Stemmen in blind vertrouwen
Amerikaanse wetenschappers maken zich zorgen over de automatisering van de verkiezingen in hun land. De machines zoals we die in Nederland gebruiken, vinden ze maar niks.
,,U heeft gestemd.'' En tevreden ga je achter de machine vandaan, op weg naar -als je de traditie van Trouw-commentator Willem Breedveld aanhangt- het gebak waarmee je viert dat je stemrecht hebt.
Maar laat het lekkers nog even staan, waarschuwen Amerikaanse informatici. Een stemmachine van het soort dat in Nederland wordt gebruikt, geeft volgens hen geen enkele garantie dat je stem goed terechtkomt.
Eind mei kwam een aantal deskundigen op dit gebied bij elkaar op het DIMACS-instituut voor toegepaste wiskunde en informatica aan de Rutgers Universiteit in New Jersey. De stemming was er wat somber. Want groot is de kloof tussen wat wiskundigen van verkiezingen denken te weten, en wat ambtenaren en kiezers ervan denken. En dat leidt, vinden de eersten, tot slechte beslissingen.
Met die klacht zijn ze wel wat laat: ze kregen eigenlijk pas goed belangstelling voor elektronisch stemmen na Florida 2000, het debacle met de stemkaarten-met-gaatjes tijdens de presidentsverkiezingen. De Amerikaanse overheid maakte daarna miljoenen vrij voor de aanschaf van stemmachines, vertelt Barbara Simons, voorzitster van de vakvereniging ACM (Association for Computing Machinery). ,,En informatici merkten opeens dat in hun eigen kiesdistrict machines werden aangeschaft, zonder dat iemand kon weten of ze correct werkten. De ambtenaren namen dat aan, omdat het in de brochure stond: ze wisten niet waarnaar ze moesten vragen. Toen zijn velen van ons in actie gekomen en onderzoek gaan doen. In een aantal gevallen hebben we de machines ook kunnen tegenhouden.''
Een wiskundige die naar verkiezingen kijkt, komt als vanzelf met een serie 'wetten' op de proppen, waaraan een eerlijke stemming moet voldoen. Zo moet een stem geheim zijn. De democratie werd misschien geboren bij speergekletter of handopsteken, tegenwoordig vinden we dat iemand zonder beïnvloeding door anderen moet kunnen stemmen, en dat betekent niet alleen dat er niemand in het stemhokje mag meekijken, maar ook dat de kiezer geen kopietje van zijn stem meekrijgt: hij mag zelf niet kunnen bewijzen dat hij een bepaalde stem heeft uitgebracht, bijvoorbeeld om dan een beloning te kunnen innen.
Maar die eis lijkt te botsen met iets anders wat zo'n wiskundige graag zou willen: dat het onmogelijk is om met de uitslag van de stemming te rommelen. Een kiezer zou met wiskundige zekerheid moeten kunnen weten dat zijn stem geteld is, en correct geteld is.
Aan zo'n hoge eis kunnen onze huidige verkiezingen niet voldoen. Want wie weet wat er in de stemcomputer gebeurt? Of als het nog met ouderwetse biljetten gebeurt: wie weet wat er voor onbehoorlijkheden gebeuren in de commissie die de stemmen telt?
Dat er in Nederland eigenlijk zelden ongerustheid over die aspecten van onze verkiezingen is, pleit voor onze politieke cultuur. In de VS hebben de kiezers, als je de aanwezigen op de conferentie moet geloven, die luxe niet. Meer dan een weet te vertellen hoe de opa van zijn schoonmoeder, of een soortgelijke relatie uit het verleden, als stemmenteller met een potlood onder de nagel republikeinse stembiljetten ongeldig maakte. Of de vakbond over de vloer kreeg om het eens over het stemgedrag van een gezinslid te hebben. ,,Juist omdat er zo enorm gefraudeerd werd, hebben de VS voortdurend naar de nieuwste machines gegrepen om het stemproces te moderniseren'', zegt Douglas Jones van de universiteit van Iowa. ,,Maar het duurde meestal maar een paar jaar of de partijbonzen kregen door hoe ze de nieuwe machines moesten manipuleren.''
Maak dan een niet-manipuleerbare machine, zou je zeggen. In theorie kan dat: een computer waarvan het programma helemaal is doorgerekend en waarvan zodoende wiskundig bewezen is dat het precies doet wat een stemmachine doen moet en niets anders. Maar met die aanpak zijn er een paar problemen: om te beginnen bestaan er in de praktijk geen computerprogramma's die absoluut foutloos werken. En zelfs al zou je met een enorme krachtsinspanning een foutloos programma maken voor een stemmachine, dan is het geven van het 'correctheidsbewijs' ervan in de praktijk een onmogelijke opgave. Datzelfde geldt ook voor het uitputtend testen van een machine. Bovendien moet je dan als kiezer ook nog maar geloven dat het correcte programma is ingebouwd in de stemmachine bij jou in het hokje.
Een dergelijk wantrouwen in het foutloos functioneren van computers maakt dat ook stemmen via internet op de conferentie maar weinig bijval ondervond. Barbara Simons zat in de commissie die begin dit jaar SERVE, het 'Secure Registrating and Voting Experiment', de nek omdraaide. SERVE moest Amerikaanse soldaten en hun gezinsleden, in de VS of waar ook ter wereld, in staat stellen om via internet hun stem uit te brengen. Negen dagen nadat het vernietigende rapport uitkwam, trok het ministerie van Defensie de stekker eruit.
Volgens de commissie was alleen al het gegeven dat de kiezer met een pc moest werken, die met een stembureau verbonden was via het openbare internet, genoeg om het onveilig te maken. Had het ministerie wel eens van virussen gehoord? Wie kon zeker zijn dat die pc niet heel geniepig iets aan de stem zou veranderen?
En dan het idee dat het een experiment zou zijn: die soldaten gingen in het kader van SERVE echt stemmen voor de presidentsverkiezingen, verkiezingen die vier jaar geleden werden beslist op een paar honderd stemmen in Florida. Wilde Amerika zijn president misschien laten kiezen door een paar honderd virussen? ,,Er gaan miljoenen om in de campagnes'', zegt Barbara Simons. ,,Dat betekent dat er ook veel geld beschikbaar zou kunnen zijn voor het beïnvloeden van het stemsysteem. En bedenk eens wat een aantrekkelijk doelwit het zou kunnen zijn voor vijanden van de VS!''
Toch maar naar het stembureau dan. Maar hoe kun je als kiezer nog vertrouwen krijgen in een eerlijke procedure? Het minste is wel, vonden de meeste aanwezigen op de conferentie, dat de machine de stem ook nog afdrukt, en dat je die stem dan na controle in een stembus kunt doen, zodat er bij problemen gewoon papieren biljetten geteld kunnen worden. Maar afdoende is die oplossing niet: hoe weet je eigenlijk dat er problemen zijn? En menselijke tellers zijn feilbaar, waarom zou je hen wel geloven en de machine niet?
Een mogelijke oplossing voor het dilemma is verzonnen door David Chaum, een vooraanstaand informaticus die jarenlang verbonden was aan het Centrum voor Wiskunde en Informatica in Amsterdam, maar nu in Los Angeles woont en werkt. In Amsterdam ontwikkelde Chaum onder andere Digicash, een digitaal bankbiljet. Dat is nooit echt in de circulatie gekomen, maar Chaum werd er wel beroemd mee. En een bankbiljet lijkt wel wat op een stembiljet: je moet eraan kunnen zien dat het echt is en hoeveel het waard is, maar het beschermt de privacy van de betaler omdat niet na te gaan is door welke handen het is gegaan.
In het stemsysteem van Chaum is een stembiljet een tekst, met als inhoud de naam van de kandidaat op wie je stemt. Die tekst wordt door de stemcomputer versleuteld: met een wiskundige bewerking wordt er onbegrijpelijke letterbrij van gemaakt.
Uiteraard moet het stembiljet om het te kunnen tellen ook weer ontsleuteld worden. Dat gebeurt in een paar stappen in de computers van een aantal hopelijk betrouwbare personen: leden van het stembureau. Die hebben allemaal een wachtwoord dat een tipje van de sluier oplicht. Alleen als ze samenwerken, wordt de stem leesbaar en kan deze geteld worden. Dat ze allemaal samen in een complot zitten om de verkiezing te saboteren is onwaarschijnlijk, al is het wiskundig niet uit te sluiten. Voor het tellen wordt de stem trouwens eerst nog 'gehusseld' met andere stemmen, zodat het stembureau niet weet van wie hij afkomstig is is.
Een bijzondere vorm van toezicht op de verkiezing ontstaat, doordat de kiezer zelf als een soort kwitantie ook een versleutelde versie krijgt van zijn stem. Hij krijgt daar het wachtwoord niet van mee. Dus hoewel hij in het stemhokje kan zien dat die kwitantie klopt met zijn stem, kan hij zodra hij het stemhokje verlaten heeft, niemand ervan overtuigen dat hij op een bepaalde manier gestemd heeft. Maar hij kan wel controleren of zijn stem netjes is meegeteld: alle uitgebrachte stemmen komen namelijk ook in versleutelde vorm op een website te staan, en met een computer zou je kunnen controleren of de versie op de website en de uit het stemhokje meegenomen versie bij elkaar horen.
De conferentiegangers waren realistisch: geen kiezer gaat zich verdiepen in geheimschriftwiskunde om zijn democratische rechten te beschermen. Chaum werkt daarom nu aan een versie van zijn systeem waarbij de kwitantie een plaatje is. In het stemhokje wordt op een transparant stuk plastic een schijnbaar willekeurig patroon van witte en zwarte blokjes gedrukt. Thuis kun je op de website van het stembureau een soortgelijk patroon vinden.
Wil je de verwerking van je stem controleren, dan moet je het patroon op de website afdrukken op gewoon papier. Als je daar dan de transparante kwitantie overheen legt, en het patroon op het papier is werkelijk de andere versleutelde versie van je stem, dan moeten ze samen een herkenbaar plaatje opleveren. Klopt het niet, dan is je stem vervalst, even zeker als je weet dat een bankbiljet zonder watermerk vals is. Bel de Kiesraad, de politie en niet te vergeten de krant. Klopt het wel? Laat het gebak smaken.
- Nieuwsbrief
- RSS (wat is RSS?)
volg trouw.nl
- Mobiele website
- Trouw.nl op de iPhone
trouw.nl op mobiel
- Digitale krant
- De krant op de iPhone
- De krant op de iPad
- Over Trouw
- Auteursrecht
trouw de verdieping
© - Alle rechten voorbehouden.
Lees de gebruiksvoorwaarden.
