Home » Blog » Kunnen die verkiezingen niet beter via de blockchain?

(Spoiler: nee)

Stemmen met potlood en papier, in 2017, lijkt hopeloos ouderwets en traag. Kan dat niet een beetje moderner? Bijvoorbeeld via de blockchain? Stemmen via de blockchain is een use case die telkens weer opduikt als het over deze technologie gaat. In dit uitlegfilmpje kom je hem ook tegen.

En dit is een prima idee als de stemming niet geheim hoeft te zijn, bijvoorbeeld in een aandeelhoudersvergadering. Elke stemgerechtigde krijgt een digitale portemonnee en daarin krijgt hij zoveel stem-muntjes als waar hij recht op heeft. Vervolgens worden er adressen geopend die de keuzemogelijkheden vertegenwoordigen, en iedereen maakt zijn muntjes over naar het adres van zijn voorkeur. Snel, efficiënt, transparant en waterdicht. En bovendien helemaal online; de aandeelhouder hoeft er zijn huis niet voor uit.

Maar helaas, voor echte, geheime verkiezingen, zoals parlementsverkiezingen, is de technologie ongeschikt. Dat komt doordat een geheime verkiezing een heel specifiek proces is. Blockchaintechnologie is niet voor dat proces ontworpen en kan er ook niet eenvoudig geschikt voor worden gemaakt. Laten we naar de Nederlandse procedure kijken, want die zit goed in elkaar. Allereerst wordt aan de hand van de Basisregistratie Personen vastgesteld wie mag stemmen — de criteria verschillen per verkiezing. Alle stemgerechtigden krijgen vervolgens een persoonlijke oproep / stempas thuisgestuurd. Met de stempas en een identiteitsbewijs meldt de stemgerechtigde zich bij een stemlokaal. De mensen van het stembureau stellen vast dat de kiezer, de stempas en het identiteitsbewijs inderdaad bij elkaar horen en wisselen de stempas in voor een stembiljet. De kiezer maakt zijn keuze in het stemhokje en deponeert het biljet, in het zicht van de leden van het stembureau, in een verzegelde bus.

Na sluiting van het stembureau worden de stemmen ter plekke geteld. Dit is een openbare gebeurtenis; iedere burger heeft het recht de telling bij te wonen. Het aantal ingenomen stempassen moet gelijk zijn aan het aantal uitgereikte formulieren en aan het aantal stemmen (inclusief blanco en ongeldig). Ten slotte belt de voorzitter van het stembureau de uitslag door naar het gemeentehuis, waar de stemmen van de verschillende stembureaus geaggregeerd worden.

Overal in dit proces zitten beveiligingen ingebouwd. Miljoenen stemmen door illegalen, wat in de VS blijkbaar op z’n minst een theoretische mogelijkheid is: uitgesloten. Volle stembussen die op weg naar de telling verdwijnen of ingeruild worden voor bussen die vol zitten met stemmen op de favoriet van het leger: kan niet bij ons. Als er iets misgaat, dan is dat op het overzichtelijke niveau van het stembureau. In het allerergste geval kan dan, aan de hand van de ingenomen stempassen, de gedupeerde kiezers een tweede kans worden geboden om te stemmen. We kunnen concluderen dat dat rare ouderwetse gedoe met potlood en papier uitstekend in elkaar zit om te garanderen dat verkiezingen zowel eerlijk als geheim zijn: de uitslag is niet te vervalsen en je stem is anoniem.

Twee beveiligingen zijn de moeite waard om er nog even uit te lichten. In de eerste plaats het proces van autorisatie (stempas), identificatie (vaststellen identiteit door stembureau) en anonimisering (inruilen stempas voor stembiljet). Hierdoor wordt bereikt dat alleen stemgerechtigden mogen stemmen, en ook slechts één keer, en dat de stemming geheim is. Er is geen manier om de uitgebrachte stem terug te voeren op een bepaalde kiezer of stempas. In de tweede plaats het ontstaan van een “paper trail”. De stembiljetten, stempassen en tel-lijsten per stembureau worden bewaard, en mocht er om wat voor reden dan ook twijfel ontstaan over de uitslag, dan kan er altijd herteld worden.

Dat laatste is een belangrijk pluspunt van ouderwets potlood en papier boven stemcomputers: als de stem alleen digitaal wordt vastgelegd, is het relatief eenvoudig om de uitslag te veranderen zonder sporen achter te laten. (Vandaar dat er inmiddels ook stemcomputers zijn die een print maken van de uitgebrachte stem. De kiezer stelt dan vast dat zijn keuze correct is geregistreerd en deponeert de print in een verzegelde bus.)

Na deze uitgebreide beschrijving van het stemproces is waarschijnlijk ook duidelijk waarom “stemmen via de blockchain” zo’n populair idee is. De (bitcoin-)blockchain is het mechanisme dat ervoor zorgt dat “double spending” onmogelijk is, waardoor je erop kunt vertrouwen dat de bitcoin die je van iemand krijgt ook werkelijk van hem is. En een belangrijke eigenschap van de blockchain is dat alle transacties “in steen gebeiteld” worden. Ze worden vastgelegd in een digitaal grootboek waar alleen nieuwe transacties aan toegevoegd kunnen worden; eenmaal vastgelegd is wijzigen of verwijderen niet mogelijk. Het uitbrengen van een stem kun je ook als een transactie beschouwen, dus bingo! De blockchain zorgt ervoor dat iedereen maar één keer kan stemmen en dat er een bewijs ontstaat waar niet mee geknoeid kan worden en dat zo nodig gebruikt kan worden om stemmen te hertellen.

Helaas. Zelfs in de minst vergaande variant is “stemmen via de blockchain” een achteruitgang ten opzichte van potlood en papier. Stel je voor: je gaat nog steeds met je stempas en identiteitsbewijs naar het stembureau, maar in ruil voor je stempas krijg je nu “at random” een gesloten envelop of een kraslot of iets dergelijks. In het stemhokje maak je deze open, je toetst de unieke code die erin zit in op een blockchain-stemcomputer en je brengt je stem uit. De software meldt deze transactie aan het netwerk, ze wordt opgenomen in een block, toegevoegd aan de blockchain en ligt daarmee voor eeuwig vast.

Er zitten twee problemen aan dit scenario. Het eerste is dat de stemcomputer online moet zijn. Een blockchain die alleen op een lokale computer bestaat, kan eenvoudig worden gewijzigd en biedt dus geen enkele veiligheid of betrouwbaarheid. Maar alles wat online is, is in principe toegankelijk. Daar kun je je tegen wapenen, maar het feit blijft dat hiermee een nieuw risico ontstaat vergeleken met de potlood-en-papier situatie.

Het tweede, ernstiger probleem, is dat de blockchain de volgorde vastlegt waarin de stemmen worden uitgebracht — dat is namelijk de essentie van wat een blockchain doet. Als je dat combineert met andere informatie, bijvoorbeeld de volgorde waarin de stempassen zijn ingenomen, of de beelden van de bewakingscamera bij de ingang van het stembureau, is precies te achterhalen wie op wie heeft gestemd. Dit is eigenlijk alleen te verhelpen door niet vast te leggen in welk stembureau een stem is uitgebracht, maar daarmee vervalt de controle dat het aantal uitgebrachte stemmen gelijk moet zijn aan het aantal ingenomen stempassen.

In scenario’s die verder gaan en waarin het stemmen geheel online gebeurt, wordt het nog erger. Je moet dan een proces ontwerpen waarin iemand zich online eerst identificeert, dan anoniem een “stem” krijgt, waarvan de besteding vervolgens onwrikbaar wordt vastgelegd. Ik weet niet of dit überhaupt mogelijk is (ik zou zelf niet snel geloven dat mijn stem echt niet op mij te herleiden is), maar in ieder geval is blockchain hiervoor niet de aangewezen technologie. In een blockchain komt elke transactie voort uit een eerdere transactie; ik kan iets uitgeven omdat ik kan laten zien dat ik het eerder van iemand gekregen heb. Dus anoniem stemmen vereist dat ik op het moment dat ik de stem krijg ook anoniem ben, en dat verhoudt zich niet met de eis tot identificatie die ook in het proces zit.

Kortom: verkiezingen via blockchain-technologie lijkt een goed idee, maar dat is het niet. De kern van wat een blockchain is, maakt dat anonimiteit veel moeilijker te garanderen is dan in de huidige potlood-en-papier praktijk. Dat is dus niet omdat het nog jonge technologie is of omdat er harder over nagedacht moet worden. De essentie van een blockchain en de essentie van geheime verkiezingen passen gewoon slecht bij elkaar. Misschien, als je lang genoeg probeert, vind je een manier die min of meer acceptabel is. Maar helemaal ideaal wordt het nooit, en het is waarschijnlijk vruchtbaarder om andere oplossingsrichtingen te onderzoeken.

ronald

Over economie, innovatie, ondernemerschap, politiek, pizza’s en heel soms voetbal. Op persoonlijke titel. Ik heb trouwens geen andere.