Abo
  • Services:

Schweizer Post: Code von Schweizer Online-Wahl geleakt

Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen - allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden.

Artikel veröffentlicht am , Hanno Böck
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen.
Die innovative Technologie "Stift und Papier" ist eine der sichersten Methoden, um Wahlen durchzuführen. (Bild: Rama, Wikimedia Commons/CC-BY-SA 2.0)

In der Schweiz können seit einiger Zeit Bürger an manchen Abstimmungen online teilnehmen. Für die Bürger ist das bequem, aber viele IT-Sicherheitsexperten kritisieren Online-Wahlen, denn sie halten eine sichere Durchführung für nahezu unmöglich.

Stellenmarkt
  1. Advantest Europe GmbH, Böblingen
  2. Bosch Gruppe, Berlin

Um derartige Bedenken auszuräumen, hat die Schweizer Post, die eines der E-Voting-Systeme betreibt, Sicherheitsexperten dazu aufgerufen, ihr System zu untersuchen. In einer Art Bug Bounty können dort Sicherheitsprobleme gemeldet werden, wofür es im Fall einer validen Sicherheitslücke auch finanzielle Belohnung geben soll.

Die Schweizer Post wollte die Kontrolle über die Veröffentlichung von Sicherheitslücken behalten

Dafür lässt sich der Quellcode des Systems herunterladen, doch das ist an Bedingungen geknüpft. Wer den Code einsehen wollte, musste erst zusichern, dass gefundene Sicherheitsprobleme nicht ohne Absprache mit der Schweizer Post veröffentlicht werden. Doch inzwischen hat eine unbekannte Person den Code auf der Plattform Gitlab veröffentlicht. Damit ist der Code auch ohne Zustimmung einsehbar.

Die IT-Sicherheitsexpertin Sarah Jamie Lewis, die für die kanadische Organisation Open Privacy arbeitet, hat sich den Code angesehen und zeigt sich auf Twitter wenig begeistert. Konkrete Sicherheitslücken zeigt Lewis keine auf, sie schreibt jedoch, dass der Code unnötig komplex und schwer zu analysieren sei.

Der Kryptograph Matthew Green weist darauf hin, dass im Code Parameter für die Elgamal-Verschlüsselung zu finden seien, bei denen die Primzahl eine Größe von 255 Bit hat. Das sei völlig unsicher und könnte innerhalb von Sekunden geknackt werden; eine sichere Elgamal-Verschlüsselung sollte hierfür mindestens 2048 Bit verwenden.

Unsichere Parameter nur für Tests

Auf Nachfrage von Golem.de erklärte die Schweizer Post, dass es sich hierbei nur um Tests handele. In der Praxis würden längere Parameter eingesetzt. Matthew Green überzeugt das nicht: "Unsichere Parameter zu akzeptieren ist ein Sicherheitsproblem", sagte Green auf Nachfrage. "255-Bit-Parameter sollten einen Fehler im Code zurückgeben."

Green und Lewis haben nur einen kurzen Blick auf den Code geworfen, es wird sich zeigen, ob in Kürze noch mehr Probleme auffallen. Doch völlig unabhängig davon kritisieren viele IT-Sicherheitsexperten Online-Wahlen viel grundsätzlicher. Die Sicherheit hängt bei allen elektronischen Wahlen davon ab, dass die Hard- und Software auch das tut, was sie soll und die jeweilige Hardware nicht kompromittiert ist. Das lässt sich aber kaum überprüfen.



Anzeige
Spiele-Angebote
  1. (-85%) 8,99€
  2. 32,99€
  3. 4,99€

tbxi 19. Feb 2019 / Themenstart

Und damit das auch so kommt, werden Technische Systeme wie dieses veröffentlicht. Damit...

Flasher 19. Feb 2019 / Themenstart

Sorry aber so mit so einem Argument die eigene Unfähigkeit zu begründen zeugt nur von...

Arsenal 19. Feb 2019 / Themenstart

https://imgs.xkcd.com/comics/voting_software.png Mouseover: There are lots of very smart...

Noren 19. Feb 2019 / Themenstart

Das ist zwar so, aber es macht die Source nicht weniger verfügbar.

ML82 18. Feb 2019 / Themenstart

wenn ich die gefundene lücke besser an eine partei oder nicht eidgenossen verkaufen kann?

Kommentieren


Folgen Sie uns
       


Microsoft Hololens 2 - Hands on (MWC 2019)

Die Hololens 2 ist Microsofts zweites AR-Headset. Im ersten Kurztest von Golem.de überzeugt das Gerät vor allem durch das merklich größere Sichtfeld.

Microsoft Hololens 2 - Hands on (MWC 2019) Video aufrufen
Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
    Google
    Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

    GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
    Von Peter Steinlechner


        •  /