Kan vi stole på universitetets elektroniske valgsystem?

Petter Reinholdtsen, systemadministrator ved Universitetet i Oslo

I høst skal universitetet for første gang gjennomføre et valg med elektronisk stemmegiving. Elektronisk valg har vært etterlyst lenge av Studentparlamentet, og Universitetstyret vedtok 13. juni i år å innføre et system for elektronisk stemmegiving. Den valgte løsningen som nå er tilgjengelig fra valg.uio.no har en del svakheter som jeg synes bør få mer oppmerksomhet.

Når en vurderer elektronisk stemmegivning, så er det viktig å ha prinsippene for gode valg i bakhodet. Et godt utgangspunkt er listen fra L.F. Cranor og R.K. Cytron i «Design and Implementation of a Security-Conscious Electronic Polling System» som oppsummerer hvilke egenskaper som er viktige:

Et godt og demokratisk valg må sikre at disse punktene er oppfylt. Hvis en leser vedlegget til styreframlegget da saken ble vedtatt, med tittelen «Grunnprinsippene i UiOs løsning for elektronisk valg», så ser en at systemet baserer seg på at hver enkelt stemmegiver skal logge seg inn for å avgi stemme, og at informasjon om hva hver enkelt har stemt vil være lagret i systemet inntil valget «lukkes» av de som administrerer valget. Det er altså ikke et hemmelig valg.

Framlegget forteller videre at systemet er kompromitterbart både via utro ansatte, ressurssterke inntrengere og ved tilfeldige avvik som det er vanskelig å forutse. Det er altså ikke et nøyaktig valg.

Hver enkelt stemme eksisterer kun elektronisk, slik at eventuell omtelling og kontroll av avstemmingen ikke vil være mulig hvis noen har manipulert databasen over stemmer. Systemet er dermed ikke etterprøvbart. Systemet baserer seg på at hver enkelt logger seg inn med sitt uio-brukernavn og passord. Passordet for andre brukere kan settes av utro tjenere blant de lokale og sentrale IT-ansvarlige (dog ikke enkelt uten at det legges igjen elektroniske spor), og en slik utro tjener vil dermed være i stand til å stemme på vegne av sine brukere. Systemet er dermed heller ikke helt demokratisk.

Likefullt ble det nye valgsystemet vedtatt tatt i bruk av universitetsstyret. Flere av disse problemene er et resultat av kravet om et webbasert valgsystem.

Er det et slikt valgsystem vi vil ha på Universitetet i Oslo?

• Nøyaktig – et system er nøyaktig hvis det ikke er mulig å endre en stemme, det ikke er mulig å fjerne en gyldig stemme fra den endelige opptellingen og det ikke er mulig for en ugyldig stemme å bli talt med i den endelige opptellingen. Fullstendig nøyaktige systemer sikrer at den endelige opptellingen er perfekt, enten ved å sikre at unøyaktigheter ikke kan bli introdusert eller kan oppdages og korrigert for. Delvis nøyaktige systemer kan oppdage men ikke nødvendigvis korrigere unøyaktigheter.
• Demokratisk – et system er demokratisk hvis kun de som har lov til å stemme kan stemme, og det sikrer at hver av dem kun kan stemme en gang.
• Hemmelig – et system er hemmelig hvis ingen, hverken de som arrangerer valget eller noen andre kan knytte en stemmeseddel til den som avga den, og ingen stemmegiver kan bevise at han eller hun stemte på en bestemt måte. Dette er spesielt viktig for å hindre kjøp og salg av stemmer og at personer kan tvinges til å stemme på en bestemt måte.
• Etterprøvbart – et system er etterprøvbart hvis hvem som helst kan uavhengig kontrollere at opptellingen er korrekt.