Koen Vervloesem
26 April 2013

België stemde voor het eerst in 1991 gedeeltelijk elektronisch en is een van de weinige Europese landen die dat nog altijd doet. Nederland beëindigde het experiment met stemcomputers toen activisten aantoonden dat de machines van Nedap het stemgeheim niet konden garanderen. Duitsland stopte in 2009 met elektronisch stemmen toen duidelijk werd dat de resultaten van de stemcomputers niet verifieerbaar waren. Het moge duidelijk zijn: elektronisch stemmen is geen eenvoudige technologie.

In 2006 was het wereldnieuws toen een team onder leiding van hacker en XS4All-oprichter Rop Gonggrijp een maand voor de parlementsverkiezingen aantoonde dat de Nedap ES3B, de stemcomputer van fabrikant Nedap Groenendaal die negentig procent van de Nederlandse gemeentes gebruikte, het stemgeheim niet garandeerde. Bij het stemmen genereerde de ES3B een radiosignaal dat met een eenvoudige ontvanger tot op 25 meter ver te onderscheppen was – een procedure die bekendstaat als Van Eck-phreaking. Gonggrijp richtte de actiegroep ’Wij vertrouwen stemcomputers niet‘ op om de Nederlandse burgers te wijzen op de gevaren van stemcomputers en de overheid ertoe te brengen om terug te gaan naar potlood en papier.

Verder doorspitten van de beveiliging van de ES3B leverde nog heel wat nare resultaten op. Nedap hield zijn software geheim, dus Gonggrijp moest de werking van het apparaat reverse-engineeren. Het bleek te gaan om een computer met technologie uit de jaren tachtig zonder speciale beveiligingsmaatregelen. In principe kon iemand met fysieke toegang tot een stemcomputer een ander programma op de machine installeren dat de stemmen manipuleert. Gonggrijp demonstreerde dat dat in enkele minuten mogelijk was: je hoefde slechts de computer open te schroeven en een Rom-chip te vervangen met de nieuwe software.

Smartmatic 01
Een kiezer duidt zijn stem aan op het aanraakscherm van de Smartmatic-stemcomputer. Foto: Vlaamse overheid

Om gemeenteraadsverkiezingen betekenisvol te manipuleren, heb je slechts toegang nodig tot een klein aantal stemcomputers, soms zelfs maar een. Uiteraard moet je voor een grootschalige verkiezingsmanipulatie op nationaal niveau heel wat meer machines kunnen manipuleren. Ook dat bleek niet vergezocht: het magazijn waar de stemcomputers werden bewaard, was niet adequaat beveiligd, zonder bewakingscamera‘s en alarmsysteem, en ook tijdens het regelmatige transport naar de fabrikant voor onderhoud werden er geen speciale maatregelen genomen. Iedereen die fysiek toegang tot de stemcomputers had, kon in principe de verkiezingen manipuleren: de fabrikant, de transporteurs, werknemers van de dienst verkiezingen, enzovoorts. Dat alles was een overtreding van de kieswet, die vereist dat de systemen altijd streng worden bewaakt.

Het grootste probleem was echter dat een stemming met de stemcomputer van Nedap achteraf niet te verifiëren was, zodat fraude niet kon worden bewezen: de kiezer kreeg geen biljet of papertrail als bewijs dat de computer de stem wel correct had geregistreerd en waarmee een latere hertelling mogelijk zou zijn. Dat bleek al snel problematisch. Tijdens de gemeenteraadsverkiezingen op 7 maart 2006 kreeg een kandidaat in de Brabantse gemeente Landerd 181 stemmen in één stembureau, maar slechts een, drie en zeven stemmen in de andere bureaus. Saillant detail: de kandidaat had zitting in het stembureau waar hij zo veel stemmen behaalde en bediende de stemcomputer zelf. De gemeente voerde een onderzoek uit en de fabrikant en het Nederlands Forensisch Instituut vonden geen afwijkingen. Door het gebrek aan een papertrail was echter niet na te gaan of de kandidaat zich nu schuldig heeft gemaakt aan fraude of dat het om een toevalligheid gaat.

 advertorial 

The crisis in the semiconductor market – symptoms, diagnosis, forecasts

You must have heard about it already, that the car manufacturers are unable to produce new cars due to the crisis in the semiconductor market. Modern cars are full of electronics but is it really bad enough to halt production? Does the semiconductor crisis only affect the automotive industry and is there no cure or at least a vaccine for it? Read about it here.

Smartmatic 02
Na de bevestiging van de stem ontvangt de kiezer het stembiljet van de computer. Foto: Vlaamse overheid

Volgens ’Wij vertrouwen stemcomputers niet‘ was het risico groot dat een kleine groep grootschalige verkiezingsfraude kon plegen met de stemcomputers van Nedap. Uiteindelijk leidden de inspanningen van de actiegroep ertoe dat de ministerraad in 2008 besliste om alle soorten stemcomputers uit de verkiezingen te weren. In Duitsland zorgde de Chaos Computer Club in samenwerking met de groep van Gonggrijp ervoor dat het Grondwettelijk Hof zich over de zaak boog en in 2009 het gebruik van stemcomputers ongrondwettelijk verklaarde.

Beste van de vijf

België was een van de eerste landen in de wereld die stemcomputers gebruikte. Het begon in 1991 met een test in Waarschoot in Vlaanderen en Verlaine in Wallonië, en in 1999 stemden al 3,2 miljoen Belgen (44 procent) elektronisch. Ook dat ging echter niet probleemloos. Zo bleek tijdens de verkiezingen van 2003 een kandidaat in Schaarbeek 4096 extra stemmen te hebben gekregen. De fout kwam slechts aan het licht omdat de kandidaat ruim drieduizend stemmen meer had gekregen dan er kiezers waren in het stembureau. Elke IT‘er ziet in die macht van twee onmiddellijk een computerfout, en de deskundigen die de gebeurtenis onderzochten, concludeerden dat het waarschijnlijk ging om ’een spontane bitinversie in het Ram van de pc‘. Toch is er in België nooit zo‘n grote controverse over stemcomputers geweest als in Nederland, ondanks de pogingen van de actiegroep ’Voor een ethiek van de verkiezingsautomatisering‘ (Vooreva) om de discussie aan te zwengelen.

De Belgische overheid heeft mettertijd verschillende maatregelen genomen om de gemelde problemen aan te pakken. Zo publiceerde ze de broncode van de stemsoftware na het sluiten van de kiesbureaus op de website van het ministerie van Binnenlandse Zaken, zodat geïnteresseerden de software konden inkijken. Sinds 2003 is er bovendien een extern bedrijf dat de hardware en software certificeert. De overheid werd zich ook meer bewust van de nood om een transparante oplossing te hebben met een voter-verified paper audit trail (VVPAT), het grote gemis van de Nederlandse stemcomputers.

In 2006 bestelde de Belgische overheid daarom een studie bij een consortium van zeven Belgische universiteiten onder leiding van de KU Leuven. De onderzoekers moesten verschillende bestaande systemen voor elektronisch stemmen evalueren en de vereisten voor nieuwe stemcomputers oplijsten. Die Bevoting-studie werd in 2008 afgeleverd en stelde vijf mogelijke systemen voor elektronisch stemmen voor, inclusief hun technische vereisten. ’Die vijf opties vormen een soort menukaart waaruit je kunt kiezen afhankelijk van hoe en in welke omgeving je het systeem wilt gebruiken‘, verduidelijkt onderzoeker Danny De Cock van de KU Leuven, eindverantwoordelijke van de Bevoting-studie.

Van die vijf systemen ging de voorkeur van het consortium uit naar het eerste, dat de naam ’improved paper-based voting system‘ kreeg. Hierbij brengt de kiezer zijn stem uit op een stemcomputer, die het resultaat op een stembiljet afdrukt dat uit twee delen bestaat: een deel dat door mensen te lezen is en een deel dat door machines te lezen is, zoals een barcode. De kiezer kan op het ene deel verifiëren of de computer zijn stem wel correct heeft geregistreerd. Dan vouwt hij het biljet in tweeën, zodat enkel het door machines leesbare deel nog zichtbaar is. Het biljet kan hij dan zonder risico om het stemgeheim te doorbreken aan de voorzitter van het stembureau tonen om te bewijzen dat het een correcte stem is, waarna hij het biljet in de stembus deponeert, waar de barcode automatisch wordt ingelezen. Dit systeem blijft in heel wat opzichten vrij dicht bij het traditionele stemmen op papier, wat het vertrouwd maakt voor de kiezers.

Een rapport van de Europese Raad bevestigde de conclusie van de Bevoting-studie: dit eerste systeem was voor de Belgische verkiezingen het beste van de vijf voorgestelde. Het vereiste slechts een aantal kleine aanpassingen om aan de Europese regelgeving voor elektronisch stemmen te voldoen, terwijl de andere oplossingen drastischer veranderingen vergden. Bovendien leunde de werking van het systeem vrij dicht aan tegen de stemcomputers die toen in België al actief waren, waardoor het voor de kiezers niet zo‘n grote leercurve zou betekenen.

Niet onbesproken

Op basis van die vereisten liet de Belgische overheid uiteindelijk een nieuw elektronisch stemsysteem uitwerken, dat tijdens de Belgische gemeenteraadsverkiezingen in 2012 voor het eerst werd ingezet. 149 Vlaamse en twee Brusselse gemeenten stemden op 14 oktober 2012 met dat systeem, geleverd door het Venezolaanse bedrijf Smartmatic en uitgewerkt in samenwerking met de Franse ICT-dienstverlener Steria. Wallonië koos ervoor om nog niet elektronisch te stemmen.

De stemcomputer van Smartmatic draait een aangepaste versie van de Linux-distributie Ubuntu vanaf een USB-stick die de overheid voor elke verkiezing aanmaakt. De kiezer biedt zich in het stembureau aan met zijn oproepingsbrief en identiteitskaart en ontvangt dan een chipkaart die hij in de stemcomputer steekt om deze te activeren. Hij brengt zijn stem uit via een 17 inch aanraakscherm. Nadat de kiezer zijn stem heeft uitgebracht, spuwt de stemcomputer een biljet uit waarop de kiezer kan controleren of de stemcomputer de stem wel correct heeft opgenomen. De chipkaart wordt daarna gedeactiveerd, zodat een tweede keer stemmen onmogelijk is.

Smartmatic 03
De voorzitter van het stembureau volgt het verloop van de verkiezingen op een laptop met Linux. Foto: Vlaamse overheid

Naast de stem bevat het biljet ook een QR-code, die wordt ingelezen wanneer de kiezer het biljet in de stembus deponeert. Op dat moment wordt de stem elektronisch geregistreerd door een scanner die met een laptop is verbonden. Ook deze laptop draait een aangepaste Ubuntu, waarop enkel de software geïnstalleerd staat om de stembiljetten te beheren en de door de scanner geregistreerde stemmen in te lezen. Elke geregistreerde stem schrijft de software onmiddellijk naar twee USB-sticks, zodat er redundantie is.

’Die QR-code bevat een uniek willekeurig getal per kiezer‘, legt Tom Doesselaere uit, adviseur organisatie verkiezingen en IT bij de Vlaamse overheid. In de onwaarschijnlijke situatie dat een stembiljet door een fout in de scanner of de software twee keer wordt meegeteld, detecteert de laptop dit. De voorzitter van het stembureau krijgt dan een melding te zien dat het om een doublure gaat en de tweede stem wordt niet meegeteld. ’De QR-code bevat ook een uniek willekeurig getal per stembureau om te beletten dat een kiezer eerst in stembureau A zijn stem laat inscannen en dan nog eens in stembureau B.‘

De QR-code zelf is niet versleuteld, aangezien de stem toch ook als leesbare tekst op het stembiljet staat. De USB-sticks waarop de geregistreerde stemmen worden geschreven, zijn echter digitaal ondertekend en beveiligd met asymmetrische encryptie. Elke gemeente heeft een hoofdbureau, dat over een private key beschikt die nodig is om de USB-sticks van alle stembureaus in die gemeente te lezen. Andere hoofdbureaus kunnen de stemmen dus niet inkijken.

Pricewaterhousecoopers heeft het systeem van Smartmatic gecertificeerd, onder meer door de broncode op correctheid en betrouwbaarheid te analyseren. Een evaluatierapport hierover heeft het op 16 april jongstleden aan het Vlaamse parlement voorgesteld, net te laat voor dit artikel. De Bevoting-onderzoekers hebben er volgens De Cock ook op toegezien dat het systeem van Smartmatic aan hun vereisten voldoet. Een jaar voor de verkiezingen van 2012 werd het systeem bovendien op meerdere locaties getest in een zo realistisch mogelijke testverkiezing waaraan een zesduizend personen deelnamen. De reactie was over het algemeen vrij positief, op enkele kleine technische problemen na.

De oplossing van Smartmatic was echter niet onbesproken. De implementatie leverde heel wat vertraging op. Tijdens de verkiezingsdag kwamen er bovendien zeshonderd meldingen van stemcomputers die het niet deden. De machines zijn ook niet beschermd tegen het lekken van elektromagnetische straling, zodat met Van Eck-phreaking het stemgeheim in het gedrang komt. Volgens de Federale Overheidsdienst van Binnenlandse Zaken heeft een studie echter geverifieerd dat de stemmachines voldoen aan de vereisten voor Navo Zone 1-omgevingen. Dit veronderstelt dat een aanvaller die de stemmen wil onderscheppen via elektromagnetische straling niet dichter dan twintig meter van de stemcomputers kan komen, een aanname die voor veel stemlocaties niet opgaat.

Smartmatic 04
Het stembiljet bevat de stem van de kiezer in leesbare vorm en in de vorm van een QR-code. Foto: Vlaamse overheid

Ook de actiegroep Vooreva is niet te spreken over het systeem van Smartmatic. Vooral voor het tellen van de stemmen zijn er niet voldoende garanties, zegt woordvoerder Kommer Kleijn. ’Met het biljet dat je als kiezer van de stemcomputer ontvangt, kun je wel controleren of de machine je stem juist heeft geregistreerd, maar je hebt geen garantie dat die uiteindelijk correct wordt geteld.‘ Theoretisch kan er bij twijfel altijd beslist worden om de biljetten manueel te hertellen, maar volgens Kleijn kleven daar heel wat praktische bezwaren aan. ’De stemmen worden pas geteld op het niveau van een hoofdbureau, dat de stemmen van tientallen stembureaus verzamelt. Als je over de gang van zaken in één van de bureaus twijfelt, moet je dus alles op het hoofdbureau hertellen. Bovendien beschrijft de wet niet wat de criteria zijn om een hertelling te vereisen, noch wie die organiseert en hoe dat moet gebeuren.‘

Bescheidener rol

Ondanks de problemen met de Nedap-machines wil de Nederlandse overheid zich nu weer aan stemcomputers wagen. Een meerderheid van de Tweede Kamer steunt minister Plasterk van Binnenlandse Zaken om herinvoering te onderzoeken. De minister gaat een commissie samenstellen om te bekijken hoe stemcomputers veiliger kunnen worden gemaakt. Het belangrijkste argument om de discussie weer op te starten, is dat potlood en papier anno 2013 ’niet meer van deze tijd zijn‘ en dat de techniek niet heeft stilgestaan.

Als er nieuwe stemcomputers komen, zullen die niet van Nedap komen. Het bedrijf heeft de groep die stemcomputers bouwt ondertussen opgeheven. CEO Ruben Wegman legt die beslissing uit: ’Een stemcomputer moet door de verschillen in wetgeving in elk land worden aangepast. Omdat we ons meer op standaardproducten zijn gaan focussen, zijn we uit die markt gestapt.‘

Terugkijkend op het debacle met de ES3B zegt Wegman dat de uitgangspunten voor een stemcomputer ondertussen ook zijn veranderd. ’Vroeger vond de burger het voldoende dat de overheid stemcomputers verifieerde. Sinds de demonstratie door Rop Gonggrijp wil de burger zelf zijn uitgebrachte stem kunnen verifiëren.‘

Nedap heeft overigens ook aan de tender voor de Belgische stemcomputers deelgenomen enkele jaren geleden en een prototype ontwikkeld dat volgens Wegman aan die veranderde eisen voldoet. De oplossing gebruikte een aanraakscherm en drukte de stem af op een papieren biljet, dat de kiezer in de stembus deponeert. Die leest de stem vervolgens automatisch uit. Bij twijfel over de betrouwbaarheid van de telling kunnen de stembussen nog altijd worden geopend en de biljetten geteld.

Volgens de Belgische actiegroep Vooreva garandeert de huidige stand van de techniek echter nog altijd niet voldoende de controleerbaarheid van verkiezingen. ’Ik ken geen enkele implementatie van stemcomputers die democratisch verantwoord is en betaalbaar‘, zegt Kleijn. ’Complexe cryptografie gebruiken om de juistheid van uitgebrachte stemmen te garanderen, is geen optie: we mogen niet van de burger verwachten dat hij cryptografie moet begrijpen om de juistheid van zijn stem te controleren, want zo sluiten we heel wat mensen uit. Dat is ook wat het Grondwettelijk Hof in Duitsland heeft besloten: een stemming moet controleerbaar zijn door iemand zonder speciale voorkennis.‘

Kleijn vindt de kosten van stemcomputers ook geen verantwoorde uitgave. De machines van Smartmatic bijvoorbeeld worden nu één keer in de twee jaar één dag gebruikt en staan de rest van de tijd stof te vergaren. ’En dat alles om één keer in de twee jaar wat repetitief werk te vermijden dat we al zo lang zonder computers doen. Waarom vinden we het zo erg om een paar uur te wachten op de telling van de stemmen als het toch anderhalf jaar duurt om een regering te vormen in België?‘

Moeten we stemcomputers dan volledig vergeten? Dat nu ook weer niet, maar volgens Kleijn moet de rol van de computer in het stemmen bescheidener worden. Hij ziet wel heil in een idee als ’elektronisch geassisteerd stemmen‘. Daarbij geef je je stem via de computer in en drukt die een stembiljet af. Dat biljet bevat echter geen ingewikkelde zaken zoals QR-codes, maar je stem in een leesbaar lettertype, zodat die met optical character recognition (OCR) te herkennen is. Voor het tellen van de stemmen heb je dan enkel een eenvoudige sorteermachine nodig die voor elke kandidaat alle stemmen op een stapel ordent met OCR. ’Die stapels kunnen mensen dan heel snel natellen. Op die manier is het hele stemproces door mensen controleerbaar‘, besluit Kleijn.