Experten weltweit melden Verbesserungen zur Betaversion des E-Voting-Systems der Post

Experten weltweit melden Verbesserungen zur Betaversion des E-Voting-Systems der Post

Die Post legt die Betaversion ihres E-Voting-Systems seit Januar in Etappen offen. Sie will so unter Mitwirkung der internationalen Fachwelt jede Schwachstelle aufdecken, beheben und das System so kontinuierlich weiterentwickeln. Es haben sich bereits mehrere Hundert Fachleute beteiligt und zahlreiche Meldungen eingereicht. Die Post hat entsprechend gehandelt und verschiedene Verbesserungen vorgenommen. Auf der vorliegenden Seite findet sich eine regelmässig aktualisierte Beschreibung über alle bestätigten Befunde, deren Schweregrad die Post nach der eingehenden fachlichen Analyse als hoch oder kritisch einstuft.

Die Post legt seit Anfang 2021 die Betaversion ihres E-Voting-Systems etappenweise offen. Zuletzt hat sie im September den Quellcode veröffentlicht. Zum gleichen Zeitpunkt hat die Post auch das unbefristete öffentliche Bug-Bounty-Programm zum E-Voting-System gestartet. Sie belohnt Befunde je nach Schweregrad mit bis zu 250'000 Franken. Expertinnen und Experten aus der ganzen Welt können das System prüfen und testen, beispielsweise Urnengänge simulieren, und der Post Verbesserungen melden. Ziel ist es, mit der Beteiligung der internationalen Fachwelt Schwachstellen frühzeitig zu finden, zu beheben und das System so kontinuierlich weiterzuentwickeln. Die bewusst gesuchte Aussensicht von unabhängigen Fachleuten ist ein Mosaikstein in der Entwicklung eines sicheren Systems. Gleichzeitig wird die öffentliche Überprüfung voraussichtlich eine Bedingung des Bundes für E-Voting-Systeme in der Schweiz werden, die für den rechtlich definierten Versuchsbetrieb zugelassen und in interessierten Kantonen eingesetzt werden können.

Seit Juli 2021 prüfen auch vom Bund eingesetzte unabhängige Expertinnen und Experten parallel zur öffentlichen Überprüfung die Betaversion des E-Voting-Systems der Post. Diese Prüfung soll mit der Veröffentlichung von Berichten abgeschlossen werden. Erste Erkenntnisse werden der Post zur raschen Weiterentwicklung des E-Voting-Systems bereits vorher gemeldet. Die hierbei umgesetzten Korrekturen veröffentlicht die Post ebenfalls auf GitLab und auf der vorliegenden Webseite.

Die Befunde zum E-Voting-System stuft die Post in vier Schweregrad-Kategorien ein (tief, mittel, hoch, kritisch). Eine Beschreibung der Schweregrade findet sich auf der E-Voting-Community-Webseite.

Bisher haben sich mehrere Hundert Personen, darunter sowohl Spezialistinnen und Spezialisten aus der Wissenschaft als auch ethische Hackerinnen und Hacker am Community-Programm der Post zu E-Voting beteiligt. Die Post hat 111 Meldungen erhalten, darunter sind drei Befunde des Schweregrads hoch. Zwei davon sind bereits vor dem Start des öffentlichen Bug-Bounty-Programms eingegangen. Einen neuen Befund hat das E-Voting-Team der Post im Oktober dank der Analyse der unabhängigen Expertinnen und Experten des Bundes festgestellt. Die Post hat zu allen drei Befunden Lösungsvorschläge vorgelegt, bzw. in einem Fall die Korrektur bereits im System umgesetzt. Es ist noch kein Befund des höchsten Schweregrades (kritisch) eingegangen.

Die Post begreift Cyber-Security als kontinuierlichen partizipativen Prozess. Sie ist daher erfreut über die rege Beteiligung von Fachleuten aus der ganzen Welt an ihrem E-Voting-Community-Programm. So kann die öffentliche Überprüfung als Massnahme, um die Sicherheit eines Systems stets auf möglichst hohem Level zu halten, ihre volle Wirkung entfalten. Die Post korrigiert alle schwerwiegenden Befunde, bevor sie ihr E-Voting-System für den Einsatz in den Kantonen bereitstellt.

Übersicht über die Befunde

Stand 25.11.2021
Anzahl Meldungen 115
Anzahl Befunde Schweregrad hoch 3
Anzahl Befunde Schweregrad kritisch 0
Total ausbezahlte Belohnungen
€ 75 600

Bestätigte Befunde mit Schweregrad hoch und kritisch

Die Post legt ihr zukünftiges E-Voting-System dauerhaft und vollständig offen. Expertinnen und Experten können die Dokumente analysieren und den Quellcode testen. Im Rahmen des Bug-Bounty-Programms zahlt die Post Belohnungen für bestätigte Schwachstellen. Dies sind Massnahmen der Cyber-Security und internationale Best-Practice, um die Sicherheit stets auf möglichst hohem Level zu halten. Ziel dieser Massnahmen ist es, auf Basis der gemeldeten Befunde mögliche Angriffsstellen im System frühzeitig zu finden und zu beheben.

Alle Hinweise, darunter Fragen, Bemerkungen und Befunde, sind auf der Fachplattform GitLab veröffentlicht.

Nachstehend findet sich eine regelmässig aktualisierte Beschreibung über alle bestätigten Befunde, deren Schweregrad die Post nach der eingehenden fachlichen Analyse als hoch oder kritisch einstuft.

Issue #1 (e-voting) Insufficient Signature Validation of the Election Public Key resulting in possible attacks against individual verifiability
Issue #11 (e-voting documentation) Risk of privacy breach due to the CCMs not checking the ZKP before mix-decrypting
Issue #2 (e-voting documentation) The algorithm GenCMTable allows an adversary to recover the election event's set of possible short return codes