Stemmachines ? Niet doen !

In dit document probeer ik duidelijk te maken waarom het gebruik van (op computer gebaseerde) stemmachines, zoals in Nederland steeds gebruikelijker, een ongewenste ontwikkeling is. Op het eerste gezicht hebben deze machines vooral duidelijke voordelen: Hier staat echter een nadeel tegenover dat, naar mijn mening, onvoldoende onderkend wordt:

Over de voordelen van de machines is weinig discussie mogelijk; die zijn evident. Waar het om gaat is dat we daarvoor enkele zeer fundamentele rechten en waarborgen opgeven. Die voordelen wegen niet op tegen de nadelen.

Werking van de stemmachines

De stemmachines (althans die van het merk NEDAP) produceren, na het sluiten van het stembureau, een foto van NEDAP stemmachine die uitslag afdruktafdruk met daarop Al deze getallen geven enkele eenvoudige controlemogelijkheden. Het totaal aantal uitgebrachte stemmen op de kandidaten van één partij moet gelijk zijn aan het aantal stemmen voor die partij. De som van de aantallen stemmen op alle partijen plus het aantal blanco stemmen moet gelijk zijn aan het totaal aantal bij het stembureau uitgebrachte stemmen. Deze controlemogelijkheden worden ongetwijfeld gebruikt om fouten bij het combineren van de uitslagen van de verschillende stembureaus tot totalen per gemeente, provincie en land te detecteren.
Bij de NEDAP machines is het gebruikelijk dat de stemgeheugens van de machines naar een (per gemeente) centrale plaats worden gebracht en daar nogmaals worden uitgelezen. De papieren route dient daarbij slechts ter controle van de elektronische. Lees voor een meer gedetailleerde beschrijving van de procedures "Plastic doosje als moderne stembus"[http://www.refdag.nl/oud/digi/980502digi01.html] van Helma Struijk. http://www.refdag.nl/oud/digi/980502digi01.html)

De kans op storingen in de machines is zeer klein. Echter niet nul. Dat is op zich niet erg. Met papieren stembiljetten uitgebrachte stemmen kunnen, voordat ze geteld zijn, verloren gaan door brand, overstroming, andere ongelukken, of terroristische aanslagen.

Moderne, op een computer gebaseerde, stemmachines bevatten technische voorzieningen die de kans op het verloren gaan van stemmen door een technische fout zeer klein maken. Voor het geval dat door een technische storing het afdrukken van de uitslag in de normale vorm niet werkt kan uit de informatie in het stemgeheugen een lijst van alle uitgebrachte stemmen gemaakt worden. Bij de Nedap machines is deze lijst in een volgorde die door toeval wordt bepaald. Het is daardoor niet mogelijk te achterhalen in welke volgorde de stemmen werden uitgebracht.

Het stemgeheim

In de Nederlandse Kieswet (ik hoop dat ik de meest recente versie heb; hij is op de website van het ministerie van binnenlandse zaken niet langer te vinden) staat in artikel J 15: Het stemlokaal is zodanig ingericht dat het stemgeheim is gewaarborgd. Het begrip stemgeheim wordt in de Kieswet helaas niet gedefinieerd. In het Definitierapport Kiezen op Afstand [http://ce.et.tudelft.nl/~knop/stemmachines/defrapp_kiezen_op_afstand] (helaas meer te vinden bij het ministerie van binnenlandse zaken) wordt dit op pagina 16 in twee zinnen kernachtig omschreven als Het eerste punt betekent dat de stem geheim moet zijn.
Het tweede punt dient om verkopen van stemmen te verhinderen.
De inrichting en de procedures van het stemlokaal zijn zodanig dat niemand kan meekijken bij het uitbrengen van een stem. Uitzonderingen zijn alleen toegestaan voor kiezers die wegens lichamelijke gesteldheid niet zelfstandig hun stem kunnen uitbrengen (Kieswet artikel J 28).

Oncontroleerbaarheid van de werking van de machines

Stemmachines zijn in feite computersystemen met een zeer specifieke functie. Ze bestaan - zoals elk computersysteem - uit software en hardware. De programmeerbaarheid maakt een computer tot een zeer krachtig stuk gereedschap. Het (ongemerkt) veranderen van programmatuur is in het algemeen veel eenvoudiger dan het veranderen van hardware.

Bij elke verkiezing is het van groot belang dat de kiezers vertrouwen hebben in de stemprocedure en de telprocedure. Daarom is bij papieren stembiljetten de telling openbaar en goed te volgen. Hoofdstuk J van de Kieswet staat vol met artikelen die dit moeten garanderen. Bij stemmachines bestaat de telprocedure uit het omschakelen van de stemmachine van stemtoestand naar afdruktoestand en vervolgens het afdrukken van de resultaten. Ik heb deze procedure eenmaal bijgewoond en het had bijzonder weinig om het lijf.

Het publiek kan bij (de in Nederland gebruikelijke) stemmachines niet controleren dat de getallen op de afdruk een eerlijke weergave zijn van de uitgebrachte stemmen. Sterker nog, ook een expert kan dat niet. In het al eerder aangehaalde Definitierapport Kiezen op Afstand staat onder aan pagina 16: Iedereen dient in staat te zijn onafhankelijk en eenduidig vast te stellen dat alle uitgebrachte stemmen correct zijn geteld (controleren achteraf van de accuratesse). Stemmen met stemmachines voldoet derhalve niet aan de eisen die gesteld moeten worden aan kiezen op afstand. (De systemen die in Kiezen op Afstand worden voorgesteld voldoen evenmin aan deze eis. Kiezen op Afstand zal - hoop ik - altijd een keuze van de kiezers zijn; het gebruik van stemmachines is voor de kiezers geen keuze.)

Goed frauderen is een kunst

Het zou snel opvallen als het totaal aantal uitgebrachte stemmen (zoals bijgehouden door de voorzitter van het stembureau) niet klopt met het totaal dat de machine aangeeft. Er zijn echter subtielere mogelijkheden waarbij de uitslag van de machine niet hoeft te kloppen met de uitgebrachte stemmen. Dit zal ik met een eenvoudig voorbeeld illustreren:
Stel, de machine telt elke tiende uitgebrachte stem op kandidaat A niet bij die kandidaat (en zijn partij), doch bij kandidaat B (en zijn partij). Dit geeft een significante verschuiving; die mogelijk tot gevolg heeft dat kandidaat B gekozen wordt in plaats van kandidaat A. Als kandidaat A en kandidaat B ongeveer even populair zijn, zal de toename van het aantal stemmen op B niet bijzonder verdacht zijn; zeker als dezelfde verschuiving in alle stembureaus in de gemeente optreedt. Het totaal aantal stemmen blijft precies kloppen. Ook blijft het totaal aantal stemmen op een partij kloppen met de totalen van de kandidaten van die partij.

De kunst van het knoeien met verkiezingen is te zorgen dat de resultaten niet absurd zijn en niet bewijsbaar onjuist, maar wel significant anders dan de kiezers hebben gekozen. Zelfs als er belangrijke verschillen zijn met de resultaten van exit polls, dan blijft er nog het probleem dat de stemmen niet opnieuw geteld kunnen worden. Want dat kan eigenlijk alleen met papieren stembiljetten.

Door te knoeien met de software van de stemmachines is verkiezingsfraude heel goed mogelijk.

Oncontroleerbaarheid, zelfs voor een expert

De software in de stemmachines zou bewijsbaar correct moeten zijn.

Van de software die op de stemmachines is geladen heb ik de broncode niet ingezien. (Nedap staat die inzage ook niet toe.) Het zou goed zijn als de software experts onder de kiezers de mogelijkheid krijgen de broncode van deze software in te zien. De wens van de fabrikant om de broncode geheim te houden mag niet prevaleren boven het belang van openbare controleerbaarheid van het verkiezingsproces. Er zijn veel voorbeelden bekend van computersystemen waarbij de beveiliging gebaseerd was op het geheim zijn van de werking van de software. Deze methode heet wel "security through obscurity" en het heeft maar zelden gewerkt. (Voor goed begrip van deze broncode zal ook enige documentatie van essentiële delen van de hardware nodig zijn.)

Helaas is het, zelfs voor een expert, bijzonder lastig de correctheid van software te bewijzen. (Een bewijs van correctheid is eigenlijk alleen te leveren voor triviaal simpele software.)
Bovendien geeft inzage in de broncode en bewijs van de correctheid daarvan niet voldoende garantie. Als de broncode met een compiler of assembler omgezet wordt naar machinecode is een bewijs van correctheid van die compiler of assembler nodig. Compilers en assemblers zijn in het algemeen zeer grote programma's waarvoor een correctheidsbewijs niet mogelijk is. Als bij de omzetting routines uit een softwarebibliotheek worden toegevoegd moeten ook deze bewijsbaar correct zijn. Lees voor een briljant voorbeeld van een corrupte compiler die twee specifieke programma's (namelijk zichzelf en het "login" programma) expres verkeerd omzet naar machinecode het artikel Reflections on Trusting Trust van Ken Thompson.

Tenslotte is het moeilijk te bewijzen dat de software die op de machines in het stemlokaal geladen is exact overeenkomt met de gecompileerde (of geassembleerde) broncode van de leverancier. In een stemlokaal zijn voor deze verificatie de middelen niet aanwezig. Als alternatief zou het pad vanaf de compiler of assembler tot en met het inschakelen van de machine in het stemlokaal beveiligd moeten zijn. (Hierbij valt te denken aan verzegelingen.) Ook moet bewijsbaar zijn dat de hardware van de machines in het stemlokaal exact overeenkomt met de documentatie daarvan.

De werking van de in Nederland toegepaste stemmachines wordt getest door TNO. Testen is een goede manier om het bestaan van fouten in software aan te tonen, maar het is hopeloos ongeschikt om te bewijzen dat een programma vrij van fouten is. (Vrij naar E.W. Dijkstra in EWD340.) Per ongeluk gemaakte fouten zijn vaak nog wel te vinden. "Fouten" die expres en vakkundig zijn aangebracht met de uitdrukkelijke bedoeling niet gevonden te worden, zijn extreem lastig op te sporen.

Persoonlijk heb ik wel enig vertrouwen in de integriteit van de makers van de Nederlandse stemmachines, de vervoerders van deze apparaten, de personen die ze dag en nacht zouden moeten bewaken wanneer ze niet in gebruik zijn, enz. Onze democratie moet echter niet gebaseerd zijn op blind vertrouwen, maar op controleerbaarheid. Hierbij gaat het om controleerbaarheid door alle kiezers die hun stemmen aan het systeem moeten kunnen toevertrouwen.
Controleerbaarheid bij verkiezingen met gecomputeriseerde stemmachines is niet te realiseren zonder een papieren verificatiemogelijkheid.
Daarom dienen deze stemmachines afgeschaft te worden.

Papieren verificatiemogelijkheden

Als de stemmachine (naast de elektronische opslag van de stemmen) ook een papieren afdruk maakt van elke uitgebrachte stem, is verificatie van de werking van de machine mogelijk. Door het lot kunnen bij elke verkiezing een aantal machines worden geselecteerd waarvan dan de papieren afdrukken handmatig nageteld worden. Uiteraard moeten deze papieren afdrukken niet op een lange strook papier staan, maar op afzonderlijke papiertjes die in een stembus geworpen worden zodat niet is te achterhalen in welke volgorde de stemmen uitgebracht zijn. (De kiezer mag deze afdrukken nooit meekrijgen omdat hij dan ten aanzien van derden zou kunnen bewijzen wat hij/zij gestemd heeft en bovendien zou dan de verifiëerbaarheid van de werking van de stemmachine weer teniet gedaan worden.)

Een recente ontwikkeling is het artikel Secret-Ballot Receipts and Transparent Integrity. In dit artikel beschrijft David Chaum een stemsysteem met een (bijzondere) printer dat volledig controleerbaar is en beide aspecten van het stemgeheim waarborgt. Het biedt elke kiezer de mogelijkheid te controleren dat zijn stem is geteld. Mede daardoor waarborgt dit systeem ook de integriteit bij het totaliseren van de stemmen van de diverse stemlokalen.

Opmerkingen

Niet gecomputeriseerde stemmachines ?

Het is mogelijk een stemmachine te construeren die geen computer bevat, zelfs geen elektronische componenten. Dit apparaat zou bijvoorbeeld kunnen lijken op een mechanische telmachine, of een ponsmachine. Het controleren van de correcte werking van een mechanische telmachine is echter geen eenvoudige zaak. De werking van een ponsmachine is wel gemakkelijk te controleren mits de ponskaarten voorzien zijn van een opdruk die aangeeft welke positie overeenkomt met welke kandidaat. De recente ervaringen in Florida met mechanische ponsmachines zijn echter niet bepaald positief. (Stemmers konden een gat gedeeltelijk uitponsen, dit is met een goed ontworpen ponsmechanisme wel te verhinderen.) De cruciale goede eigenschap van ponskaarten is dat ze, in principe, door mensen zijn te lezen; de werking van de ponsmachine en de machine die vervolgens de stemmen telt is dus door leken te controleren.

Stemmen via Internet, per email, of per telefoon ?

Dit is helemaal uit den boze. Hierbij is het praktisch onmogelijk Het aantal mogelijkheden om te knoeien met de stemmen neemt toe met elke computer tussen de stemmers en de plaats waar de stemmen geteld worden. Een beetje Internet verbinding loopt via tientallen computers...

Stemmachines voor niet-geheime stemmingen

Er zijn stemmingen waarbij geen stemgeheim geldt. Bijvoorbeeld de stemmingen in de Tweede Kamer, of het Euro-parlement. Of een volksvertegenwoordiger voor, dan wel tegen een voorstel heeft gestemd is publieke informatie. In deze situaties heb ik geen problemen met het gebruik van machines. Ze kunnen iets sneller werken dan stemmen bij hand opsteken. Elke volksvertegenwoordiger kan controleren dat zijn eigen stem correct is geregistreerd en dat het totaal aantal voor- en tegenstemmers klopt. Hoewel de interne werking van zo'n stemmachine niet voor de stemmers begrijpelijk hoeft te zijn is de uitwendige (functionele) werking volledig door hen controleerbaar.

Wie is de schrijver van dit document ?

foto van Peter Knoppers Ik ben Peter Knoppers [http:http://195.242.98.83/?object=staff&method;=view&item;=41] (email: P.Knoppers@TUDelft.NL), Ir. elektrotechniek, 48 jaar oud, werkzaam bij de Technische Universiteit Delft. Ik heb veel ervaring in computersystemen, software, Internet, computerbeveiliging, enz. Ik weet waarover ik hier schrijf.

Sinds kort na de oprichting ben ik betrokken bij wijvertrouwenstemcomputersniet.nl. Logo wijvertrouwenstemcomputersniet.nl

Literatuur

Een geactualiseerde versie van deze literatuurlijst is te vinden in de web-versie van dit artikel [http://ce.et.tudelft.nl/~knop/stemmachines/].

Aangebrachte wijzigingen