Man soll das Schweizer E-Voting wieder hacken

25. März 2021, 14:57
  • die post
  • e-voting
  • e-government
  • schweiz
  • innovation
image

Eine schwere Lücke wurde schon entdeckt, nun legt die Post einen Teil der Kryptografie des E-Voting-Systems offen.

Die Post versucht, nach und nach mehr Vertrauen in ihr E-Voting-System zu gewinnen, während sich gleichzeitig Publikumsmedien und Politiker über die Security-Mängel beim elektronischen Impfausweis und einen Vertrauensverlust in die Digitalisierung echauffieren.
Die Post hat im Januar begonnen, indem sie einen "Entwurf" des kryptografischen Protokolls des überarbeiteten Systems publizierte. Dieses sollte aufzeigen, dass die kryptografischen Elemente die Wahrung des Stimmgeheimnisses sowie die individuelle und universelle Verifizierbarkeit gewährleistet" seien. 
Experten, von der Post als "Community" bezeichnet, sollen weiterhin selbst überprüfen können, ob das E-Voting sicher ist. Nun publiziert die Post auch zentrale kryptografische Algorithmen, wie sie mitteilt. Ein Teil der "Crypto-Primitives-Library" steht nun unter einer Apache-Lizenz 2.0 auf Github bereit. Es gehe um die Algorithmen, die im Mischnetzwerk verwendet werden, der Basis für die vollständige Verifizierbarkeit des E-Voting-Systems.
Seit dem Januar traf ein externer Issue ein, den die Post im Rahmen einer "koordinierten Offenlegung von Schwachstellen" (CVD) ebenfalls auf Github dokumentierte. Der Finder klassifizierte den Schweregrad des entdeckten Problems im kryptografischen Protokoll als "high".
Weitere Spezifikationen und den Quellcode des E-Voting-Systems und der separaten Verifizierungssoftware lege man im Rahmen der kommenden Etappen vor, so die Ankündigung.
Die Post hatte die Rechte am E-Voting-System der Firma Scytl gekauft, um dieses nun eigenständig weiterzuentwickeln. Sie hat laut Eigenangaben seither das System an ihrem IT-Standort in Neuenburg weiterentwickelt und zentrale Algorithmen neu geschrieben. Das Unternehmen hat uns zum Standort und der Idee dahinter kürzlich Fragen beantwortet.
Das E-Voting der Post war wegen Security-Mängeln in die Kritik geraten, in der Folge auch die Idee an sich.
Seit Dezember 2020 ist klar, dass die Kantone gemäss Bundesratsentscheid wieder Versuche mit E-Voting, der elektronischen Stimmabgabe, durchführen dürfen. Zugelassen werden nur vollständig verifizierbare Systeme. Im Frühling 2022 geht es in drei Kantonen, St. Gallen, Thurgau und Freiburg, los. Allerdings müssen dafür noch die Verordnung über die politischen Rechte (VPR) und die Verordnung über die elektronische Stimmabgabe (VEleS) angepasst werden. Die entsprechende Vernehmlassung soll 2021 durchgeführt werden.

Loading

Mehr zum Thema

image

Schwyz erhält einen neuen CIO

Im Sommer wird Marcel Schönbächler die Leitung des Amts für Informatik im Kanton übernehmen.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Podcast: Wie fair und objektiv ist künstliche Intelligenz?

Der Bundesrat will, dass KI Behörden effizienter macht. Warum das zu einem Problem werden kann, diskutieren wir in dieser Podcast-Folge.

publiziert am 27.1.2023
image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023