Slimme kaart, hangend karton

Nieuwe stemmachines in de Verenigde Staten moeten onduidelijkheid bij mogelijke hertelling van de stemmen voorkomen. Maar de nieuwe systemen zijn niet waterdicht. Een `papieren-spoor' ontbreekt.

Wie weet nog wat chads zijn? Het zijn de weggeponste stukjes karton op de stembiljetten van Amerikaanse kiezers die hun stem uitbrengen met ponsmachines. Vier jaar geleden bleek dat die `chads' soms aan het stembiljet bleven hangen en zo de telmachines van de wijs brachten.

Eind 2002 werd de `Help America Vote Act' aangenomen, die vier miljard dollar vrijmaakte om de ponsmachines te vervangen door geavanceerde elektronische stemmachines. In een op de vijf counties worden deze intussen gebruikt. Maar Amerika lijkt van de regen in de drup te zijn geraakt. Het gros van de stemcomputers wordt door deskundigen onbetrouwbaar genoemd.

Marktleider op het gebied van stemmachines in de VS is Diebold. Het bedrijf heeft inmiddels 75.000 stemmachines verkocht in meer dan dertig staten. 47.000 daarvan zijn van het type Accu-Vote TS, waarbij TS staat voor touch-screen. De stemprocedure met deze apparaten is als volgt. De kiezer krijgt op het stembureau een smartcard die hij als een soort toegangsbewijs in de gleuf van de stemmachine moet steken. Dan kan de kiezer het vakje van zijn kandidaat op het scherm eenvoudig aanraken, en daarna deze keuze bevestigen. Vervolgens wordt de smartcard digitaal gemerkt als `gebruikt' en geeft hij deze terug aan de leden van het stembureau. De smartcard kan dan voor een volgende kiezer worden geactiveerd.

Diebold placht de werking van zijn software geheim te houden. Daar bleken ze echter niet bijzonder goed in te zijn. In januari 2003 ontdekte activiste Bev Harris dat een groot deel van de code op een onbeveiligde server op internet stond. Ze liet de bestanden analyseren door beveiligingsdeskundige Aviel Rubin aan de Johns Hopkins University. Zijn oordeel was vernietigend.

Zo was het mogelijk te stemmen met thuis geprepareerde smartcards. Weliswaar zou dan, zoals Diebold later heeft tegengeworpen, het aantal uitgebrachte stemmen groter kunnen zijn dan het aantal kiezers dat was komen opdagen, maar er zou geen manier meer zijn om de ten onrechte uitgebrachte stemmen te onderscheiden van de zuivere.

Verkiezingsofficials en makers van de stemmachines zouden nog meer voor elkaar kunnen krijgen, zoals het creëren, wissen of veranderen van stemmen, het beïnvloeden van het tellen en het nagaan welke kiezer op welke kandidaat heeft gestemd.

Bij het proces van stemmen moeten de smartcard en de stemmachine zich met een wachtwoord aan elkaar bekendmaken. Dit wachtwoord bleek in de programmacode te zitten en kon dus niet frequent veranderd worden – in de beveiligingswereld geldt dit als een doodzonde. Het opslaan van de stemmen gebeurde gecodeerd, maar de gekozen cryptografische methode (genaamd DES) is verouderd en onvoldoende, omdat met een computer in korte tijd alle mogelijke sleutels kunnen worden geprobeerd.

Tot overmaat van ramp zat ook hier de gekozen sleutel in de programmacode, terwijl Rubin kon vaststellen dat deze zeker vijf jaar niet was veranderd. Het verzenden van de verkiezingsresultaten van de stemcomputers naar de centrale verkiezingscomputer gebeurde zonder enige cryprografie, terwijl niet werd gecontroleerd of de gegevens onbeschadigd aankwamen.

Door de details van zijn onveilige software geheim te houden vertrouwde Diebold op security by obscurity, een strategie die door de meeste experts op dit gebied wordt verworpen. Rubin en Bev Harris hebben hun bevindingen gepubliceerd (Het boek dat Harris heeft geschreven heet Black Box Voting), maar in plaats daarvan hadden zij er ook misbruik van kunnen maken. Niemand weet of een ander dat niet daadwerkelijk heeft gedaan. In haar boek somt Harris een groot aantal verdachte verkiezingsresultaten op. Pikant is het feit dat de directeur van Diebold, Wally O'Dell, bekend staat als fondsenwerver voor de Republikeinen. O'Dell heeft zelfs gezegd het als zijn missie te zien de stemmen van zijn staat, Ohio, een van de swing states, af te leveren bij de president.

De oudste beroepsvereniging van computergeleerden ter wereld, de Association for Computer Machinery ACM, heeft in een officiële verklaring gesteld dat veel systemen voor elektronisch stemmen kwetsbaar zijn door slecht ontwerp, inferieure software, onvoldoende beveiliging en tekortschietende testprocedures. Op grond daarvan zegt de ACM dat ieder elektronisch stemsysteem een papieren bewijsje zou moeten uitspugen waarmee de kiezer kan controleren op wie hij heeft gestemd en dat wordt bewaard voor een eventuele hertelling. In Nevada is dit al zo geregeld. Een wet met hetzelfde effect treedt in Californië in 2006 in werking. Andere staten overwegen hetzelfde. De Democratische afgevaardigde Robert Wexler uit Florida heeft een proces aangespannen tegen de overheid omdat in vijftien counties in Florida geen hertelling mogelijk is, terwijl dat in de overige 52 wel kan. Vorige week heeft de rechter zijn vordering afgewezen.

Elektronische machines zijn niet per definitie slechter dan ouderwetse manieren om te stemmen. Maar beter zijn ze ook niet. De residual vote, het verschil tussen het aantal kiezers dat is komen opdagen en aantal getelde stemmen, is bij ponskaarten en aanraakschermen ongeveer even groot: drie procent. Veel groter dan het verschil tussen Bush en Gore in Florida vier jaar geleden en zelfs groter dan het verschil waarbij hertelling gewettigd is. Voor deze verkiezingen is het probleem bovendien dat de wettelijke status van een `papieren spoor' of paper trail niet is geregeld. Wat doe je als hertellen een andere uitslag oplevert dan het digitale resultaat? De advocaten voor alle kandidaten staan in de starthouding.