Neue Möglichkeit zur Stimm-Manipulation im Schweizer E-Voting gefunden

Die gleichen drei IT-Experten, die bereits einen am 12. März kommunizierten kritischen Fehler im Quellcode des neuen E-Voting-Systems der Post entdeckt hatten, haben eine weitere Sicherheitslücke entdeckt. Der Fehler betrifft ebenfalls die universelle Verifizierbarkeit, allerdings einen anderen Aspekt.
 
"Wir finden einen zweiten Beweis der Unsicherheit, diesmal bei der Entschlüsselung, und liefern Beweise (für Manipulation, Anm. d. Red.)", so ein Tweet von Vanessa Teague, Professorin für Cybersecurity an der Universität von Melbourne.
 
Zum Team, das unabhängig vom Public Intrusion Test (PIT) der Post forscht, gehören auch Sarah Jamie Lewis von der Open Privacy Research Society sowie Olivier Pereira von der UC Louvain.
 
Laut den Forschern lassen sich wegen dieser zweiten Lücke abgegebene, gültige Stimmen für ungültig erklären, ohne dass dies in jedem Falle bemerkt werden würde. Formell würde im Rahmen der Verifizierung bewiesen, dass keine Manipulation stattgefunden habe, während ein Insider "missliebige" Stimmen theoretisch hätte verschwinden lassen können.
 
Allerdings gäbe es Anzeichen einer Attacke: "Formell würde die Überprüfung bestanden. Informell ist offensichtlich, dass es ein Problem gab", präzisieren die Forscher in ihrem Paper zum technischen Hintergrund (PDF). Das Erkennen der ungültigen Stimmen liesse auf einen Angriff schliessen.
 
Und wenn Spuren vorhanden sind, könnte man den Angreifer finden? "Es gibt möglicherweise eine Möglichkeit, den Betrüger zu identifizieren, aber der Vorgang, um dies zu tun, sieht ziemlich kompliziert aus, und wir sind uns nicht sicher, ob dies möglich ist ohne die Privatsphäre der Wähler zu riskieren", so ein weiteres Fazit der drei Forscher.
 
Die Post ist, wie auf Anfrage mitgeteilt wurde, aktuell daran, den Sachverhalt im Detail abzuklären. Sie stehe dazu in Kontakt mit ihrem spanischen Technologiepartner Scytl.
 
Scytl, Anbieter der Schweizer E-Voting-Lösung, hat auf eine Anfrage von inside-it.ch bis Redaktionsschluss nicht reagiert.
 
Laut der Post würde der Versuch, die Lücke auszunutzen, in jedem Fall bei der Entschlüsselung und Auszählung bemerkt werden, weil das E-Voting-System der Post es grundsätzlich nicht zulasse, ungültige Stimmen abzugeben. Es könne daher ausgeschlossen werden, dass mit diesem Szenario unbemerkt Stimmen verändert oder Wahlen manipuliert werden könnten.
 
René Lenzin, stellvertretender Leiter Kommunikation bei der Bundeskanzlei, erklärte auf Anfrage der Nachrichtenagentur 'sda' aber, der entdeckte Fehler bestätige einen "Handlungsbedarf". Bereits der am 12. März festgestellte Fehler habe gezeigt, dass die universelle Verifizierbarkeit und damit das "Herz des Systems" nicht funktioniert habe. Das System müsse erkennen, falls manipuliert worden sei.
 
Die Post ist laut Lenzin aufgefordert worden, ihre Sicherheitsprozesse zu überprüfen und anzupassen, damit solche Mängel verhindert werden könnten. Er bestätigte, dass die Post mit diesen Mängeln die gesetzlichen Anforderungen nicht erfülle.
 
Erste Lücke: Leicht zu entdecken? Ein Versehen?
Das Fazit der Forscher zur ersten von ihnen entdeckten Lücke lautete: "Dies ist nicht 'irgendein zufälliger Hacker kann eine Wahl stehlen'. Das bedeutet 'Die Schweizer Post kann beweisen, dass sie keine Wahl gestohlen hat, auch wenn sie es getan hat'. Zwei Einwände erhoben Security-Forscher von Open Privacy, Université Catholique de Louvain und der Universität Melbourne an das Schweizer E-Voting System der Post vom spanischen Anbieter Scytl: Es gebe erstens eine Lücke im "Bayer-Groth Misch-Netzwerk", einem Herzstück der Lösung, die eine nicht nachweisbare Stimm-Manipulation ermögliche.
 
Diese Lücke ist von der Post ebenso wie der Bundeskanzlei und von Scytl anerkannt und geschlossen worden. Scytl verteidigt sich damit, die von den Forschern entdeckten zwei Angriffs-Szenarios seien "in der Praxis höchst unwahrscheinlich – um nicht zu sagen unmöglich" durchzuführen.
 
Scytl wehrt sich zudem damit, ein Teil der Post-Mitteilung sei "falsch interpretiert" worden, so eine weitere Mitteilung. Dieser Vorwurf lautete, dass die Lücke schon 2017 entdeckt, aber nie richtig geschlossen worden sei. Es sei wahr, dass nur ein (ungenügender) Standard-Zufallsgenerator im Einsatz gewesen sei, so Scytl. Aber man habe eigentlich einen verifizierbaren Algorithmus einsetzen wollen, der mit den international anerkannten NIST-FIPS-186-Standards konform sei. Diese Absicht sei im für den Public-Intrusion-Test (PIT) offengelegten Quelltext auch erkennbar: "Eine nicht erkannte Lücke in den Spezifikationen" habe dazu geführt, dass die Absicht nicht umgesetzt wurde. Ein Versehen, so kann man die Spanier interpretieren. Weitere Präzisierungen erhielt inside-it.ch nicht.
 
Der Schweizer Professor Rolf Haenni, Professor am Research Institute for Security in the Information Society (RISIS), der Berner Fachhochschule, beschreibt dieselbe Lücke.
 
Es fragt sich, weshalb die unabhängigen, von der Post beauftragten Auditoren sowohl die Lücke, als auch deren verspätete Schliessung nicht bemerkt haben. Beauftragt mit Audits waren offenbar Cambridge University, Professoren der ETH Zürich und die Wirtschaftsprüfungsfirma KPMG. Ihre Berichte sind nicht verfügbar.
 
Haenny glaubt, diese Experten hätten die zuerst entdeckte Lücke ebenfalls gefunden, falls sie danach gesucht hätten. Er mutmasst in der 'Aargauer Zeitung', dass der Prüfrahmen zu eng definiert worden sei. Auch dieser ist nicht bekannt. Haenni sagt laut 'Aargauer Zeitung' jedenfalls: "Für mich war es kein besonders grosser Aufwand, den Fehler zu finden."
 
Die Plattform für den PIT sollte am heutigen Montag um 24 Uhr schliessen. Die Bundeskanzlei wird nach eigenen Angaben voraussichtlich bis Ende Woche ein erstes Fazit ziehen. (mag/mit Material von sda)