US-Präsidentschaftswahlen: Der Kampf gegen Wahlmanipulation
Nächstes Jahr ist es wieder soweit: Bei den Präsidentschaftswahlen in Florida sollen wie bereits bei den letzten Wahlen elektronische Scanner für die Stimmenauswertung sowie ein Wahlverwaltungsserver zur Auswertung der Stimmen eingesetzt werden. Staatsminister Browning hat die Florida State University beauftragt zu untersuchen, ob sich das elektronische System von Diebold, einem der größten Wahlmaschinenhersteller im Lande, manipulieren ließe.
Die Universität förderte eine Reihe von Sicherheitslücken zutage, die Browning Diebold in einem öffentlichen Brief(öffnet im neuen Fenster) mitteilte. Zugleich setzte der Minister eine Frist bis 17. August 2007, um die Fehler zu beseitigen. Andernfalls würde Diebold die Verkäuferlizenz verweigert.
In der Fehlerliste sind zum Beispiel die Speicherkarten erwähnt. So soll das System anfällig für Wahlmanipulation durch programmierte und illegal in das Wahlterminal eingesteckte Speicherkarten sein. Die Karten seien nicht verschlüsselt und würden auch nicht authentifiziert, so dass dem System Speicherkarten mit vorab hinterlegten Stimmen unterschoben werden könnten. Zudem können die Speicherkarteninhalte mit den Wahlstimmen auf einen Laptop kopiert und gelöscht werden.
Ferner sei die auf RSA basierende Signaturprüfung von Diebold unsicher. Dabei komme ein SHA-1-Hash zum Einsatz, der nur 160 Bit umfasse. Die weiteren 1.888 Bit würden nicht analysiert, womit das System anfällig für Manipulationen werde.
Diebold geht davon aus, dass es sich bei den Fehlern um kleinere Fehler handele, die sich leicht beseitigen ließen.
Einige Mängel seien jedoch nicht rein technischer Natur, sondern hingen mit dem Wahl-Procedere zusammen. So sei die Supervisor-PIN nicht gut genug durch Verschlüsselung geschützt, so dass jeder, der Zugriff auf Speicherkarte und Lesegerät hat, und den Zufalls-Algorithmus kennt, die PIN herausfinden kann. Um dies zu verhindern, will Browning für die Wahlhelfern besondere Regeln ausarbeiten, die diese Probleme beseitigen sollen.
Doch der Bericht bestätigt auch ausdrücklich, wo keine Sicherheitslücken bestehen: So werden der Server für die Wahlauswertung und die Wahlterminals direkt und nicht über das Internet verbunden. Ein Angriff über das Web entfällt somit.
Auch andere Wahlmaschinenanbieter sollen von der Florida State University geprüft werden. Browning gibt sich allerdings optimistisch, dass bis Ende des Jahres alle Anbieter zertifiziert sein werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.