Fox-IT vernietigend over internetstemsysteem RIES

Fox-IT is zeer kritisch over het internetstemsysteem "RIES", zoals dat is ingezet bij de verkiezingen voor de waterschappen.

In het rapport Advisering toelaatbaarheid internetstemvoorziening waterschappen, dat in opdracht van het Ministerie van Verkeer en Waterstaat is uitgevoerd door Fox-IT is onder meer te lezen:

De Staatssecretaris van Verkeer en Waterstaat heeft in de Regeling waterschapsverkiezingen 2008 Fox-IT aangewezen als instelling om haar te adviseren over de beoordeling van de internetstemvoorziening die door de waterschappen is ontworpen voor de waterschapsverkiezingen van november 2008. […]Op basis van dit onderzoek constateert Fox-IT dat de internetstemvoorziening in opzet een elegant en doordacht systeem voor internetstemmen is. Echter, […] moet worden vastgesteld dat dit kwaadwillenden diverse mogelijkheden biedt om de uitslag te beïnvloeden, het verkiezingsproces te saboteren en/of om op termijn te herleiden wie op wie heeft gestemd. Deze constatering is gebaseerd op de volgende waarnemingen: Het gebruik van een gedateerde versleutelingsmethode in combinatie met het opnemen van individuele burgerservicenummers (BSN) in de versleutelde verkiezingsuitslag betekent dat het stemgeheim maximaal tot 2030 kan worden gewaarborgd. Met andere woorden, uiterlijk in 2030, doch waarschijnlijk (veel) eerder, zal het mogelijk zijn te reconstrueren welke kiezer op welke kandidaat stemde in 2008. Met de kracht van de huidige generatie PC's is het berekenen van geldige stemcodes haalbaar binnen maximaal 20 uur. De informatie die hiervoor nodig is wordt voorafgaand aan de stemperiode gepubliceerd, waarna de berekening kan starten. Aangezien de stemperiode twee weken duurt zou een kiezer die over de juiste software beschikt minimaal 16 geldige stemmen kunnen uitbrengen op een kandidaat naar keuze. Kwaadwillenden die de controle hebben over meerdere PC's kunnen evenredig meer stemmen uitbrengen. […] Met de in dit document beschreven methode zouden dergelijke criminelen de uitslag van de waterschapsverkiezingen vrijwel volledig kunnen De huidige implementatie van het internetstemsysteem […] vertoont beveiligingsproblemen waardoor diverse controlemaatregelen in het verkiezingsproces kunnen worden omzeild. Zo was het voor de onderzoekers van Fox-IT mogelijk om via het internet toegang te krijgen tot diverse beheerschermen waarin bijvoorbeeld de verkiezingen konden worden stopgezet, en om via deze beheerschermen de database met uitgebrachte stemmen uit te lezen en te manipuleren.

Naar aan leiding van het onderzoek publiceerde de Waterschappen een persbericht waarin men aankondigde van het stemmen via internet af te zullen zien. Uit Waterschappen zien af van internetstemmen voor de verkiezingen in 2008:

[…] heeft een nieuw onverwacht probleem […] aan het licht gebracht. Dit probleem heeft als consequentie dat één kwaadwillende kiezer meerdere stemmen zou kunnen uitbrengen. Omdat probleem op te lossen is een wijziging van het Waterschapsbesluit noodzakelijk. Dit is op korte termijn niet mogelijk. Dit is voor de waterschappen reden om af te zien van internetstemmen voor de waterschapsverkiezingen in 2008.