E-valgprosjektet i regi av Kommunaldepartementet er i prinsippet klar med løsningen for å avgi stemme fra hjemme-pc ved kommune- og fylkestingsvalget i 11 forsøkskommuner høsten 2011.
- Vi har plukket det beste av eksisterende løsninger rundt om i verden og forbedret det enda noen hakk, sier prosjektleder Henrik Nore.
Systemet leveres av Ergogroup i samarbeid med det spanske valgkrypteringsselskapet Scytl.
Dobbel konvolutt
Prinsippet for e-valgsløsningen er hentet fra manuell forhåndstemmegivning.
- Basisen kjenner vi igjen derfra, med dobbel konvolutt og velgerens navn bare på den ytterste konvolutten. På samme måte sørger vi for anonyme stemmer under opptellingen, forklarer sikkerhetsansvarlig Christian Bull ved E-valgprosjektet.
Han åpnet for en kikk under ”panseret” på løsningen i et møte med samarbeidspartnerne i regjeringskvartalet onsdag.
Kryptering
På samme måte skal en e-velger avgi stemme anonymt ved at den elektroniske stemmen krypteres.
Deretter sendes den over nettet som i en forseglet eller låst pakke, som bare velgeren selv kan åpne med sin eID. Det gir mulighet for å avgi stemme på nytt.
Hvis uvedkommende tar seg inn i forsendelsen, må forseglingen brytes og forsøket på manipulering vil bli oppdaget.
Forsikring
En utfordring underveis har vært å forsikre seg om at stemmen faktisk sendes av gårde og havner hos valgadministrasjonen.
- Vi regner med at det finnes skadelig programvare på mellom 10 og 15 prosent av folks hjemmemaskiner. Her kan det være programmer som er skreddersydd for storskala angrep for å tukle med stemmene. Løsningen er at velgeren får en bekreftelse på at stemmen havner i den digitale urnen og at ingen har endret på den, sier Bull.
Tungt og kreativt
I praksis handler det om at velgeren får en kvittering i form av en tallkode som sendes i en tekstmelding.
- Her snakker vi om tung og kreativ kryptering. Forsendelsen går gjennom noe vi kaller en returkodegenerator, sier sikkerhetssjefen.
Generatoren henter ut en kode som er unik for det partiet som velgeren stemte på og som kun finnes på den enkeltes valgkort.
- Når velgeren får denne koden på sms, er det en bekreftelse på at stemmen er mottatt uten manipulering, sier Bull.
Knuser maskinen
Her oppstår en ennå uløst utfordring.
- Kodene skal trykkes på valgkort av papir, som sendes ut til velgerne. Dette er informasjon som valgadministrasjonen må glemme. En idé er å ødelegge utstyret som er brukt til å lage valgkortene, mener Bull.
Off line
Når stemmene er mottatt i god behold, skal de telles. Da kopieres alle avgitte stemmer over på en cd-plate og flyttes til en annen datamaskin som ikke er koblet til nettet.
- Vi snakker om fysisk flytting av informasjonen av et menneske til fots, og som observeres av andre personer, forsikrer Bull.
Dette kalles en ”air gap” og legges inn som et ytterligere hinder mot manipulering av stemmer.
Smugling
I maskinen som aldri har vært koblet til nettet blir stemmene matet inn og talt opp for å kontrollere at det ikke er ”smuglet inn” falske stemmer underveis i prosessen.
Du kan stemme flere ganger, og kun siste avgitte stemme er gyldig. Og uansett vil en manuelt avgitt stemme i et stemmelokale gå foran en digital stemme.
Splittet kryptonøkkel
Nå står tellekorpset med en liste krypterte stemmersedler som må åpnes med kryptografiske nøkler.
Ingen enkeltperson har den myndigheten. I stedet blir nøkkelen delt opp i for eksempel ti deler, med krav om at minst seks av dem må settes sammen for å kunne dekryptere en seddel
- Her vil vi gi de ulike delene til folk med motstridende interesser. Det kan være politikere fra ulike partier som ikke samarbeider, forklarer Bull.
Stengetid
Deretter kan stemmene telles opp, og valgresultatet skal kunne foreligge kort tid etter at fristen er ute.
Det vil si når de tradisjonelle stemmelokalene stenger.