Wat als een stel hackers de verkiezingen in 2006 hadden geclaimd? #itlawwhatif

jambulboy / Pixabay

Deze week ben ik met vakantie. Daarom de komende dagen eens een bijzondere terugblik naar het internetrecht. 

In 2006 was er veel te doen over stemcomputers. Waarom we willen stemmen met computers is mij nog steeds een raadsel; afgezien van “dan heb je meteen de uitslag” heb ik nog geen fatsoenlijk argument voorbij zien komen. Toch gebruikten we die dingen sinds 1991. In 2006 creëerde de stichting Wij vertrouwen stemcomputers niet forse ophef door te onthullen hoe slecht deze beveiligd waren. De minister besloot daarna zonder die krengen verder te gaan. Maar wat dacht je hiervan?

Op 22 november 2006 gaat Nederland naar de stembus. Ondanks kritiek hier en daar wordt de stemcomputer grootschalig ingezet, zodat diezelfde avond nog de eerste uitslagen gegeven kunnen worden. Rond 23:37 volgt de definitieve uitslag. Dezelfde als echt gebeurde, maar om 23:39 meldt zich actiegroep nedappwn die claimt de verkiezingen ingeprogrammeerd te hebben. Zij wijzen op een publicatie op de bekende site Pastebin van een dag eerder, waar exact de stemverdeling staat van de grootste vijf partijen.

Wat denken jullie dat er zou zijn gebeurd in dit scenario?

(Plot twist: de actiegroep heeft een paar miljoen publicaties gedaan met alle waarschijnlijke permutaties van die top 5 en hun zetelverdeling, maar omdat er geen centrale index is, zijn die andere onvindbaar. De groep koos simpelweg de publicatie die het beste pastte bij de werkelijkheid.)

Arnoud

19 reacties

  1. Qua wetgeving / handhaving zou er volgens mij niks veranderd zijn ten opzichte van nu; er worden geen stemcomputers gebruikt.

    Als dit scenario daadwerkelijk zou gebeuren, dan zou de kiescommissie de uitslag niet goedkeuren totdat er onderzoek gedaan is. Hieruit zal waarschijnlijk snel genoeg blijken dat er niet daadwerkelijk gemanipuleerd is. Neemt niet weg dat er dan genoeg complotdenkers zouden zijn die de hele regeerperiode blijven schreeuwen en protesteren dat het allemaal nep is.

    Over stemcomputers in het algemeen. In mijn ogen zou een stemprinter een goede tussenweg zijn. Een domme computer die niks onthoud en een bonnetje uitprint van waarop je heb gestemd. Dit bonnetje is gemakkelijk door een mens en dus ook de stemmer te lezen. Dit bonnetje wordt in een stembus gegooid en kan vervolgens automatisch geteld worden. Dan blijft alleen het tel proces mogelijk gevoelig.

    Als een sorteermachine (per partij) gebruikt wordt ipv een tel machine, dan is het aan het eind gemakkelijk om door een stapel te bladeren om te kijken of er een verkeerd gesorteerde stem tussen zit en een enkele stapel kan gemakkelijk met de hand geteld worden ter verificatie.

    1. Wat is hier dan het precieze voordeel van, vergeleken met een traditionele stembiljet? Ik zie een kleine snelheidswinst, maar dat weegt niet op tegen de risico’s voor het stemgeheim bij het gebruik van zo’n stemprinter.

      1. Zo’n stem printer is echt geen gevaar voor het stem geheim. Hij heeft geen netwerk aansluiting nodig (en als je dan zorgt dat die er hardwarematig ook niet is) en het is makkelijk verifiëren dat hij alleen print. Bovendien is het helemaal niet nodig om identificatie te gebruiken om mensen erop te laten stemmen, alleen autorisatie en dat kan in principe anoniem. Net zoals nu de leden van een stembureau niet in de stemhokjes mee kijken, maar alleen controleren en registreren wie erin gaan en bij de uitgang alleen tellen hoeveel biljetten er in de bus gaan en deze aantallen moeten matchen.

        Ik heb meerdere verkiezingen stemmen geteld en het sorteren is wat veruit de meeste tijd kost, dus als je dat alleen automatiseert heb je al een gigantische winst. En de stembureau leden zijn dol gelukkig dat ze na een lange dag snel naar huis kunnen!

        1. Met die maatregelen voorkom je inderdaad dat een hacker vanaf z’n zolderkamer na kan gaan wat iemand heeft gestemd. Maar als je ter plekke bent, kun je zo’n stemcomputer nog steeds afluisteren. Stemcomputers (eigenlijk alle computers) veroorzaken elektromagnetische straling en die kun je opvangen als je in de buurt van het apparaat bent (tot wel enkele tientallen meters). Zo kun je uitlezen wat een gebruiker van een stemmachine op dat moment aan het stemmen is. Praktijktests hebben aangetoond dat het op die manier inderdaad mogelijk is het stemgeheim te doorbreken. Dit was een van de redenen om in Nederland de stemcomputers af te schaffen.

        1. Daar zou ik meer over willen lezen. Wat maakt dat verschil? Hoe moeilijk is het scannen van één ingekleurd bolletje (en verder niets) ten opzichte van OCR op een geprint stembiljetje? Dat moet natuurlijk met tekstherkenning zijn en geen scan van een daarnaast geprinte code, want die kan juist afwijken door een hack.

          1. Een van de voordelen van een geprint stembiljet zou kunnen zijn dat een geprint biljet een klein makkelijk hanteerbaar papiertje kan zijn waar alleen jouw stem op staat en niet zoals het huidige stembiljet een halve behang rol dat eerst handmatig opengevouwen moet worden voordat de stem geteld kan worden.

            Een andere tussenoplossing (die waarschijnlijk te ingewikkeld is voor sommige mensen en dus niet wenselijk is) zou kunnen zijn om het stembiljet te verkleinen door de stemmer twee vakjes in te laten kleuren, eentje voor welke partij hij stemt en eentje voor het nummer van de persoon op de kieslijst van de gekozen partij. Op die manier heb je nog steeds de meeste voordelen (kleiner biljet, makkelijk hanteerbaar en daarmee sneller telbaar) maar vermijd je computers. De ouderwetse grote lijst met wie verkiesbaar is voor welke partij kan je dan in het stemhokje ophangen zodat mensen deze kunnen raadplegen bij het invullen van hun stem.

            1. Die andere tussenoplossing vereist volgens mij een aanpassing van de Kieswet, omdat je niet stemt op partijen maar op mensen die volgens jou in de Tweede Kamer moeten. Dat die mensen zich via partijen verenigen, is een leuk detail. Ik vrees dat je met die opzet die jij schetst, snel uitkomt bij half ingevulde biljetten “ik stem altijd PvdA” en dan vergeten een persoon aan te vinken. Daarnaast heb ik het gevoel dat stemmen op “VVD nummer 3” ergens niet duidelijk genoeg is, in het stemhokje vergeten zijn wie dat was is lastig – je mag niet even terug op de grote kaart kijken en dan weer je hokje in.

              Het huidige uitklapbare landkaart-stembiljet is ook verre van overzichtelijk, dat ben ik helemaal met je eens.

    2. een stemprinter

      Dan meteen cryptografisch stemmen: de printer geeft een unieke code. Na de uitslag kun je online checken of deze unieke code meegeteld is bij de uitslag, en aan de correcte stem is gekoppeld. In landen met politieke druk: je stemt op iedereen 1 keer, en op je echte kandidaat 2 keer. Als de dictator langs de deur komt, kun je altijd nog zijn stemkaartje laten zien.

      1. Een van de eisen die we aan verkiezingen stellen is dat het systeem van stemmen begrijpelijk en controleerbaar is voor de gemiddelde kiezer. Leg mij simpel uit hoe “cryptografisch stemmen” werkt zodat ik aan mijn buurman duidelijk kan maken hoe hij zou kunnen controleren dat alle stemmen die uitgebracht zijn correct meegeteld zijn in de einduitslag.

        Met stemmen op papier kunnen we de telling in individuele stembureaus controleren en ook of het optellen in de diverse centrale stembureaus correct verloopt. Ik kan dit aan mijn buurman laten zien en uitleggen en daarmee hem vertrouwen geven dat de telling eerlijk verloopt.

        1. hij zou kunnen controleren dat alle stemmen die uitgebracht zijn correct meegeteld zijn in de einduitslag.

          Je kan alleen controleren of je stem daadwerkelijk heeft meegeteld, en een stem voor jouw kandidaat was.

          Met stemmen op papier kunnen we de telling in individuele stembureaus controleren en ook of het optellen in de diverse centrale stembureaus correct verloopt. Ik kan dit aan mijn buurman laten zien en uitleggen en daarmee hem vertrouwen geven dat de telling eerlijk verloopt.

          Daar veranderd ook niets aan. Je geeft vertrouwen dat de telling in aggregaat eerlijk verloopt, en een bonus garantie om je eigen stem te controleren. Als er dan problemen zijn met de telling (stemformulieren gaan de prullenbak in oid) zullen een aantal stemmers dit aan kunnen tonen/bewijzen.

          Het is wel wat ingewikkeld, en de buurman zal er waarschijnlijk net zoveel van snappen als een corona QR code: ofwel, het praktisch resultaat. Ikzelf ruil graag wat ingewikkeldheid in voor extra countermaatregelingen tegen fraude of fouten, maar snap dat niet iedereen daar op zit te wachten.

          Hier meer:

          • https://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems

          • https://www.youtube.com/watch?v=LkH2r-sNjQs “To break an electronic election, you don’t actually need to break it, you just need to cast enough doubt on the result.”

          1. Hoe geeft ‘je kunt online checken of deze unieke code is meegeteld’ vertrouwen aan de gemiddelde burger? Die online site kan net zo goed liegen dat de stem is meegeteld, dat is echt totaal geen garantie voor een gemiddelde burger. Hoe weet je dat die online site klopt ? Moet je er maar op vertrouwen? “Ja het is cryptografisch gegarandeerd en wiskundig bewezen dat het werkt en niet gehackt kan worden”. Lekker overtuigend.

            1. Op het moment dat ik mijn “unieke” code invoer op een website wordt daarmee het kiesgeheim doorbroken: De website kan die code (en dus mijn stem) aan mijn IP-adres koppelen.

              Daarnaast: hoe controleer ik dat de codes uniek zijn (over het totaal van alle uitgebrachte stemmen)? Wanneer we voor een bepaalde kandidaat codes dubbel uitgeven, kunnen we die kandidaat de helft van de stemmen ontnemen… Moeten we natuurlijk wel compenseren met dezelfde hoeveelheid stemmen op onze gewenste kandidaat.

            2. Ja het is cryptografisch gegarandeerd en wiskundig bewezen dat het werkt en niet gehackt kan worden”. Lekker overtuigend.

              Zo werkt het toch ook met de https-connectie naar de bank? Ikzelf snap daar de wiskunde en cryptografie niet compleet van. “Let op het slotje”. Maar misschien zijn verkiezingen van een hogere standaard, en moet het allemaal simpel uit te leggen zijn.

              Die online site kan net zo goed liegen dat de stem is meegeteld, dat is echt totaal geen garantie voor een gemiddelde burger.

              Je kan echt checken of de stem heeft meegeteld. Indien de site liegt, dan heb jij een stembewijs met een code die niet is meegeteld. Dan kun je dus een geschillencommissie daar naar laten kijken.

              To break an (electronic) election, you don’t actually need to break it, you just need to cast enough doubt on the result.

              Trump liet mensen aan de uitslag van de verkiezingen twijfelen. Met zo’n code kunnen die mensen dan zelf nagaan of hun stem heeft meegeteld.

              @MathFox

              Op het moment dat ik mijn “unieke” code invoer op een website wordt daarmee het kiesgeheim doorbroken

              Niet per se. Je hoeft niet met een formulier te zoeken, maar kan in de browser zelf zoeken. De site wordt beheerd door de stemcommissie, met leden van alle partijen (die elkaar dus wantrouwen, en elkaar eerlijk houden), dus hoeft geen IP-addressen op te slaan. En je kan het ook compleet analoog houden. Bijvoorbeeld: https://en.wikipedia.org/wiki/Scantegrity

              Daarnaast: hoe controleer ik dat de codes uniek zijn (over het totaal van alle uitgebrachte stemmen)? Wanneer we voor een bepaalde kandidaat codes dubbel uitgeven, kunnen we die kandidaat de helft van de stemmen ontnemen

              Dit is inderdaad een interessant probleem, waar ook oplossingen voor zijn gevonden. Zie bijvoorbeeld Scantegrity of Punchscan. Oplossingen zijn onder andere een systeem waar alleen de stemmer weet wat de stem was (de volgorde van kandidaten is gerandomiseerd), of een code kan overhandigen met een stem voor welke kandidaat dan ook (toevallig voor de partij die voor de deur staat met pistolen).

              1. Zo werkt het toch ook met de https-connectie naar de bank? Ikzelf snap daar de wiskunde en cryptografie niet compleet van. “Let op het slotje”. Maar misschien zijn verkiezingen van een hogere standaard, en moet het allemaal simpel uit te leggen zijn.

                De bank zegt tegen de gemiddelde burger: “Als er een slotje staat en u wordt alsnog gehackt en raakt uw geld kwijt, dan betalen wij dat terug”. Dat is voldoende. Daarnaast weet de burger dat het in het belang van de bank is om niet gehackt te worden. Totaal verschillend dus. En een ‘site waar je kunt checken of je stem meetelt’ is dus totaal niet vertrouwenwekkend.

              2. Scantegrity lijkt me een extra controlelaag op een normaal papieren stembiljet, dat de traceerbaarheid van een individuele stem vergroot. Het maakt verwisselen van stembiljetten lastiger, maar niet onmogelijk: Als de controlecodes op het biljet niet volledig willekeurig zijn is het mogelijk om (paren) biljetten te genereren die dezelfde controlecode produceren voor andere door de kiezer gemaakte keuzes. Als je de kans krijgt om die voor of bij het tellen te verwisselen….

  2. Ik denk dat er niks wezenlijks zou veranderen. Schokgolf, verontwaardiging, andere landen die zullen volhouden dat hun stemcomputers wel veilig zijn, etc… Die plot twist zou snel geopperd worden als mogelijkheid. Als het gelukt was de uitslag ondetecteerbaar te beïnvloeden en dit later bewezen zou worden, dan zouden stemcomputers weer afgeschaft worden en er nieuwe verkiezingen komen. Tja, en als er dan een tijdje een onrechtmatige zetelverdeling is geweest… een nieuwe regering kan alles weer terugdraaien en zal de eerste maanden aangenomen wetten, amvbs etc, opnieuw beoordelen. Iemand zal opperen alle besluiten in een keer terug te draaien, al voor de nieuwe verkiezingen hebben plaatsgevonden, maar gaat niet gebeuren, vanwege de negatieve gevolgen en onzekerheid die dat veroorzaakt. De impact van verkiezingsfraude is denk ik ook niet zo groot in ons land. Vertrouwen in de politiek is er toch al weinig.

  3. Als het enige argument vóór stemcomputers is dat het telproces beter wordt (makkelijker, sneller, minder foutgevoelig), hoef je toch alleen maar het tellen te digitaliseren en niet per se het stemmen zelf? Veel onderwijs-/toetsinstituten nemen meerkeuzetoetsen af waarbij deelnemers met de hand een antwoordenformulier invullen, maar dat formulier wordt daarna machinaal nagekeken. Zoiets moet met stemmen toch ook kunnen?

    Dan is het praktisch om de stembiljetten wat handzamer te maken, maar dat is sowieso een goed idee.

  4. Ik was op een feestje en kwam in gesprek met iemand van wij-vertrouwen-stemcomputers-niet. Hoe waren ze aan die machines zelf gekomen? Volgens hem hadden ze gele bouwvakker’ vestjes aangetrokken, steekwagen mee, bij de balie: “wij komen deze meenemen voor onderhoud”, en er werd geen strobreed in de weg gelegd.

    Ze zijn er toen mee gaan spelen, in hackerspaces, en bij Gonggrijp thuis. Full Tilt! Pinball en Tetris installeren, ik geloof dat het een oude, slecht-gepatchte Windows NT versie was. Uiteindelijk kregen ze ook de stem-applicatie zelf aan de praat en konden ze de code wijzigen. Ze hebben toen een hele rare backdoor ingebouwd, ik weet de precieze details niet meer, maar als er een kandidaat met een bepaalde naam mee zou doen (bijvoorbeeld met de letter “é” als vijfde letter in de achternaam), dan ging 1 op de 5 stemmen, ongeacht werkelijke stem, naar deze kandidaat.

    De machines werden uiteindelijk opgehaald door de overheid. De hacker vertelde me dat iedereen hoopte dat deze machines niet opnieuw werden ingezet, omdat er de kans bestond dat er bij toeval een backdoor-kandidaat meedeed. Iedereen was opgelucht dat de papieren stem terugkwam, en grapte dat als ze de politiek inwilde, dat ze alleen maar de naam van de lijsttrekker te hoeven kiezen.

    Had men opgedraaid voor verkiezingsfraude? Of de gehele verkiezing ongeldig gemaakt? Volgens de hacker had men in ieder geval een stok achter de deur als hun campagne niet was geslaagd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.