Slik løser evalg sikkerhetsproblemene

Evalg-løsningen Norge har kommet opp med vil bli testet ut i lavprofils valg til høsten. 1. november er det akseptansetest på koden, det vil si at koden i sin helhet har blitt overlevert til Kommunal- og regionaldepartementet (KRD) for gjennomgang.

Ifølge seniorrådgiver Christian Bull i departementet har det vært en lang vei dit. Den største utfordringen som har måttet la seg løse, er hvordan løsningen skal ivareta utfordringene i forhold til sikkerhet og demokrati. Bull omtaler de to som ganske sammenvevd.

- Jeg pleier å si at sikkerhetskravene er operasjonalisering av en del demokratiske prinsipper. Vi mener vi har løst betydelige problemer, sier han.

Det virkelig store problemet har angått sikkerhet på klientsiden.

- Hvordan sette Evalg på lufta i en verden fylt av virus og trojanere? Mange akademikere har drømt om å løse dette problemet, men vi har satt det i praksis på en forholdsvis elegant måte. Løsningen kommer aldri til å danse ballett, men kan spise pent, sier Bull.

Storskala konspirasjon må til

I korte trekk kan man si løsningen har blitt kryptografi. Bull og hans kolleger i Evalg-prosjektet har funnet en måte å fortelle stemmeren hva som er stemt, uten at departementet på noe tidspunkt vet hva som er stemt.

- En angriper kan ikke endre stemmen uten at stemmeren vet det. Det gjør det vanskelig å manipulere stemmer, forteller Bull.

Et eventuelt angrep krever nemlig en storskala konspirasjon og usannsynlig mye penger.

- Det er mye som skal kontrolleres. Hvis alle konspirerer mot velgerne, kan et angrep lykkes. Og man vet jo at myndighetene i Norge ikke utgjør en eneste stor konspirasjon mot folket, selv om løsningen tåler at det eventuelt kan finnes elementer av det. Det er komplisert, sier Bull, som dog legger til at løsningen nok ikke hadde vært ideell for absolutt alle verdens land.

Slik er stemmeflyten

Han skisserer stegene systemet tar velgeren gjennom: I god tid før valget lages det individuelle returkoder til hver velger, som bare velgeren forstår. Kodene trykkes på en sikker måte, grunnlaget destrueres hos KRD, og sendes så til velgerne.

Når velgerne skal stemme, logger de seg på via MinID. De fylles ut stemmen i klartekst, og trykker på send-knappen. Så lastes det inn en applet som krypterer stemmen.

- På dette tidspunktet kunne i prisnippet en trojaner avskåret forsendelsen og endret stemmen, før den ble kryptert, sier Bull.

Stemmen går deretter gjennom en kryptografisk prosess, hvor KRD, uten å dekryptere, kalkulerer en returkode. Koden betyr ingen ting, men stemmeren kan sammenligne mot koden som ble mottatt i posten.

- Koden er et bevis på at stemmen din kom frem riktig, men ikke på at det er din endelige stemme, sier Bull.

Vanskelig å true

Hva så hvis noen står med et våpen og truer deg til å stemme noe som strider mot din politiske oppfatning? Ifølge Bull er selv dette klassiske Evalg-ankepunktet løst via systemet.

- Du kan stemme hjemmefra så mange ganger du vil. Men du kan også stemme eller forhåndsstemme i fysiske valglokaler, i kontrollerte omgivelser. Stemmer fra fysiske valglokaler vil alltid bli telt foran stemmer avgitt hjemmefra. Så om noen holder en pistol mot hodet ditt og tvinger deg til å stemme mot din politiske overbevisning, kan du endre stemmen etterpå. Og om du vet du vil bli utsatt for press, kan du gå i forhåndsstemmelokalet før presset oppstår, sier Bull.

- Det mener vi gjør at en som vil finne ut hva du vil stemme aldri kan vite det sikkert. En som blir truet kan vinne over trusselaktøren. Og en som vil selge stemmen sin, kan aldri bevise at ”varen” er levert.

Løsningens kildekode skal være åpen, les mer på neste side!