15 J AM w i-* O. De minister van Binnenlandse Zaken en Koninkrijksrelaties Mr. K.G. de Vries, Postbus 20011, 2500 EA Den Haag

BINNENLANDSE ZAKEN EN KON1NKRI|KSRELATIES INGEKOMEN

.15 J AM 2002 De minister van Binnenlandse Zaken en Koninkrijksrelaties Mr. K.G. de Vries, Postbus 20011, 2500 EA Den Haag

Datum 10 januari 2002

Zeer geachte heer de Vries,

J

Overeenkomstig artikel 6 van de regeling voorwaarden en goedkeuring stemmachines 1997 vraagt de NEDAP N.V. opnieuw goedkeuring van de stemmachines ES3A1 met softwareversie 2.9 en ES3B uitgerust met een van de softwareversies 2.9 of 2.10 voor gebruik bij verkiezingen. De laatste keuring van stemmachine ES3A1 dateert van 30 september 1998 (geschikt voor 1 verkiezing en gefaseerd stemmen). De laatste keuring van de stemmachine ES3B dateert van 10 februari 1999 (geschikt voor 2 verkiezingen en gefaseerd stemmen). Overeenkomstig het artikel 8 van de regeling voorwaarden en goedkeuring stemmachines 1997 vraagt de NEDAP N.V. goedkeuring van de stemmachines ES3A1 met softwareversie 2.10 en 2.11 en ES3B met softwareversie 2.11. Een verklaring van de keuringsinstantie TNO inzake de keuring van de stemmachines ES3A1 en ES3B met softwareversie 2.11 is bijgevoegd. De machines zijn genomen uit een serie van elk 10 stuks.

Hoogachtend

Projectleider stemmachines H.B.M. Steentjes

w i-* O

Q O

Nedcriuuto Oiginiutk voor ondcrzoek/NMiMriaiidi Oigailsiüon lor Applied Scientific Reieiich

TNOEIB

TB» EIB Stieltjesweg l Postbus 5013 2600 GA DELFT

Reumndrei: Sriekjeiweg l, 2628 CK Delft •

NedapN.V.

www.tno.nl

t.a.v. de heer H.B.M. Steentjes Parallelweg 2

T 0152692000 F 0152692111

7141 DC GROENLO

Onderwerp Verklaring Datum 17 december 2001

Verklaring inzake de keuring van de Nedap stemmachines ES3A1 en ES3B Zoals bedoeld in artikel 5 en artikel 8 van de "Regeling voorwaarden en goedkeuring stemmachines 1997" uitgevaardigd door het Ministerie van Binnenlandse Zaken d.d. 19 juli 1997 onder nummer CW97/U1000, gepubliceerd in de Staatscourant van 17 juli 1997,

Onze referentie ED3-LTR-010211

Verklaart TNO Centrum voor Evaluatie van Informatie Beveiliging van de Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO hierbij,

DoorldesnuRimer 0152692271

dat de op 24 oktober 1997 door de N. V. Ncderlandsche Apparatenfabriek "Nedap" te Groenlo ter keuring aangeboden stemmachines: ES3A1 met software versies 2.9,2.10 en 2.11 ES3B met software versies 2.9,2.10 en 2.11

zijnde aangepaste versies van de Nedap stemmachine ES3,

J

Projectnummer 03268.01.01

in voldoende mate overeenkomen met het prototype en voldoen aan de in de Kieswet en het Kiesbesluit gestelde eisen en voorts niet van technische bezwaren is gebleken. Voor de technische eisen, testmethoden en testresultaten die als basis dienen van deze verklaring, wordt verwezen naar: • Regeling voorwaarden en goedkeuring stemmachines 1997, CW/97/U1000 • Eindrapport Keuring stemmachine Nedap, TNO rapport 91 ITI365 • Rapport Periodieke Keuring Nedap stemmachines ES3A l en ES3B, TNO rapport EIB-RPT-Ó10I29.

Delft,

17 december 2001

Namens TNO TPD

Ir. D.Ph. Schmidt

Namens TNO EIB

E-nuil [email protected]

Doorkiutax 0152692111 Kopie aan CA-Effi-BUI

Op opdrachten un TNO zyn vm (ocpuimg de Algemene Voomirda vMKmdenMkiepdncnttn «a TNO. Mili fedeponecfd by de Amndisiemenlirechtbank te Den Hug en de Kuner vin Koopbudd HMibnden.

.gl JAN 2002

Directie CWZ T.n.v. de heer G.J.Boon, Postbus 20011, 2500 EA Den Haag

Datum 29 januari 2002

Zeer geachte heer Boon, Naar aanleiding van ons telefoongesprek van 29 jan 2002. Doe ik u hierbij het TNO rapport EIB-RPT-010129 inzake herkeuring van de stemmachines ES3A1 en ES3B toekomen. Nedap wil de stemmachine ES3A1 niet met softwareversie 2.10 uitrusten maar in voorkomende gevallen met de versie 2.11. Daarom hoeft de goedkeur, gevraagd in de goedkeuringsaanvraag van 10 jan 2002 niet te gelden voor de ES3A1 stemmachine met softwareversie 2.10.

Hoogachtend

j


10 O

o

Min BZK

afdeling: Cï«* agendano: oi/V?*^
1 4 FEB 2002

Ingek.:

, ; i

De minister van Binnenlandse Zaken en Koninkrijksrelaties

Mr. K.G. de Vries, Postbus 20011. 2500 EA Den Haag

Datum 12 februari 2002

Zeer geachte heer de Vries, Overeenkomstig artikel 6 van de regeling voorwaarden en goedkeuring stemmachines 1997 vraagt de NEDAP N.V. opnieuw goedkeuring van de stemmachines ES3A1 met softwareversie 2.9 en ES3B uitgerust met een van de softwareversies 2.9 of 2.10 voor gebruik bij verkiezingen. De laatste keuring van stemmachine ES3A1 dateert van 30 september 1998 (geschikt voor 1 verkiezing en gefaseerd stemmen). De laatste keuring van de stemmachine ES3B dateert van 10 februari 1999 (geschikt voor 2 verkiezingen en gefaseerd stemmen). Het betreft de goedkeuring voor ES3A1 : - de wijze van stemmen als bedoeld in artikel J14b 1° lid onder a voor 1 stemming. - de wijze van stemmen als bedoeld in artikel J14b , tweede lid van het kiesbesluit voor 1 stemming (gefaseerd stemmen). Het betreft de goedkeuring voor ES3B: - de wijze van stemmen als bedoeld in artikel J14b 1e lid onder a voor 1 of 2 stemmingen. - de wijze van stemmen als bedoeld in artikel J14b , tweede lid van het kiesbesluit voor 1 stemming (gefaseerd stemmen). Overeenkomstig het artikel 8 van de regeling voorwaarden en goedkeuring stemmachines 1997 vraagt de NEDAP N.V. goedkeuring van de stemmachines ES3A1 met softwareversie 2. 1 1 en ES3B met softwareversie 2.11. Het betreft de goedkeuring voor ES3A1: - de wijze van stemmen als bedoeld in artikel J14b 1e lid onder a voor 1 stemming. - de wijze van stemmen als bedoeld in artikel J14b , tweede lid van het kiesbesluit voor 1 stemming (gefaseerd stemmen). Het betreft de goedkeuring voor ES3B: - de wijze van stemmen als bedoeld in artikel J14b 1° lid onder a voor 1 of 2 stemmingen. - de wijze van stemmen als bedoeld in artikel J14b , tweede lid van het kiesbesluit vooü stemming (gefaseerd stemmen). O

O

en

Een verklaring van de keuringsinstantie TNO inzake de keuring van de ste|flmac$(jrTë5 ES3A1 en ES3B met softwareversie 2.11 is bijgevoegd. De machines zijn genomen uit een serie van elk 10 stuks. Hoogachtend


Min. BZK

v '

afdeling: agendano:

ingek.:

^> '

1 4 FEB 2002

Mr. K.G. de Vries, Postbus 20011, 2500 EA Den Haag

Datum 12 februari 2002 Zeer geachte heer de Vries.

softwareversie 3.0. Het betreft de goedkeuring voo

""-g ««—" en goedkeuring ' 9°edkeu""9 van de stemmachine ESD1 met

Hoogachtend


w »-* O •si 10 CD O

Nederland» Oiganiuite voor iaegepui-iuiuurweirn*cl»ppel|jk onderzoek ƒ Nethtriandi Oiganiiainn Tor Applied Scientific Research

TNOTPD

TH* DIMB RcuundKi: Ponbui 153.2600 AD DELFT

Stieltjesweg l Postbus 5013 2600 GA DELFT

NedapN.V. t.a.v. De heer H.B.M. Steentjes

www.tno.nl

Parallelweg 2

T 0152692000

F 015 269 2111

7141 Groenlo

Onderwerp Verklaring ESD-1 Datum 12 februari 2002

)

Verklaring inzake de keuring van de Nedap stemmacbine ESD-1. Zoals bedoeld in artikel S en artikel 8 van de "Regeling voorwaarden en goedkeuring stemmachines 1997" uitgevaardigd door het Ministerie van Binnenlandse Zaken d.d. 11 juli 1997 onder nummer CW197/U1000, gepubliceerd in de Staatscourant nummer 134 van 1997,

Onze referentie DIMB-LTR-020037 E-mail [email protected] Doorkiesnummer 0152692271 Doorkiesfax

verklaart TNO Centrum voor Evaluatie van Informatie Beveiliging van de Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek TNO hierbij, dat de op 3 januari 2002 door de N.V. Nederlandse Apparatenfabriek Nedap te Groenlo ter keuring aangeboden stem machine ESD-1 met software versie 3.0, in voldoende mate overeenkomt met het prototype en voldoet aan de in de Kieswet en het Kiesbesluit gestelde eisen en voorts niet van technische bezwaren is gebleken.

t

Voor de technische eisen, testmethoden en testresultaten die als basis dienen van deze verklaring, wordt verwezen naar: • Regeling voorwaarden en goedkeuring stemmachines 1997, CW197/U1000; • Rapport Keuring van de Nedap stemmachine ESD-1 met aanpassingen voor gebruik in Nederland, EIB-RPT-020021, d.d. 12-02-2002.

Delft, 12 februari 2002 Namens TNO TPD

Namens TNO E1B

Ir. D. Ph. Schmidt

Drs. J. Pieters

0152692111 Projeclnummer 03268 Kopie aan CA-ElB-BUl/adj

Op opdnchtcn un TNO zijn nn toepassing de Algemene Voonmrdcn voor ondcnockiopdrachten un TNO, zoali gcdcponctf d bü de AirondiiMmaiurechibank K Den Haag en de Kamer van Koophandel Haaglanden.

BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

«.•*v

?

. t>>.

!BFEB 2002 RAPPELNA

Aantekenen

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties Mr. G. Boon, Postbus 20011, 2500 EA Den Haag


Zeer geachte heer Boon, Bijgaand zenden wij u het origineel exemplaar van TNO rapport EIB RPT 020021. zoals met u afgesproken op 1^02-2002 Hoogachtend

'l

J.B.A/van Wijk Voor Nedap Specials'

w i~*

o xl IO

o o CP

TELEFAX FROM TEL FAX E-MAIL

J.B.A. van Wijk +31(0)644-471379 +31(0)544-462745 [email protected]

TO: C.A.R. de Beus, G. Boon

NEDAP Specials GROENLO NETHERLANDS DATE: 15*02-02 PAGES: d

FAX: 070 426 6000 TEL: 070 426 62 66 COMPANY: Ministerie van Binnenlandse zaken en Koninkrijksrelaties CC:

SUBJECT: gebrulksaanwi j zing Bijgaand aangepaste Met vr. groeten Hans van Wijk

gebruiksaanwijzing

w H* O ^J

W CD G NECMP SPECIALS. //POBOX 105. NL-7140 AC //ParalWw«9 2fl, NL-7141 DC//Groente//THE NETHERLANDS

10

INCUMT

UKUCINL-U

Handleiding Stemmachine ESD1

Bedieningspaneel Blokkeersleutel niet in gebruik

Bedieningssleutel (rood)

ssg

Display

^

Funetietoets "F" (grijs)

VrijgaveKnop verkiezing 2 Deze toetsen zijn niet geactiveerd

Gereedmaken stemmachine

TOTflL P.09

J10*414*40*1 ( M J

Handelingen fitembureaulid

handelingen kiezer

zichtbaar op bedieningspaneel

START STEM MACHINE ' steek de stekker in het stopcontact

zichtbaar op stempaneel

geeft

• bedieningssleutel in vertikale stand zetten

* indien de bedieningssfeucsf in nortzonïBte stand staat

•plaats het sterngeheugen in de steuf. druk beheerst door

Stemmen geblokkeerd Zet sleutel op oed.paneel in O-stand dit is de vertikale stand opstart procedure

opstart procedure

Plaatsen siemgeheugen

• de stemgeheugen-

standby

0

geen

stemcomputemr

stetrf afsluiten

standby

door middel van omdraaien van de bedieningssleutel (rood) in horizontale stand (u hoort piepjes)

gereed voor stemmen Geheugen geprogrammeerd

W H* O XI

ro O O

Handelingen stemburenilld

handelingen üexer


geen

stfimcomputernr standby gereed voor stemmen Geheugen geprojrammeerd

gestemd 0

geen

u heeft gestemd

vrij voor Mezen (aantal stemmen B 0)

kiezer neemt plaats achter stemmachine

druk op naam gewenste kandidaat

zichtbaar op bedienlngipaneal

" bediening&fileute] en uit stemgeheugenslot nemen

plaatsen in het bedieningspaneel. • bedieningssleutel (rood) fitaat in verticale stand

-Attekplaat sluiten

OPENING STEMBUREAU • bedieningssleurel (rood) draaien in horizontale stand

VOLGNUMMER 'Wezer overhandigt volgnummer • stommachïne vrijgeven door desbetreffende vrijgaveknop op bedieningspaneel in te dnjkken ie Verkiezing bovenste vrijgaveknop 2e Verkiezing onderste vrijgaveknop

Handelingen fttambureaulid

zichtbaar op bediening*. paneel

handelingen kiezer


kiezer maakt keuze door middel van indrukken naam kandidaat opstemvel is keuze juist? Druk op olauwe stemknop (partij en naam kandidaat worden hier weergegeven).

gekozenO

gekozenO

kiezer drukt op blauwe stemknop u heeft gestemd

gestemd i

Indien vrijgegeven voor 2 verkiezingen

kiezer maakt keuze door middel van in drukken naam kandidaat op stemvel tweede verkiezing Is keuze juist ? Druk op blauwe stemknop (partij en naam kandidaat worden hier weergegeven).

gekozenO

gekozenO

gestemd 1

kiezer drukt op blauwe stemknop u heeft gestemd

W h-*

O "*J

(O O

o Cfi

ID- LlL

Handelingen stembureaulid


HERHALEN HANDELINGEN VANAF VOLGNUMMER

handelingen klacar


kiezer vertaal stemmachine

Gesloten afdekpiaat tijdens stemming

AFSLUITEN VERKIEZINGEN * BedieningssleuiBl (rood) op bedieningspaneel in verticale stand draaien

STANDBY.... Uitslag: bedien

' Druk op de grijze *F" toets en draai tegelijkertijd rode bedtenlngsslentei horizontale stand

FUNCTIES

Stemcomputer

T knop en sleutel

< UITSLAG FUNCTIES:
Functetoest "F" indrukken «n gelijktijdig bedfeningssleutel (rood) in norizantale stand draaien



handelingen kiezer

zichtbaar op stempanattl

* Open het zwarte klepje aan de voorzijde van de stemmachine naast het stempaneel • Druk op A (hiermee activeert u hei onderdeel uitslag dal in hei display staat aangegevans

Functies

'Druk wederom op A (hiermee activeert u het onderdeel uitslag via printer

Functies

* TERUG

PRINTEN PROCESVERBAl L • Druk op C naast het Functies display op het stempaneel (hiermee

activeert onderdeel proces-verbaal Let op ! Slaat printer aan? Prïnterschuïf in stand "grinr

< UITSLAG VIA PRINTER < UITSLAG VIA DISPLAY

< LIJST TOTAAL i KAND. TOTAAL < PROCES-VERB. < TERUG

UITSLAG VIA PRINTER: Bezig met printen proces-verbaal < STOPPEN UITSLAG VIA PRINTEF Bezig met printen proces-verbaal < STOPPEN

o o o CTJ

ID- 11


AFSLUITEN STEMMACHINE Wanneer het printen ia

afgelopen, draalt u de bedieningssleutel terug

in de verticale stand Bedianingssleutel uitnemen, met deze sleutel Btemgeheugenstot ontgrendelen. Sterngeheugen uitnemen/ Steuiel niet in stemslol laten zitten andere wordt bij net dichtdoen de toffer beschadigd Kabels en bedieningspaneel opbergen

(zie foto btz. 6) en afdekplaat sluiten

Bedieningssteutel in aparte envelop doen. Bij afsluiten van geheugengedeelde schakelt u automatisch de printer uit. Stemgeheugen overbrengen naar de met u afgesproken verzamelplaats

achtbaar op bedienlngapanee)

Standby.... Het stemmen is afgestoten

handelingen kiezer

zichtbaar op stempaneal

Opbergen kabels en bedieningspaneel

NJ

O O 01

Datum 14 februari 2002 Ons kenmerk CW2002/57534 Onderdeel

N.V. Nederlandsche Apparatenfabriek "Nedap" t.a.v. de heer H.B.M. Steentjes Postbus 105 7140 AC Groenlo

directie Constitutionele Zaken en Wetgeving Inlichtingen mr. G.J. Boon T (070) 428 7508 F (070) 426 7634 Uw kenmerk

Onderwerp

Blad 1 van 1

goedkeuring stemmachines Aantal bijlagen

1

Onder verwijzing naar uw brieven van 10 januari, 29 januari en 12 februari 2002, doe ik u bijgaand toekomen een afschrift van mijn besluit van heden, waarin de Nedap-stemmachines ES3A1 en ES3B. beide met programmatuurversie 2.11. en ESD-1, met ES3 programmatuur versie 3.0, worden goedgekeurd voor het gebruik bij de verkiezingen. De bedoelde Nedap-stemmachines ES3B en ESD-1 worden tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd.

Bezoekadres SotiedeUoekshaven 200 2511 EZ Den Haag Postadres Postbus 20011 2500 EA Den Haag

Voor wat betreft het gebruik van de zogenoemde "noodoplossing" (artikel J 14b, tweede lid, van het Kiesbesluit) wordt ten aanzien van deze drie typen stemmachines de goedkeuring verleend onder de opschortende voorwaarde dat alsnog een gebruiksaanwijzing wordt overgelegd aan en goedgekeurd door de minister van Binnenlandse Zaken en Koninkrijksrelaties. Voorts geldt ten aanzien van de stemmachines ES3B en ESD-1 de beperkende voorwaarde dat de noodoplossing niet gebruikt mag worden, indien de stemmachine voor twee stemmingen tegelijkertijd wordt gebruikt. Uw bovengenoemde brieven en de daarbij gevoegde documenten van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft en TNO Technische Psychische Dienst te Delft hebben tevens betrekking op de periodieke keuring van de Nedap-stemmachines ES3A1 met programmatuurversie 2.9 en ES3B met programmatuurversies 2.9 en 2.10. Hiermee hebt u ten aanzien van de genoemde stemmachines voldaan aan de verplichting, bedoeld in artikel 6 van de Regeling voorwaarden en goedkeuring stemmachines 1997. DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES,

oo h~* O

K.G. de Vries

xj

NJ

G O

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Datum

14 februari 2002 Ons kenmerk CW2002/575M Onderdeel

directie Constitutionele Zaken en Wetgeving Blad 1 van 3

Besluit DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES, Gelezen het verzoek van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo van 10 januari 2002, aangevuld bij brieven van 29 januari 2002 en 12 februari 2002, alsmede het verzoek van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo van 12 februari 2002; Gelet op artikel J 33 van de Kieswet, de artikelen J 14 en J 14a van het Kiesbesluit, en de Regeling voorwaarden en goedkeuring stemmachines 1997; Gezien de verklaringen van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft en TNO Technische Psychische Dienst te Delft van 17 december 2001, kenmerk EIB-LTR-010211, en 12 februari 2002, kenmerk Dl I-I BLTR-020037; Gezien de rapporten van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft van 26 november 2001, kenmerk EIB-RPT-010129, en 12 februari 2002, kenmerk EIB-RPT-020021; BESLUIT: Artikel 1 De elektronische stemmachine van het type ES3A1, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit. De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. Artikel 2 1. De elektronische stemmachine van het type ES3B, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als

Aantal bijlagen O Bezoekadres SchedekkwkshBven 200 2511 EZ Den Haag Postadres Postbus 20011 2500 EA Oen Haag Telefoon (070) 420 6426

Fax (070) 363 9153

Datum 14 februari 2002 ORB kenmerk CW2002/57534 Blad 2 van 3

voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit. De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid. van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. 2. De elektronische stemmachine van het type ES3B, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd, uitsluitend voor de wijze van stemmen als bedoeld in artikel J 14b. eerste lid, onder a. van het Kiesbesluit. Artikel 3 1. De elektronische stemmachine van het type ESD-1, met ES3 programmatuur versie 3.0, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid. van het Kiesbesluit. De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. 2. De elektronische stemmachine van het type ESD-1, met ES3 programmatuur versie 3.0, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd, uitsluitend voor de wijze van stemmen als bedoeld in artikel J 14b. eerste lid, onder a, van het Kiesbesluit. Artikel 4 Van deze goedkeuring wordt mededeling in de Staatscourant gedaan. DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES,

K.G. de Vries

Op grond van de Algemene wet bestuursrecht kan een belanghebbende tegen dit besluit, binnen zes weken na de dag waarop het is bekend gemaakt, een met redenen omkleed bezwaarschrift indienen.

MiliiitfriiiiafiBlniicnhiidnZaktncnKenlnhrilkHibtlu

O . ^j O O

cr»

Datum 14 februari 2002 Oni kenmerk CW2002/57534

Blad 3 van 3 Het bezwaarschrift moet worden gericht tot de Minister van Binnenlandse Zaken en Koninkrijksrelaties en kan wonfan gezonden aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Directie Constitutionele Zaken en Wetgeving, postbus 20011.2500 EA Den Haag.

MifütWM wil Blnnenlindu Zihan at KofllnkHjksrebtlas

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties


Ons kenmerk CW2002/57534

Onderdeel

N.V. Nedertandsche Apparatenfabriek "Nedap" t.a.v. de heer H.B.M. Steentjes Postbus 105 7140 AC Groenlo

directie Constitutionele

Zaken en Wetgeving Inlichtingen mr. G. J. Boon T (070) 428 7508 F (070) 428 7834 Uw kenmerk

Blad 1 vanl

Onderwerp

goedkeuring stemmachines Aantal bijlagen 1

Onder verwijzing naar uw brieven van 10 januari. 29 januari en 12 februari 2002, doe ik u bijgaand toekomen een afschrift van mijn besluit van heden, waarin de Nedap-stemmachines ES3A1 en ES3B, beide met programmatuurversie 2.11, en ESD-1, met ES3 programmatuur versie 3.0, worden goedgekeurd voor het gebruik bij de verkiezingen. De bedoelde Nedap-stemmachines ES3B en ESD-1 worden tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd.

Bezoekadres Scnedektoetuhaven 200 2511 EZ Den Haag Poitadres Postbus 20011 2500 EA Oen Haag

Voor wat betreft het gebruik van de zogenoemde "noodoplossing" (artikel J 14b, tweede lid, van het Kiesbesluit) wordt ten aanzien van deze drie typen stemmachines de goedkeuring verieend onder de opschortende voorwaarde dat alsnog een gebruiksaanwijzing wordt overgelegd aan en goedgekeurd door de minister van Binnenlandse Zaken en Koninkrijksrelaties. Voorts geldt ten aanzien van de stemmachines ES3B en ESD-1 de beperkende voorwaarde dat de noodoplossing niet gebruikt mag worden, indien de stemmachine voor twee stemmingen tegelijkertijd wordt gebruikt. Uw bovengenoemde brieven en de daarbij gevoegde documenten van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft en TNO Technische Psychische Dienst te Delft hebben tevens betrekking op de periodieke keuring van de Nedap-stemmachines ES3A1 met programmatuurversie 2.9 en ES3B met programmatuurversies 2.9 en 2.10. Hiermee hebt u ten aanzien van de genoemde stemmachines voldaan aan de verplichting, bedoeld in artikel 6 van de Regeling voorwaarden en goedkeuring stemmachines 1997. DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES.

w t-i O *sl ro O 0 C"

K.G. de Vries

A. Bremmers

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Datum 25 februari 2002 OM kanmtrit CW2002/57534

Onderdml directie Constitutionele Zakan en Wetgeving Blad 1 van 3

Besluit DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES, Gelezen het verzoek van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo van 10 januari 2002, aangevuld bij brieven van 29 januari 2002 en 12 februari 2002, alsmede het verzoek van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo van 12 februari 2002; Gelet op artikel J 33 van de Kieswet, de artikelen J 14 en J 14a van het Kiesbesluit en de Regeling voorwaarden en goedkeuring stemmachines 1997; Gezien de verklaringen van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft en TNO Technische Psychische Dienst te Delft van 17 december 2001, kenmerk EIB-LTR-010211, en 12 februari 2002, kenmerk DII-IBLTR-020037; Gezien de rapporten van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft van 26 november 2001, kenmerk EIB-RPT-010129, en 12 februari 2002, kenmerk EIB-RPT-020021; BESLUIT: Artikel 1 De elektronische stemmachine van het type ES3A1, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek "Nedap" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J 14b. tweede lid, van het Kiesbesluit De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. Artikel 2 1. De elektronische stemmachine van het type ES3B, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek "Ned a p" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b. eerste lid, onder a, van het Kiesbesluit als

Aantal bijlagen O Bezoekadres SchedeWoekshaven 200 2511 EZ Den Haag Postadres Postbus 20011 2500 ËA Den Haag Telefoon (070)4266426

Fax (070) 363 BI 53

Datum 25 februari 2002 Om kenmerk CW2002/57534 Blri 2 van 3

voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid. van het Kiesbesluit De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid. van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. 2. De elektronische stemmachine van het type ES3B. met programmatuurversie 2.11, van N.V. Nederiandsche Apparatenfabriek "Nedap" te Groenlo wordt tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd, uitsluitend voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit. Artikel 3 1. De elektronische stemmachine van het type ESD-1, met ES3 programmatuur versie 3.0, van N.V. Nederiandsche Apparatenfabriek "Nedap" te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid. van het Kiesbesluit. De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit wordt verleend onder de opschortende voorwaarde van goedkeuring van een gebruiksaanwijzing voor deze wijze van stemmen door de minister van Binnenlandse Zaken en Koninkrijksrelaties. 2. De elektronische stemmachine van het type ESD-1, met ES3 programmatuur versie 3.0, van N.V. Nederiandsche Apparatenfabriek "Nedap" te Groenlo wordt tevens goedgekeurd voor het gebruik bij twee stemmingen tegelijkertijd, uitsluitend voor de wijze van stemmen als bedoeld in artikel J 14b. eerste lid, onder a, van het Kiesbesluit. Artikel 4 Van deze goedkeuring wordt mededeling in de Staatscourant gedaan. DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES, r."

:

K.G. de Vries J. -V Ërc-mmers Op grond van de Algemene wet bestuursrecht kan een belanghebbende tegen dit besluit, binnen zes weken na de dag waarop het is bekend gemaakt, een met redenen omkleed bezwaarschrift indienen.

Ministerie non BlnnenlmdM Zaken «n Ktmlnkrijkmbtle*

w h-1

o xj ro G Q

Datum 25 februari 2002 Ons kofimerii CWZ002/57534 Blad

3 van 3 Het bezwaarschrift moet worden gericht tot de Minister van Binnenlandse Zaken en Koninkrijksrelaties en kan worden gezonden aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Directie Constitutionele Zaken en Wetgeving, postbus 20011.2500 EA Den

J

UüaOtrif MN BlnnenUmfn Zaken tn KonlnkrijloralitlM

BZK

Goedkeuring stemmachines 25 februari 2002/Nr. CW2002/5 7534 Directie Constitutionele Zaken en Wetgeving De Minister van Binnenlandse Zaken en Koninkrijksrelaties, Gelezen hel verzoek van N.V. Nederlandsche Apparatenfabriek 'Nedap' te Groenlo van 10 januari 2002, aangevuld bij brieven van 29 januari 2002 en 12 februari 2002, alsmede hel verzoek van N.V. Nederlandsche Apparatenfabriek 'Nedap' te Groenlo van 12 februari 2002; Gelet op artikel J 33 van de Kieswet, de artikelen J 14 en J 14a van het Kiesbesluit, en de Regeling voorwaarden en goedkeuring stemmachines 1997; Gezien de verklaringen van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft en TNO Technische Psychische Dienst te Delft van 17 december 2001. kenmerk EIB-LTR-010211.en 12 februari 2002, kenmerk DI1-1B-LTR-020037; Gezien de rapporten van TNO Centrum voor Evaluatie van Informatie Beveiliging te Delft van 26 november 2001, kenmerk E1B-RPT010129, en 12 februari 2002, kenmerk EIB-RPT-020021; Besluit: Artikel l De elektronische stemmachine van het type ES3A1, met programmatuurversie 2.11, van N.V. Nederlandsche Apparatenfabriek 'Nedap* te Groenlo wordt goedgekeurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stemmen als bedoeld in artikel J 14b, eerste lid, onder a, van het Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J 14b, tweede lid, van het Kiesbesluit. De goedkeuring voor de wijze van

stemmen als bedoeld in artikel J 14b, men als bedoeld in artikel J 14b, eertweede lid, van het Kiesbesluit wordt ste lid, onder a, van het Kiesbesluit verleend onder de opschortende voor- als voor de wijze van stemmen als bedoeld in artikel.J 14b, tweede lid, waarde van goedkeuring van een van het Kiesbesluit. gebruiksaanwijzing voor deze wijze De goedkeuring voor de wijze van van stemmen door de minister van stemmen als bedoeld in artikel J 14b, Binnenlandse Zaken en tweede lid, van het Kiesbesluit wordt Koninkrijksrelaties. verleend onder de opschortende voorArtikel 2 waarde van goedkeuring van een 1. De elektronische stemmachine van gebruiksaanwijzing voor deze wijze het type ES3B, met programmatuurvan stemmen door de minister van versie 2.11, van N.V. Nederlandsche Binnenlandse Zaken en Apparatenfabriek 'Nedap' te Groen t o Koninkrijksrelaties. wordt goedgekeurd voor het gebruik 2. De elektronische stemmachine van bij de verkiezingen, zowel voor de het type ESD-1, met ES3 programwijze van stemmen als bedoeld in matuur versie 3.0, van N.V. artikel J 14b, eerste lid, onder a, van Nederlandsche Apparatenfabriek 'Nedap' te Groenlo wordt tevens hei Kiesbesluit als voor de wijze van stemmen als bedoeld in artikel J I4b, goedgekeurd voor het gebruik bij tweede lid, van het Kiesbesluit. twee stemmingen tegelijkertijd, uitsluitend voor de wijze van stemmen De goedkeuring voor de wijze van stemmen als bedoeld in artikel J 14b, als bedoeld in artikel J 14b, eerste lid, tweede lid, van het Kiesbesluit wordt onder a, van het Kiesbesluit. verleend onder de opschortende voorArtikel 4 waarde van goedkeuring van een gebruiksaanwijzing voor deze wijze Van deze goedkeuring wordt mededevan stemmen door de minister van ling in de Staatscourant gedaan. Binnenlandse Zaken en De Minister van Binnenlandse Zaken Koninkrijksrelaties. 2. De elektronische stemmachine van en Koninkrijksrelaties, het type ES 3 B, met programmatuur» K.C. de Vries. versie 2.11, van N.V. Nederlandsche Apparatenfabriek 'Nedap' te Groenlo Op grond van de Algemene wet wordt tevens goedgekeurd voor het bestuursrecht kan een belanghebbengebruik bij twee stemmingen tegelijde tegen dit besluit, binnen zes weken kertijd, uitsluitend voor de wijze van na de dag waarop het is bekend stemmen als bedoeld in artikel J 14b, gemaakt, een met redenen omkleed bezwaarschrift indienen. Het eerste lid, onder a, van het bezwaarschrift moet worden gericht Kiesbesluit. tol de Minister van Binnenlandse Artikel 3 Zaken en Koninkrijksrelaties en kan 1. De elektronische stemmachine van worden gezonden aan het ministerie van Binnenlandse Zaken en het type ESD-1, mei ES3 programKoninkrijksrelaties, Directie matuur versie 3.0, van N.V. Constitutionele Zaken en Wetgeving, Nederlandsche Apparaten fabriek . 'Nedap' te Groenlo wordt goedgepostbus 20011. 2500 EA Den Haag. keurd voor het gebruik bij de verkiezingen, zowel voor de wijze van stem-

W K*

O

Uit: Staatscourant 28 februari 2002, nr. 42/pag. 9

VJ N* O

Q

s

Ofc>1

AN flO/NN COMHSHAOIL ACUS RIALJAK AITIUIL

&É-

DEAUTMENTOF AN ROINN COMHSHAOIL AGUS MALTA» AITIUIL THE ENVIRONMENT AND

DEPARTMENT OF THE ENVIRONMENT AND LOCAL GOVERNMENT

LOCAL GOVERNMENr

TEACH AN CHUSMIM Utl£ ATHA CLIATH I CUSTOM HOUSE. DUBUN I

Tel No: +353 ( 800 2000 LoCo0No.-l89020202l Fa» NK +353 I 888 2888

O

Vvabaiu: www.cnviron.iB

Piip*>r lOOXAihchuriiU» Printed on IOOX racjreled paper

BINNENLANDSE ZA"-. EN KONINKRIIKSRF'

J

w *—

o

Adjournment Debate - 10 December 2002

"The reported deficiencies in the electronic voting system as outlined in the Zerflow Report and the need to have the report published in full." Deputy B Allen.

This matter has attracted a considerable amount of media coverage in the last few days and I welcome the opportunity to bring some balance to that reporting and to reassure Deputies that the electronic voting system is accurate, reliable and secure.

From the outset, security has been paramount in the design, testing and implementation of the new system. The testing programme, in particular, has been rigorous: the voting machine has been tested by two international test institutes PTB in Germany and TNO in the Netherlands, both of whom have certified the machine as suitable for use.

Zerflow, an information security company, was requested by my Department in March 2002 to carry out a further security assessment of the procedures to be applied in the use of voting machines in the physical environment of polling stations. This was a subsidiary and less extensive exercise than the other tests to which I have referred; and it was carried out at a cost of some €4,000 plus VAT over 14 days.

OJ

(-o XI NJ

O 01

The report was received on 27 March 2002 and it contained 16 recommendations. A small number of these were embodied in my Department's subsequent instructions to returning officers.

An analysis of the report's main recommendations however revealed an inadequate understanding of the organisation of election preparations, including arrangements in polling stations.

The concerns raised by the Zerflow report were fully assessed by the Department and the machine manufacturers. They were not considered to present any realistic threat to the security of the voting process, having regard to the design of the machine and to security arrangements operating in polling stations.

It was also relevant to this assessment that similar machines (but incorporating fewer security features) are used extensively in Germany and the Netherlands.

The

concerns raised by Zerflow have not been identified in risk assessments in these countries.

As most of the focus of media attention has been directed to the first recommendation in the report, I would like to deal with it. It contained 3 parts as follows -

•

that a perspex or glass cover should be placed over the ballot paper and the cover should be secured and alarmed;

•

that regular checks should be made to ensure nobody defaced or interfered with the surface of the protective glass; and

•

that regular checks should be made to ensure that the voting buttons represent the correct candidates and that candidate information is correct.

The latter 2 items have in fact been addressed in my Department's instructions to returning officers.

As regards the first item, the present cover used for the machine ballot paper is considered adequate. It is not accepted that the ballot paper can be easily interfered with. The security arrangements in polling stations involve the deployment of a poll clerk full time to supervise the use of each voting machine.

Given the highly

intrusive operations which would be necessary to remove the ballot paper cover from the machine, interference of the kind suggested could not occur without active collusion of polling station staff. The well supervised and honest administration of polling stations, under the authority of returning officers, is a key prerequisite for the good conduct of elections in Ireland in relation both to manual and electronic voting.

My Department's conclusion therefore was that the main scenarios identified by Zerflow were implausible, and that the probability of their occurrence without detection was so remote as to be properly discountable.

Electronic voting is rightly seen as a progressive and welcome modernisation of our CO

electoral process. I acknowledge that it is integral to the acceptability of the new G -N! ro

system that there should be confidence in its security, as well as in its greater accuracy and efficiency.

Deputies should also bear in mind that the electronic voting machines in their present form will all be replaced at the 2004 elections by new or upgraded machines. As part of the process of acquiring and commissioning these machines, we will of course look again at security issues.

information security

rflow Electronic Voting Security Assessment For

M HliH LUMlMMii KU HHHIl I» till

Franchise

Originator

Colin English

Approval

Tony Geraghty

Date Approved

27/03/2002

Zerflow Arena House Arena Road Sandyford Dublin 18 Rep of Ireland

Tel: Fax:

+353 (0) 1 293 0155 +353 (0) 1 293 0156

W h-* CD

O O

Zerflow

Electronic Voting Security Assessment Department of Environment

CONTENTS 1

BACKGROUND

2

2

INTRODUCTION

3

3

SCOPE

4

3.1 3.2 3.3 3.4 4

RISK ANALYSIS TECHNICAL ASSESSMENT POLICY ASSESSMENT PROCESS ASSESSMENT

4 4 4 5

INTERIM REPORT

4.1 4.2

6

IMMEDIATE ISSUES OF CONCERN SCENARIO

6 7

5

EXECUTIVE SUMMARY

8

6

TECHNICAL SUMMARY

10

6.1

7

FINDINGS AND RECOMMENDATIONS

CONCLUSIONS

10

'.

APPENDIX A - DOCUMENT CONTROL APPENDIX B - CE CERTIFICATION

WHAT is CE?

».»15 17 18

18

SCOPE OF CE CERTIFICATION

18

WHAT CE MEANS TO You

18

THIS DOCUMENT CONTAINS 19 PAGES INCLUDING HEADER PAGE

Disclaimer The information contained within this Report is the property or Zerflow Holdings Ltd. and is issued in confidence and must not be reproduced in whole or in part or used in tendering or manufacturing purposes or given or communicated to any third party without the prior written consent of Zerflow Holdings Ltd. This Report does not form or constitute part of a contractual document, nor does its submission imply acceptance of any commercial terms. No advice given or statements or recommendations made shall in any circumstances constitute or be deemed to constitute a warranty by Zerflow Holdings as to the accuracy of such advice, statements, or recommendations. Zcrfiow Holdings shall no: ~jl liable for any loss, expense, damage, or claim arising out of the ndvicc given or not given or statements made or omitted to i? made in connection with this report.

©ZERFLOW HOLDINGS LIMITED 2002

Confidential Information

Zerflow


l Background The Government is to phase in an electronic voting system that will make a significant change to the traditional electoral process. The new system will also mean the end of marathon vote counts by hand. At the last general election in 1997 it took more than a week : to decide the result in Dublin South East. ~" Future ballot papers will feature pictures of candidates beside their party emblems, where applicable, and voters will press a button to make their choices under the proportional representation electoral system. At present, counting does not begin until the day after elections and takes an average of about 12 hours to complete nationwide. The machines to be used, provided by a Dutch company, will be tested over the next six months and will be used for the first time in a selected number of constituencies at the next general election. Zerflow have been engaged to examine the voting machine to be used by voters and make comments on any security weaknesses found.

w K-*

Q


II 0

cn

Zerflow


2 Introduction Department of Environment has requested Zerflow to outline the components of a Security Assessment of the Electronic voting system. Those components include the following: .^ • • * *

The Voting machine. Data cartridge. Control Consol. Any peripheral devices attached to the machine or in its surrounds, critical to its function.

This document outlines the security weaknesses discovered by Zerflow staff during the review. The security review was focused only on the voting machine, the control console and the data cartridge. The procedures and policies surrounding the implementation and use of the voting machine were also examined as part of the review.


Zeiflow


3 Scope The following sections outline the scope of work for a security assessment.

3.1 Risk Analysis Threats facing Electronic voting could include anything from human error to malice, to organised corruption of the voting process. How do you decide which ones are a realistic problem? How can you effectively manage these risks? Zerflow will apply risk analysis to bridge the gap between risk and technology. In addition we will: » Define what we are protecting. • Analyse the voting machine to identify technical vulnerabilities. * Consider the effects of a breach in security and what happens if a breach occurs.

3.2 Technical Assessment Zerflow will carry out a comprehensive assessment of the physical hardware, its applications, and its data storage devices. This assessment will measure the system from the following critical viewpoints: Availability Integrity Usability Confidentiality Authentication

3.3 Policy Assessment Review of the Security and Operational policy: - critical evaluation and benchmark evaluation to include the following: Security Organisation Asset classification and control Personnel security Communications and operational management Physical security Systems access control Data Access, Distribution and Storage Process continuity and redundancy planning O


G

O

cr»

Zerflow


The Policy is of utmost importance, because the bedrock of security is based on defined, repeatable processes, which are constantly enforced. Zerflow uses IS017799, the international standard for Information security to benchmark Security policy.

3.4 Process Assessment Review of the entire process, establishing the critical points, identifying their level of vulnerability and determining how you respond if those resources are compromised, or failure occurs. A thorough testing of each atomic stage of the process will be carried out to encompass the following (where practicable): Usability test Stress test Functionality test Error test Availability test Confidentiality test Process-abandoned / aborted test Failure test Integrity test


f /

\J Zerflow


4 Interim Report Zerflow highlighted the following issues at a meeting with Peter Green. These issues arose from a discussion between Zerflow staff with little knowledge of the voting machine. It was after this meeting that Zerflow were requested to conduct a full review of the voting machine. '""

4.1 Immediate issues of concern 1. What actions and processes are audited, how is the audit trait (inked, and who has access to that audit?

\

2. In the case of dispute, is there any sort of recount, or manual input via audit trail? 3. What facility is provided so that a voter can only vote in the allowed votes (e.g. A U.S. national cannot vote in Dail election, but can vote in local election)? If two polls held on same day, what stops this person voting in the Dail election? 4. How does the system confirm that each vote has been accepted (or rejected) and recorded? 5. If the system fails, what is in place to cope (e.g. electricity failure/ power surge)? If the system is inoperable, what system takes place? 6. If the system fails during the days polling, and an alternative system is used; how are the two systems reconciled, and tabulated? 7. How does the local poll centre staff know, and verify that the system is working correctly?

)

8. If the system does fail, and an alternative system used, how is a guarantee given that the system is no longer operable by unauthorised persons? 9. What is the fault tolerance, and how has it been validated? 10. In the case of a dispute (e.g. at the count centre it transpires that a candidate expected to poll approx 7,000 first preference votes only gets 300, and a candidate normally expected to get approx. 300 votes, gets 7,000 votes. There has clearly been an error, and the candidates' details and recorded votes have been mixed up): dees that election stand, is there a method of checking, can the audit trail provide a' / further information?

w t-* G •--J Confidential Information

O O

Zerflow


4.2 Scenario In the case of point 10:

.__

Fraud had been planned by an organised group of people. They have got access to the card that is placed on to the electronic voting console, and have reprinted the card, but switching their preferred candidates place with a much more popular candidate, and visa versa. Very early in the polling day, they send out a team to switch the genuine card with the fraudulent card, and again towards the end of the day, they switch the cards back. People voting all day give the number one to the button indicated by the candidates' details, but are in fact casting votes for the wrong candidate. Whilst the plan works, at the count centre fraud is suspected by the massive disparity in votes to those expected. In the above case, what procedures are put in place to prevent this occurrence in the first place? Should it occur, what procedures are in place to detect and rectify it during the polling day? Should it go undetected, what is in place to correct, or indeed nullify the result on counting day?

Confidential Information"

Zerflow


5 Executive Summary The government are introducing a new electronic voting system to replace the paper ballot •system. Voters will now use buttons beside electoral candidates to cast their votes. The electronic system will remove the arduous task of vote counting and also the need -.for recounts. Although electronic voting is both labour saving and efficient, this opens the election to new scepticism from the public. Can this new system be trusted to deliver the correct results? Can hackers tamper with this new system? These are all questions that Zerflow endeavoured to answer during this review. Zerflow were engaged by Peter Green to analyse the voting machine from a security perspective. Other parties have previously carried out a full code review and numerous other tests. Zerflow's objective in this project was to find weaknesses in the policies, procedures and the physical security of the voting machine that may be exploited to compromise an election. Zerflow identified several high level vulnerabilities that should be addressed as soon as possible to enhance the overall security of the project. The integrity of the ballot sheet cannot be guaranteed with the current equipment and controls. As demonstrated in the case study above, voters can easily be duped into voting for the wrong candidates by simply taping a fake ballot to the front panel of the voting machine. Our tests also revealed that the front panel is only secured by one switch that can easily be used to open the panel and access the ballot card. Zerflow recommend that the ballot card be protected by a glass or Perspex cover with holes to allow access to the voting buttons. Zerflow also recommend that a procedure is implemented which will have the control panel operator regularly check the ballot card and ensure that the voting buttons represent the correct candidate. Zerflow also recommend securing both the front and back panels on the voting machine and also alarming these panels to prevent unauthorised access. Zerflow identified another high level vulnerability associated with the key used in the control console. Zerflow were able to get a copy of the control console key made at a local shopping centre. Anybody with access to this key could potentially cast votes on a voting machine. This key could also have been ordered using the serial number on the key. Zerflow recommend the use of 2-factor security for the control console. This type of security would require the presiding officer to have a smart card and a personal PIN number. Even \somebody got access to the smart card, they would still need to PIN to be able to vote. Due to time constraints, 2-factor security may not be implemented before the election A compromise would be to separate the keys from the control consoles and send them

w t-*

O TO

Confidential Information .

_ o

Zerflow


separately to the polling station in secure sealed packages. The keys should also be returned with the cartridges and stored in a secure location. During the review it became apparent that the backup cartridge remains in the voting machine after the poll has been closed. If the main cartridge were to be damaged then the backup cartridge will be required to complete the count. For this reason the backup cartridge should be removed from the voting machine and treated as securely as the main cartridge. A further check would be to use one count machine for the main cartridges and another for the backup cartridges at the count centre. Both counts should return with the same result. The 'Technical Summary' contains a more detailed listing of the issues uncovered during the review.


Zerflow


6 Technical Summary This section of the report contains detailed findings from this security review. 6.1 Findings and recommendations Zerflow has identified several issues during this review. These issues are listed in order of priority. The high level issues should be addressed as soon as possible as these issues could cast doubt over the integrity of an election using the voting machine.

HIGH LEVEL ISSUES * The front cover of the voting machine can be easily tampered with. This could allow somebody to interfere with the ballot card and cause voters to select the wrong candidates. This action could very easily go unnoticed and compromise the entire election in that constituency. Zerflow recommend that a Perspex or glass cover is placed over the ballot card and that this cover is secured and alarmed on the voting machine. This cover will need to be crafted specifically with holes to allow users to access voting buttons. Regular checks will also be required to ensure that nobody has defaced or interfered with the surface of the protective glass. These checks should be carried out regularly after a specified number of votes. Checks should also be carried out regularly to ensure that the voting buttons represent the correct candidates and that all candidate information is correct. All of these checks should be logged to prove that there has been no interference with votes. •

The key used to operate the control console is not secure.

Zerflow were able to get a copy of the control console key made at a local shopping centre. Anybody with access to this key could potentially cast votes on a voting machine. This key could also have been ordered using the serial number on the key. Zerflow recommend the use of 2-factor security for the control console. This type of security would require the presiding officer to have a smart card and a personal PIN number. Even if [ somebody got access to the smart card, they would still need to PIN to be able to vote. ; Due to time constraints, 2-factor security may not be implemented before the forthcoming i ; election. A compromise would be to separate the keys from the control consoles and send i | them separately to the polling station in secure sealed packages. The keys should also be ( j returned with the cartridges and stored in a secure location. )


xl -T-.JIO O O

Zerflow


« In the event of a power loss, unless the control unit operator is keeping a constant count of votes there will be no way of knowing if a voter has actually cast a vote. If a power outage affected a voting machine, this problem could potentially allow a voter to vote twice. The voting machine should have a feature which will indicate to the control unit operator if a vote was not cast while in voting mode before the power outage. The control unit operator could then recall that voter and permit a vote. *

The rear cover for the voting machine should be made of metal and alarmed to prevent access to the cartridges.

At present the rear cover of the voting machine is made of plastic and provides no security for the internal computer and the voting cartridges. The internal computer and the cartridges must be secure at all times. The rear cover should be made of metal and alarmed. •

Backup cartridges remain in the voting machine.

Back cartridges remain in the voting machine after an election when the main cartridges are removed. If a backup cartridge were required because of damage to the main cartridge or failure, the integrity of information on the backup cannot be trusted. The backup cartridge should be secured in the same way as the main cartridge. •

Backup cartridges can be wiped in the voting machine.

The backup cartridge can be wiped on the voting machine. The voting machine should not be able to wipe the backup cartridge. This operation should only be possible on the programming unit.


Zerflow


MEDIUM LEVEL ISSUES •

The voting machine should be powered off when accessing the cartridge or changing the paper. _^

If the internal computer in the voting machine is being accessed while the power is on, this could cause damage to the voting machine, the data cartridge or cause personal injury to an operator. j Electrostatic protection should also be used when accessing the internal computer and i removing the cartridges. •

Storage of cartridges after counting.

The cartridges must be stored in a suitable location for the period required by legislation. •

The voting machine needs to be secured to a table by some means.

At present the voting machine requires a separate stand or table. The voting machine could be easily pushed off this table and damaged beyond repair, or cause personal injury to the control unit operator. Zerflow recommend that .the voting machine be secured to a table when in use. If it is not ; possible to implement this measure before the election, then the voting machine should have ' rubber feet attached to the base to prevent accidental damage. i * The voting machine does not display a CE compliance sticker. The CE Marking regime requires companies to ensure that their products comply with the mandatory health and safety requirements spelled out in EU directives. For more information on CE, see Appendix B. • The voting machine has a number of visible wires around the front panel light area. A CE audit would determine if situations like this are dangerous. Zerflow recommend that the . manufacturers get a CE audit and implement any changes required.

w H* O

^J NJ


"o

Zerflow


LOW LEVEL ISSUES *

TTie data stored on the cartridges in not encrypted.

The data stored on the cartridges is stored in clear text and could potentially be changeq^ This is highly unlikely in the short term, but as the voting machines are used more in trie future, people's awareness to the process and hardware will also increase. Encryption will aid in maintaining the integrity of information. The data on the cartridges should be encrypted and check summed to help guarantee the integrity of the information. *

The voting machine can only support a maximum of 56 candidates for a single election.

This limit of candidates could easily be exceeded to prevent the use of the voting machine. Under recent legislation (ELECTORAL (AMENDMENT) BILL, 2002) 30 signatures are required to register a candidate. The monetary deposit requirement has also been removed. Any group could potentially register candidates just to prevent the use of the voting machine in one or all constituencies. With 16 candidates in Meath in the last election, a 56 candidate limit may be low. Zerflow recommend that this problem addressed as soon as possible. •

There may be an issue with voting machine availability during peak hours.

Many voters using the voting machine may not be computer literate and spend longer voting that they would on a paper ballet. This may cause problems during peak voting hours. Zerflow recommend that consideration be given to the number of machines required to cope with large numbers of people waiting to vote, especially at peak times. » The pictures of candidates and party symbols on the ballot paper are small and of bad quality.

j I The pictures on the ballot sheet are small and of bad quality. | Zerflow recommend reviewing the size of the pictures used and enhancing the quality of 1 these pictures by using high-resolution printers. •

The Cast Vote button has no label indicating its purpose.

• The Cast Votes button should have a label "Cast Vote" to clearly indicate what voters should • press to cast their vote. ! Zerflow recommend placing a Cast Vote Label on or argund_thi_s_buttgn.__


Zerflow

*


More handles are required on the voting machine.

More handles are required on the case of the voting machine to ensure safe carriage and minimise the risk of personal injury. ^

G ^

NJ


0

CD (T-

Zerflow

Electronic Voting Security Assessment

Department of Environment

7 Conclusions Zerflow have concluded that the voting machine is currently unsecured. The voting machine needs to have the front panel secured to prevent interference with the ballot card. The keys used to access the control console can easily be copied and even ordered by using the serial number on the key. Zerflow recommend the use of 2-factor authentication to secure access to the control console. This would require considerable development time and might not be possible to implement before the election. The control console keys should never be stored with their respective voting machines. The keys should be delivered separate to the polling station in sealed packages to the presiding officer. The presiding officer can then issue the keys to the relevant staff and prepare the voting machines for the election. If these and the other high level recommendations made in the technical summary were implemented, the physical security of the voting machine would be greatly enhanced. Strict procedures and policies will also be required to ensure the overall integrity of the election. Such policies would include the management of voting cartridges before, during and after the election. Separate policies would also be required in the event of a voting machine being damaged and needing repairs. The cartridges should never leave the polling station unless secured by Gardai or other trusted parties. Zerflow recommend creating formal policies and procedures to cover all eventualities regarding the voting machines and their use. This may not be possible before a May 2002 election, but it is strongly recommended before the system comes into full use. It is also recommended that a third party audit be put in place to test the system on polling day in the next election, and to measure its performance. A final recommendation would be to carry out a post election audit following the initial trial in the three constituencies in May 2002.


IS

^

Zerflow


APPENDICES



Zerflow

Appendix A - Document Control

Version History Version Date

Comments

1.01

19/03/2002

Release Draft by Tony Geraghty

1.02

22/03/2002

Draft by Colin English

1.03

27/03/2002

Release Draft by Colin English

Document Distribution Name

Location

Responsibility

Action/ Information

Tony Geraghty.

Dublin

Sales

Info

Colin English

Dublin

Consultant

Action

Document Reviewed By Name Tony Geraghty

Location

Responsibility

Dublin

Consultant

Source File Location ..\Customers\Dept_of_Environment\ElectronicVottng\deptenviromentl03.doc


Zeiflow


Appendix B - CE Certification What is CE? CE is mandatory for a wide range of products that will be sold or imported into the European Union (EU). The CE Marking regime requires companies to ensure that their products comply with the mandatory health and safety requirements spelled out in EU directives. Without a CE Mark, exporters could lose access to the EU market. Products that do not meet CE may be held at EU member state borders for failure to have the CE mark. Thus product may be rejected and not allowed into that country.

Scope of CE Certification A CE certified its product ensures acceptance of use within the EU. Products meet the most inclusive directive, the Electromagnetic Compatibility (EMC) directive. This means that products will continue to function properly in environments that are exposed to electronic emissions. This includes forklifts, radios, cell phones, generators, RF, EMI and ESD, CB's and other electronic equipment.

What CE Means to You Confidence that your data instrument will function properly in the environment in which you use it. Assurance that if you are exporting product to the EU, your product will not be rejected because the third-party monitoring equipment you are using is not CE certified. Satisfaction that your supplier is a company that is dedicated to quality products, services and systems.

w i-* O

•-J ro CD Confidential Information

1S

CT-

15 J AM w i-* O. De minister van Binnenlandse Zaken en Koninkrijksrelaties Mr. K.G. de Vries, Postbus 20011, 2500 EA Den Haag

Recommend Documents