<div dir="ltr">On Tue, Aug 12, 2008 at 9:01 PM, Kathy Dopp <span dir="ltr"><<a href="mailto:kathy.dopp@gmail.com">kathy.dopp@gmail.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
> Message: 2<br>
> Date: Tue, 12 Aug 2008 18:17:49 -0700<br>
> From: "rob brown" <<a href="mailto:rob@karmatics.com">rob@karmatics.com</a>><br>
> Subject: Re: [EM] Why We Shouldn't Count Votes with Machines<br>
<div class="Ih2E3d">> The "two strikes you are out" rule is not inherent to machine voting -- that<br>
> is fixable, obviously.<br>
<br>
</div>How?  Do we want an infinite loop of a voter running paper through a<br>
cheap printer trying to obtain an accurate ballot record and the<br>
machine refusing to print one while it switches a vote wrongly?  Or do<br>
we want the voter to be able to cancel the ballot and let the poll<br>
workers know that he needs a paper ballot instead that he can mark<br>
himself? </blockquote><div><br>I'm fine with the latter.  Actually that seems like a reasonable thing to do.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
 If so, why not let the voters vote on a paper ballot to<br>
begin with?<br>
<br>
Any ideas?</blockquote><div><br>Cost?<br><br>Presumably they don't use the paper ballot to begin with because then they have to be hand counted or have an optical reader at each station.  Hand counting a few is reasonable (or sending them in to be counted on an optical reader),  hand counting all, or having modern optical machines at each polling station, can be very expensive.<br>
<br>But honestly, the big problem I have with paper ballots filled out by hand is that they make the transition to a ranked system a lot harder, both in terms of difficulty filling in the ballot and difficulty counting them.  As you probably know, I am a big advocate of ranked systems (especially condorcet), as plurality is (among other sins) the source of partisanship which I consider the biggest problem of government.<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">> Regardless, are you suggesting that a programmer could steal an election by<br>

> just hoping that that every one of the people who had it fail twice in a row<br>
> is going to simply say "oh well" and go home, rather than raise holy hell<br>
> about it?<br>
<br>
</div>No. Obviously it is trivially easy for any programmer of a voting machine to:<br>
</blockquote><div><br>You'll note that I said it is essential that the source code be open for viewing by all.  Not so trivially easy in that case.  Not at all.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
a. make the printed ballot record match an erroneous e-ballot record<br>
on the voters first try<br>
<br>
b. in the 10% of cases when a voter notices the error on the paper<br>
ballot and cancels the ballot, the programmer than makes the paper<br>
printout and the electronic record match exactly what the voter wants.<br>
</blockquote><div><br>But to do this, an awful lot of people are going to see the error, especially if you simply leave it on screen when you print the paper copy.  And they are going to talk about it.  And the next year, people will be a lot more likely to notice.<br>
<br>Still, with an open source system, I have no clue how a programmer is going to do this at all.  If there is someone that smart (and lacking of ethics), he is probably very, very rich, as he probably has already put undetected code in the linux kernel that is giving him back doors to an awful lot of servers out there moving an awful lot of money.<br>
<br>Most likely though, no one is able to hide such devious stuff in code visible to security researchers.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Recall that I said that the programmer would only be able to switch up<br>
to 90% of the target votes without any audit able to detect it.<br>
</blockquote><div><br>Only if every single voter got a wrong ballot printed.  You really think this would go unnoticed?   Your scenario is absurd, at least on the scale you talk about.<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
The voter would either think that he must have made a mistake on the<br>
first try, or complain about his vote being switched.<br>
</blockquote><div><br>Yes, and a lot of people complaining would draw more attention to it, and more people would start checking.  If it happened on a large scale, the problem would be tracked down,  and the programmer would be put away for a long time.  <br>
<br>But if it is open source, even that scenario is (for all intents and purposes) impossible.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
We have already seen hundreds or thousands or cases of voters in the<br>
last two election cycles complaining that their votes have been<br>
switched to the wrong candidates with DREs and election officials have<br>
mostly ignored the problem or chalked it up to "touchscreen<br>
callibration" problems (which does cause similar behavior)<br>
<div class="Ih2E3d"></div></blockquote><div><br>Not if the UI is done reasonably.  The touch screen should show what you selected, very clearly, in big bold letters so you know you did it right, and allow you the opportunity to change it before printing out the paper.  If it then prints out a different thing, that is obviously not "touchscreen calibration", and if it does  it for a significant number of people that isn't going to last long before you have the townspeople carrying torches.<br>
 </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">> As a programmer myself, I can tell you that any non-stupid (but evil)<br>

> programmer would have it do it correctly the second time....I mean, you know<br>
> they are looking that time, so why push your luck for one vote?  So the "2<br>
> strikes and you're out", silly as it may be, is hardly the issue.<br>
<br>
</div>Huh?<br>
<br>
I mentioned TWO SEPARATE ISSUES:<br>
</blockquote><div><br>Ok, well you complained loudly about the two strikes then you're out rule, which doesn't seem relevant or at least doesn't seem to be a necessity.  It could just be eliminated, and let you do it until you get it right.  I know, that doesn't solve the problem for people who don't check their ballots, but still...<br>
 </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">1. the programming hack that can switch 90% of target votes without<br>
audits being able to detect it.<br>
<br>
2. the 2 strikes you're out rule that *all* DREs currently use today<br>
that prevents even the 10% of diligent voters who detect errors in<br>
their paper printed records from being able to generate a correct<br>
machine-printed paper ballot record.<br>
<br>
If you prefer not have *any* paper ballot record, then ofcourse there<br>
is no way to check the accuracy of the machine counts independent of<br>
the programming.</blockquote><div><br>For the record, I absolutely do prefer a paper ballot record.  Along with open source.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">> I can also tell you that much of the issue here is far out of the field of<br>
> computer science, and is more in the area of sociology/psychology with a<br>
> little game theory and economics thrown in.<br>
<br>
</div>Really? </blockquote><div><br>Yes, certainly the aspect of whether humans will notice that large scale fraud is happening, the media will take an interest, etc, is not a computer science issue. <br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
 OK, but *all* independent computer scientists (that I know)<br>
oppose the use of e-ballot voting systems for very solid logically<br>
correct reasons.</blockquote><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
It is true that e-ballots with machine printed paper records *might*<br>
work (although still expensive and subject to DOS attacks) </blockquote><div><br>DOS attacks?  Really?  Are you talking about voters coming in and using up all the paper, or what?  (which is a stretch of the definition of DOS attack)<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">*IF* you<br>
could train all voters and election officials and poll workers<br>
adequately how to handle doing elections with them, but that seems<br>
like a very remote possibility unless you want to begin lessons in how<br>
to use e-ballot paper trail voting systems in grammar school as a<br>
course and have paper ballots as backup available in every polling<br>
location and train pollworkers and voters to recognize when the<br>
machines look like vote fraud may be going on, etc.  Human factors<br>
must be considered realistically.<br>
<div class="Ih2E3d"></div></blockquote><div class="Ih2E3d"><br>Well human factors is my profession (degree in industrial design, working for ~20 years doing UI design / programming).  Seems to me a solvable problem, and not a particularly hard one. <br>
 <br>
> I don't disagree that there are problems with machine voting, some easier to<br>
> fix than others.  (a paper trail is an absolute necessity, for instance, as<br>
> is open source code)<br>
<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Again, virtually all *independent* computer scientists who are voting<br>
system experts disagree with you and believe that voter-marked paper<br>
ballots are essential and that "paper trails" are inadequate as I've<br>
tried to explain some of their flaws here.<br>
<div class="Ih2E3d"></div></blockquote><div class="Ih2E3d"><br>You keep saying that, I'm not convinced.  But as I said, I'm also not convinced that computer science degrees makes such a difference, as I don't think most of the issues are computer science issues.<br>
 <br>
> Still I think you are blowing things out of<br>
> proportion  -- to a large enough degree that your propoganda has pulled me<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">> out of my typical lurk mode on the list.<br>
<br>
Well using words like "propaganda" and "blowing things out of<br>
proportion" are very skillful ways to try to discount real facts, but<br>
do not impress me, or most people as much as concrete facts do.<br>
<div class="Ih2E3d"></div></blockquote><div><br>I'm into concrete facts as well, which is why I called you on the Shamos thing.  I think you are blowing things out of proportion in this discussion and even more so regarding IRV.<br>
 </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">It still remains true though, that Michael Shamos is considered a<br>
rogue computer scientist and that Michael Shamos financially profits<br>
handsomely by certifying DRE voting systems for the state of PA which<br>
can not be shown to be inaccurate since they are paperless and there<br>
is no software independent method to audit their output.<br>
</blockquote><div><br>I don't agree with Shamos at all, for the record.  I think a paper trail is absolutely necessary.  I just don't think sticking with hand-filled paper ballots (except as a fallback) is the solution.<br>
<br>(but I would suggest that if you are going to talk smack about someone on a public list, Google is your friend)<br> <br></div></div><br></div>