FAQ Antworten auf häufige Fragen und Begriffsdefinitionen
Häufige Fragen
Die Schweizerische Post legt im Rahmen des E-Voting-Community-Programms Quellcode, Spezifikation, kryptografische Grundlagen und Dokumentation des E-Voting-Systems offen. Ziel ist, den Zugang zum System für unabhängige Expertinnen und Experten so einfach wie möglich zu gestalten und das System kontinuierlich zu verbessern. Die Offenlegung ermöglicht eine eingehende Prüfung und den Austausch unter Fachleuten und mit dem E-Voting-Team der Post. Die Post entwickelt das System schrittweise weiter und berücksichtigt bestätigte Befunde. Die Offenlegung dient damit der Sicherheit des E-Voting-Systems.
Die Regeln für die Teilnahme am E-Voting-Community-Programm sind in einem Code of Conduct festgelegt. Für die Post steht die sichere Abwicklung des demokratischen Prozesses im Vordergrund: die sichere Abgabe der Stimme und die Wahrung des Wahlgeheimnisses haben Priorität. Meldungen von Expertinnen und Experten sind ein wichtiger Beitrag für die Verbesserung der Systemsicherheit. Die Post respektiert die akademische Freiheit von Forscherinnen und Forschern.
Es stehen Ihnen mehrere Kanäle zur Verfügung, um einen Befund zu melden: GitLabTarget not accessible, YesWeHackTarget not accessible, IncaMail und das Onlineformular. Wie Sie vorgehen können, ist auf dieser Seite beschrieben.
Registrieren Sie sich für die Teilnahme am Bug-Bounty-Programm auf der Plattform YesWeHack. Sie finden die Teilnahmebedingungen und die Möglichkeit zur Anmeldung zum Programm auf YesWeHackTarget not accessible.
Ja. Alle technischen Daten und Dokumente sind auf GitLab verfügbar, deren Durchsicht ist ohne Registrierung der möglich. Mehr Informationen finden Sie hier.
Unsere Spezialistinnen und Spezialisten stehen Ihnen für Fragen gerne zur Verfügung. Die Kontaktaufnahme ist via GitLab (Issue erstellen und den Typ der Anfrage selektieren) oder via Kontaktformular möglich.
Ja. Befunde dürfen publiziert werden. Bei als kritisch oder hoch eingestuften Befunden benötigen wir eine Frist von maximal 90 Tagen, um eine Meldung zu analysieren und mit den anderen Stakeholdern (insbesondere den Kantonen) zu prüfen. Sobald unsere Analyse abgeschlossen ist, kann auch ein kritischer Befund durch den Melder oder die Melderin veröffentlicht werden. Die Post veröffentlicht die bestätigten Befunde ihrerseits. Weitere Informationen finden Sie unter Befund melden.
Ja, für bestätigte Schwachstellen, die im Rahmen des öffentlichen Bug-Bounty-Programms zu E-Voting eingereicht werden, zahlt die Post gemäss den geltenden Bestimmungen Belohnungen aus. Die Post ist überzeugt, dass Bug-Bounty-Programme zur Verbesserung von IT-Systemen beitragen. Sie setzt daher im Rahmen ihrer Strategie für die Informationssicherheit auf Bug-Bounties. Interessierte finden auf der Plattform YesWeHackTarget not accessible alle weiteren Informationen für die Teilnahme am Bug-Bounty-Programm zu E-Voting.
Ja. Der Quellcode kann kompiliert, getestet, geteilt oder verändert werden. Es ist möglich, Urnengänge zu simulieren.
Die Post hatte früher eine Zusammenarbeit mit dem auf elektronische Wahlen spezialisierten Unternehmen Scytl. Sie übernahm im Frühjahr 2020 sämtliche Rechte am Quellcode, die für die unabhängige Weiterentwicklung notwendig sind. Seither entwickelt die Post das System mit einem eigenen Team in der Schweiz weiter und arbeitet eng mit externen Spezialistinnen und Spezialisten zusammen (siehe auch den Blogbeitrag vom 22.06.2019).
Die Post legt ihr neues E-Voting-System offen, stellt ein kompilierbares System zur Verfügung und ermöglicht unabhängigen Expertinnen und Experten die Überprüfung des Systems und das Durchführen von Urnengängen. Sie verbessert das System kontinuierlich und entspricht den Transparenzanforderungen, die zum Open-Source-Ansatz gehören. Zentrale Komponenten des E-Voting-Systems stellt die Post unter einer Open-Source-Lizenz zur Verfügung. Dazu gehören die offengelegte Library der Crypto-Primitives sowie die Verifikationssoftware.
Zu welchem Zeitpunkt das neue E-Voting-System für die Kantone bereitstehen wird, hängt von unterschiedlichen Faktoren ab: einerseits von den rechtlichen Grundlagen für E-Voting, die neu definiert werden und andererseits vom Feedback, das die Post von der Fach-Community im Verlauf der Offenlegung erhalten wird. Unser Ziel ist, das System im Verlauf von 2022 bereitzustellen.
Begriffe
Das E-Voting-System der Post ermöglicht es Stimmberechtigten, elektronisch über das Internet abzustimmen und zu wählen. Die Stimmabgabe erfolgt per Computer, Smartphone oder Tablet.
Dieses Dokument beschreibt in einer mathematischen Form das E-Voting-System der Post. Es zeigt auf, dass die kryptografischen Elemente die Wahrung des Stimmgeheimnisses sowie die individuelle und universelle Verifizierbarkeit gewährleisten. Durch das Aneinanderfügen der kryptografischen Elemente ergibt sich das kryptografische Protokoll. Dieses Dokument zielt darauf ab, die Sicherheitsziele und Vertrauensannahmen des E-Voting-Systems zu beschreiben und – darauf aufbauend – deren Erfüllung anhand mathematischer Methoden zu beweisen. Diese formelle Beweisführung ist ein zentrales Element in der modernen Kryptografie und ist von der Bundeskanzlei für E-Voting vorgeschrieben.
Die symbolische Analyse ist eine Ergänzung zu den kryptografischen Beweisen, um die Wahrung des Stimmgeheimnisses sowie die Einhaltung der individuellen und universellen Verifizierbarkeit des E-Voting-Systems der Post nachzuweisen. Die symbolische Analyse ist in der Programmiersprache Proverif verfasst und kann mithilfe einer geeigneten Software maschinell auf ihre Korrektheit überprüft werden.
Unter einem Quellcode versteht man einen Text, der in einer bestimmten Programmiersprache verfasst ist. Dieser nennt die genauen Regeln und Vorgaben, aus der eine Software entsteht. Der Quellcode des E-Voting-Systems enthält die Bausteine der gesamten Software, mit denen die Vorgaben des kryptografischen Protokolls umgesetzt werden.
Der veröffentlichte Quellcode des E-Voting-Systems ist so aufbereitet, dass er sich einfach kompilieren, testen und simulieren lässt.
Die Spezifikation entspricht einer detaillierten Beschreibung des kryptografischen Protokolls. Es beschreibt den Ablauf von der Konfiguration des elektronischen Urnengangs, über die Phase der Stimmabgabe bis zur Auszählung. Es enthält sogenannte Pseudo-Codes, die zur Veranschaulichung von Algorithmen dienen. Die Spezifikation beschreibt die allgemeineren Algorithmen und einige der ihnen zugrunden liegenden Bausteine.
Die von der Post bereitgestellte Library enthält zentrale kryptografische Algorithmen, sogenannte Crypto-Primitives. Diese werden sowohl im E-Voting-System als auch in der separaten Verifizierungssoftware benutzt. Ein wichtiger Bestandteil der aktuell verfügbaren Crypto-Primitives sind die Algorithmen, die im Mischnetzwerk verwendet werden. Weitere Algorithmen werden in späteren Offenlegungsetappen integriert.
Die Spezifikationen zu den Crypto-Primitives sind ebenfalls verfügbar.
Systemdokumentation («Infrastructure White Paper»)
Das Infrastruktur-Whitepaper beschreibt die E-Voting-Infrastruktur mit allen umgesetzten Sicherheitsaspekten. Dazu gehören Informationen zu den Rechenzentren sowie der Aufbau und Einsatz der Infrastruktur und Datenbanken. Weiter sind die verschiedenen Sicherheitsmassnahmen beschrieben.
Architekturdokumentation
Die Architekturdokumentation beschreibt das Gesamtgefüge des E-Voting-Systems: angefangen mit den rechtlichen Rahmenbedingungen, über die eigentliche E-Voting-Lösung mit ihren verschiedenen Komponenten und Schnittstellen sowie Architektur-Grundsätze und -Entscheide bis hin zu den Qualitätsanforderungen, die an das System gestellt werden.
Beschreibung Entwicklungsprozess
Die Post entwickelt das E-Voting-System in agiler Projektführung. Dieses Dokument beschreibt die Softwareentwicklung, gibt einen Überblick über die eingesetzten Tools und zeigt auf, wie die zahlreichen Qualitätsvorgaben bei der Entwicklung eingehalten und wie diese überprüft werden. Zudem ist das Vorgehen zur regelmässigen Offenlegung des Quellcodes beschrieben.
Operation Whitepaper
Das Operation Whitepaper beschreibt die E-Voting-Betriebsabläufe mit allen implementierten Sicherheitsaspekten. Dazu gehören Informationen zur Betriebsorganisation, Support-Bestimmungen, Änderung und Wartung sowie Prozesse für Backup und Wiederherstellung.
Testkonzept
Zur Entwicklung des E-Voting-Systems gehören Tests auf verschiedenen Ebenen. Die Software wird auf die Konformität mit den Anforderungen der Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) sowie auf internen Vorgaben der Post CH AG gemäss Standard ISO 25010 überprüft. Das Testkonzept beschreibt das gesamte Vorgehen mit den Testobjekten, der verwendeten Infrastruktur, dem Reporting und der Testorganisation.
Trusted Build
Der Trusted Build ist eine zuverlässige und überprüfbare Software-Kompilierung, um sicherzustellen, dass der ausführbare Release aus geprüften Komponenten erstellt wird. Es werden verfahrenstechnische und organisatorische Massnahmen zur Erfüllung der Anforderungen des VEleS durchgeführt.
Das Mischnetzwerk ist die Basis für die vollständige Verifizierbarkeit des E-Voting-Systems der Post. Es besteht aus «Mixern», welche die Stimmen nach Schliessung der elektronischen Urne am Wahl-/Abstimmungssonntag mischen. Das Mischnetzwerk verhindert so, dass die Person und ihre abgegebene Stimme einander zugeordnet werden können und stellt die Wahrung des Stimmgeheimnisses sicher. Gleichzeitig erbringt das Mischnetzwerk den Beweis, dass keine Stimmen verändert, gelöscht oder hinzugefügt wurden. In der offengelegten Open Source Library der Crypto-Primitives sind die Algorithmen verfügbar, die vom Mischnetzwerk verwendet werden. Die Post hat diese seit 2019 neu geschrieben. Sie werden sowohl im E-Voting-System als auch in der separaten Verifizierungssoftware benutzt. Das E-Voting-System der Post beruht auf dem Bayer-Groth Mischnetzwerk.
Dank der universellen Verifizierbarkeit können die Wahlbehörden beim Auszählen der Stimmen überprüfen, ob Stimmen in der elektronischen Urne manipuliert worden sind. Diese Überprüfung ist mit der Nachzählung physischer Stimmzettel vergleichbar. Die universelle Verifizierbarkeit ermöglicht die unabhängige Kontrolle und Prüfung des Urnengangs durch die Kantone. Für die universelle Verifizierbarkeit ist eine separate Software notwendig, ein sogenannter Verifier.
Bei der individuellen Verifizierbarkeit erhalten die Stimmberechtigten zusammen mit den Wahl- oder Abstimmungsunterlagen Prüfcodes auf Papier. Diese vergleichen sie bei der Stimmabgabe mit auf dem Bildschirm angezeigten Codes und haben so Gewissheit, dass ihre Stimme korrekt in der Urne angekommen ist.
Das neue E-Voting-System der Schweizerischen Post verfügt über vollständige Verifizierbarkeit. Eine kantonale Wahlbehörde kann mit diesem System nach der Schliessung der Urne alle elektronisch abgegebenen Stimmen überprüfen und sämtliche Unregelmässigkeiten feststellen. Für diese Überprüfung steht der Behörde eine Verifizierungssoftware zur Verfügung. Diese vom System unabhängige, mit keinem Netzwerk verbundene Software weist nach, ob die erzeugten kryptografischen Beweise korrekt registriert wurden. Sind alle Beweise korrekt, belegt dies die Unverfälschtheit aller elektronisch abgegebenen Stimmen und deren Auszählung. Die Software erkennt u.a., wenn der Server des Anbieters, auf denen das System läuft, unterwandert wurde.
Die Post veröffentlicht die Verifikationssoftware unter einer freizügigen Open-Source-Lizenz.
Auf dieser Basis können Dritte mit oder ohne kommerzielle Absichten die Software prüfen sowie neuentwickeln und als eigenständiges Produkt auf den Markt zu bringen. Die Absicht der Post ist damit, den Einsatz einer Verifikationssoftware von Dritten zu ermöglichen.
Ethische Hackerinnen und Hacker aus der ganzen Welt können im Rahmen des öffentlichen Intrusionstests versuchen, in die E-Voting-Infrastruktur der Post einzudringen. Der Test dient dazu, Schwachstellen zu finden und die Sicherheit des Systems kontinuierlich zu verbessern. Es wird die E-Voting-Infrastruktur angegriffen, nicht die gesamte IT-Infrastruktur der Post. Bestätigte Schwachstellen werden durch die Post belohnt und auf der Fachplattform GitLabTarget not accessible publiziert. Der vierwöchige öffentliche Intrusionstest ist Teil des E-Voting-Community-Programms der Post und wird wiederkehrend durchgeführt.
Haben Sie eine andere Frage?
Teilen Sie uns Ihr Anliegen über unser Kontaktformular mit. Unsere Spezialistinnen und Spezialisten sind gerne für Sie da.