"Veilig online stemmen via iPhone en Android"
Een Spaans bedrijf heeft een programma ontwikkeld zodat smartphone-gebruikers veilig online kunnen stemmen via hun toestel. De software van Cytl versleutelt op het toestel de stem en verstuurt die vervolgens naar de stemcomputer, en zou daardoor 'end-to-end' security garanderen. Doordat de versleuteling lokaal plaatsvindt, zou niemand de privacy van de stemmer kunnen schenden of de verkiezingsuitslag kunnen manipuleren, zo is in het persbericht te lezen.
"Alternatieve oplossingen die de stemmen versleutelen zodra ze door de stemcomputer zijn ontvangen, laten de mogelijkheid voor aanvallers of systeembeheerders om stemmen te onderscheppen, lezen of aanpassen voordat ze worden versleuteld." De software van Cytl werkt zowel op Apple's iOS als Google's Android en zou door Amerikaanse, Franse, Zwitserse en Noorse instanties zijn geaudit.
Reacties (12)
Set a new milestone, Right... ze vinden vooral een nieuwe weg om net te doen alsof hun systeem veiligheid bied.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
Door Anoniem: Set a new milestone, Right... ze vinden vooral een nieuwe weg om net te doen alsof hun systeem veiligheid bied.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
Ben hetmet bovenstaande gruwelijk eens. We hoeven dus niet lang te wachten totdat de Nederlandse overheid dit systeem ondanks de voor de hand liggende problemen wil invoeren, hier veel (van ons) geld aan uitgeeft en pas na implementatie achter bovenstaande struikelblokken komt.1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
Lang leve de Nederlandse overheid. Weinig regeringen die zo goed zijn in het wegflikkeren van geld aan projecten als deze als de Nederlandse overheid.
Door Anoniem: Set a new milestone, Right... ze vinden vooral een nieuwe weg om net te doen alsof hun systeem veiligheid bied...
Waarom zo negatief, het is opzich een leuk concept. Maar met de punten die je opnoemt heb je gelijk. Vooral met punt 3.
14-05-2012, 13:41 door
N4ppy
"Its groundbreaking election security technology is protected by international patents that enable the company to electronically implement all types of election administration processes in a completely secure and auditable manner"
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
Op papier verzorg ik zelf het transport tot IN de box (waar een schredder in kan zitten dus ook daar kan mee gerommeld worden) dus ik weet wat IN de box is gegaan.
En ze zeggen het zelfde als dropbox, "onze administrators kunnen niets".......
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
Op papier verzorg ik zelf het transport tot IN de box (waar een schredder in kan zitten dus ook daar kan mee gerommeld worden) dus ik weet wat IN de box is gegaan.
En ze zeggen het zelfde als dropbox, "onze administrators kunnen niets".......
Door Anoniem: Set a new milestone, Right... ze vinden vooral een nieuwe weg om net te doen alsof hun systeem veiligheid bied.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
1) data van een client kan je niet vertrouwen - niet is zo manipuleerbaar als een systeem waar je als organisator feitelijk geen controle over hebt.
2) in een democratie heb je behalve integriteit ook een stukje vertrouwelijkheid: je stemt anoniem. En met deze milestone valt de hele anonimiteit van je stem weg als er controle nodig is.
Wat ik vooral een niet te overtreffen voordeel van "potlood en papier" vindt is
1 : grootschalige manipulatie is zeer zichtbaar (vrachtwagens vol papier het stemproces in- of uit duwen)
2 : simpel en inzichtelijk door *iedereen* controleerbaar.
Op elk stemburo kunnen een paar letterlijk "brave burgers" zien dat het op hun buro goed gaat, en zien dat hun getelde resultaten op het gemeentehuis goed verwerkt en gepubliceerd zijn.
Enorm schaalbaar, en om een echt percentage stemmen om te buigen moet je op veel plekken, waar veel mensen kijken (en snappen, papier met hokjes snapt iedereen) wat er gebeurt stemmen injecteren of laten verdwijnen.
3) er valt nog steeds met geen enkele zekerheid na te gaan of de stemmende partij ook daadwerkelijk zelf de stem uitbrengt - je kan hooguit zeggen dat je het vanaf een device hebt binnen zien komen. En dat is ook niet gewenst.
4) Het hok met gordijntje geeft de stemmer de kans om naar eigen mening te stemmen; Een bedreiger of stemmenkoper kan nooit weten of de stemmer naar opdracht gestemd heeft .
Kortom, ze hebben de staande problemen ook niet getackeld en proberen geld te verdienen met nep-veiligheid. Triest eigenlijk, als je zo omgaat met democratie.
14-05-2012, 14:14 door
SBBo
Ben het met het eerste bericht is.
Het hele leven hangt van webapplicaties aan elkaar vast, waarvan wij het meeste geen weet hebben.
Waar het natuurlijk om gaat is dat ten eerste de versleuteling altijd bij de cliënt plaatsvindt, dus dat is geen thema.
Maar ten tweede stemmen volstrekt anoniem is en wanneer dit via het Internet plaatsvindt, niet meer anoniem is.
Het is een grondrecht en ik herinner mij nog de discussies over de stemcomputer.
Het hele leven hangt van webapplicaties aan elkaar vast, waarvan wij het meeste geen weet hebben.
Waar het natuurlijk om gaat is dat ten eerste de versleuteling altijd bij de cliënt plaatsvindt, dus dat is geen thema.
Maar ten tweede stemmen volstrekt anoniem is en wanneer dit via het Internet plaatsvindt, niet meer anoniem is.
Het is een grondrecht en ik herinner mij nog de discussies over de stemcomputer.
14-05-2012, 14:32 door
P5ycH0
Echte fraude met stemmen gebeurd natuurlijk niet op een client, maar op de verzamelpunten.
Laten we a.u.b. met het potlood blijven stemmen. Dat kan altijd netjes nageteld en gecontroleerd worden.
Laten we a.u.b. met het potlood blijven stemmen. Dat kan altijd netjes nageteld en gecontroleerd worden.
14-05-2012, 15:16 door
User2048
Als stemcomputers in stemlokalen al niet als veilig worden aangemerkt, hoe kan de veiligheid met mobieltjes dan worden vertrouwd?
Door N4ppy: "Its groundbreaking election security technology is protected by international patents that enable the company to electronically implement all types of election administration processes in a completely secure and auditable manner"
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
Hoe kan ik als "eigenaar" van mijn stem auditen dat mijn stem op de juiste manier is aangekomen in de digitale box?
In een geheim stemsysteem wil je dat niet.
Als jij kunt controleren of je stem aangekomen is, kan iemand die stemmen ronselt (koopt, bedreigt, intimideert) controleren of jij wil gestemd hebt zoals "afgesproken" was.
Bij het "hokje met gordijntje" model kan iedereen echt naar eigen inzicht stemmen.
Op papier verzorg ik zelf het transport tot IN de box (waar een schredder in kan zitten dus ook daar kan mee gerommeld worden) dus ik weet wat IN de box is gegaan.
Rommelen met de stembus is niet "net zo makkelijk" . De vier of vijf brave burgers in elk stemlokaal (je mag je zelf opgeven, graag zelfs) kunnen, mogen, en moeten die stembussen controleren.
En kijken of er geen schredder in zit, of dat de bus bij aankomst nog leeg was kan en snapt ook echt iedereen.
En snappen dat er onderweg geen "monteur" moet komen die een pak papier in de stembus duwt is ook herkenbaar.
En dat aantal stemmen in de bussen moet kloppen met afgevinkte kieskaarten.
Code auditen is erg specialistisch, en "zeker weten" dat alleen ge-audite code zonder extras "overal" draait " is ongeveer onmogelijk.
Nee, in Zwitserland gebruikten ze een systeem waarmee iedereen drie stemmen uitbracht of zo -- ff terugzoeken-- waarna je in de krant (nota bene) kon nalezen dat je stem was verwerkt op een manier dat niet te zien was wélke stem je had uitgebracht.
Er zijn nogveel meer varianten bedacht met *systematische* garanties voor anoniem en toch taceerbaar stemmen en zo. Maar is allemaal ingewikkeld. Toch nog eens opzoeken en bezien of het valt te automatiseren. Gebeurt volgens mij nog te weinig, het blijft bij theoretische wetenschappelijke papers.
Er zijn nogveel meer varianten bedacht met *systematische* garanties voor anoniem en toch taceerbaar stemmen en zo. Maar is allemaal ingewikkeld. Toch nog eens opzoeken en bezien of het valt te automatiseren. Gebeurt volgens mij nog te weinig, het blijft bij theoretische wetenschappelijke papers.
En hoe is het te controleren? Probleem is dat de macht / kennis, etc. bij een te kleine club mensen ligt. Dat is onacceptabel voor het principe 'democratie'. Waarom willen we toch automatisch stemmen? Kosten? Jemig, bedenk nog even wat de prijs voor democratie was 60-70 jaar geleden....
Door Anoniem: Waarom zo negatief, het is opzich een leuk concept.
Dan begrijp je er kennelijk meer van dan ik.
Ik heb het persbericht gelezen en ze zeggen niets concreters dan dat er end-to-end-encryptie plaatsvindt. Dat is niet bepaald een nieuw concept. Het is me niet duidelijk of en waarom het wat toevoegt aan HTTPS of PGP of zo. Ze vergelijken het met systemen die de stem bij ontvangst versleutelen nadat die onversleuteld over de lijn gestuurd is. Door die versleuteling naar de client te verplaatsen en dus de stem versleuteld over de lijn te sturen doen ze kennelijk iets revolutionairs. Dat suggereert dat de versleuteling primair bedoeld is om iets op de server te regelen en dat de vertrouwelijkheid van de datacommunicatie een toegevoegde functie is. Wat is die primaire functie op de server? Wie zijn die leveranciers die kennelijk geen gebruik maken van altemeen bekende en beschikbare manieren om datacommunicatie te versleutelen?
Dit verhaal zit volgens mij zo vol met gaten dat er vrijwel niets van overblijft. Het komt op mij over als gebakken lucht.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
