een security-expert praten.

  18. 26

    @Kevin: Hoezo? Als het stembureau is ingericht met een stemmachine die niet gemanipuleerd kan worden is de situatie toch minstens zo veilig als nu? Vraag jij je nu ook af of het stembiljet wel een stembiljet is en de stembus wel een stembus?
    Het gestelde probleem is dat een stemcomputer kan worden gemanipuleerd tot een apparaat dat niet zuiver stemmen registreert, telt, of doorgeeft. Een machine die niets anders kan dan zuiver registreren, tellen en doorgeven is daarvoor toch een oplossing?

  19. 27

    “Effectieve, en dus grootschalige, fraude met een papieren stemsysteem is onmogelijk geheim te houden (daarom weten we ook dat er in Zimbabwe gefraudeerd is) en dat maakt het mogelijk om in te grijpen als kleine groepjes het systeem proberen te misbruiken.”
    1 zetel meer of minder kan al effectief zijn, dit hoeft niet grootschalig te zijn. Effectieve fraude zou al kunnen zijn bij 1 stem, alleen de kans dat het effectief is minder dan bij 2 stemmen.

    Het probleem zit niet in wat voor middel je gebruikt (ieder middel kan misbruikt worden), maar het vertrouwen dat de gebruiker erin heeft.

  20. 28

    Ehh, nee, het gaat niet gewoon om het tamper-proof maken van de machine, het gaat om de oncontroleerbaarheid van het gehele proces en het gehele apparaat. Niet alleen door mensen die bij Nedap de kwaliteitscontrole doen, maar de gewone burger. Iedereen. Ik druk een knopje in en dan moet ik maar vertrouwen dat het goed gaat? Zo werkt de kieswet niet. Ik, en iedere andere stemgerechtigde, mag het gehele proces volgen en het proces moet zo ingericht zijn dat jan-met-de-pet dat ook kan. Je geeft het lot van het land niet in handen van een paar verkiezingswaarnemers of elektrotechnici of Nedap. De gewone kiezer moet overtuigd zijn van de betrouwbaarheid. Hij of zij moet het proces kunnen begrijpen en controleren. Daar is heel wat voor te zeggen.

  21. 29

    Een machine die turfjes telt per rij/kolom, is niet ingewikkeld en is door iedereen te bedienen en te snappen (een muntenteller bij de bank doet het ook). De goede werking kan bij iedere stemronde openbaar worden getest door dezelfde commissie die we nu de telling toevertrouwen (door een willekeurig aantal “stemmen” in te geven en te controleren of de goede uitslag wordt weergegeven). Verder is de stembus nu ook een verzegeld zwart gat waarin het stemformulier onzichtbaar blijft tot hij gelicht wordt bij sluiting van het stembureau, en dat blijft zo.

  22. 31

    Vrijwel alle bezwaren die je aanhaalt spelen ook bij stemmen per post, sommige ook bij het machtigen van iemand anders en sommige tot voor kort ook bij het “gewoon” stemmen (toen een ID nog niet verplicht was).

  23. 35

    Arjen,
    Hou nu eens op met deze democratie remmende onzin.

    Het papieren proces is veel fraude gevoeliger dan een simpele stemcomupter.
    De uitkomt en het tellen wordt al overal ter wereld vervalst.
    Het omvangrijke stembiljet is gemakkelijk van een kenmerk te voorzien, “deze is van stemmer Janssen P.C”

    Kortom je wil kennelijk dat Nederland een ontwikkelingsland blijft.

    Een democratie wordt alleen beter als er vaker gestemd kan worden, en als burgers meer invloed krijgen.
    En met meer kennis van zaken stemmen.

    We kunnen overigens zo een experiment doen met liquid feedback

    Op https://adhocracy.de/ zijn al ca 14000 deelnemers actief, en kunnen we een Sargasso stemming organiseren.
    Maak een account aan
    Start een groep
    Doe een voorstel in die groep
    Zorg voor deelnemers

  24. 37

    Als stemmen 100% georganiseerd wantrouwen was, dan kan ik als stemmer ook niet vertrouwen of de stembus niet is voorgevuld, dat hij na afloop niet wordt weggegooid en vervangen door een voor partij X “betere” stembus, en is het stemmen met een rood potlood dus ook niet toereikend.
    Dat kun je dus wél controleren, het openen van de stembus en het tellen van de stemmen is openbaar en iedere burger mag er bij aanwezig zijn – net als bij het openen van het stemlokaal.

  25. 38

    Als het zo doorgaat met de Pvda dan hangt de kiezer Samson aan zijn nieuwe stropdas in de allerhoogste boom en dan vangt hij dan lekker veel tegenwind .
    Hoogstwaarschijnlijk voortaan alleen nog maar stemmen op You tube .