Tweegesprek op Toernooiveld in Nijmegen (deel 2) Is 'Open Source' haalbaar bij elektronisch stemmen? Burgerzaken & Recht 10, oktober 2004, p.366-367,369. Interviewer: Alfred Zebregs. Verkiezingstijd in de VS. Dat betekent waarschijnlijk weer 'too close to call'. Dit keer tussen Bush en Kerry. Er bestaat weer een gerede kans dat het lang duurt voordat de nieuwe president van de VS bekend is. Volgens The Economist (1) is er sinds eind 2002 ruim 3,8 miljard dollar federaal geld naar de diverse staten gegaan om hun stemmachines te verbeteren. Toch zijn er nu al de verhalen over falende machines en touchscreen-stempc's, die door eenderde van het electoraat gebruikt gaan worden. Niet verwonderlijk want twee weken voor de officiële verkiezingsdag wordt er al vrolijk gestemd (en niet alleen per post!). Met name de discussie over het ontbreken van papieren bewijs ('paper trail') op wie men heeft gestemd laait in de VS hoog op. Hoger dan in Nederland, waar in sommige kringen óók (en vooral) het ontbreken van stemmachines en stemcomputers op basis van 'open source software' als argument wordt gebruikt dat elektronisch stemmen niet transparant en verifieerbaar is. Zie de discussie in Amsterdam. In deel 2 van een tweegesprek komt het waarom van open source aan de orde. Deelnemers aan het tweegesprek dat begin juni in Nijmegen plaatsvond waren aan de ene kant professor Bart Jacobs en aan de andere kant Jan Groenendaal en Henk Steentjes. De vorige keer werd al snel vastgesteld dat stemmachines in Nederland betrouwbaar zijn. Althans er zijn geen aanwijzingen voor het tegendeel. Waarschijnlijk heeft dat ook te maken met de wijze waarop het verkiezingsproces in Nederland georganiseerd is. Bovendien merkte Steentjes toen op dat stemmachines in Nederland al sinds de eerste mechanische stemmachines eind jaren zestig op de markt kwamen, door een onafhankelijk instituut gekeurd worden. 'NO PAPER TRAIL'! WAT NU? Afgezien van de discussie over het gebruik van open source software blijft het een feit dat in de VS en in Nederland die 'paper trail' bij elektronisch stemmen ontbreekt. De kiezer ziet geen bewijs op papier op wie hij gestemd heeft en zoals The Economist stelt: 'hertelling is niet mogelijk, omdat er niets te tellen valt: de enige papieren output van de stemmachines is het uiteindelijke afrekening' en 'a reprint is no recount'. Om te kunnen controleren of alle stemmen geteld worden en aan de juiste partij of kandidaat worden toegewezen, stellen Henk Steentjes en Jan Groenendaal voor de Nederlandse situatie een methode voor waarmee de processing gap die zou bestaan tussen het uitbrengen, verwerken en opslaan van de stem, gedicht (gecontroleerd) zou kunnen worden. 'Simpel: plaats vóór of zelfs op de verkiezingsdag een aantal willekeurig gekozen stemmachines in een representatieve steekproef under custody. Daar zet je andere machines voor in de plaats en met de steekproefmachines breng je onder toezicht stemmen uit en dan kijk je of het klopt wat je er in stopt. Dan neem je alle twijfels weg'. Wat geldt voor de stemmachines moet natuurlijk ook gelden voor de stemcomputers van Sdu. HOE ZIT HET MET DIE OPEN SOURCE? Waar Nedap duidelijk is als het gaat om het onafhankelijk laten testen van de stemmachines, ligt het voor dit bedrijf met het vrijgeven van de broncode van de software in de machines een beetje lastiger. Op de vraag aan Jacobs of ze ook met die sourcecode open kaart willen spelen, antwoordt Steentjes: 'We zijn altijd in vrije competitie op de markt geweest. In die sourcecode van onze machines zit dertig jaar ervaring. Moeten we dat zomaar op straat gooien? Om onze concurrentie in het zadel te helpen?' Volgens Jacobs 'een economisch argument. Vanuit historisch perspectief overigens valide'. Steentjes geeft nog een argument. 'Als je de sourcecode opengooit, moet je bedenken dat ook mensen die niet te goeder trouw zijn het in een kwaad daglicht kunnen stellen'. Bart Jacobs draait dat juist om: 'openheid geeft juist meer veiligheid'. Steentjes stelt daartegenover dat 'juist het beveiligingsargument zwaar moet wegen: want als iedereen het weet, kan ook iedereen het manipuleren'. Jan Groenendaal vult aan dat het een groot verschil is of je de source beschikbaar stelt voor testdoeleinden en voor wetenschappelijk onderzoek of dat iedereen er mee aan de gang kan om er iets beters van te maken óf om er negatief mee aan de gang te gaan. Zo kun je kwaadwillige elementen ook in de kaart spelen'. Dat ziet Jacobs een tikkeltje anders: 'Je ziet een verschuiving, nuancering van het inzicht over de kwetsbaarheid van software en hoe daar mee om te gaan. Het grote publiek is daar ook van doordrongen. Het beeld is tegenwoordig dat je software niet altijd kunt vertrouwen (virussen, fouten) en dat die zo complex is dat het menselijkerwijs bijna niet meer te bevatten is. Ook niet door een gerenommeerd testinstituut dat er twee of drie maanden mee aan de gang gaat. Kijk naar Microsoft. Ondanks de strakke controleprocedures, gaat daar toch keer op keer wat mis. En ik geloof echt niet dat een onafhankelijk instituut die fouten van Microsoft er wel uithaalt. Dus software is intrinsiek zo moeilijk en kwetsbaar geworden dat er een tegenbeweging is ontstaan die zegt: laten we alles maar open maken, want naarmate er meer mensen naar kijken, worden er meer fouten uitgehaald. De meeste mensen die er naar kijken zijn goedwillend, melden die fouten en dat leidt tot verbeteringen. Op de lange termijn werkt dit goed. LINUX is daar een voorbeeld van'. Een naïeve voorstelling van zaken? Opmerkelijk is wel dat Bart Jacobs bij het afscheid nemen na het tweegesprek en na de demonstratie van de stemmachine door Steentjes aan zijn studenten, vertelt dat de software van LogicaCMG die BZK gebruikt bij het experiment Kiezen op Afstand en waarvan het intellectuele eigendom bij BZK blijft berusten, 'voor de verkiezingen niet op het internet wordt gezet. Dat gebeurt pas na de verkiezingen. Men is bang dat hackers het systeem vooraf zullen kraken'. Het ontlokt Henk Steentjes de opmerking dat 'hier de praktijk de theorie inhaalt'. THE BIGGER PICTURE Het gaat Bart Jacobs evenwel vooral om 'het principiële punt'. Het gaat veel verder dan de Nedap-stemmachines, of Sdu-stemPC's'. 'Mij gaat het erom dat de overheid voor wat betreft haar fundamentele taken transparant behoort te werken. De essenties van onze rechtstaat zijn in het geding en open source kan dan een belangrijke rol spelen. Het gaat mij om the bigger picture'. Wat zijn in dit geval precies de voor- en nadelen van open source? Volgens Bart Jacobs is het een heel complexe discussie waarbij politieke, economische en beveiligingsaspecten goed uit elkaar gehouden moeten worden. 'In de politiek gaat het om de transparantiediscussie. Daar ligt het duidelijk: als het gaat om overheidstaken vertaalt die transparantie zich uiteindelijk in open source. Economisch ligt het heel moeilijk. Dan spelen er de belangen van bedrijven. Mijn beeld is daarbij dat het op de korte termijn meer kost, maar dat het op de langere termijn meer oplevert'. En dan het beveiligingsaspect. Bart Jacobs vindt dat in de hele discussie 'het belangrijkste'. Zijn standpunt blijft dat 'open source op langere termijn veiliger is, omdat fouten er sneller en efficiënter uitgehaald worden en verder dwingt het open sourcemodel tot kwalitatief hogere software. Hij voegt er voorzichtigheidshalve aan toe: 'in principe, niet altijd in de praktijk'. Maar 'als die sourcecode van LogicaCMG op het web komt te staan en het blijkt een rotzooitje, spaghetti, te zijn, gaan ze voor schut. In de open source-wereld is het voor programmeurs een erekwestie. Wat ze schrijven, moet goed zijn, want de hele wereld ziet het. Dat geeft een intrinsieke motivatie. Ik wil niet beweren dat de programmeurs van Nedap geen motivatie hebben om goede software te schrijven, maar zij hebben een andere, een bedrijfseconomische motivatie: ze krijgen betaald, willen promotie, etc. Dus open source dwingt bepaalde kwaliteiten af en is daarmee veiliger, op de lange termijn. Zeker, dat is een prikkelende stelling, maar het is natuurlijk ook niet zwart-wit. Ik zie het liefst dat de broncode van de huidige stemmachines en stemcomputers wordt vrijgegeven. Dan ligt het op straat en wordt duidelijk dat er niet mee kan worden gesjoemeld. Zo wordt het beste betrouwbaarheidsdraagvlak gecreëerd'. Wat moeten Henk Steentjes en Jan Groenendaal op dit laatste nog zeggen? Alles wijst er tot nu toe op dat de betrouwbaarheid van de stemmachines en stemPC's in Nederland eigenlijk niet ter discussie staan. Dat geeft zelfs Jacobs toe. Steentjes gaat daarom nog even in op de complexiteit van de software heden ten dage. 'In onze stemmachines gaat het nog maar om 20.000 tot 25.000 regels programmatuur. Dat is veel, maar nog te behappen. Wij kunnen nog inzicht geven in iedere programmaregel als er getest wordt. En dat gebeurt hier in Nederland en bijvoorbeeld ook in Ierland. Iets anders is dat je bijna niemand hoort over de hardware. Onze stemmachine in koffer is een blackbox. Maar als een standaard pc koopt. Op een windowspc is alleen al het standaard operating system vele malen kwetsbaarder dan onze stand alone machine. Dat hoeft allemaal niet erg te zijn, maar het steekt ons wel dat er als wij één draadje in de hardware veranderen een nieuwe keuring nodig is, zeker als je bedenkt dat wij alle aspecten van ontwikkeling met onze machine in eigen hand hebben'. Het deed Steentjes en Groenendaal dan ook goed dat de studenten van Jacobs na de demonstratie vol lof waren over de compactheid, robuustheid, het gebruiksgemak en vooral het stand alone karakter van de stemmachine. 'Daar viel niets te hacken'. (az) Toelichtingen ------------- (1) In the Economist van 18-24 september 2004 stond een artikel onder de kop `electronic voting, the trouble with technology'. De vraag die in het artikel gesteld werd was of `high-tech voting machines' in staat zouden zijn om een electoraal fiasco als in 2000 te voorkomen of dat ze het allemaal nog veel erger zouden maken. Het antwoord? `When it comes to ensuring accuracy and accountability dan hebben gokmachines in de casino's van Atlantic City meer te maken met toezicht van de overheid dan stemmachines'. De conclusie aan het eind van het artikel luidt dan ook: terwijl high-tech stemmachines in theorie beter zijn dan ouderwetse ponskaart machines, blijken ze in de praktijk slechter te zijn'. Overigens zal het stemmen met een ponskaartmachine van ruim een kwart in 2000 teruglopen naar 12% dit jaar.