Personal tools

Nedap

From Wij vertrouwen stemcomputers niet

Typeplaatje.jpg

De stemcomputers van het merk Nedap, gemaakt door "Nedap verkiezingssystemen", een onderdeel van de marktgroep "Nedap Specials" van de "N.V. Nederlandsche Apparatenfabriek Nedap" hoe dan ook gevestigd te Groenlo. Er is een samenwerking met Bureau voor Verkiezings-uitslagen J.W. Groenendaal, die de software voor de verdere verwerking van de uitslagen maken. Sinds 1991 zijn de twee geïntegreerd tot het Integraal Stem Systeem (website). Nedap heeft vooralsnog een overweldigend marktaandeel, en om en nabij de 90% van de Nederlandse bevolking stemt op een Nedap ES3B machine.

Van Nedap vinden we in de staatscourant diverse modellen stemcomputers terug. Er zijn modellen die specifiek voor bepaalde landen bedoeld zijn (ESD=Duitsland, ESI=Ierland), en het gaat om relatief kleine variaties op een kleiner aantal apparaten. De ESD-1 is bedoeld voor de Duitse markt, maar later (met Nederlandse software) ook gekeurd voor gebruik in Nederland. We zouden het fijn vinden om een preciezere lijst modellen met foto's en specificaties te hebben.

Merk op dat de Nedap stemcomputer kan worden ingeklapt tot een handzame koffer van slechts 28 kilogram met slechts een enkel handvat. Je moet er maar zin in hebben.

Nedap.gif Nedap-koffer.gif

Publieke kennis, voor 2006

Voordat we, eind 2006, zelf een ES3B uit elkaar haalden kwam eigenlijk alles wat we over onze eigen Nederlandse stemcomputers wisten uit Ierland, waar de Commission on Electronic Voting de zaak goed had uitgezocht en gerapporteerd (2004, 2006). Op grond van de aanbevelingen van deze commissie heeft de Ierse regering al snel besloten om de Nedap niet voor verkiezingen in te zetten.

De EPROM chips op de printplaat De binnenkant van een stemmodule

Het gaat bij de Nedap stemcomputers om een ontwerp uit de jaren tachtig met een Motorola M68000 processor, twee 27C512 EPROMs voor het programma. Verder zijn er zogeheten stemgeheugenmodules met twee 28F018 Flash chips op een printje met een non-standaard stekkertje. De geheugenmodule ziet er een beetje uit als de generatie van voor de alleroudste Atari spelcomputers. Nedap stemcomputers moeten door de gemeentes worden aangeschaft voor ongeveer 3600 Euro per stemcomputer en afgeschreven over minimaal tien jaar. Er kunnen maximaal twee verkiezingen tegelijk op plaatsvinden. Deze foto's komen uit een Iers rapport uit 2004 dat een hele lijst mogelijke aanvallen tegen de Nedap beschrijft, eigenlijk precies de dingen die we zelf in 2006 zelf gedaan hebben. En er is uit die tijd ook nog een ander rapport, geschreven door een Iers computer-beveiligingsbedrijfje dat Zerflow heet (inmiddels overgenomen, heet nu Eurokom).


The Nedap reverse engineering project

Goed, en toen kregen we in de laatste weken van augustus 2006 zelf een aantal Nedap ES3B's in handen.

Hieronder staat veel van de ruwe informatie die verzameld is gedurende het onderzoek voor het artikel "Nedap/Groenendaal ES3B voting computer, a security analysis". Deze site toont hoe we uitgevonden hebben hoe deze machine werkt, hoe we er software voor hebben geschreven en hoe we, indien we voor de verkiezingen heel kort toegang hebben gehad tot een ES3B stemmachine, vrijwel ondetecteerbare controle over de verkiezingsresultaten kunnen krijgen. Daarnaast geeft het artikel informatie over hoe de radio-uitstraling van een ongemodificeerde Nedap ES3B zelfs op meerdere meters afstand kan worden opgevangen om te kijken op welke partij en op welke kandidaat een kiezer stemt.

We hebben hier een tijdje in het geheim aan gewerkt om zeker te zijn dat we ook werkelijk iets hadden om te presenteren en om in staat te zijn te werken zonder dat iedereen zou proberen ons de voorlopige resultaten uit handen te rukken. Nu het allemaal openlijk op de site staat wil dat niet zeggen dat het onderzoek naar de werking van de ES3B ophoudt. Sterker nog: we nodigen iedereen uit om mee te kijken, te verifiëren wat we gevonden hebben en hopelijk ook om ons te vertellen wat we nog niet gevonden hebben.

Let niet op de rommel

Dit is een hacker-werkomgeving. Er staat veel informatie, de informatie is deels ongeordend en ontbeert dikwijls een goede omschrijving. Het is een momentopname van een werk in uitvoering. Als je je informatie liever iets verder doorgekookt wilt hebben dan kun je beter het wetenschappelijke rapport lezen. Het is misschien wat te technisch, maar als je alleen de conclusies aan het eind van elk hoofdstuk leest krijg je een goed beeld van wat we uitgevonden hebben en waarom we denken dat de dingen die we gevonden hebben significant zijn.

Het rapport is, net als de rest van deze pagina's, in het Engels. Dat komt omdat er ook mensen aan het project gewerkt hebben die geen Nederlands spreken, en omdat de informatie dermate vers is dat de vertalingen simpelweg nog niet af zijn. Onze excuses voor het eventuele ongemak.


De ruwe gegevens

Package contents
Wat kregen we precies? Compleet met veel foto's en de bestanden op de ISS CD/ROM.
System description
Een korte beschrijving hoe het systeem precies werkt. (Engels)
Hardware
Bijna alles wat we te weten zijn gekomen over de hardware. (Engels)
Software
Wat we te weten zijn gekomen over ISS en de ES3B software, inclusief EPROM images, disassembly en Module memory usage. (Engels)
CrossCompiler
Het maken van een ontwikkelomgeving voor de ES3B.


Via links op de bovenstaande pagina's is meer informatie te vinden. We zullen waarschijnlijk nog minstens gedurende de rest van 2006 informatie blijven toevegen en sorteren.


Goedkeuringen

Hieronder vind je alle informatie die we konden vinden met betrekking tot bijvoorbeeld de goedkeuring van de Nedap machines.

(Men heeft de ESD-1 ook in Nederland laten keuren)
  • ESI-1 en ESI-2
  • TK verkiezingen 22 nov 2006
    • Op 3 nov 2006 verklaarde minister Nicolaï in een Pdf icon.png brief aan de Tweede Kamer de Nedap ES3A1 ongeschikt voor verkiezingen: vreemd genoeg is er geen officiële intrekking van de goedkeuring gepubliceerd.
    • Pdf icon.png Goedkeuring op 20 nov 2006 van de Nedap ES3B met softwareversie 2.12, de Nedap ESN1 met softwareversie 4.01 en de Nedap ESD1NL met softwareversie 3.02 met niet nader gespecificeerde aanpassingen. Aangezien dit geen nieuwe software versies zijn, kan de goedkeuring alleen wijzigingen in de hardware betreffen. Mogelijk dat het vervangen van de chips door niet-herschrijfbare chips deze nieuwe keuring noodzakelijk maakte. Deze goedkeuring was eenmalig en uitsluitend geldig voor deze verkiezingen. Dat is nieuw, in het verleden waren de goedkeuringen altijd voor een onbeperkt geldig. Mogelijk wilde BZK hiermee meer grip op Nedap krijgen.
  • PS verkiezingen 7 maart 2007
    • Pdf icon.png Goedkeuring op 5 maart 2007 van de ES3B met softwareversie 2.12, ESN1 met softwareversie 4.01 en de ESD1NL met softwareversie 3.02. De goedkeuring wordt verleend op basis van dezelfde Brightsight rapporten die ook voor de goedkeuring voor de TK verkiezingen van 22 november 2006 gebruikt werden. Er is dus geen nieuwe keuring verricht. Blijkbaar is er dus ook niets aan de stemcomputers veranderd. De goedkeuring is deze keer wel voor onbeperkte duur, "voor zolang de voorwaarden en eisen zoals vermeld in de Regeling voorwaarden en goedkeuring stemmachines ongewijzigd blijven". Aangezien de Regeling op de schop gaat, zou dit uiteindelijk de facto opnieuw een eenmalige goedkeuring kunnen zijn.
  • Meer stukken over de verschillende modellen.
    • Aan de ES3A1, ES3B en ESD-1 is in 2004 een niet nader gespecificeerde Pdf icon.png hardware wijziging goedgekeurd. Verder staan er op de pagina Wob-1 buit een groot aantal documenten waarin Nedap voorkomt. Zo is er onder meer een Pdf icon.png rapport over de goedkeuring van de ESD-1 voor gebruik in Nederland waarin de verschillen tussen de ESD-1 en de ES3B staan, en een Pdf icon.png document waarin precies staat hoeveel Nedaps alle gemeenten hadden in 2004.

Vernietiging en intrekking

Diversen

20 december 2006 - Pdf icon.png Tussentijdse rapportage enquete Integraal stemsysteem 2006 - NEDAP/Groenendaal
Jan Groenendaal heeft een enquête onder gemeenten gehouden. Het gemiddelde cijfer was 8,2. Enkele commentaren:
"Perfect. Kan niet beter!"
"Wordt steeds beter !"
"Wij zijn er uiterst tevreden over!!!! Zeer gebruiksvriendelijk!!!"
Presentatie materiaal Nedap
Pdf icon.png Nedap powerpoint december 2006
Pdf icon.png Nedap powerpoint maart 2001
Pdf icon.png Liberty Vote systeem beschrijving, maart 2005, dit is de Nedap stemcomputer voor de Amerikaanse markt.
Onderzoek van de TU Twente
Pdf icon.png Onderzoeksrapport naar de usability van de Nedap stemcomputer. De onderzoekers claimen in dit pseudo-wetenschappelijke rapport uitspraken te kunnen doen over betrouwbaarheid als ware het een onderzoek naar beveiliging. Het rapport stelt vast dat de input en output van de stemcomputer hetzelfde is. Het rapport beschrijft echter geen pogingen of scenario's om de uitslag te manipuleren. Meer over het rapport in de nieuwsbrief van 2 februari 2007. Er is ook een Pdf icon.png engelstalige versie.
Wij