Abo
  • IT-Karriere:

Schweizer Post: Code von Schweizer Online-Wahl geleakt

Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen - allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden.

Artikel veröffentlicht am , Hanno Böck
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen.
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen. (Bild: Rama, Wikimedia Commons/CC-BY-SA 2.0)

In der Schweiz können seit einiger Zeit Bürger an manchen Abstimmungen online teilnehmen. Für die Bürger ist das bequem, aber viele IT-Sicherheitsexperten kritisieren Online-Wahlen, denn sie halten eine sichere Durchführung für nahezu unmöglich.

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. BWI GmbH, Münster

Um derartige Bedenken auszuräumen, hat die Schweizer Post, die eines der E-Voting-Systeme betreibt, Sicherheitsexperten dazu aufgerufen, ihr System zu untersuchen. In einer Art Bug Bounty können dort Sicherheitsprobleme gemeldet werden, wofür es im Fall einer validen Sicherheitslücke auch finanzielle Belohnung geben soll.

Die Schweizer Post wollte die Kontrolle über die Veröffentlichung von Sicherheitslücken behalten

Dafür lässt sich der Quellcode des Systems herunterladen, doch das ist an Bedingungen geknüpft. Wer den Code einsehen wollte, musste erst zusichern, dass gefundene Sicherheitsprobleme nicht ohne Absprache mit der Schweizer Post veröffentlicht werden. Doch inzwischen hat eine unbekannte Person den Code auf der Plattform Gitlab veröffentlicht. Damit ist der Code auch ohne Zustimmung einsehbar.

Die IT-Sicherheitsexpertin Sarah Jamie Lewis, die für die kanadische Organisation Open Privacy arbeitet, hat sich den Code angesehen und zeigt sich auf Twitter wenig begeistert. Konkrete Sicherheitslücken zeigt Lewis keine auf, sie schreibt jedoch, dass der Code unnötig komplex und schwer zu analysieren sei.

Der Kryptograph Matthew Green weist darauf hin, dass im Code Parameter für die Elgamal-Verschlüsselung zu finden seien, bei denen die Primzahl eine Größe von 255 Bit hat. Das sei völlig unsicher und könnte innerhalb von Sekunden geknackt werden; eine sichere Elgamal-Verschlüsselung sollte hierfür mindestens 2048 Bit verwenden.

Unsichere Parameter nur für Tests

Auf Nachfrage von Golem.de erklärte die Schweizer Post, dass es sich hierbei nur um Tests handele. In der Praxis würden längere Parameter eingesetzt. Matthew Green überzeugt das nicht: "Unsichere Parameter zu akzeptieren ist ein Sicherheitsproblem", sagte Green auf Nachfrage. "255-Bit-Parameter sollten einen Fehler im Code zurückgeben."

Green und Lewis haben nur einen kurzen Blick auf den Code geworfen, es wird sich zeigen, ob in Kürze noch mehr Probleme auffallen. Doch völlig unabhängig davon kritisieren viele IT-Sicherheitsexperten Online-Wahlen viel grundsätzlicher. Die Sicherheit hängt bei allen elektronischen Wahlen davon ab, dass die Hard- und Software auch das tut, was sie soll und die jeweilige Hardware nicht kompromittiert ist. Das lässt sich aber kaum überprüfen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 529,00€
  3. 274,00€

tbxi 19. Feb 2019

Und damit das auch so kommt, werden Technische Systeme wie dieses veröffentlicht. Damit...

Flasher 19. Feb 2019

Sorry aber so mit so einem Argument die eigene Unfähigkeit zu begründen zeugt nur von...

Arsenal 19. Feb 2019

https://imgs.xkcd.com/comics/voting_software.png Mouseover: There are lots of very smart...

Noren 19. Feb 2019

Das ist zwar so, aber es macht die Source nicht weniger verfügbar.

ML82 18. Feb 2019

wenn ich die gefundene lücke besser an eine partei oder nicht eidgenossen verkaufen kann?


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /