Stetige Weiterentwicklung des E-Voting-Systems: Meldungen aus der Fachwelt
Anfang 2021 hat die Post ein Community-Programm zu E-Voting gestartet und die wesentlichen Komponenten und Dokumente der Betaversion ihres zukünftigen E-Voting-Systems veröffentlicht. Dies ist eine Massnahme der Cyber-Security. Unter Mitwirkung der internationalen Fachwelt will die Post jede Schwachstelle aufdecken und beheben, um die Sicherheit stets auf möglichst hohem Level zu halten.
Auf der vorliegenden Seite findet sich eine Beschreibung über alle bestätigten Befunde, deren Schweregrad die Post nach der eingehenden fachlichen Analyse als hoch oder kritisch einstuft. Die Angaben werden regelmässig aktualisiert.
Übersicht über die Befunde
| Stand | 22.05.2023 |
|---|---|
| Anzahl Meldungen | 249 |
| Anzahl Befunde Schweregrad hoch | 4 |
| Anzahl Befunde Schweregrad kritisch | 0 |
| Total ausbezahlte Belohnungen | € 159 550 |
Bestätigte Befunde mit Schweregrad hoch und kritisch
Die Post legt ihr zukünftiges E-Voting-System dauerhaft und vollständig offen. Expertinnen und Experten können die Dokumente analysieren und den Quellcode testen. Im Rahmen des Bug-Bounty-Programms zahlt die Post Belohnungen für bestätigte Schwachstellen. Dies sind Massnahmen der Cyber-Security und internationale Best-Practice, um die Sicherheit stets auf möglichst hohem Level zu halten. Ziel dieser Massnahmen ist es, auf Basis der gemeldeten Befunde mögliche Angriffsstellen im System frühzeitig zu finden und zu beheben.
Alle Hinweise, darunter Fragen, Bemerkungen und Befunde, sind auf der Fachplattform GitLab veröffentlicht.
Nachstehend findet sich eine regelmässig aktualisierte Beschreibung über alle bestätigten Befunde, deren Schweregrad die Post nach der eingehenden fachlichen Analyse als hoch oder kritisch einstuft.
Die Befunde sind chronologisch nach Publikationszeitpunkt auf GitLab aufgeführt.
Datum: September 2021
Melder: Ruben Santamarta
Schweregrad: hoch
Beschreibung: Der beschriebene Fehler zeigt auf, dass ein Angriff auf eine Offline-Instanz des Secure-Data-Managers (SDM) möglich ist, wenn es gelänge, Schadsoftware auf einem für den physischen Datentransport zwischen Online- und Offline-Computern eingesetzten verschlüsselten Datenträger zu speichern. Mit dem Programm SDM setzt der Kanton vor jeder Wahl oder Abstimmung den elektronischen Urnengang auf. Dieses Programm läuft auf mehreren Offline- und Online-Computern in der kantonalen Infrastruktur. Unter Ausnützung des Fehlers könnte ein Angreifer daher via Offline-Computer die korrekte Konfiguration des elektronischen Urnengangs gefährden.
Die Angriffsmöglichkeit liegt im Zeitpunkt der Validierung der importierten Daten und einer aktuell fehlenden Restriktion, welche Daten in das SDM-Verzeichnis importiert werden können, begründet.
Status und Lösung: SDM - Insecure USB file handling during 'importOperation'Target not accessible
Datum: Oktober 2021
Melder: Analyse der unabhängigen Expertinnen und Experten des Bundes (Melder: V. Teague, O. Pereira und Th. Haines), auf deren Basis das E-Voting-Team der Post den Fehler entdeckt hat
Schweregrad: hoch
Beschreibung: Der Fehler würde es einem Angreifer, der die Kontrolle über den Voting Client, den Voting Server und eine Kontrollkomponente erlangt hat, erlauben, die individuelle Verifizierbarkeit zu gefährden. Der Angreifer könnte einen öffentlichen Schlüssel, eine kryptografische Komponente, die zur sicheren, unveränderten Übermittlung einer Meldung an den Stimmberechtigten zum Einsatz kommt, verfälschen und die anderen Kontrollkomponenten dazu bringen, diesen trotzdem zu akzeptieren. Der Stimmberechtigte selbst könnte nicht feststellen, dass seine Stimme ungültig gemacht wurde, d.h. die individuelle Verifizierbarkeit wäre nicht sichergestellt. Der Angriff würde aber bei der Überprüfung der Stimmen durch den Kanton entdeckt.
Status und Lösung: Insufficient Signature Validation of the Election Public Key resulting in possible attacks against individual verifiability
Datum: Juni 2021
Melder: Pierrick Gaudry, Véronique Cortier, Alexandre Debant
Schweregrad: hoch
Beschreibung: Wenn ein Angreifer Teile der Server-Infrastruktur der Post und die letzte Offline-Kontrollkomponente, die durch den Kanton betrieben wird, kontrollieren könnte, wäre es ihm durch Ausnutzung des Fehlers möglich, das Stimmgeheimnis von mehreren Stimmen zu brechen. Denn die Kontrollkomponenten kontrollieren aktuell nicht, ob eine Urne zu einem bestimmten Urnengang gehört. Sie kontrollieren auch nicht, ob die Stimmen in einer Urne bereits gemischt und entschlüsselt worden sind.
Status und Lösung: Risk of privacy breach due to the CCMs not checking the ZKP before mix-decrypting
Datum: Februar 2021
Melder: Thomas Haines
Schweregrad: hoch
Beschreibung: Ein Angreifer, dem es gelingt, in die E-Voting-Infrastruktur einzudringen, könnte durch Ausnutzung des beschriebenen Fehlers an Informationen gelangen, die ihm dazu verhelfen könnten, Prüfcodes und den Bestätigungscode zu erraten. Das könnte er dazu nutzen, dem Stimmberechtigten die korrekte Registrierung der Stimme vorzugeben und im Hintergrund dennoch die Stimme verfälscht zu registrieren.
Status und Lösung: The algorithm GenCMTable allows an adversary to recover the election event's set of possible short return codes
