Den danske valgproces kan umiddelbart virke gammeldags. Et forhæng, en papirstemmeseddel med kandidater, en blyant til at sætte kryds med og en stor papkasse stemmen lægges ned i, hvorefter den tælles op og verificeres af de tusindvis af valgtilforordnede fordelt over hele landet. At processen er gammeldags, virker da også til at være en af de centrale grunde til, at regeringen nu ønsker at indføre elektroniske valg i Danmark. I et lovforslag, der efter alt at dømme fremsættes i slutningen af januar, lægges der op til, at udvalgte kommuner skal forsøge sig med valgmaskiner til Europaparlamentsvalget i 2014. Bliver forsøget en succes, kan maskinerne fortsætte med at blive udbredt til resten af landet og til kommunalvalg og folketingsvalg.

»Vi går ind for, at vi hele tiden udvikler vores samfund, og det gælder også vores demokrati,« lyder begrundelsen fra Trine Bramsen, IT-ordfører for Socialdemokraterne.

Men taler man med både danske og internationale sikkerhedseksperter, er det langtfra så simpelt.

»Stemmesedler af papir er ikke et system der har noget akut behov for at blive repareret,« siger Rop Gonggrijp. Han er hollandsk sikkerhedsekspert og har i en årrække beskæftiget sig med elektroniske valg. Information møder ham til CCC-konferencen i Hamburg, hvor nogle af verdens bedste hackere samles hvert år. Det er blandt andet folk fra miljøet her, der har kæmpet imod indførslen af stemmemaskiner i både Holland og Tyskland.

»Da jeg oprindeligt gik ind i diskussionen, tænkte jeg, at man burde kunne finde en bedre teknisk løsning end de daværende hollandske stemmemaskiner. Jeg tænkte, at det var muligt at forbedre teknologien og gøre den mindre risikabel og uigennemsigtig,« siger Rop Gonggrijp.

»Flere år senere sidder jeg tilbage med den klare opfattelse, at på det her tidspunkt i historien så er et godt udført system med stemmesedler på papir et af de bedste systemer der findes. Hvis ikke det allerbedste«.

Blind tillid

At det ifølge hackerne på nuværende tidspunkt er så godt som umuligt at lave gode elektroniske valgløsninger kan virke underligt. Netbank, digital forvaltning og i det hele taget alt muligt andet i vores hverdag gøres ved hjælp af computerteknologi, så hvorfor ikke også valg.

Ifølge Rop Gonggrijp fordi det på nuværende tidspunkt ikke er muligt at sikre gennemsigtighed i valgprocessen, så resultatet kan verificeres og samtidigt have fuldstændig anonymitet i stemmeafgivelsen. Man kan altså endnu ikke på en tilfredsstillende og åben måde overvåge, at input og output matcher i maskinen uden at gå på kompromis med den hemmelige stemmeafgivning. Er man villig til at gå på kompromis med en af delene, kan det godt lade sig gøre, og derfor fungerer computere fint til at stemme om, hvem der skal vinde X Factor, eller når politikerne trykker på knapper i folketingssalen. Men ikke til afholdelse af noget så væsentligt som et nationalt valg:

»Systemerne kan godt nok lave hurtige stemmeoptællinger, men du må generelt også have tillid til dem, der har inspiceret systemerne. Du bliver nødt til at stole på udsagn om kildekode og sikkerhed, som du ikke har nogen som helst mulighed for at verificere,« siger han og påpeger, at elektroniske valg altid kommer til at indføre »blind tillid« til magthaverne, og dem der inspicerer systemerne et eller andet sted i valgprocessen.

»Som borger ender man med at blive nødt til at stole på udsagn, som ingen ville stole på, hvis det kom ud af Putins mund. Det er en god lakmustest for et hvilket som helst stemmesystem: Hvis man skal stole på udsagn, som man ikke ville stole på, hvis systemet var i Uganda eller Hviderusland, så er systemet ikke ordentligt designet«.

Papir er ikke et problem

I regeringens lovforslag lægges der op til et stemmesystem med valgmaskiner inde bag det enkelte forhæng. Man stemmer så på maskinen, der printer et stykke papir ud, hvor man kan tjekke, at stemmen er sat korrekt, og den lægger man så efterfølgende i stemmeboksen. Papirstemmerne kan så bruges til at verificere, at det elektroniske resultat er korrekt. På sigt vil man gøre optællingerne af papirstemmerne til stikprøvekontroller, og det er blandt andet i det omstændige optællingsarbejde og administration, at man håber på at kunne spare penge. Gevinsterne ved at indføre e-valg skulle udover økonomi være, at man kan nedbringe antallet af utilsigtet ugyldige stemmer og gøre det muligt for blandt andet synshandicappede at stemme uden ledsager.

»Det er altid det samme,« siger Rop Gonggrijp, da han hører om den danske regerings argumenter.

»En promille af stemmerne er utilsigtet ugyldige, og der er de blinde, der ikke kan stemme uden hjælp. Det er meget små procentdele af befolkningen, for hvis skyld, man nu vil rulle helt nye systemer ud, som er vanvittigt dyre, og som har meget store problemer med gennemsigtigheden,« siger han og hæfter sig ved, at det er problemer, som aldrig er blevet taget særligt alvorligt, før politikerne skal begrunde elektroniske valgmaskiner.

»Jeg spekulerer altid over, hvad problemet egentlig er med det nuværende system. Store lande som Tyskland tæller deres stemmer på papir. Der er ikke noget stort problem med at tælle stemmer, som samfundet akut skal finde en løsning på,« siger han.

Hackere har brudt flere maskiner

I Holland endte man med helt at droppe elektroniske valg i 2007 efter at have brugt over 100 millioner euro på et system, som Rop Gonggrijp og hans kollegaer påviste var usikkert. Senere rejste han blandt andet til Indien og fortsatte eksperimenterne altid med samme resultat:

»De eneste elektroniske stemmesystemer, der ikke har vist sig at være latterligt usikre, er dem der ikke har været offentligt studeret endnu. Alle de systemer, som der er blevet udført åben research på har vist sig at være manipulerbare,« siger han og konstaterer henkastet:

»Det er jo en computer. Man kan få den til at gøre, hvad man vil have den til«.

At han og andre eksperter kan manipulere med valgmaskinerne, viste han i praksis, da han sammen med to andre sikkerhedseksperter i 2010 offentliggjorde et studie af den indiske valgmaskine, der viste meget alvorlige problemer. Sikkerhedseksperterne havde via en anonym kilde fået fat i en maskine, og viste i et notat og en video, hvordan de på forskellige måder måder ville kunne manipulere med maskinens optællingsresultat uden at efterlade sig spor. Det kunne blandt andet ske ved en manipulation af resultatet direkte på maskinens display eller ved at tilføje en modtagefunktion til maskinen så den trådløst kunne kontaktes af en mobiltelefon, der gav den besked om, hvilket resultat den skulle vise på displayet. Ud over hackene af maskinens hardware, påpegede de også, at selv ikke den indiske valgkommission præcist vidste, hvad den software, som maskinen kørte, rent faktisk gjorde. Der var ingen ordentlig kontrol og ingen gennemsigtighed med, hvad og hvordan maskinens optællingsprocedure fandt sted

»Hvis jeg var den person, der distribuerede valgmaskinerne, så ville jeg kunne bestemme, hvad valgresultatet skulle blive. Og ingen ville nogensinde kunne finde ud af det,« siger Rop Gonggrijp og tilføjer, at den indiske maskine efterlod ham med den mest »uhyggelige følelse« han nogensinde har haft med et valgsystem.

»Det ville se troværdigt ud og have de samme egenskaber, som det nuværende, men med den undtagelse, at det var mig, der ville bestemme resultatet. Vi aner ikke, om det allerede sker i Indien i dag,« siger han.

Alt for bredt

De fleste håber nok, at Danmark bliver forskånet for store sikkerhedshuller som i det indiske eksempel.

Men ser man på lovforslaget, er der meget lidt, der kan forsikre om, at det ikke risikerer at blive tilfældet. Det er bredt formuleret, og der står blot listet op, at løsningen skal være sikker og sikre den hemmelige stemmeafgivning. Ikke noget om hvordan man præcist vil sikre det mål; hvilke kontrolforanstaltninger der skal være tilstede – og om kildekoden kommer til at være åben for verificering. Danske it-eksperter og interesseorganisationers høringssvar til lovforslaget er da også overvældende negative, og blandt andet Demtech, der forsker i valgmaskiner, argumenterer for, at langt flere specifikationer skal ind i lovforslaget, inden valgmaskinerne sendes i udbud. Ellers risikerer man, at millioner af kroner bruges på maskiner, der efterfølgende kan vise sig ikke at have høje nok standarder.

Carsten Schürmann fra Demtech, der er lektor på IT-Universitetet foreslår, at valgmaskinerne skal betragtes som kritisk infrastruktur på linje med Metroen og flyteknologi, for at sikre høje standarder:

»Det er en hårfin balance. Loven bør på den ene side være så smidig, at man kan forbedre valgsystemet i takt med den fremtidige teknologiske udvikling, og på den anden side bør den være så præcis som mulig i forhold til de tekniske standarder, fordi den nuværende valglov er meget præcis om hver enkelt detalje,« siger han og nævner som eksempel, at der i den nuværende lov står specificeret, hvad der skal ske med de stemmer, der leveres tilbage på valgstedet af vælgere, der har skiftet mening efter at have sat krydset.

»Teknologi er et meget mere kompliceret system, og hvis du ikke beskriver, hvilke standarder systemerne skal leve op til, så vil det stå fuldstændigt frit for fremtidige generationer af elektroniske inspektører at bruge hvilket som helst system, uden at de vil få problemer i forhold til loven,« siger Carsten Schürmann.

Tvivlsom folkestemning

Socialdemokraternes it-ordfører Trine Bramsen vil gerne lytte til eksperternes råd, men kan ikke se noget problem i at starte forsøgene med e-valg på trods af de tidligere påviste usikkerheder

»Det var samme argument, som da man startede med netbank. Der mente man også, at det var mere sikkert at gå ned i banken. Vi bliver hele tiden nødt til at se på, hvordan man kan gøre tingene smartere og mere effektivt«.

— Men I skriver jo ikke særligt specifikt, hvad I vil gøre for at sikre, at det bliver både sikkert og anonymt?

»Vi er politikere og ikke teknikere, så derfor har vi nu i første omgang inviteret til en høring i løbet af foråret, hvor vi kan høre på eksperterne. Vores vision er hele tiden at udvikle vores samfund, og vi skal ikke stoppe al udvikling, bare fordi vi ikke har den helt sikre løsning på tegnebrættet. Vi er bestemt lydhøre, men vi er ikke lydhøre over for et argument om, at kuglepen og papir er den eneste rigtige løsning langt ind i fremtiden,« siger Trine Bramsen.

It-ordføreren har opbakning fra 72 procent af danskerne, der i en måling foretaget for altinget.dk tilkendegiver, at de gerne ser papir og blyant erstattet af touch-skærme og maskiner, mens kun 22 procent siger nej. En folkestemning der ifølge Rop Gonggrijps erfaringer dog hurtigt kan vende, når det går op for befolkningen, hvad det rent faktisk er, der kommer til at erstatte det nuværende valgsystem.

Det hollandske system minder om det danske med valgtilforordnede, der skriver under på et stykke papir om, at stemmeurnen er tom om morgenen, uddeler stemmesedler til hver enkelt godkendte stemmeberettigede og overvåger, at stemmesedlen bliver lagt ned i stemmeurnen. De er med til at tælle stemmerne op, og skriver under på, at det er det korrekte resultat det ender med:

»Med andre ord, så ved man, at det er de tre-fire ansvarlige på det enkelte stemmested, man skal beskylde, hvis der bliver afsløret stor svindel ved optællingen. Der er måske 10.000 stemmesteder, så i alt er der 30-40.000 mennesker der skriver under på et sådan papir rundt om i landet. Den konspiration, der skal svindle med sådan et valgsystem, skal altså være exceptionelt stor og effektiv,« siger Rop Gonggrijp. Da man indførte elektroniske stemmemaskiner ændrede det system sig radikalt.

»Når det kommer til de elektoniske stemmemaskiner, så skriver de valgtilforordnede under på et papir om, at de har båret de her maskiner ind, som de ikke forstår. De har ladet vælgerne trykke på knapper, og da dagen var slut, var det det det her resultat der kom ud. Det tog to års hårdt arbejde at få folk til at fatte, at det altså er et fundamentalt andet udsagn,« siger han.