Remkes laat stemcomputers extra beveiligen
Voor de Tweede Kamer verkiezingen van 22 november worden alle stemcomputers extra beveiligd, zo heeft Minister Remkes van Binnenlandse Zaken tegenover het televisieprogramma Radar laten weten.
Volgens een schriftelijke verklaring van het ministerie gaat het om nieuwe software en de verzegeling van alle stemcomputers in Nederland. De aanleiding voor de maatregelen is mogelijk het rapport van de Princeton University over kwetsbaarheden in Amerikaanse stemcomputers.
Opvallend is dat het ministerie stemcomputers met netwerkverbindingen per definitie onveilig noemt. Daardoor zou het gebruik van de SDU Newvote stemcomputers onmogelijk worden. De SDU stemcomputers beschikken over een draadloze netwerkverbinding en worden onder andere in de gemeente Amsterdam gebruikt.
Het Kamerlid Irrgang (SP) heeft Kamervragen gesteld. De SP wil betere controle van stemcomputers. Er moeten meer waarborgen komen om stemmen via een stemcomputer veilig te maken. Irrgang heeft minister Remkes om een reactie gevraagd op het Princeton rapport.
In een reactie liet het ministerie weten: "Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is op de hoogte van de actiegroep ‘Wij vertrouwen stemcomputers niet’. Er is geen reden om te twijfelen aan de betrouwbaarheid van stemmachines. Het gebruik hiervan is ingebed in een nauwgezet omschreven proces met vele veiligheidswaarborgen. De regeling voorwaarden en goedkeuring stemmachines stelt onder meer als eis dat in de verkiezingen gebruikte stemmachines de door de kiezer uitgebrachte en bevestigde stem correct vastleggen. Keuringsinstelling TNO ziet hierop toe.
Om de zeer geringe mogelijkheden tot fraude nog kleiner te maken neemt het ministerie in samenwerking met de fabrikanten maatregelen die nog voor de verkiezingen worden ingevoerd. Het gaat dan om verzegeling van de stemmachines, extra beveiliging van de software en controle van de software door TNO." (Wij vertrouwen stemcomputers niet)
resultaat gericht werken.
Kortom voor mij is dit allemaal blah blah blah.
Een paar uitspraken en ze zijn er weer van maar niemand controleert
werkelijk of de doelstelling werkelijk behaald is...van die 99% projecten in
de de commerciele wereld en bij de overheid 50% projecten.
Zo denk ik er over.
punt
procedures rondom de verkiezingen waterdicht? Is dit publiek
toegankelijk materiaal?
Dat men de stemcomputers met een netwerkverbinding per
definitie onveilig noemt is een uitstekende ontwikkeling...
zeker een draadloze verbinding als de newvote computers
hebben. Immers, met een draadloze verbinding heb je helemaal
geen controle meer.
definitie onveilig is. Wat denk je dat ze voor communicatie gebruiken bij de
luchtmacht.
Je moet natuurlijk draadloze verbinding niet verwarren met de
consumentenoplossingen die er te koop zijn.
niet opensource is, blijven ze onbetrouwbaar.
En zelfs als ze opensource zijn, iedere computer die in
verbinding staat met het internet kan gekraakt worden.
Misschien is er zelfs al een 0day voor de stemcomputer
software.. wie weet?
weerleggen!
Ik ben nu ook het vertrouwen in de stemcomputers volledig
kwijt. Geeg mij maar het rode potloodje terug, kunnen de
stemburo-leden weer doen wat ze moesten doen!!
"Om de zeer geringe mogelijkheden tot fraude nog kleiner te
maken neemt het ministerie in samenwerking met de
fabrikanten maatregelen die nog voor de verkiezingen worden
ingevoerd. Het gaat dan om verzegeling van de stemmachines,
extra beveiliging van de software en controle van de
software door TNO."
In het "Amerikaanse Wilde Westen" is een ZEER GERINGE
meerderheid al genoeg om een frauduleuze
presidents-kandidaat aan de macht te helpen.
Maar nog ernstiger is dat de "Major Majority" helemaal murw
is! Hoe kan dat nu gebeuren?
Wat een onzin zeg dat een stemcomputer met draadloze
verbinding per
definitie onveilig is. Wat denk je dat ze voor communicatie
gebruiken bij de
luchtmacht.
Je moet natuurlijk draadloze verbinding niet verwarren met de
consumentenoplossingen die er te koop zijn.
weet ook wat er in de stemcomputer zit.
wijvertrouwenstemcomputersniet ligt meer voor de hand. Alleen is dit
rapport een mooi excuus om daar geen aandacht aan te besteden.
Nederland gebruikt al sinds '89 stemcomputers. Sinds de kritiek in de VS
begint men zich hier af te vragen of dat nu wel zo'n goed idee is. Lopen we
nu blindelings achter onze grote vrienden aan?
Dit heeft nog geen zin. Zolang de software van stemcomputers
niet opensource is, blijven ze onbetrouwbaar.
stemcomputers verhelpt het niet. Wie garandeerd er namelijk
dat de asm code die gegenereerd is door de compiler
daadwerkelijk is wat je in je (C ?) code hebt omschreven ?
van een stemcomputer:
- stemproces en software gecertificeerd door auditor en dit resultaat
wederom gecertificeerd door andere auditor.
- bij het stem van de persoon gaat een groen lampje branden als
stemming volgens protocol is verlopen. Twee vrijwiliigers turven of er een
groen lampje is geweest en een derde persoon houdt toezicht op de twee
vrijwillegers.
- aan het eind van de avond: met een speciale key draait activiteert 1
gescreende persoon het optelproces, d.w.z. er wordt een getekende hash
gecreeerd en het resultaat wordt daarna versleuteld. Uiteraard voldoende
lange private key. Een tweede persoon houdt hierop toezicht of dit conform
protocol gebeurt (functiescheiding).
- met een knop wordt een actieve verbinding geopend: de stemcomputer
belt in bij de centrale host en upload het bestand. Uiteraard vindt
tweezijdige authenticatie plaat van beide machines. Na upload wordt de
verbinding verbeken en genereert de stemcomputer een rapport.
- het rapport wordt ingeleverd bij de gemeente.
Voldoende betrouwbaar???? De discussies zijn tot nu toe te abstract dus
ik dacht maar eens concreet te zijn.
Indien niet voldoende betrouwbaar: welke aanvullende maatregelen zijn
nog essentieel om toe te voegen. Indien de zogenaamde deskundigen van
security.nl dit aanvullen ontstaat een compleet advies................
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
