Komende week sluit de registratie van Nederlandse kiezers in het buitenland, die als eersten via internet en telefoon kunnen stemmen tijdens echte politieke verkiezingen; in juni voor het Europees Parlement. Uit cijfers van het Bureau Burgerszaken van de gemeente Den Haag, dat belast is met de registratie, blijkt dat 40 procent van de Nederlanders over de grens op afstand wil stemmen: 6.000 van de 15.000. Dat is meer dan de ruim 5.700 die het bij de brief houden. De rest koos voor de kiezerspas of stemmen bij volmacht.
Die 40 procent noemt de woordvoerder van het ministerie van Binnenlandse Zaken (BiZa) 'substantieel'. Het is een tussenstand, maar het is minder dan de 65 procent die in 2001 in een enquête door NFO-Trendbox aangaf via internet te willen stemmen.
Voor een betrekkelijke kleine groep moet de overheid online stemmen optuigen. Niet erg, vindt BiZa: "We willen vooral kijken of internet het stemmen voor deze groep kiezers in het buitenland toegankelijker maakt. Of het echt toegevoegde waarde heeft moet nog blijken tijdens de evaluatie." Politici kijken met belangstelling toe want ze roepen al jaren dat het stemmen via internet de kwakkelende opkomst kan stutten.
Het stemmen via internet en telefoon maakt deel uit van het overheidsproject Kiezen op Afstand (KOA), dat al in 1999 werd ingezet door toenmalig minister Roger van Boxtel, maar veel vertraging opliep door een mislukte Europese aanbesteding, aarzelingen en een gebrek aan ervaringen.
Groot-Brittannië biedt sinds vorig jaar de ervaring, maar de problemen rond veiligheid, techniek en privacy blijven er nog altijd. Dat werd onlangs opnieuw duidelijk toen minister Thom de Graaf van Binnenlandse Zaken de nieuwe Risicoanalyse rond Kiezen op Afstand naar de Tweede Kamer stuurde: een tabel van 48 pagina's met 150 risico's.
DDOS-aanval aannemelijk
Het heeft veel weg van indekken tegen een eventuele ramp: bij elk van de scenario's staat hoe groot de kans erop is. Binnenlandse Zaken acht de kans 'groot' dat rond de internetverkiezingen een (Distributed) Denial of Service-attack plaatsvindt: door vanaf duizenden computers wereldwijd datapakketjes af te vuren op de stemserver raakt deze overbelast.
Als dat gebeurt is het afgelopen met het internetstemmen. De kiezers uit het buitenland kunnen dan nog wel doorgaan met stemmen via telefoon, met dezelfde codes als die ze opgestuurd hebben gekregen. "We hebben natuurlijk proeven gedaan om het systeem zo robuust mogelijk tegen aanvallen te maken," aldus een woordvoerder van BiZa.
De vrees voor een DDOS-aanval is terecht, meent Peter van der Wel van lobbyclub EPN (Electronic-highway Platform Nederland). "Daarom moet er eerst een kleinschalige proef binnen Nederland komen. Europese Verkiezingen trekken internationale aandacht, ook van kwaadwillenden."
Bouw en beheer van het stemsysteem liggen bij LogicaCMG, nadat ze de tender won. Kosten: een kleine twee miljoen euro. Van der Wel zucht: "Bij een Ddos-attack is al dat geld dus voor niets geweest."
Ook Peter Knoppers van de Technische Universiteit Delft is fel tegenstander van stemmen via internet. "Zo'n stemserver is natuurlijk een aantrekkelijk doel. Publiciteit voor deze proef, ook door buitenlandse media, telt. Technisch is het moeilijk te voorkomen als duizenden pc's wereldwijd aan een aanval meedoen. In het verleden zijn ook Microsoft en CNN plat gegaan. Om in zo'n server in te breken is best wel lastig, maar een Ddos-aanval is veel gemakkelijker."
Hacking en spoofing
De kans dat "een niet-kiesgerechtigde kiezer stemt door inbraak in de stem-dienst van buitenaf (hacken)" is volgens de analyse van BiZa 'klein'. Als het toch gebeurt wordt overgegaan tot briefstemmen of de stemming wordt ongeldig verklaard. Er volgt dan een herstemming voor de mensen die per internet en telefoon hebben gestemd.
Dat hackers 'onbevoegd toegang krijgen tot de programmatuur van de stemdienst' (risico 135) is waarschijnlijker. Bij die kans staat in de tabel een 'M' van middelgroot. Eveneens een M staat er bij 'veiligheidsfouten in de standaardsoftware' en bij de kans op 'spoofing': de kiezer denkt met de stemdienst te communiceren, maar communiceert in werkelijkheid met een dienst die de stemdienst imiteert. Om dit te voorkomen staat als maatregel vermeldt in de risicoanalyse: "Kiezer voorlichten over de wijze waarop het certificaat gecontroleerd kan worden."
Ook 'middelgrote kansen' vormen het niet tijdig ontdekken van technisch falen, problemen met de back-up van de stemdienst, crashes of onjuiste tellingen door configuratiefouten en fouten door onoplettende beheerders.
Vanuit Nederland lekker meedoen
Twee groepen Nederlanders in het buitenland mogen in juni via internet stemmen: Nederlanders die permanent en die tijdelijk in den vreemde verblijven. De eersten registreren zich via hun consulaat, de tweede groep meldt zich bij de gemeente in Nederland. De stembescheiden - met onder andere de kandidaatcodes - gaan per post naar een adres in het buitenland.
Wie op 10 juni (en de weken ervoor) op vakantie in het buitenland vertoeft, mag niet via internet stemmen. Die kiezers moeten iemand machtigen. Maar het is niet uit te sluiten dat er kiesgerechtigden zijn die vanuit Nederland deelnemen aan de internetstemming. De woordvoerder van BiZa: "Er zijn waarborgen om te bepalen of iemand echt vanuit het buitenland stemt."
Maar 100 procent voorkomen lijkt moeilijk. Volgens BiZa worden de IP-adressen niet op geografische locatie gecontroleerd. "Een IP-adres geeft sowieso geen honderd procent zekerheid dat iemand zich ergens bevindt. Je kan ook een anonymizer gebruiken."
Van der Wel van EPN zegt al mensen te hebben gesproken die zeggen dat ze gaan proberen vanuit Nederland met het internetstemmen mee te doen. Hij laat zijn fantasie de vrije loop: "Stel je dan eens voor dat iemand een rechtszaak begint omdat hij vindt dat hij ook het recht moet hebben om vanuit Nederland via internet te stemmen."
Van der Wel verwacht dat 'rond 2010' bij de verkiezingen biometrie zal worden gebruikt, bijvoorbeeld irisscans of vingerafdrukken, waardoor je kunt waarborgen dat de stemgerechtigde zelf zijn stem uitbrengt. "De overheid werkt aan een PKI voor authenticatie. En in 2007 moet er een nieuwe identiteitskaart zijn. Die kun je ook gebruiken voor verkiezingen."
Broncode geheim
Louter LogicaCMG kent de technische geheimen. Het pleidooi om de broncode openbaar te maken, zodat iedereen zou kunnen controleren dat het waterdicht is, viel in verkeerde aarde. "Het geven van inzage in de broncode van de software geeft hackers de mogelijkheid om zich toegang te verschaffen", schrijft BiZa daar over. De Belgische overheid gaf vorig jaar wel de broncode van de stemmachines vrij. Inmiddels zijn er vraagtekens bij de anonimiteit van de machines gerezen.
Nederlandse deskundigen kregen vorig jaar tijdens een 'expert-meeting' op het ministerie een beperkt kijkje in de keuken van het stemsysteem. Een van hen was cryptograaf en mathematicus Berry Schoenmakers van de Universiteit van Eindhoven. Hij werkt vaker mee aan projecten op het gebied van stemmen, waaronder het Europese Cybervote.
De stemming bij de expert-meeting over het stemsysteem van LogicaCMG was volgens Schoenmakers 'gemengd'. "Ik vond het niet zo fantastisch. Aan de cryptografische kant stelt het bar weinig voor." Hij heeft kritiek op de manier waarop de controle op de verkiezingsuitslag plaatsvindt en de mogelijke afbreuk op de geheimhouding van de stemmen.
Cryptografie beperkt
Schoenmakers betreurt het dat is gekozen voor een zogeheten 'trusted server' aanpak. "De nadruk ligt dan op bescherming tegen outsiders, terwijl juist bij verkiezingen bescherming tegen insiders een veel groter probleem is." Bij Cybervote werd een beter systeem bedacht dat in het kort neerkomt op het volgende: een bericht met een code gaat naar een netwerk van servers en er komt pas een antwoord als de meerderheid van de servers het heeft bevestigd.
Het Cybervote-prototype gaat uit van het principe van de Byzantine Agreement. "Maar bij CMG hebben ze van dit soort dingen geen kennis," aldus Schoenmakers. Maar hij realiseert zich ook: "Zo'n ingewikkeld systeem wordt natuurlijk ook een stuk duurder, en de vraag is of er zoveel geld voor beschikbaar is."
De encryptie zou in het Cybervote-systeem al plaatsvinden op de pc's van de kiezers zelf: vanaf het moment van versturing tot en met registratie in de stemserver is de boodschap versleuteld, met gebruik van 'homomorfe encryptie'. "De server kan wel zien dat de stem van jou komt, maar niet wat je hebt gestemd." Volgens Schoenmakers is dat in het systeem dat CMG bij de Europese Verkiezingen gebruikt in principe wel mogelijk.
De verkiezingsuitslag kan in het systeem dat in het kader van Cybervote is bedacht achteraf kunnen worden geverifieerd. Alle gecodeerde stemmen leveren aan het eind een nieuwe encryptie op, vertelt Schoenmakers. Deze som van alle gecodeerde stemmen 'decrypten' geeft de verkiezingsuitslag. Hij denkt dat zo'n controle bij het CMG-systeem niet kan. "Wat Nederland nu doet is een stap achteruit. Ik heb ook gevraagd aan Binnenlandse Zaken: waarom CMG? Maar dat is moeilijk te achterhalen. CMG heeft geen aantoonbare ervaring met stemmen via internet."
Stemgeheim
Dat de overheid één partij heeft gekozen is gevaarlijk, vindt Schoenmakers. "Het is veiliger de decryptie-sleutel 'uit te smeren' over tig partijen, in combinatie met andere cryptografische technieken."
Hij trekt ook het 'stemgeheim' in twijfel. "Het draait allemaal om vertrouwen. Van CMG weet je niet honderd procent zeker of alle gegevens intern goed zijn afgebakend, of dat de mensen die er intern toegang tot hebben deugen."
Vrijwel geen van de commerciële stemsytemen maakt gebruik van encryptie met publieke sleutels, door de kiezers zelf. "Ze vinden het sop de kool niet waard," zegt Antoon Bosselaars van de vakgroep Computer Security and Industrial Cryptography van de Universiteit in Leuven.
"De privacy van de kiezer is voor commerciële partijen niet zo'n belangrijk punt. Ook in het Nederlandse systeem heb je als kiezer geen garantie dat je stem geheim blijft, omdat de combinaties tussen de stemcodes en de personen te herleiden moeten kunnen zijn."
Goed van vertrouwen
Er kleven nog veel meer bezwaren aan stemmen via internet, die gedeeltelijk ook gelden voor stemmen per post. Onmogelijk is verkopen van stemmen te voorkomen; meekijkers op het computerscherm hebben vrije inzage; controle op de tellingen is verzwakt met stemmachines en internet.
Dit alles schaadt het publieke vertrouwen (momenteel) nog nauwelijks, weet onderzoeker Peter van den Besselaar. Hij leidt bij het Nederlands Instituut voor Wetenschappelijke Informatiediensten (NIWI) onderzoek naar 'e-government' en 'e-democracy', waaronder stemmen via internet.
Zijn team deed lokale experimenten in vijf Europese landen. Een van de uitkomsten was dat mensen nadat ze via internet hadden gestemd massaal invulden dat ze 'zeker wisten' dat hun stem ook was geteld, terwijl ze dat helemaal niet konden controleren.
Van den Besselaar: "Dat is gevaarlijk. Als de overheid dus roept dat een systeem veilig is, dan wordt dat door de grote meerderheid geloofd, terwijl het helemaal niet zo hoeft te zijn." Hij pleit er ook voor dat de stemmachines een print afgeven bij elke stem die vervolgens in de ouderwetse stembus wordt gedeponeerd, zodat in noodgevallen toch met de hand kan worden geteld.
Een andere voorlopige conclusie is volgens Van den Besselaar dat stemmen via internet zelfs enig effect schijnt te hebben op de uitslag zelf. "Mensen stemmen bij internetstemmingen minder radicaal. Misschien is de oorzaak dat ze minder vertrouwen hebben in waarborging van anonimiteit, en vrezen ze gesnapt te zullen worden."
Het vervolg
De registratie van de Nederlandse kiesgerechtigden in het buitenland sluit op 28 april. Saillant detail is dat bijvoorbeeld ook de Nederlandse militairen in Irak via internet kunnen stemmen. Dit terwijl het Amerikaanse ministerie van Defensie het voornemen heeft laten varen om haar militairen in november 2004 online te laten stemmen voor een president.
Een snel vervolg met stemmen via internet binnen Nederland is ongewis. Minister De Graaf zei dat er voorlopig geen geld voor is. Het gehele project Kiezen op Afstand - niet alleen internet en telefoon - kost de belastingbetaler 8,1 miljoen euro. Van der Wel noemt het huidige experiment 'een schaamlapje' vanwege de beperkte omvang. "De minister wilde alleen maar tegemoet komen aan de wens van de Kamer om iets met stemmen via internet te doen."
Binnenlandse Zaken: "We moeten kijken hoe dit loopt. Natuurlijk is het belangrijk of er geld voor is. Maar het is ook afhankelijk van de uitkomsten van dit experiment. Eerst moeten we weten: wat levert het op?"
Links:
[Tonie van Ringelestijn, 23 april 2004]
Warning: include() [function.include]: open_basedir restriction in effect. File(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) is not within the allowed path(s): (/home/netkwestie/:/tmp:/usr/local/lib/php/) in /home/netkwestie/domains/netkwesties.nl/public_html/editie92/artikel1.php on line 117
Warning: include(/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php) [function.include]: failed to open stream: Operation not permitted in /home/netkwestie/domains/netkwesties.nl/public_html/editie92/artikel1.php on line 117
Warning: include() [function.include]: Failed opening '/home/sites/www.netkwesties.nl/web/templates/artikel_kolomscheider.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/netkwestie/domains/netkwesties.nl/public_html/editie92/artikel1.php on line 117