De Nederlandse Kiesraad gaat kijken of de software die bij verkiezingen wordt gebruikt in de toekomst niet meer via een cd-rom hoeft te worden verstuurd. Dat gebeurt nu wel met de testsoftware, maar veel computers hebben geen cd-romlades meer.
Hoe is dit niet al veel eerder uitgedacht? Zou verwachten dat het ministerie gebruik maakt van kennis op universiteiten etc…
Japan gebruikt(e tot vrij recent ook nog) floppy disks. Sauce.
Tip voor de kiesraad: schakel over naar SD kaarten. Die hebben een write protect tab. Als je het zeker wilt weten kun je die vastlijmen met superglue. Een kaartlezer met USB aansluiting kost een paar Euro en is overal verkrijgbaar.
Voor extra security kun je het met pgp encrypten en dan het password en eventueel een checksum apart via de gewone post versturen.
Die write protect tab is nergens op aangesloten binnen de SD kaart, het is aan de kaartlezer om dit te detecteren. Dit is dus makkelijk te omzeilen met een gemodificeerde kaartlezer.
De Kiesraad heeft trouwens wel al instructies over het verifiëren van de checksum van de software op hun site staan.
Uiteindelijk is het belangrijk om meerdere lagen aan bescherming te hebben, zodat een enkele digibeet die de checksum niet verifieert niet direct verkiezingsfraude mogelijk maakt.
Het is een delicate balans. Als je teveel beveligingsmaatregelen aanlegt vinden mensen dat lastig en vinden ze manieren om ze te omzeilen, of ze gebruiken gewoon het product niet meer. Als je te weinig maatregelen aanlegt wordt het makkkelijk voor kwaadwillenden om kwaad te willen.
En de perceptie van wat aanvaardbaar is verschuift ook.
Toen ik in 1987 voor het eerst een PC met netwerk kreeg op de werkplek vond ik het maar wat lastig om iedere ochtend mijn wachtwoord in te moeten tikken. En tegenwoordig zijn bij mij thuis alle notebooks en PC’s met encryptie bij opstarten beveiligd zodat niemand onrechtmatig bij mijn bestanden kan komen, ook de overheid niet als ik dat niet wil.
Wat een rare toestand dat dat dit nog met Cd-roms gebeurt. Ik snap dat het veilig en air-gapped moet, maar je zou verwachten dat we al wel eerder een veilige manier hadden moeten kunnen vinden waarop dit aangepakt kon worden.
Zelf ben ik wel echt voor elektronisch tellen, niet als vervanging van het tellen met de hand, maar meer als een controle. Met het tellen met de hand worden ook gewoon fouten gemaakt en die zou je zo sneller moeten kunnen opsporen. Zolang mensen, maar niet lui worden en eerst de computer laten tellen en vervolgens heel snel tot dezelfde conclusie komen (omdat ze dus gewoon niet goed kijken).