FAQ

Die Schweizerische Post legt im Rahmen des E-Voting-Community-Programms Quellcode, Spezifikation und Dokumentation des E-Voting-Systems offen. Ziel ist, den Zugang zum System für unabhängige Expertinnen und Experten so einfach wie möglich zu gestalten und das System kontinuierlich zu verbessern. Die Offenlegung ermöglicht eine eingehende Prüfung und den Austausch unter Fachleuten und mit dem E-Voting-Team der Post. Die Post entwickelt das System schrittweise weiter und berücksichtigt bestätigte Befunde. Die Offenlegung dient damit der Sicherheit des E-Voting-Systems.

Die Regeln für die Teilnahme am E-Voting-Community-Programm sind in einem Code of Conduct festgelegt. Für die Post steht die sichere Abwicklung des demokratischen Prozesses im Vordergrund: die sichere Abgabe der Stimme und die Wahrung des Wahlgeheimnisses haben Priorität. Meldungen von Expertinnen und Experten sind ein wichtiger Beitrag für die Verbesserung der Systemsicherheit. Die Post respektiert die akademische Freiheit von Forscherinnen und Forschern.

Es stehen Ihnen zwei Kanäle zur Verfügung, um einen Befund zu melden. Wie Sie vorgehen können, ist auf dieser Seite beschrieben.

Unsere Spezialistinnen und Spezialisten stehen Ihnen für Fragen gerne zur Verfügung. Die Kontaktaufnahme ist via GitLab (Issue erstellen und den Typ der Anfrage selektieren) oder via Kontaktformular möglich.

Ja. Befunde dürfen publiziert werden. Bei als kritisch oder hoch eingestuften Befunden benötigen wir eine Frist von maximal 90 Tagen, um eine Meldung zu analysieren und mit den anderen Stakeholdern (insbesondere den Kantonen) zu prüfen. Sobald unsere Analyse abgeschlossen ist, kann auch ein kritischer Befund durch den Melder oder die Melderin veröffentlicht werden. Die Post veröffentlicht die bestätigten Befunde ihrerseits. Weitere Informationen finden Sie unter Befund melden.

Ja, zu einem späteren Zeitpunkt. Die Post ist überzeugt, dass Bug-Bounty-Programme zur Verbesserung von IT-Systemen beitragen. Sie hat daher im Rahmen ihrer Strategie für die Informationssicherheit bereits auf Bug-Bounties gesetzt. Ihr Bug-Bounty-Programm zu E-Voting baut sie schrittweise aus. In der zweiten Jahreshälfte 2021 startet sie das öffentliche Bug-Bounty-Programm zu E-Voting. Interessierte können sich hier melden.

Die Post legt das neue E-Voting-System schrittweise offen. Verschiedene Objekte sind bereits veröffentlicht (s. Community-Programm). In den nächsten Monaten folgen Verifizierungssoftware und Quellcode. Der genaue Zeitpunkt kann noch nicht angegeben werden.

Ja. Die Post wird zusammen mit der Offenlegung des Quellcodes ein kompilierbares System zur Verfügung stellen. Es wird möglich sein, Urnengänge zu simulieren.

Die Post hatte früher eine Zusammenarbeit mit dem auf elektronische Wahlen spezialisierten Unternehmen Scytl. Sie übernahm im Frühjahr 2020 sämtliche Rechte am Quellcode, die für die unabhängige Weiterentwicklung notwendig sind. Seither entwickelt die Post das System mit einem eigenen Team in der Schweiz weiter und arbeitet eng mit externen Spezialistinnen und Spezialisten zusammen (siehe auch den Blogbeitrag vom 22.06.2019).

Die Post legt ihr neues E-Voting-System offen, stellt ein kompilierbares System zur Verfügung und ermöglicht so unabhängigen Expertinnen und Experten die Überprüfung des Systems und das Durchführen von Urnengängen. Sie verbessert so das System kontinuierlich und entspricht den Transparenzanforderungen, die zum Open-Source-Ansatz gehören. Einige Komponenten des E-Voting-Systems stellt die Post mit einer Open-Source-Lizenz zur Verfügung. Dazu gehören die offengelegten Crypto-Primitives.

Zu welchem Zeitpunkt das neue E-Voting-System für die Kantone bereitstehen wird, hängt von unterschiedlichen Faktoren ab: einerseits von den rechtlichen Grundlagen für E-Voting, die neu definiert werden und andererseits vom Feedback, das die Post von der Fach-Community im Verlauf der Offenlegung erhalten wird. Unser Ziel ist, dass das System im Verlauf von 2022 für den Einsatz in den Kantonen bereitsteht.

Das E-Voting-System der Post ermöglicht es Stimmberechtigten, elektronisch über das Internet abzustimmen und zu wählen. Die Stimmabgabe erfolgt per Computer, Smartphone oder Tablet.

Dieses Dokument beschreibt in einer mathematischen Form das E-Voting-System der Post. Es zeigt auf, dass die kryptografischen Elemente die Wahrung des Stimmgeheimnisses sowie die individuelle und universelle Verifizierbarkeit gewährleisten. Durch das Aneinanderfügen der kryptografischen Elemente ergibt sich das kryptografische Protokoll. Dieses Dokument zielt darauf ab, die Sicherheitsziele und Vertrauensannahmen des E-Voting-Systems zu beschreiben und – darauf aufbauend – deren Erfüllung anhand mathematischer Methoden zu beweisen. Diese formelle Beweisführung ist ein zentrales Element in der modernen Kryptografie und ist von der Bundeskanzlei für E-Voting vorgeschrieben.

Die von der Post bereitgestellte Library enthält zentrale kryptografische Algorithmen, sogenannte Crypto-Primitives. Diese werden sowohl im E-Voting-System als auch in der separaten Verifizierungssoftware benutzt. Ein wichtiger Bestandteil der aktuell verfügbaren Crypto-Primitives sind die Algorithmen, die im Mischnetzwerk verwendet werden. Weitere Algorithmen werden in späteren Offenlegungsetappen integriert.

Die Spezifikationen zu den Crypto-Primitives sind ebenfalls verfügbar.

Das Mischnetzwerk ist die Basis für die vollständige Verifizierbarkeit des E-Voting-Systems der Post. Es besteht aus «Mixern», welche die Stimmen nach Schliessung der elektronischen Urne am Wahl-/Abstimmungssonntag mischen. Das Mischnetzwerk verhindert so, dass die Person und ihre abgegebene Stimme einander zugeordnet werden können und stellt die Wahrung des Stimmgeheimnisses sicher. Gleichzeitig erbringt das Mischnetzwerk den Beweis, dass keine Stimmen verändert, gelöscht oder hinzugefügt wurden. In der offengelegten Open Source Library der Crypto-Primitives sind die Algorithmen verfügbar, die vom Mischnetzwerk verwendet werden. Die Post hat diese seit 2019 neu geschrieben. Sie werden sowohl im E-Voting-System als auch in der separaten Verifizierungssoftware benutzt. Das E-Voting-System der Post beruht auf dem Bayer-Groth Mischnetzwerk.

Die Spezifikation entspricht einer detaillierten Beschreibung des kryptografischen Protokolls. Es beschreibt den Ablauf von der Konfiguration des elektronischen Urnengangs, über die Phase der Stimmabgabe bis zur Auszählung. Es enthält sogenannte Pseudo-Codes, die zur Veranschaulichung von Algorithmen dienen. Die Spezifikation beschreibt die allgemeineren Algorithmen und einige der ihnen zugrunden liegenden Bausteine.

Das Infrastruktur-Whitepaper beschreibt die E-Voting-Infrastruktur mit allen umgesetzten Sicherheitsaspekten. Dazu gehören Informationen zu den Rechenzentren sowie der Aufbau und Einsatz der Infrastruktur und Datenbanken. Weiter sind die verschiedenen Sicherheitsmassnahmen beschrieben.

Die Architekturdokumentation beschreibt das Gesamtgefüge des E-Voting-Systems: angefangen mit den rechtlichen Rahmenbedingungen, über die eigentliche E-Voting-Lösung mit ihren verschiedenen Komponenten und Schnittstellen sowie Architektur-Grundsätze und -Entscheide bis hin zu den Qualitätsanforderungen, die an das System gestellt werden.

Die Post entwickelt das E-Voting-System in agiler Projektführung. Dieses Dokument beschreibt die Softwareentwicklung, gibt einen Überblick über die eingesetzten Tools und zeigt auf, wie die zahlreichen Qualitätsvorgaben bei der Entwicklung eingehalten und wie diese überprüft werden. Zudem ist das Vorgehen zur regelmässigen Offenlegung des Quellcodes beschrieben.

Zur Entwicklung des E-Voting-Systems gehören Tests auf verschiedenen Ebenen. Die Software wird auf die Konformität mit den Anforderungen der Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) sowie auf internen Vorgaben der Post CH AG gemäss Standard ISO 25010 überprüft. Das Testkonzept beschreibt das gesamte Vorgehen mit den Testobjekten, der verwendeten Infrastruktur, dem Reporting und der Testorganisation.

Dank der universellen Verifizierbarkeit können die Wahlbehörden beim Auszählen der Stimmen überprüfen, ob Stimmen in der elektronischen Urne manipuliert worden sind. Diese Überprüfung ist mit der Nachzählung physischer Stimmzettel vergleichbar. Die universelle Verifizierbarkeit ermöglicht die unabhängige Kontrolle und Prüfung des Urnengangs durch die Kantone. Für die universelle Verifizierbarkeit ist eine separate Software notwendig, ein sogenannter Verifier.

Bei der individuellen Verifizierbarkeit erhalten die Stimmberechtigten zusammen mit den Wahl- oder Abstimmungsunterlagen Prüfcodes auf Papier. Diese vergleichen sie bei der Stimmabgabe mit auf dem Bildschirm angezeigten Codes und haben so Gewissheit, dass ihre Stimme korrekt in der Urne angekommen ist.