« Storage Area Network'… | Home | IT Architectuur certi… »

Wat is er eigenlijk mis met stemcomputers?

Op het nieuws is de laatste tijd veel commotie over problemen rond stemcomputers. In het RTL nieuws was vorige week nog te zien hoe men met behulp van een ontvanger kon zien wat iemand had gestemd, maar er zijn meer problemen.

In Nederland worden stemcomputers al enige jaren gebruikt. De gebruikte machines zijn voor 90% van het merk Nedap, om precies te zijn van het type ES3B. Op de site www.wijvertrouwenstemcomputersniet.nl zijn diverse artikelen te vinden over de problemen met deze machines.

Ik heb het rapport rond de ES3B stemcomputer gelezen. Hieronder staat een kort overzicht van de problemen met deze machines. Voor een volledige beschrijving verwijs ik graag door naar het bovengenoemde rapport.

Fysieke beveiliging

In de kieswet staat dat stemcomputers dienen te zijn beveiligd met een fysieke sleutel, zodat niemand zomaar de stemcomputer kan openen. Het blijkt dat de stemcomputers van Nedap afgesloten zijn met een allerdaags sleuteltje dat ook voor bureaulades wordt gebruikt.

Dit sleuteltje is voor alle 8000 stemmachines hetzelfde (en het typenummer is bekend), en kan eenvoudig voor 1 euro worden besteld op het internet.

Om rustig aan de machines te kunnen sleutelen is fysieke toegang tot de machines nodig. Het blijkt dat de machines vaak zijn opgeslagen in onbeveiligde ruimtes, vaak zonder toezicht of alarm. Het is daarom makkelijk om ongezien de machines aan te passen.

Hardware

De hardware van de stemmachines bestaat uit een eenvoudige printplaat met een 68000 processor (die waarschijnlijk op enkele tientallen MHz draait), twee EEPROMs en enkele tientallen 7400 series TTL chips. In de jaren tachtig was deze technologie erg gebruikelijk, maar tegenwoordig is het sterk achterhaald. De stemcomputer bevat 16 kB RAM (!) en 8kB EEPROM's. Alle opslag gebeurt in de EEPROM's. Er is geen opslag op harde schijf, maar de EEPROM's zijn wel redundant uitgevoerd.

Deze hardware is onvoldoende krachtig om moderne encryptie toe te passen.

Fraude

Omdat het makkelijk is om fysiek bij de stemcomputers te komen, en omdat de gebruikte hardware eenvoudig is en makkelijk is te reverse-engineeren, is het betrekkelijk eenvoudig om de EEPROM's van de stemcomputers te vervangen voor gemodificeerde exemplaren.

Deze gemodificeerde EEPROM's kunnen bijvoorbeeld elke tiende stem toekennen aan een vooraf bepaalde partij. Een andere mogelijkheid is om een stukje elektronica te plaatsen tussen het toetsenbord en het processorbord en tussen het display en het processorbord, die aan de gebruiker niets laat merken, maar die toch stemmen kan toekennen aan andere partijen dan waar de burger op gestemd heeft.

Stemgeheim

Zoals al in het RTL nieuws werd getoond, is het mogelijk door middel van een analoge ontvanger te luisteren op welke partij wordt gestemd.

Dit vereist enige nuancering: in het artikel staat dat omdat er voor de displays van de stemcomputers een Japanse versie van de Hitachi hardware is gebruikt, dit display geen tekens kan weergeven met een accent (Christen Democratisch Appèl). Om de letter è in Appèl toch weer te kunnen geven, wordt dit teken opgebouwd uit pixels door het Hitachi display. Dit leidt echter tot een andere stoorfrequentie dan voor normale letters.

Met de analoge ontvanger kan dus alleen worden ontvangen of iemand CDA of iets anders heeft gestemd. Er is onvoldoende afscherming voor radiostraling, waardoor het afluisteren op grote afstand (tientallen meters) mogelijk is.

Security by Obscurity

De uitkomsten van de stemmingen worden uitgeprint voordat de memorymodules van de stemcomputers worden opgestuurd, zodat verifieerbaar is wat er in de memorymodules stond voordat ze werden opgestuurd. Deze print-outs worden echter pas gemaakt nadat alle stemmen zijn uitgebracht.

Het is niet mogelijk voor de kiezers om de uitslag van de stemming of het proces dat leidt tot de uitslag te controleren. Hoe de stemcomputer werkt wordt geheim gehouden, waardoor controle op de juiste werking onmogelijk wordt. Een typisch staaltje Security by Obscurity, dat in de securitywereld algemeen als een slecht principe wordt gezien.

Architectuur en ontwerp

Verder is het gezien de architectuur en het ontwerp van de machine duidelijk dat aan security veel te weinig aandacht is besteed. Dit is niet alleen een probleem van de fabrikant, ook de opdrachtgever (de Nederlandse staat) heeft verzuimd om voldoende aandacht te besteden aan de beveiliging van de stemcomputers.

De gebruikte hardware en de opzet van de stemcomputers maken duidelijk dat het huidig ontwerp niet kan worden aangepast om te voldoen aan de securityeisen voor een Beschikbaarheid en Integriteit en Vertrouwelijkheid (BIV, of in het Engels: CIA: Confidentiality, Integrity and Availability).

Om stemcomputers in de toekomst veiliger te maken, is een gedegen ontwerp nodig, gebaseerd op alle "business eisen". Security (waaronder verifieerbaarheid) zou een belangrijk onderdeel van de architectuur moeten zijn.

Er is one reactie, klik hier om uw mening te geven:

Zeer verhelderend, dank je wel!
Jos Pelser - 09 01 07 - 00:18