Stemmen op papier, hartstikke ouderwets?

De gevaren van internetstemmen ontrafeld

2 oktober 2015
In dit artikel:

Internetstemmen: de politiek schreeuwt erom, expats verwachten het en de meeste kiezers begrijpen ook niet meer waarom er nog steeds met het rode potlood gestemd wordt. Er worden fouten gemaakt met tellen (zie Alphen aan den Rijn [NU13]), de uitslag komt vaak pas na middernacht en bovenal moeten de ruim 700.000 Nederlanders die in het buitenland wonen hun stem nog steeds via de reguliere post aanvragen en terugsturen, zonder enige vorm van zekerheid over hun privacy en het meerekenen van hun stem. Genoeg redenen om eens te kijken waarom het landen om ons heen wel is gelukt om het stembriefje een eenentwintigste-eeuwse vertaling te geven.

Landen als Estland, Frankrijk, Zwitserland en tot voor kort ook Noorwegen, stemmen al jaren via internet. Waarom zijn de experimenten van kiezen op afstand door de Nederlandse regering in 2008 dan gestopt? In 2007 heeft een commissie onder leiding van Frans Korthals Altes in haar rapport Stemmen met vertrouwen helder uiteengezet welke eisen de Nederlandse regering zou moeten stellen aan een verkiezingsproces. [KORT07] Deze acht eisen – transparantie, controleerbaarheid, integriteit, kiesgerechtigdheid, stemvrijheid, stemgeheim, uniciteit en toegankelijkheid – werden destijds onvoldoende ondersteund geacht door de stand van de techniek. We zijn nu acht jaar verder en zoals u weet, heeft de tijd in de IT-sector niet stilgestaan. Wat is er nog over van het oordeel van toen, en wat zijn eventuele nieuwe problemen, hoe organiseren andere landen hun digitale verkiezingen en wat is een mogelijke tijdslijn voor internet-stemmen in Nederland? Dit artikel zal u prikkelen om zich dat af te vragen wanneer er weer wordt geroepen dat het nu écht tijd is om over te gaan op een nieuw systeem.

Aanleiding voor dit artikel is de recent opgelaaide discussie rondom internet-stemmen. [NU14] Politici aan de ene kant van het speelveld begrijpen vaak weinig van de complexiteit van de betrokken IT-systemen en van de bijbehorende risico’s. Aan de andere kant van het speelveld begrijpen de security-evangelisten vaak weinig van de wens om (een selecte groep) stemgerechtigden internetstemmen toe te staan gegeven de risico’s die zij zien. Dit artikel zal u als IT-auditor of anderszins geïnteresseerde een genuanceerd beeld geven van de complexe wereld rondom internetstemmen. Eerst neem ik u mee in twee werelden van waarborgen rondom internetstemmen, die van de politiek en die van de wetenschap. Vervolgens laat ik u zien hoe andere landen vergelijkbare waarborgen hebben gebruikt om hun systeem vorm te geven, waarna ik afsluit met de resultaten van mijn onderzoek [VERB14], die laten zien wat de kosten zijn om het systeem (van internetstemmen) aan te vallen. Vergeet niet dat er genoeg mensen baat bij zouden hebben gehad om het verschil van één Kamerzetel tussen de PvdA en de VVD na de verkiezingen in 2010 om te draaien. Voor u laat ik de huiswerkopgave achter om zelf te bepalen of de resterende risico’s voor u aanvaardbaar zijn.

Waarborgen van internetstemmen

Waarborgen vanuit de politiek

Zoals hierboven beschreven, heeft de commissie-Korthals Altes in haar rapport Stemmen met vertrouwen een eerste aanzet gegeven om eisen op te stellen die voor stemsystemen in het algemeen gelden. [KORT07] Dit zijn eisen die vervolgens getoetst kunnen worden op verschillende soorten verkiezingen, zoals die per brief ­(de huidige vorm voor Nederlanders die buiten Nederland wonen), een stemcomputer (zoals in het verleden in Nederland al eens gebruikt), het rode potlood (de huidige methode), alsook via internet (het onderwerp van dit artikel). Gezien deze brede toepassing, verbaast het niemand dat de waarborgen vrij hoog-over zijn beschreven, en dat ze nooit voor honderd procent kunnen worden gehaald door één stemsysteem. Dit heeft de commissie zelf ook onderkend, vandaar dat zij zich ook gewaagd heeft aan een kleine case study voor zowel brief- als internetstemmen. Maar eerst, wat houden die waarborgen precies in, wat verwacht Nederland van een stemsysteem? Hieronder kort de lijst van waarborgen, overgenomen uit het commissierapport. [KORT07, p5]

Transparantie. Het verkiezingsproces moet zó zijn ingericht, dat het helder van structuur en opzet is, zodat in beginsel iedereen inzicht in de structuur ervan kan hebben. Er zijn in het verkiezingsproces geen geheimen. Vragen moeten beantwoord kunnen worden; de antwoorden moeten controleerbaar en verifieerbaar zijn.

Controleerbaarheid. Het verkiezingsproces moet objectief controleerbaar zijn. De controle-instrumenten kunnen, afhankelijk van de vorm van stemmen waartoe wordt besloten, verschillen.

Integriteit. Het verkiezingsproces moet correct verlopen en de uitkomst mag niet beïnvloedbaar zijn anders dan door het uitbrengen van rechtmatige stemmen.

Kiesgerechtigdheid. Alleen kiesgerechtigde personen mogen aan de verkiezing deelnemen.

Stemvrijheid. Iedere kiesgerechtigde moet bij het uitbrengen van zijn of haar stem zijn of haar keuze in alle vrijheid, vrij van beïnvloeding, kunnen bepalen.

Stemgeheim. Het moet onmogelijk zijn om een verband te leggen tussen de identiteit van de persoon die de stem uitbrengt en de inhoud van de uitgebrachte stem. Het proces moet zodanig zijn ingericht, dat het onmogelijk is de kiezer te laten aantonen hoe hij of zij gestemd heeft.

Uniciteit. Iedere kiesgerechtigde mag, gegeven het Nederlandse kiesstelsel, één stem per verkiezing uitbrengen, die bij de stemopneming precies één keer meegeteld mag en moet worden.

Toegankelijkheid. Kiesgerechtigden moeten zoveel mogelijk in de gelegenheid gesteld worden om direct deel te nemen aan het verkiezingsproces. Indien dat onmogelijk is, moet de mogelijkheid openstaan om indirect – door het verlenen van een volmacht – aan de verkiezing deel te nemen.

Interessant is vervolgens, om vast te stellen hoe internetstemmen in 2007 (toen het rapport geschreven werd) scoorde op deze waarborgen. De commissie-Korthals Altes heeft vrij uitgebreid uiteengezet wat haar overwegingen waren ten aanzien van de verschillende waarborgen en kwam tot het volgende:

Transparantie. Er kan alleen sprake zijn van volledige transparantie indien de gebruikte programmatuur open-source is. Daarnaast bevindt een groot deel van de infrastructuur waar deze programmatuur op draait, zich om reden van beveiliging in een niet-toegankelijk gedeelte waardoor het lastig te controleren is of de beschikbaar gestelde broncode daadwerkelijk op die infrastructuur draait. Dit linkt ook sterk aan de waarborg controleerbaarheid.

Controleerbaarheid. Een ander probleem rondom controleerbaarheid dat gesignaleerd is door de commissie, is de hoge mate van ­complexiteit die het systeem met zich meebrengt, waardoor alleen materiedeskundigen kunnen begrijpen hoe het systeem werkt.

Integriteit. De commissie geeft hier aan dat eenzelfde mate van integriteit als internetbankieren of processen bij de overheid niet gehaald wordt, omdat er onvoldoende mogelijkheden zijn om een logboek bij te houden van de plaatsgevonden activiteiten in verband met het stemgeheim.

Kiesgerechtigdheid. Het controleren van de kiesgerechtigdheid is volgens de commissie lastiger dan in een fysieke verkiezing. Hier maakt de commissie de vergelijking tussen het kunnen controleren van een fysieke handtekening en methoden om dit digitaal te doen. Voorbeelden als biometrie of ’codes’ kunnen volgens de commissie stuiten op problemen met het stemgeheim respectievelijk het probleem van het ontvreemden of kopiëren van die codes.

Stemvrijheid. Alle vormen van kiezen op afstand staan niet onder de controle van daartoe bevoegde personen, en kunnen zodoende plaatsvinden onder dwang. De commissie haalt problemen met zogenaamd family voting aan, waarbij een dominant gezinslid (bijvoorbeeld de vader in gelovige gezinnen) bepaalt wat het gezin stemt. De commissie geeft aan dat de problemen die zich hierbij nu in het reguliere verkiezingsproces voordoen, gemakkelijker worden gemaakt in stemmen op afstand (bijvoorbeeld via internet).

Stemgeheim. Voor het stemgeheim geldt volgens de commissie hetzelfde als voor stemvrijheid.

Uniciteit. Hier verwijst de commissie terug naar de controleerbaarheid en integriteit van het systeem.

Toegankelijkheid. Aanvallen tegen de beschikbaarheid van het systeem worden hier genoemd als voornaamste probleem voor de toegankelijkheid voor het systeem.

Interessant om te zien, is dat de meeste van de problemen die de commissie signaleert nog steeds relevant zijn in 2015. Het valt echter op dat allerlei vormen van hacking, malware en spionage, zoals we die afgelopen jaren voluit in de media hebben ervaren, in 2007 nog niet op de radar van deze commissie stonden. De grootste problemen die men nu voorziet voor internetstemmen concentreren zich rond die thema’s.

Waarborgen vanuit de wetenschap

In de wetenschap wordt voornamelijk gekeken naar twee thema’s als het gaat om internetstemmen: privacy en controleerbaarheid. Dit zijn thema’s die wat meer generiek van aard zijn dan de waarborgen uit de Nederlandse politiek, maar nog steeds een fors deel daarvan bevatten. Er bestaat een groot spanningsveld tussen deze twee waarborgen: hoe zorg ik ervoor dat een stem volledig anoniem is terwijl de kiezer zich er wel van kan overtuigen dat zijn stem correct is meegenomen in de telling?

Privacy

In de literatuur worden verschillende niveaus van privacy onderscheiden, plus enkele losse eigenschappen die nog van toepassing zouden kunnen zijn. Voordat we ingaan op deze vormen van privacy is het goed om een idee te krijgen van de wijze waarop die vormen worden getest. Het wetenschappelijk vakgebied rondom internetstemmen is zeer mathematisch van aard, waardoor de privacy-eigenschappen binnen een stemsysteem nauwkeurig bewezen worden. Vaak wordt eerst een mathematisch model gecreëerd van het stemsysteem en vervolgens worden daar processen met input- en outputparameters voor gedefinieerd. Ten slotte worden  beperkingen (constraints) aan verschillende eigenschappen gesteld; een identificatienummer moet bijvoorbeeld uniek zijn. Daarna kan binnen dit systeem haast eindeloos gerekend worden, en kunnen eigenschappen bewezen worden om tot een uitspraak te komen over de volgende privacy-eigenschappen van zo’n stemsysteem:

Stemgeheim (ballot secrecy): er is na een verkiezing geen mogelijkheid om een stem terug te leiden tot een individuele kiezer (dit is het eerste deel van de Nederlandse waarborg stemgeheim).

Stem zonder ontvangstbevestiging (receipt freeness): er is zelfs voor de kiezer geen mogelijkheid om te bewijzen wat hij of zij gestemd heeft (dit is ook onderdeel van de Nederlandse waarborg stemgeheim). Dit om te voorkomen dat iemand zijn stem weet te verkopen voor de verkiezing, en achteraf het bewijs aan de koper kan tonen.

Stem vrij van dwang (coercion resistance): er is geen mogelijkheid, zelfs niet onder dwang, dat een kiezer niet vrij kan kiezen (dit is de Nederlandse waarborg stem-vrijheid). Vaak wordt dit bereikt door procedures rondom de digitale verkiezing, zoals oneindig herstemmen. Elke herstem overschrijft de vorige stem. De stemmer heeft dus de gelegenheid om een eventuele stem onder dwang te herstellen en zo de dwang ongedaan te maken. Door deze eigenschap kan dwang alleen plaatsvinden aan het eind van de stemperiode, omdat de stemmer na het sluiten van de digitale stembus niet meer de gelegenheid heeft om zijn of haar afgedwongen stem te herstellen.

Verschillende vormen van internetstemmen zijn onderworpen aan mathematische testen om vast te stellen aan welke van deze privacy-vormen een stemsysteem voldoet. Voor een toepassingsgebied, zoals dat in Nederland, wordt vaak eerst gekeken welke eisen er gehaald zouden moeten worden. Vervolgens worden ze getest op verschillende voorstellen en worden eventueel aanpassingen gedaan aan de voorstellen, zodat ze voldoen aan de eisen.

Controleerbaarheid

Binnen het thema controleerbaarheid wordt vaak het onderscheid gemaakt tussen de controleerbaarheid voor de kiezer van zijn eigen stem (individual verifiability) en de controleerbaarheid van de stemmen van alle kiezers (universal verifiability). In Nederland zien we dat bij het rode potlood ook terug: u kunt zelf de gehele dag aanwezig zijn in het stembureau als toeschouwer, zelfs bij de telling. U kunt, door het aanschouwen van de methodiek die daarvoor gebruikt wordt, indirecte zekerheid vergaren over de correcte afhandeling van alle stemmen in dat stembureau (universal), en daarmee indirect ook die van uw stem (individual). Een manier die meer aansluit op digitale verkiezingen splitst de verschillende controles uit in de volgende processtappen.

Geplaatst-zoals-bedoeld (cast-as-intended): dit heeft met de verifieerbaarheid van een ingevuld (digitaal) stembiljet te maken. Kan ik verifiëren of het briefje dat ik in de bus stop inderdaad mijn stem representeert? Een voorbeeld waarbij dit niet mogelijk is, was de stemcomputer zoals die vroeger in het stemhokje stond: je drukte op een knop, maar hoe je digitale briefje precies werd ingevuld was niet verifieerbaar. Digitaal hebben we het hier over de inhoud van een versleutelde stem: kan ik controleren of die mijn stem representeert?

Opgeslagen-zoals-geplaatst (recorded-as-cast): komt mijn stem bij de stemautoriteiten aan zoals ik hem geplaatst heb? Is er bijvoorbeeld geen mogelijkheid meer om mijn stembiljet te veranderen? In België zijn gevallen bekend van stemmen op papier, waarbij de stemmentellers potloodresten onder hun nagelriem hadden, en stemmen op de ‘verkeerde’ partij ongeldig verklaarden door een extra vakje in te kleuren. Bij digitaal stemmen luidt de vraag: ‘Kan ik er digitaal zeker van zijn dat er niet meer met mijn stem gerommeld kan worden?’. Dit wordt vaak opgelost met een digitale handtekening onder een stem. Dat klinkt evident, maar denk daarbij terug aan het stukje privacy: hoe voorkom ik hiermee dat stemmen herleidbaar zijn naar de kiezer? Daar is het klassieke spanningsveld tussen controleerbaarheid en privacy.

Geteld-zoals-opgeslagen (counted-as-recorded): als alle stemmen vervolgens correct bij de stemautoriteiten binnen zijn, is het van belang dat de stem correct wordt geteld zoals opgeslagen. Zeker wanneer er oneindig herstemd kan worden, is het van belang om volgens de vooraf afgesproken regels stemmen te verwijderen alvorens te tellen.

Het geheel van geplaatst-zoals-bedoeld en opgeslagen-zoals-geplaatst (de eerste twee processtappen) is herkenbaar als individuele verifieerbaarheid, terwijl geteld-zoals-opgeslagen (de derde processtap) zowel geldt voor de meetelling van de stem van de individuele kiezer, als voor een correcte optelling van alle stemmen. Dit is weergegeven in figuur 1.

Schermafbeelding 2015-09-30 om 15.45.04

Het spanningsveld tussen stemgeheim en controleerbaarheid van de stem komt zowel tot uiting in het digitale domein als het fysieke domein. Om daar een stap in te maken, is er onderscheid te maken in classical versus constructive verifieerbaarheid: kan ik de individuele stem herkennen (classical) in het gehele verifieerproces, of dien ik te steunen op indirect bewijs (constructive). [PIET06] We zagen hierboven een voorbeeld uit het papieren stemproces, waar we door eigen aanwezigheid in het stembureau kunnen steunen op indirect bewijs voor onze eigen stem, maar op
direct bewijs (de stapel stembiljetten) voor de gehele populatie. In het digitale domein is er iets vergelijkbaars mogelijk. Hier worden versleutelde stemmen ontdaan van de handtekening, en vervolgens door elkaar gehusseld voordat ze worden ontsleuteld. Tussen het ontdoen van de handtekening en het door elkaar husselen (‘schudden’) en tijdens het schudden zelf, is er echter de optie om stiekem stemmen toe te voegen of stemmen te wijzigen of vervangen. Daar is een tweetal oplossingen voor bedacht. Een daarvan is om een auditor te laten toezien op de gebruikte software en vaststellen dat het proces correct is verlopen.
Een andere oplossing is sterk mathematisch van Schermafbeelding 2015-09-30 om 15.48.41aard en verschaft ’harder’ bewijs over deze stap. Hier wordt een wiskundig bewijs geleverd over het correct schudden van de stemmen, alsof een wiskundige toeziet op het omkeren van de bak met stemmen op de teltafel en kijkt of er met opgestroopte mouwen wordt geschud. Nadat men weet dat die stap correct is verlopen, kan over worden gegaan op het ontsleutelen van de stemmen, om ze vervolgens te tellen. Figuur 2 toont hoe het schudden er grofweg uitziet.

Politici begrijpen weinig van IT-systemen en – risico’s

Internetstemmen in omliggende landen

We hebben in het voorafgaande kort gekeken naar eisen die vanuit de politiek respectievelijk vanuit de wetenschap worden gesteld aan een stemsysteem in Nederland. We hebben hierbij de overeenkomsten en verschillen in eisen besproken en hebben een beeld verkregen hoe we een stemsysteem zouden moeten beoordelen. Hierna gaan we in op de wijze waarop andere landen hieraan handen en voeten hebben gegeven.

In ons omliggende landen wordt al een tijd via internet gestemd. Over elk van de eerder genoemde waarborgen en eisen is in die landen nagedacht. Landen hebben individueel de afweging gemaakt om bepaalde eisen wel of niet mee te nemen in het ontwerp van hun verkiezingsproces, of om er bijvoorbeeld procesmatige beheersmaatregelen voor in te richten. Om gevoel te krijgen bij hoe zo’n verkiezingsproces in de praktijk werkt, volgen twee casussen. In de twee casussen is het uitgangspunt heel verschillend.

Schermafbeelding 2015-09-30 om 15.54.43

Estland

Estlanders die in Estland, dus niet in het buitenland, wonen stemmen al sinds 2005 via internet. In Estland is het uitgangspunt om het proces zoveel mogelijk overeenkomstig het briefstemproces in te richten waardoor het systeem gemakkelijk uit te leggen is aan de kiezers. Zij kunnen zich er een voorstelling van maken hoe het geheel ongeveer werkt, zonder diepe kennis van IT of wiskunde te hebben. Grofweg komt het erop neer dat iemand in Estland een week de mogelijkheid heeft om via internet te stemmen, en dat dan zo vaak mag doen als hij of zij wil. Iedereen die geen gebruikmaakt van die optie kan na die week op de verkiezingsdag fysiek stemmen. Het digitale verkiezingsproces in Estland laat zich globaal samenvatten in figuur 3. Hierin is in het blauwe blok te zien wat er in de stemapplicatie op de computer van de kiezer gebeurt: eerst wordt de stem versleuteld op zo’n manier dat alleen de autoriteiten de stem kunnen ontsleutelen, waarna de stem wordt ondertekend met de digitale identiteit van de kiezer. De stem gaat vervolgens via internet naar de autoriteiten, waar uiteindelijk de laatste stem van elke kiezer wordt doorgestuurd naar een cleansing server waar de identiteit van de kiezer wordt verwijderd en de stemmen worden geschud. In Estland is ervoor gekozen om die processen te laten controleren door een auditor. Vervolgens wordt de sleutel van de autoriteiten gebruikt om de geschudde set stemmen te ontsleutelen en op te tellen om tot een resultaat te komen.

De privacy van het systeem voldoet op dit globale niveau aan alle drie gangbare privacy-eisen (stemgeheim, stem vrij van ontvangstbevestiging en stem vrij van dwang). De controleerbaarheid is in deze overzichtsplaat niet opgenomen, maar komt neer op de controle van het correct opslaan van de bedoelde stem door de autoriteiten (opgeslagen-zoals-bedoeld) op individueel niveau. Het proces om de stemmen correct te tellen wordt gewaarborgd door het toezicht van de auditor op de servers en het proces.

Al het werk dat de auditor doet en de installatie en configuratie van de servers voor het internetstemmen, worden opgenomen met een camera en vervolgens op YouTube geplaatst (zie de video’s: [EHK14]). December 2014 is er op een hackerscongres in Hamburg (Chaos Communication Congress) aan de hand van die publieke video’s getoond hoe moeilijk het is om het hele digitale verkiezingsproces te beveiligen. [HALD14] Interessante bevindingen die prof. Halderman meldde waren onder andere het gebruik van privélaptops met torrents en privé-USB-sticks met muziek voor de installatie van het server side deel van de stemapplicatie en het besturingssysteem op de verkiezingsservers; en briefjes aan de muren met wachtwoorden voor het ad-hocnetwerk dat werd gebruikt voor de configuratie. Deze beveiligingsinbreuken lijken eenvoudig te voorkomen te zijn, maar zoals gewoonlijk vormt ook hier de mens de zwakste schakel.

Schermafbeelding 2015-09-30 om 15.58.02

Noorwegen

Noorwegen heeft grofweg tussen 2012 en 2014 geëxperimenteerd met een digitaal verkiezingsproces voor enkele van haar gemeenten. Het uitgangspunt dat ten grondslag lag aan het proces is duidelijk vanuit de wetenschappelijke literatuur ingestoken. Zo zijn er verfijnde mathematische foefjes gebruikt om meer zekerheden over bijvoorbeeld de privacy en de uitslag van de verkiezingen af te geven, analoog aan de eerder beschreven methoden. Figuur 4 toont het digitale verkiezingsproces. Hierbij valt op dat er, ondanks de grote overeenkomsten met het systeem in Estland (zie figuur 3), ook verschillen zijn. Dit maakt het systeem vanuit wetenschappelijk opzicht erg interessant.

  • Er is voor gekozen om de decryptiesleutel, die wordt gebruikt om stemmen te ontsleutelen, op te delen in stukken en die te verspreiden onder de verschillende politieke partijen. Een meerderheid (60 procent) van die stukjes is nodig om de decryptiesleutel te reconstrueren en de stemmen te kunnen tellen (posities 9 en 10). Natuurlijk geven alleen partijen die vinden dat het stemproces eerlijk verlopen is hun stukje van de decryptiesleutel af. Om tot 60 procent van die stukjes te komen, moet dus een meerderheid van de partijen akkoord zijn met het stemproces zoals dat is verlopen. Dit is de enige mogelijkheid om de decryptiesleutel te herstellen, en daarmee de uitslag te bepalen.
  • De Noren maken gebruik van digitaal schudden om de stemmen onherleidbaar te maken voordat ze worden ontsleuteld (tussen posities 7 en 8).
  • In het Noorse verkiezingsproces worden alle stappen om van een set stemmen tot een uitslag te komen voorzien van mathematische bewijsstukken (niet in de figuur meegenomen) die, na een review door de auditor vervolgens publiek worden gemaakt.
  • Op een publieke website (github) worden alle binnengekomen stemmen (onherkenbaar) gepubliceerd zodat alle aangeleverde mathematische bewijzen kunnen worden gecontroleerd. Elke individuele kiezer kan controleren of zijn stem onherkenbaar is terug te vinden op die publieke website (posities 4 en 5), en wordt daar extra van verzekerd door nog een ander bewijs dat zij via sms ontvangen (niet afgebeeld).

De Noren hebben in de zomer van 2014 besloten om de pilot rondom internetstemmen stop te zetten. De reden hiervoor is een inbreuk op een van de waarborgen, maar wel eentje die niet voor de hand ligt: transparantie/controleerbaarheid. De Noren beseften dat het systeem dat ze ontworpen hebben alleen écht te begrijpen is door mensen die inzicht hebben in zowel IT, wiskunde als verkiezingen. Hiermee was het voor de gewone kiezer niet meer te doorgronden wat er met zijn of haar stem gebeurde, en was het vertrouwen van de kiezer in het verkiezingsproces dan ook moeilijk te winnen.

Kosten om internetstemmen te kraken

De voorbeelden van implementaties van internetstemmen in Estland en Noorwegen laten zien dat het zeer complex is om een solide verkiezingsproces te ontwerpen dat voldoet aan de vereiste waarborgen voor verkiezingen. Een van de opties is om het proces zeer mathematisch in te richten, maar daarbij de gewone kiezer niet te kunnen inlichten over wat er precies gebeurt. Een andere optie is om veel over te laten aan procedures en deze te laten auditen door een auditor. Zoals uit de voorbeelden blijkt, hebben beide vormen van implementatie elk hun tekortkomingen.

De eerder geïdentificeerde tekortkomingen in de waarborgen uit 2007, te weten hacking, malware en spionage, zijn hierin nog niet meegenomen. In deze paragraaf ga ik dieper in op enkele van de consequenties die deze tekortkomingen met zich meebrengen.

Voor een zo exact mogelijke analyse heb ik er in mijn onderzoek voor gekozen om de thematiek rondom hacking, malware en spionage zo veel mogelijk kwantitatief mee te nemen in de benadering van risico’s bij internetstemmen. Concreet houdt dit in dat ik een model heb ontworpen dat handvatten geeft om voor een verkiezingsproces uit te rekenen wat de kosten zijn om een dergelijk proces te ontwrichten of te kraken. Aangezien er verschillende manieren zijn om dat te doen, bijvoorbeeld door stemmen te publiceren of door stemmen te manipuleren, laat het model toe verschillende scenario’s door te rekenen. Kortweg komt het erop neer dat de verschillende scenario’s van aanvallen op het verkiezingsproces worden uitgewerkt in concrete stappen die een aanvaller dient te nemen om zijn doel te bereiken, waarna de verschillende stappen in kosten worden uitgedrukt. Per scenario kunnen er verschillende manieren zijn om zo’n stappenplan op te zetten, en hetzelfde geldt voor substappen. Door steeds de goedkoopste optie te kiezen, is te bepalen wat het goedkoopste stappenplan voor een aanvaller is om zijn doel te bereiken. Vervolgens licht ik kort toe hoe dit in zijn werk gaat in het Estse verkiezingsproces en geef ik de daarbij behorende bedragen die een aanvaller zal moeten investeren om tot zijn doel te komen. Maar eerst geef ik in de volgende paragraaf als achtergrond enige extra informatie over het Estse verkiezingsproces.

Extra informatie over het Estse verkiezingsproces

Om een aanvallersscenario te kunnen opstellen, is iets meer kennis nodig van het Estse stemsysteem. Zo wordt de stemapplicatie waarmee een kiezer zijn stem uitbrengt gepubliceerd op de eerste dag van de internetverkiezingen. De applicatie maakt gebruik van een via USB verbonden kaartlezer, waarmee de applicatie kan samenwerken met de Estse ID-kaart. De Estse ID-kaart is uitgerust met cryptografische sleutels om digitale handtekeningen te zetten. De stemapplicatie doet dat laatste nadat de stem is versleuteld in de stemapplicatie. De versleutelde stem wordt dan naar de ID-kaart verstuurd, die hem digitaal ondertekent en terugstuurt naar de stemapplicatie. De stemapplicatie kan de stem dan doorsturen naar de Estse autoriteiten.

De verifieerbaarheid van de stem werkt als volgt: elke ingediende stem die bij de autoriteiten binnenkomt, krijgt een uniek nummer toegewezen dat wordt verzonden naar de stemapplicatie van de kiezer. Elke stem zelf is opgebouwd uit de keuze voor een kandidaat of partij, plus een willekeurig door de stemapplicatie zelf gegenereerde code. Na het opsturen van de stem ontvangt de kiezer een QR-code die de willekeurige code afkomstig van de stemapplicatie én het door de autoriteiten toegewezen nummer bevat. Wanneer die QR-code wordt gelezen met een speciale app op een mobiele telefoon, wordt bij de autoriteiten de bijbehorende stem opgehaald en wordt aan de hand van de keuze én de willekeurige code de stem ’nagebouwd’ en vergeleken met die van de autoriteiten. Als er een match is, is de stem dus correct overgekomen. Dit is terug te vinden in figuur 5 (overigens wijkt mijn beschrijving iets af van de tekst in de figuur met betrekking tot het unieke nummer van de autoriteiten). Zie ook de volgende zeer duidelijke uitleg: Verification of Internet votes.

Schermafbeelding 2015-09-30 om 15.59.33

Security-evangelisten begrijpen weinig van de wens om internetstemmen toe te staan

Manipuleren van stemmen

Wanneer op de computer van een individuele kiezer de stemapplicatie kan worden overschreven met een versie die gemanipuleerd is door een hacker, kunnen de stem én de verificatie door de kiezer worden gemanipuleerd. Dat werkt als volgt: de kiezer kiest in de nepapplicatie voor een partij of kandidaat en gaat ervan uit dat die keuze naar zijn ID-kaart wordt gestuurd. In feite wordt echter een andere keuze doorgestuurd. Aangezien de ID-kaart geen methode heeft om te verifiëren of de keuze van de kiezer overeenkomt met hetgeen hem wordt gevraagd om te ondertekenen, kan de ID-kaart niets anders dan de stem accepteren en ondertekenen. Deze stem wordt vervolgens versleuteld en ondertekend naar de autoriteiten verstuurd.

Om het proces van verificatie door deze kiezer te omzeilen, worden in de QR-code in plaats van het echte nummer en de echte willekeurige code van deze stem die van een andere kiezer geplaatst. Hiervoor zijn dus nummers en codes nodig van kiezers die ook de intentie hadden om op deze partij of kandidaat te stemmen en waarvan de stem wél is doorgelaten. Dit werkt dus alleen in een grotere opzet, zoals beschreven in de volgende paragraaf.

Aanvallersscenario

Om dit in een grotere opzet te laten slagen zijn, zoals besproken, dus meer stemmen nodig die wél worden doorgelaten voordat stemmen op die partij of kandidaat kunnen worden gemanipuleerd. Zo zou bijvoorbeeld eerst een stem op de D66 moeten worden doorgelaten, voordat alle stemmen op de D66 kunnen worden gemanipuleerd naar bijvoorbeeld de VVD. Alle verificatiestappen van kiezers waarvan de stem is gemanipuleerd stromen dan naar die ene stem op de D66 die wél is doorgelaten.

De computers die je van zo’n nepapplicatie zou willen voorzien, moeten echter eerst binnen het bereik van de hacker komen. Dit lijkt misschien lastig, maar blijkt zeer eenvoudig te zijn. Er bestaan online markplaatsen waar gehackte computers worden verkocht voor maximaal 200 euro per 1000. De hacker kan zijn bestelling nader specificeren, bijvoorbeeld in welk land de computers moeten staan. Een hacker kan zich met die aankoop toegang verschaffen tot die computers, en zo zijn nepapplicatie verspreiden. Uiteraard hebben de autoriteiten overal voelsprieten op dit soort marktplaatsen, en zijn er ook met opzet verhandelde computers besmet met spyware om te zien wat er met dat soort aankopen wordt gedaan. Een slimme hacker zorgt er dus voor dat hij ruim van tevoren zijn aankoop doet, en wacht tot de verkiezingen er daadwerkelijk zijn. Vervolgens verspreidt hij de nepapplicatie en manipuleert zo de stemmen.

Dan rest nog de vraag: hoe makkelijk het is om zo’n nepapplicatie te maken? In Estland kostte dit een student ongeveer vijf dagen. [ERR11] Hij kon er pas aan beginnen nadat de stemapplicatie beschikbaar kwam. Aangezien in Estland de stemapplicatie pas beschikbaar is op de eerste stemdag, loopt een aanvaller dus kiezers mis die stemmen op de dagen dat hij nog bezig is om de nepapplicatie te maken. Daarnaast is het zo dat niet elk van die 1.000 computers die hij heeft gekocht wordt gebruikt voor internetstemmen. De aanvaller zal dus een behoorlijke marge moeten hebben in zijn aankoop, wil hij de verkiezingen zo manipuleren dat het een zetel verschil maakt.

Kosten van een aanval

Door gebruik te maken van de beschikbare statistieken van de Estse internetverkiezingen heb ik bij benadering de marge kunnen bepalen die iemand nodig heeft in zijn aankopen. Zo moet een aanvaller de dagen dat hij nog geen stemmen kan manipuleren omdat hij zijn nepapplicatie aan het schrijven is, als verloren beschouwen. Figuur 6 toont op verschillende tijdstippen van de verkiezingsdagen in Estland (horizontale as) het aantal stemmen per dag (verticale as). Hier kan een aanvaller mee bepalen hoeveel verlies hij moet nemen voor die eerste stemdagen. Verder wordt niet elke computer in Estland gebruikt om mee te stemmen. Statistiek vanuit Estland over het aantal computers in het land, en het aantal unieke computers dat is gebruikt voor internetstemmen stellen de marge tussen het kopen van computers en het hebben van succes ook bij. Met deze, en meer van zulke voorbeelden, kon ik berekenen hoeveel kosten de aanvaller kwijt is aan het kopen van de computers. Verder zijn enkele andere kosten meegenomen die een aanvaller moet maken om de hele infrastructuur voor zo’n aanval op te zetten. Vervolgens heb ik berekend wat een aanval in Estland zou moeten kosten om één zetel te bemachtigen in het Estse parlement. De totale kosten voor één zo’n zetel zijn 37.000 euro, elke vervalste stem daar bovenop kost zes euro.

Analoog aan deze aanval, heb ik nog twee scenario’s doorgerekend. Om elk uur van de verkiezing één relatie tussen een kiezer en zijn stem te publiceren, moet een aanvaller een ruime 3.000 euro investeren; en om met een aanval vanuit Estland zelf het systeem onbereikbaar te maken heeft een aanvaller ongeveer 8.000 euro nodig.

Schermafbeelding 2015-09-30 om 16.04.43

Conclusie

In dit artikel ben ik ingegaan op de argumenten om internetstemmen als verkiezingsvorm te accepteren. Ik heb vervolgens uitgelegd wat voor eisen er dan aan zo’n systeem gesteld zouden kunnen worden en hoe die eisen in Estland en Noorwegen geïmplementeerd zijn in een systeem. Ik heb daarna laten zien welke mogelijkheden een aanvaller heeft om het systeem aan te vallen. Vervolgens heb ik dat vertaald naar kosten. Op basis hiervan kan iedereen zelf de afweging maken hoe realistisch het is dat zo’n aanval daadwerkelijk plaatsvindt. Een relevante vraag hierbij is wat iemands motivatie zou zijn om het systeem aan te vallen en wat hij (of zijn opdrachtgever) daar mogelijk zelf (indirect) aan verdient. Denk bijvoorbeeld aan het verschil van één Kamerzetel tussen de VVD en de PvdA na verkiezingen in 2010. Met relatief lage kosten zou een aanvaller in zo’n geval een compleet kabinet kunnen beïnvloeden, met bijvoorbeeld grote gevolgen voor ondernemingen in Nederland of militaire deelname in het buitenland. Ook breng ik de cyberaanvallen op Estland in 2007 in herinnering. De vraag is dan of de gemakkelijkere toegang tot stemmen opweegt tegen de potentiële gevolgen van dat gemak. Precies die afweging is het, die de Nederlandse regering nu moet maken. Ik hoop dat zij net zo kwantitatief naar het democratisch bestel kijken als ik.

Literatuur

[EHK14] Ehk Videod (video’s), https://www.youtube.com/channel/UCTv2y5BPOo-ZSVdTg0CDIbQ/videos (geraadpleegd op 29 juli 2015).


[ERR11] ERR (website van de Estse publieke omroep), http://news.err.ee/v/politics/ed695579-af05-48ab-8cc0-3085e5f0c56c (geraadpleegd op 29 juli 2015).


[GUAS2013] Guasch, Sandra, Cryptographic Protocols for Transparency and Auditability in Remote Electronic Voting Schemes, Spain Cryptography Days 2011, http://www.scytl.com/wp-content/uploads/2013/05/Cryptographic_protocols_for_pproviding_transparency_and_auditability_in_remote_electronic_voting_schemes.pdf (geraadpleegd op 29 juli 2015).


[HALD14] Halderman, J.A. (video), Security Analysis of Estonia’s Internet Voting System https://www.youtube.com/watch?v=PT0e9yTD2M8  (geraadpleegd op 29 juli 2015).


[KORT07] Altes, Korthals (commissierapport) Stemmen met vertrouwen, Adviescommissie inrichting verkiezingsproces, 2007, http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2007/09/27/stemmen-met-vertrouwen-adviescommissie-inrichten-verkiezingsproces.html, (geraadpleegd op 29 juli 2015).


[NU13] Nu.nl, http://www.nu.nl/politiek/3634087/hertelling-stemmen-verkiezingen–alphen-rijn.html (geraadpleegd op 29 juli 2015).


[NU14] Nu.nl, http://www.nu.nl/internet/3875429/proef-met-internetstemmen-nederlanders-in-buitenland.html (geraadpleegd op 29 juli 2015).


[PIET06] Pieters, W., What proof do we prefer? Variants of verifiability in voting, 2006, http://doc.utwente.nl/65114/1/Verifiability.pdf, (geraadpleegd op 29 juli 2015)


[PUIG10] Puiggali, Jordi, Universally Verifiable Efficient Re-encryption Mixnet, July 2010, http://www.scytl.com/wp-content/uploads/2013/05/Universally_Verifiable_Efficient_Re_encryption_Mixnet_ppt.pdf (geraadpleegd op 29 juli 2015).


[TREC10] Trechsel A.H., Vassil K., Internet voting in Estonia-A comparative analysis of four elections since 2005, Council of Europe, 2010.


[VERB14] Verbij MSc, R.P., Dutch e-voting opportunities; Risk assessment framework based on attacker resources, 2014 http://essay.utwente.nl/65811/1/Verbij_MA_EMCS.pdf, (geraadpleegd op 29 juli 2015).

R.P. (Ruud) Verbij MSc

Ruud Verbij is consultant op het gebied van informatiebeveiliging bij KPMG. Voor zijn masterdiploma Computer Security (Universiteit Twente) heeft Ruud zich verdiept in de wondere wereld van het internetstemmen en de kansen die dat biedt voor Nederland. Het leverde hem de Joop Bautz Information Security Award voor de beste IT-Securityscriptie 2014 op.