Schweizer Post: Code von Schweizer Online-Wahl geleakt

Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen - allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden.

Artikel veröffentlicht am , Hanno Böck
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen.
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen. (Bild: Rama, Wikimedia Commons/CC-BY-SA 2.0)

In der Schweiz können seit einiger Zeit Bürger an manchen Abstimmungen online teilnehmen. Für die Bürger ist das bequem, aber viele IT-Sicherheitsexperten kritisieren Online-Wahlen, denn sie halten eine sichere Durchführung für nahezu unmöglich.

Stellenmarkt
  1. IT and Solution Expert - Bill of Materials (w/m/d)
    Mercedes-Benz AG, Böblingen
  2. Softwaretester Frontend Online-Games (m/w/d)
    BALLY WULFF Games & Entertainment GmbH, Berlin
Detailsuche

Um derartige Bedenken auszuräumen, hat die Schweizer Post, die eines der E-Voting-Systeme betreibt, Sicherheitsexperten dazu aufgerufen, ihr System zu untersuchen. In einer Art Bug Bounty können dort Sicherheitsprobleme gemeldet werden, wofür es im Fall einer validen Sicherheitslücke auch finanzielle Belohnung geben soll.

Die Schweizer Post wollte die Kontrolle über die Veröffentlichung von Sicherheitslücken behalten

Dafür lässt sich der Quellcode des Systems herunterladen, doch das ist an Bedingungen geknüpft. Wer den Code einsehen wollte, musste erst zusichern, dass gefundene Sicherheitsprobleme nicht ohne Absprache mit der Schweizer Post veröffentlicht werden. Doch inzwischen hat eine unbekannte Person den Code auf der Plattform Gitlab veröffentlicht. Damit ist der Code auch ohne Zustimmung einsehbar.

Die IT-Sicherheitsexpertin Sarah Jamie Lewis, die für die kanadische Organisation Open Privacy arbeitet, hat sich den Code angesehen und zeigt sich auf Twitter wenig begeistert. Konkrete Sicherheitslücken zeigt Lewis keine auf, sie schreibt jedoch, dass der Code unnötig komplex und schwer zu analysieren sei.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    03.06.2022, virtuell
Weitere IT-Trainings

Der Kryptograph Matthew Green weist darauf hin, dass im Code Parameter für die Elgamal-Verschlüsselung zu finden seien, bei denen die Primzahl eine Größe von 255 Bit hat. Das sei völlig unsicher und könnte innerhalb von Sekunden geknackt werden; eine sichere Elgamal-Verschlüsselung sollte hierfür mindestens 2048 Bit verwenden.

Unsichere Parameter nur für Tests

Auf Nachfrage von Golem.de erklärte die Schweizer Post, dass es sich hierbei nur um Tests handele. In der Praxis würden längere Parameter eingesetzt. Matthew Green überzeugt das nicht: "Unsichere Parameter zu akzeptieren ist ein Sicherheitsproblem", sagte Green auf Nachfrage. "255-Bit-Parameter sollten einen Fehler im Code zurückgeben."

Green und Lewis haben nur einen kurzen Blick auf den Code geworfen, es wird sich zeigen, ob in Kürze noch mehr Probleme auffallen. Doch völlig unabhängig davon kritisieren viele IT-Sicherheitsexperten Online-Wahlen viel grundsätzlicher. Die Sicherheit hängt bei allen elektronischen Wahlen davon ab, dass die Hard- und Software auch das tut, was sie soll und die jeweilige Hardware nicht kompromittiert ist. Das lässt sich aber kaum überprüfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


tbxi 19. Feb 2019

Und damit das auch so kommt, werden Technische Systeme wie dieses veröffentlicht. Damit...

Flasher 19. Feb 2019

Sorry aber so mit so einem Argument die eigene Unfähigkeit zu begründen zeugt nur von...

Arsenal 19. Feb 2019

https://imgs.xkcd.com/comics/voting_software.png Mouseover: There are lots of very smart...

Noren 19. Feb 2019

Das ist zwar so, aber es macht die Source nicht weniger verfügbar.



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. App Store: Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung
    App Store
    Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung

    Wer ein Abo über eine App im App Store bucht, muss damit rechnen, dass er vor einer Preiserhöhung nicht mehr nach einer Zustimmung gefragt wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /