Original-URL des Artikels: https://www.golem.de/news/schweizer-post-code-von-schweizer-online-wahl-geleakt-1902-139457.html    Veröffentlicht: 18.02.2019 16:49    Kurz-URL: https://glm.io/139457

Schweizer Post

Code von Schweizer Online-Wahl geleakt

Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen - allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden.

In der Schweiz können seit einiger Zeit Bürger an manchen Abstimmungen online teilnehmen. Für die Bürger ist das bequem, aber viele IT-Sicherheitsexperten kritisieren Online-Wahlen, denn sie halten eine sichere Durchführung für nahezu unmöglich.

Um derartige Bedenken auszuräumen, hat die Schweizer Post, die eines der E-Voting-Systeme betreibt, Sicherheitsexperten dazu aufgerufen, ihr System zu untersuchen. In einer Art Bug Bounty können dort Sicherheitsprobleme gemeldet werden, wofür es im Fall einer validen Sicherheitslücke auch finanzielle Belohnung geben soll.

Die Schweizer Post wollte die Kontrolle über die Veröffentlichung von Sicherheitslücken behalten

Dafür lässt sich der Quellcode des Systems herunterladen, doch das ist an Bedingungen geknüpft. Wer den Code einsehen wollte, musste erst zusichern, dass gefundene Sicherheitsprobleme nicht ohne Absprache mit der Schweizer Post veröffentlicht werden. Doch inzwischen hat eine unbekannte Person den Code auf der Plattform Gitlab veröffentlicht. Damit ist der Code auch ohne Zustimmung einsehbar.

Die IT-Sicherheitsexpertin Sarah Jamie Lewis, die für die kanadische Organisation Open Privacy arbeitet, hat sich den Code angesehen und zeigt sich auf Twitter wenig begeistert. Konkrete Sicherheitslücken zeigt Lewis keine auf, sie schreibt jedoch, dass der Code unnötig komplex und schwer zu analysieren sei.

Der Kryptograph Matthew Green weist darauf hin, dass im Code Parameter für die Elgamal-Verschlüsselung zu finden seien, bei denen die Primzahl eine Größe von 255 Bit hat. Das sei völlig unsicher und könnte innerhalb von Sekunden geknackt werden; eine sichere Elgamal-Verschlüsselung sollte hierfür mindestens 2048 Bit verwenden.

Unsichere Parameter nur für Tests

Auf Nachfrage von Golem.de erklärte die Schweizer Post, dass es sich hierbei nur um Tests handele. In der Praxis würden längere Parameter eingesetzt. Matthew Green überzeugt das nicht: "Unsichere Parameter zu akzeptieren ist ein Sicherheitsproblem", sagte Green auf Nachfrage. "255-Bit-Parameter sollten einen Fehler im Code zurückgeben."

Green und Lewis haben nur einen kurzen Blick auf den Code geworfen, es wird sich zeigen, ob in Kürze noch mehr Probleme auffallen. Doch völlig unabhängig davon kritisieren viele IT-Sicherheitsexperten Online-Wahlen viel grundsätzlicher. Die Sicherheit hängt bei allen elektronischen Wahlen davon ab, dass die Hard- und Software auch das tut, was sie soll und die jeweilige Hardware nicht kompromittiert ist. Das lässt sich aber kaum überprüfen.  (hab)


Verwandte Artikel:
Gericht lehnt Online-Wahlen ab   
(24.06.2002, https://glm.io/20458 )
Online-Votings: Sichere Verfahren frühestens in Jahrzehnten verfügbar   
(28.12.2014, https://glm.io/111370 )
Messenger: Schweizer Bund setzt auf Threema   
(14.02.2019, https://glm.io/139383 )
Paketlieferungen: Schweizer Post fliegt ab 2017 mit Drohnen   
(06.12.2016, https://glm.io/124889 )
Fossa: EU erweitert Bug-Bounty-Programm für Open-Source-Software   
(02.01.2019, https://glm.io/138456 )

© 1997–2019 Golem.de, https://www.golem.de/