E-valgsystemer til afholdelse af lov- og vedtægtsbestemt valg Opbygning og datasikkerhed 2014
Om Assembly Voting Assembly Voting er udviklet i samarbejde mellem Siemens A/S og Aion ApS til gennemførelse af demokratisk gyldige elektroniske valghandlinger, der er bygget op ud fra internationale anbefalinger for e-valg; teknisk opbygning, dokumentation og brugervenlighed (bl.a. Europarådets "Legal, Operational and technical standards for e-voting" og OSCE s Guidelines for observation of electronic voting ). Aion ApS leverer teknologien og står for organiseringen af valghandlinger med elektronisk stemmeafgivelse ved lov og vedtægtsbestemte valg i blandt andet faglige organisationer og kommuner. Assembly Voting er i dag Danmarks mest benyttede elektroniske valgsystemer, og har siden starten i 2001 været benyttet ved over 550 bindende valghandlinger med mere end 10.000.000 vælgere. Assembly Voting er bl.a. blevet benyttet i 3F, HK, FOA, Dansk Metal, Bibliotekarforbundet, Dansk Magisterforening, Ingeniørforeningen (IDA), Dansk Sygeplejeråd, Kommunikation og Sprog (KS) og Danmarks Idræts-Forbund (DIF) og Team Danmark, Frederiksberg Kommune, Aarhus Kommune, Frederikssund Kommune, Køge Kommune, Esbjerg Kommune, Roskilde Kommune, TopDanmark, Siemens, m.fl. Forskningsbaseret valgteknologi Assembly Voting deltager som partner i DemTech Demokratisk teknologi ved IT Universitetet i København. Projektet er blandt verdens største forskningsmæssige satsninger i udviklingen af sikre e-valgteknologier. Projektet er bl.a. støttet af Det Strategiske Forskningsråd, og involverer en række af verdens førende forskere i e-valgteknologi. Læs mere om Assembly Voting på www.assemblyvoting.com Læs mere om Demtech demokratisk teknologi på www.demtech.dk Yderligere information Kontakt venligst CIO Mikkel Leffers Svendstrup på e-mail: mikkel@aion.dk eller telefon: +45 2616 9638. 2
Valgsystemernes opbygning og datasikkerhed Kort om valgsystemerne Assembly Voting består af flere forskellige systemtyper, der kan tages i brug alt efter opgavens krav og specifikationer. Brugerfladen er den samme for de forskellige systemer. Systemerne understøtter langt de fleste typer af valghandlinger (urafstemninger, kandidatvalg med 1 eller flere stemmer, stemmevægte etc.) Assembly Voting er opbygget, så det sikres, at 3 grundlæggende principper ved en legitim demokratisk valghandling altid overholdes: 1) at kun stemmeberettigede har mulighed for at stemme, 2) at der for hver stemmeberettigede kun registreres et gyldigt antal stemmer, uanset hvilket afstemningsmedie der benyttes 3) at der er fuld anonymitet omkring den afgivne stemme Der findes 2 overordnede varianter af valgsystemerne i Assembly Voting. De adskiller sig i den tekniske systemopbygning og i principperne for den praktiske organisering af valghandlingen. Herunder gennemgås de 2 valgsystemer. 3
Assembly Voting Version 1 (AVV1) Bruges primært til afholdelse af vedtægtsbestemte valg i faglige organisationer og foreninger Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som teoretisk mulighed - Assembly Voting har aldrig haft datatab. En stemme registreres i databasen som en relation imellem stemmeberettiget stemmeprofil og et valgalternativ. Anonymitet sikres efter et organiserende anonymitetsprincip, hvor systemleverandør via valgsystemet, alene har adgang til anonymiserede stemmeprofiler (randomiserede numeriske eller alfanumeriske koder). Valgkunde eller 3. part forestår udsendelse af gyldige valgkoder via personificerede valgkort til stemmeberettigede vælgere. Der er således organiseret adskillelse mellem valgliste med stemmeberettigede og stemmeregistrering i valgsystem. Valgsystemet kan kun tilgås af godkendte navngivne personer i beskyttet miljø (læs mere nedenfor). 4
For at øge tilgængeligheden kan AVV1 understøtte et yderligere elektronisk afstemningsmedie (ud over internet): SMS Generelt kan man sige, at det reducerer sikkerheden for anonymitet i valghandlingen. Det er koblingen i gatewaysmellem et anvendt telefonnummer og stemmeoplysningerne, der tilføjer en risikovariabel i relation til brud på anonymitet i stemmeafgivelsen. Web og sms er i dette set up integreret i samme base. Dvs. man kan kun stemme afgive et gyldigt antal stemmer uanset medie. Det grundlæggende problem ved sms er at sikre fuld anonymitet på SMSgatewayen. Gatewayen kan registrere, fra hvilket nummer en given tekststreng kommer, og dermed kompromittere adskillelsen mellem stemme og vælgerid. I samarbejdet med gateway leverandør til Assembly Voting, er der udviklet en frakobling af stemmedata fra mobilnummer, så snart stemmen modtages. Så den medarbejder der håndterer gatewayen ikke har adgang til koblingen mellem tekststreng og telefonnummer. Assembly Voting oplyser om de tilknyttede problemstillinger ved SMS i relation til valghandlinger overfor valgkunder. Det er valgkundernes suveræne beslutning jf. valgvedtægter og tilknyttet valgbestyrelse / revision der beslutter hvilke afstemningsmedier, der skal være tilgængelige i den givne valghandling. 5
Sikkerhed Assembly Voting Version 2 (AVV2) Bruges primært til højrisikovalg, fx lovbestemte valg AVV2 er bygget op omkring asymmetrisk kryptering. En krypteringsnøgle består af 2 nøglehalvdele ofte kaldet den offentlige nøgle og den private nøgle. Den offentlige nøgle anvendes til at kryptere en tekst og kun den tilhørende private nøgle kan anvendes til dekryptering. Det kan udtrykkes lidt populært således: Med den offentlige nøgle kan man gemme en stemme i en forseglet kuvert. Seglet kan kun brydes hvis man har den private nøgle. Implementering af stemmekryptering I AVV2 er valgsystemet udvidet med et program, der installeres på en PC som ikke har netadgang. Denne PC benævnes resultatpc. På resultatpc en generes et nøglesæt og den offentlige nøgle overføres manuelt til valgserveren, den private nøgle bliver på resultatpc en. 6
Når en vælger logger ind på valgserveren for at stemme overføres hele opstillingslisten og den offentlige nøgle til vælgerens PC, stemme dialogen inkl. navigering imellem valglister sker lokalt, når vælgeren har afgivet og bekræftet sin stemme krypteres denne med en offentlige nøgle og kryptogrammet sendes til valgserveren. Man kan bruge analogien, at stemmen lægges i en kuvert og forsegles. Den krypterede stemme gemmes i databasen, relationen i databasen imellem stemmen og kandidaten etableres ikke. Dvs. personale med fuld databaseadgang kan i dette system se, at en stemmeprofil har stemt, men ikke hvad der stemt på profilen. Så selv om man skulle have adgang til den fulde udsendings base, vil man stadig ikke kunne tilbageføre afgivne stemmer til enkeltpersoner. Når valget er afsluttet dannes en liste, som indeholder alle kryptogrammer, listen 7
omordnes automatisk, således at sekvensen af kryptogrammerne ikke kan relateres til en sekvens af vælgerne i databasen. Denne liste overføres manuelt til resultatpcen. ResultatPCen dekrypterer kryptogrammerne med anvendelse af den private nøgle og danner en valgbog med resultatet. Valgbogen kan printes direkte eller bæres tilbage til valgserveren. Option: Netadgang fra resultatpc Man kan lette processen hvis man giver resultatpc en netadgang, dataoverførelsen imellem resultatpc en og valgserveren kan ske direkte fra resultatpc en. Dette svækker ikke sikkerheden i løsningen væsentligt, men gør argumentationen for sikkerheden lidt svagere idet man skal argumentere for at resultatpc en ikke kan blive inficeret med malware som kan eksponere den private nøgle for tredje part. 8
Brugerflade og eksekvering af stemmeafgivelse Systemets brugerflade er testet hos en bred målgruppe gennem en periode på 6 måneder og tilpasset herefter. Det er tilstræbt at stemmeafgivelsen skal være selvindlysende, og at brugeren derfor føler sig hjemme og sikker i stemmeafgivelsesprocessen. Det er imidlertid umuligt at udelukke at enkelte vil have behov for hjælp, hvorfor en Hotline service vil være tilgængelig gennem hele valgperioden. Se eksempel på stemmeafgivelse sidst i dokumentet Driftssikkerhed Systemet overvåges døgnet rundt i hele valgperioden, og uregelmæssigheder registreres løbende. Alle systemer er redundante, og data kan til enhver tid genskabes i tilfælde af strømudfald eller lignende. Systemet revideres løbende teknisk både af interne teknikere og eksterne eksperter. Assembly Voting har over en periode på 10 år haft en oppe tid på over 99,9%. Systemet opdateres løbende til at kunne håndtere alle nye versioner af browserne: Internet Explorer, Mozilla Firefox, Safari, Opera og Google Chrome. De elektroniske valgkort er lavet ud fra en gennemtestet skabelon, der løbende testes i forhold til at kunne undgå firewalls og spamfiltre. Der laves halvårligt nye revisioner af valgkortskabelonen, for at sikre optimal penetration (under 1 promille af udsendte elektroniske valgkort afvises af firewalls eller fanges i spamfiltre). Hosting faciliteter Assembly Voting systemet hostes hos TDC Hosting A/S i deres professionelle datacenter. Det primære datacenter er opført i 35 cm dobbeltarmeret beton, hvor tyverisikringen er med tre sikkerhedszoner og brandsikret med inergenanlæg. Hertil kommer UPS-anlæg med dieselgenerator i tilfælde af strømsvigt og et fuldt ud redundant køleanlæg. TDC Hosting A/S datacenter bliver løbende vedligeholdt og modernisteret. TDC Hosting A/S Product & Solutions har en sikkerhedspolitik, der beskriver de krav der stilles til deres driftsmiljø. Denne er senest blevet revideret af en uafhængig revisor den 10. januar 2013 (BDO Statsautoriseret 9
revisionsaktieselskab). BDO har udarbejdet og underskrevet en ISAE 3402-Erklæring der omhandler: Beskrivelse af generelle IT-kontroller, deres udformning og funktionalitet i henhold til TDC Hosting Product & Solutions sikkerhedspolitk. ISAE-2302 kan fremsendes hvis det ønskes. Datasikkerhed Al datatrafik krypteres i såvel transaktion som lagring. Data spejles over flere servere (fuld redundans), så datatab kun eksisterer som en teoretisk mulighed - Assembly Voting har aldrig haft datatab. Systemet angribes planlagt årligt af eksterne eksperter for at sikre mod eventuelle nye browser exploits og sikre, at det kan modstå ex. DoS angreb. Nye krypteringsteknologier implementeres løbende i samråd med Københavns IT Universitet. Assembly Voting systemet testes ligeledes løbende af uvildige revisionsvirksomheder, der på vegne af foreninger og kommuner tilser, at valghandlingen gennemføres i overensstemmelse med grundlæggende demokratiske principper og valgvedtægter. Håndtering af data Al datakommunikation af fortrolige medlemsdata mellem kunde og Assembly Voting systemet foregår krypteret via sikker sftp server eller vi fysisk overlevering af data på usb-sticks.. Datafiler hentes fra sikret server direkte ned på usb-stick for at undgå lagring af sensitive data på PC forbundet til Internettet. Datafiler overføres fra usb til krypteret drev på offline PC'ere som anvendes til generering af passwords/valgkoder, opsætning af valgsystem og generering af personlige valgkort/stemmesedler i PDF-format til print. I alle faser af databehandlingen gennemføres integritetscheck af data og overensstemmelse med leverede stamdata fra kunde. Integritetstestene gennemføres både elektronisk og ved manuelle stikprøver. Ved godkendt valghandling og valgresultat, dvs. at der ikke inden indsigelsesfristens udløb er fundet uregelmæssigheder der kompromitterer valgets rigtighed, destrueres alle databaser med personoplysninger og stemmeafgivelser. Registrering af henvendelser Alle henvendelser fra stemmeberettigede registreres i logbog for valghandlingen. 10
Henvendelserne kan foregå via telefon til hotline-service eller e-mail til teknisk valgansvarlig. For hver henvendelse registreres og kategoriseres henvendelsens årsag og efterfølgende handling. Mere specifikt registreres: Dato og tidspunkt for henvendelse Valgkode (for den der henvender sig) Årsag til henvendelse; Teknisk problem karakter (a. problemer med link, b. problemer med log on procedure, c. andre systemproblemer specificeres) Kommunikativ problem karakter (a. manglende information om stemmeafgivelse, b. spørgsmål til system/organisering af valghandling, c. andre spørgsmål til kommunikation omkring valghandlingen specificeres) Konklusion på henvendelse; aktionsbeskrivelse over for stemmeberettigede fra teknisk ansvarlig og opgørelse; løsning/ikkeløsning af problem for stemmeberettiget Logbogen over de personlige henvendelser indgår sammen med logfilen over den tekniske afvikling af valghandlingen i afstemningssystemet som grundlag for en samlet validering af valgresultatets rigtighed. Valideret valgresultat Valgresultatet kan valideres hvis der ikke i valghandlingen er indtruffet forhold af teknisk, organisatorisk eller kommunikativ karakter, der kan skabe begrundet usikkerhed om valgresultatets rigtighed. Hovedkriteriet for validering af valgets rigtighed er, at de indtrufne uregelmæssigheder ikke må kunne have betydning for om det ene valgbare alternativ er valgt frem for et andet valgbart alternativ. Med til afgørelsen af valgets rigtighed indgår logfilen over stemmeafgivelsens tekniske afvikling, og logbogen med opgørelse over de personlige henvendelser fra stemmeberettigede i valgperioden. Valgresultatets rigtighed bevidnes med underskrift af medlemmerne af den ansvarlige valgbestyrelse / valgudvalg på vegne af den kommune, organisation eller forening valget afholdes i. Løbende intern og ekstern revision af valgsystem og procedurer Valgsystemet testes løbende af valgkunders egne uvildige 11
revisionsvirksomheder. Revisionen udøves både på teknisk set up, performance, datasikkerhed og procedurer for opsætning af valg, gennemførelse af valghandling og opgørelse af valgresultat. Desuden gennemføres årlige penetrationstests ved ForteConsult. 12
Stemmeafgivelse i Assembly Voting Assembly Voting er et dedikeret valgsystem, der er designet til at gennemføre legitime valghandlinger. Det betyder, at du som vælger kun har mulighed for at møde informationer og funktioner, der specifikt er knyttet til afgivelsen af en stemme. Brugerfladen er bygger på OSCE s og Europarådetss anbefalinger, og er gennemtestet på landsrepræsentative vælgergrupper. Nedenfor er et eksempel på en brugerflade og flow over stemmeafgivelse ifm. et Hovedbestyrelsesvalg for Bibliotekarforbundet. Trin 1: Log ind til valgsystemet Log ind siden kan nås via link på foreningen eller organisationens hjemmeside. Ved adgang til Log ind siden skal der indtastes to unikke identifikatorer. Det vil typisk være en unik fremsendt valgkode og BrugerID (f.eks. fødselsdato, 6 cifre, ddmmåå), der indtastes. Log ind til Assembly Voting kan også ske via NemID. 13
Trin 2: Den elektroniske stemmeseddel Den elektroniske stemmeseddel åbner ved godkendt log in. Dvs. godkendt stemmeprofil (Valgkode og BrugerID), samt ikke tidligere afgivet stemme. 14
Trin 3: Kandidat CV Det er muligt at indsætte billede og kort tekst af de opstillede kandidater. Der kan endvidere linkes til uddybende kandidatpræsentation på egne hjemmesider. Trin 4: Afgivelse af stemme 15
Der klikkes på den kandidat man ønsker at stemme på. Maksimalt antal stemmer er angivet på siden. Herefter klikkes på Afgiv stemme. Trin 5: Bekræftelse af stemme Først når stemmen er bekræftet, er den registreret i valgsystemet. Kan stemmen 16
ikke bekræftes vender man tilbage til stemmesedlen. 17