Nederlanders die in het buitenland wonen of werken kunnen in november 2006 tóch hun stem uitbrengen. Niet per telefoon of brief, zoals bij voorgaande Tweede Kamer-verkiezingen, maar via het internetstembureau, een speciaal ingerichte website. Met een persoonsgebonden code versleutelt de kiezer zijn stem en stuurt die naar een centrale server. Na het tellen van de internetstemmen kan de kiezer zelf controleren of zijn stem is aangekomen en meegenomen in de verkiezingsuitslag.

Waterschappen en studentenraad

Tijdens het SURFnet-seminar “Internetstemmen – zegen of zorg” spraken ontwerpers en gebruikers van de nieuwe stemsoftware met kritische burgers over de sterke en zwakke plekken van het systeem. ICT-innovator SURFnet is ondersteunend betrokken bij het project Kiezen Op Afstand; de echte uitvoerders zijn de waterschappen en het Ministerie van Binnenlandse Zaken.

Het programma dat eind november een deel van de Tweede Kamer-verkiezingen afhandelt is een echt product van eigen bodem. Onder de naam CHOOSE maakte het zijn debuut in 2000, tijdens verkiezingen van de Delftse Studentenraden. Het basisprincipe van CHOOSE werd opgenomen in het programma RIES (Rijnland Internet Election System). Dat werd in 2004 ingezet tijdens de verkiezingen van de waterschappen Rijnland en Den Dommel en kreeg best practice-prijzen van de Europese Commissie en van de Verenigde Naties.

Simon Bouwman van het Waterschapshuis, de stichting die ICT-samenwerking tussen waterschappen bevordert: ‘volgens de wet mogen onze verkiezingen niet worden georganiseerd door de gemeentes; dat moeten we zelf regelen. Omdat de kiezers van elk waterschap over een groot gebied verspreid zitten, is het lastig ze allemaal een stemmogelijkheid dicht bij huis te bieden. Daarom hebben we in 2004 de mogelijkheid van internetstemmen aangeboden.’ In 2004 werd 32% van de stemmen in de waterschapsverkiezingen uitgebracht via RIES, vertelt Bouwman: ‘bij de waterschapsverkiezingen in 2008 willen we alle kiesgerechtigden, zo’n 12 miljoen mensen en partijen, via RIES laten stemmen.’

In 2008 verlopen de waterschapsverkiezingen volledig online, maar voor de Tweede Kamer-verkiezingen moeten we naar het stemlokaal. Alleen Nederlanders die in het buitenland wonen of werken kunnen van 18 tot en met 22 november via internet stemmen. ‘Naar verwachting stemt daarvan 63% via internet met RIES’, vertelt Joost Beukers, projectleider van Kiezen Op Afstand bij het ministerie van Binnenlandse Zaken. Hoe waterdicht is het systeem waarmee de buitenlandstemmers hun kandidaat kiezen?

‘Veilig maar niet vlekkeloos’, oordeelt het seminarpubliek, waaronder leden van de actiegroep “wijvertrouwenstemcomputersniet”. De actiegroep toonde deze herfst aan dat verschillende stemcomputers binnen een paar minuten te hacken zijn. Kwaadwillenden kunnen zo stemmen stelen. Bovendien zijn stemcomputers van de firma Sdu volgens de actiegroep ook nog eens af te luisteren, in strijd met het stemgeheim. Minister Nicolaï van Bestuurlijke Vernieuwing keurde de stemcomputers in 35 gemeenten af. Ook een mogelijk fraudegevoelige stemmethode als internetstemmen heeft de aandacht van wijvertrouwenstemcomputersniet. Hoe is het internetstembureau beveiligd tegen hackers?

Persoonsgebonden codes

‘Eigenlijk hebben we een virtueel stembiljet geprogrammeerd’, vertelt Piet Maclaine Pont, mede-ontwerper van de RIES-technologie: ‘elke kiezer krijgt een unieke geheime code toegestuurd per post.’ In RIES heeft ook iedere politicus een eigen code, maar een kiezer die op een kandidaat wil stemmen stuurt die code niet zondermeer naar het internetstembureau; hij beveiligt de code eerst met zijn eigen geheime sleutel. Omdat iedere kiezer een unieke sleutel gebruikt zien stemmen van verschillende kiezers op dezelfde kandidaat er heel anders uit. De centrale server gebruikt een referentiebestand om al die technische stemmen te herleiden tot stemmen op de verschillende kandidaten.

Valsspelen

Probeert iemand een technische stem naar de server te sturen die niet in het referentiebestand staat, dan wordt die stem ongeldig verklaard. ‘Alleen als de toegestuurde technische stem wél in het referentiebestand kan hij van een geregistreerde kiezer komen en meetellen’, aldus Maclaine Pont. De computer rekent op basis van de ingestuurde technische stem een ontvangstbevestiging uit en stuurt die terug naar de kiezer. Ook de ontvangstbevestiging is weer uniek voor die specifieke kiezer. Door persoonsgebonden codes te gebruiken in de versleuteling probeert het RIES-systeem inmenging van buitenaf uit te sluiten.

Natuurlijk mag niemand de persoonlijke code van een ander in handen krijgen, want daarmee is meteen de stem te stelen. De computer die de sleutels uitrekent en toewijst aan kiezers wordt daarom na gebruik ‘schoongemaakt’. De lijst waarmee personen aan codes te koppelen zijn gaat een kluis in.

Na sluiting van het digitale stemlokaal worden alle ontvangen technische stemmen gepubliceerd met daarbij de “vertaling” naar de bijbehorende politicus. Uit de technische stemmen is niet af te leiden welke kiezer op een kandidaat heeft gestemd; voor die vertaalslag is de persoonlijke sleutel voor nodig, die de computer van de kiezer niet verlaat. Kiezers kunnen omgekeerd wel controleren of hun technische stem is meegenomen in de einduitslag.

‘Als één op de duizend stemmers zo’n controle uitvoert haal je er statistisch gezien alle grote hacks uit’, voorspelt Maclaine Pont. Hij durft nog verder te gaan: ‘als er ook maar één kiezer aantoont dat er met zijn of haar stem is gerommeld, is er iets grondig mis. Als er een stem verdwijnt of aan een verkeerde kandidaat is gegeven, zeg ik: opnieuw stemmen.’

‘Ik kan me voorstellen dat bij één afwijkende stem wordt gezegd: dat is geen probleem’, relativeert Joost Beukers: ‘de uitslag van de verkiezingen verandert daar niet door. Zo’n fout kan aan hardwareproblemen liggen en hoeft dus niet te betekenen dat er is gesjoemeld.’

Na het seminar schudt Maclaine Pont het hoofd over Beukers’ uitspraak. ‘Wat je moet begrijpen is dat we al corrigeren voor hardwarefouten door back-ups, en als de centrale server in brand vliegt publiceren we natuurlijk geen uitslag. Maar als alles in orde is en je hebt tóch een verschil tussen iemands uitgebrachte technische stem en wat de server heeft opgetekend, dan betekent dat maar één ding: een fout in de software of een poging tot stemvervalsing. Je kunt het hele systeem dan niet meer vertrouwen.’ Na alle tests van eigen experts en externe onderzoekers zitten zulke fouten en achterdeurtjes overigens niet meer in de software, verwacht Maclaine Pont.

Volgens de aanwezigen in het SURFnet-zaaltje zal het wel loslopen met zo’n systeemfout. De broncode van RIES is getest door een onafhankelijke software-expert en een taakgroep van de Radboud Universiteit Nijmegen. Die probeerden de software te kraken met bekende aanvallen als het invoeren van absurd lange codes of door eigen uitvoerbare programmatuur in de invoervelden te proppen. RIES bleek daartegen bestand.

Kritische burgers kunnen de software binnenkort zelf controleren, belooft mede-octrooihouder Piet Maclaine Pont: ‘de RIES-software is nu eigendom van de auteurs, waaronder zo’n 80 studenten, maar we streven ernaar de broncode begin volgend jaar als open source te publiceren. Ook al heeft maar 1% van de bevolking de know-how om zulke computercode te beoordelen, zo’n controle moet in principe mogelijk zijn.’

Ook zonder softwarefouten is RIES volgens SURFnet-medewerker Klaas Wierenga kwetsbaar. Zo zou een geconcentreerde DDOS-aanval ( Distributed Denial Of Service) het systeem plat kunnen leggen. Bij een DDOS-aanval bestookt een netwerk van (gekaapte) computers de stemserver met verzoekjes om informatie. De stemserver bezwijkt onder die last, waardoor kiezers niet meer kunnen stemmen. ‘Er zijn redelijk wat technieken te koop die een DDOS aanval kunnen tegengaan’, relativeert wijvertrouwenstemcomputersniet-lid Lucas Kruijswijk. Volgens de informaticaspecialist bij Philips gaat het om een beheersbaar risico.

Wijvertrouwenstemcomputersniet denkt dat het grote veiligheidsrisico van RIES niet aan de ICT-kant zit. Zo kijkt de aktiegroep kritisch naar de drukkerij waar persoonsgebonden sleutels op een kaartje worden gedrukt en verzonden. Wie die geheime sleutels in handen heeft kan zich tijdens de verkiezingen voordoen als de rechtmatige eigenaar en zo stemmen stelen.

Kiezen Op Afstand-projectleider Joost Beukers, die niet wil vertellen over wélke drukker het gaat, ziet het samenkomen van de sleutels bij één partij niet als een probleem. ‘Als een dief iemands stemcode misbruikt, krijgt de rechtmatige eigenaar een foutmelding wanneer hij zelf inlogt om te stemmen’, legt hij uit. ‘Misbruik komt zo aan het licht.’ Hoe de gedupeerde kiezer dan alsnog zijn stem kan uitbrengen is onduidelijk. Beukers: ‘dit soort gevoelige klussen komt vaker bij drukkerijen terecht en levert zelden problemen op: denk aan geldbiljetten, die worden ook veilig gedrukt!’

Allemaal stemmen via het internet?

Als early adopter internetstemmen is Simon Bouwman van het Waterschapshuis optimistisch over de techniek. De waterschappen voeren hun volgende verkiezing in 2008 allemaal tegelijk uit via het RIES-systeem. Voor hen komen de kosten per kiesgerechtigde onder de twee euro.

Zet de overheid haar verkiezingen ook online? Beukers is terughoudend. Zijn project is tot 2008 mogelijk onder de experimentenwet Kiezen Op Afstand. Daarna ontbreekt een wettelijk kader voor experimenteren met het kiessysteem: ‘het is aan de politiek of we doorgaan met internetstemmen voor expats (in het buitenland werkende en wonende Nederlanders)’, legt hij uit.

Alle Nederlandse kiezers via internet laten stemmen lijkt de ambtenaar onwenselijk. ‘De kosten zijn nu door de hoge beveiligingseisen niet in verhouding tot de winst: 139 euro per kiezer in het buitenland.’ Die hoge kosten voor de Tweede Kamer-versie van RIES worden volgens Maclaine Pont veroorzaakt door de extra beveiligingsmaatregelen als fysieke bewaking van de stemserver, maar Beukers signaleert nog een ander probleem: ‘je kunt als overheid niet voorkomen dat een internetstemmer bij het stemmen op de vingers wordt gekeken. Zo wordt family voting (stemmen onder groepsdruk) mogelijk en dat willen we natuurlijk voorkomen.’

Maclaine Pont herinnert zich nog hoe de TU Delft in 2000 family voting verhinderde. ‘We hebben aparte stemlokalen ingericht’, bekent hij: ‘om te voorkomen dat een stel ouderejaars in hun societeit de nuldejaars zouden dwingen op een bepaalde kandidaat te stemmen. Inderdaad, écht internetstemmen is het niet te noemen als je toch nog naar een stemlokaal moet gaan.’