>b's weblog

Die “Expertengruppe”, die die Bundeskanzlei wohl berät, scheint ihr (und den Schweizer Stimmbürgern) einen Bärendienst zu erweisen. Eine solche Sammlung von Falschaussagen sollte eine oberste Behörde zu einem solch wichtigen Thema nicht veröffentlichen. Denn leider ist so ziemlich alles falsch, was die Bundeskanzlei verlautbaren lässt. Schauen wir uns also Punkt für Punkt an:

• Die Bundeskanzlei erklärt in den “Q & A”:

  Falsch. Der Schutz des Stimmgeheimnisses ist auch beim E-Voting gewahrt, so wie es die Bundesverfassung und das Gesetz vorschreiben.

  Das stimmt bei einem MITM-Angriff offensichtlich nicht. Der Wähler kommuniziert ja mit dem System des Angreifers, und dieses System leitet dann die Daten an das System in Genf weiter. Somit bekommt der Angreifer alles mit, was der Wähler eingibt.

• Die Bundeskanzlei schreibt weiter im Punkt “In der SRF Tagesschau vom 2. November 2018 wurde berichtet, dass das Genfer E-Voting-System gehackt wurde. Wurde das System wirklich gehackt?”:

  Dazu müssten die Stimmenden jedoch tatsächlich mit dem gefälschten Portal verbunden sein. Dies hätten sie jedoch bemerken können.

  Dass es schwierig ist, eine solche Umleitung zu bemerken, und dass das höchst praxisrelevant ist, beweisen regelmässig Phishing-Angriffe. Bei DNS-Spoofing hat es der Betroffene jedoch besonders schwer, den Angriff zu bemerken: gewöhnliches Phishing setzt einen Benutzerfehler voraus. DNS-Spoofing jedoch funktioniert gerade dann, wenn der Benutzer alles richtig gemacht hat – und der Anbieter, in dem Falle das Genfer evoting-System, keine wirksamen Abwehrmassnahmen ergriffen. Wer erwartet schon, dass er nach Eingabe der richtigen URL auf der falschen Seite rauskommt?

• Weiter behauptet die Bundeskanzlei beim Punkt “Können die Stimmberechtigten erkennen, ob sie mit dem echten oder dem gefälschten Portal verbunden sind?”:

  Indem sie sich an die Instruktionen für die Stimmabgabe halten, können die Stimmberechtigten zwischen dem echten und einem gefälschten Stimmportal unterscheiden.

  Das ist leider auch falsch. Denn überprüfen kann der Wähler nur den Fingerprint des Zertifikats – falls ein Wähler überhaupt technisch dazu in der Lage ist. Jedoch nicht einmal das wird in den Instruktionen zur Stimmabgabe vorausgesetzt; z.B. in der FAQ des Kantons St. Gallen zu evoting (Sicherungskopie) steht zum Thema:

  8.2 Der Fingerprint der E-Voting-Webseite stimmt nicht mit dem Fingerprint auf dem Stimmausweis überein.

  Auf vielen Internet-Web-Proxies (unter anderem in vielen Firmennetzwerken im Einsatz) kann SSL-Scanning zur Virenprüfung und Prüfung gefährlicher Webseiteninhalte zum Einsatz kommen. Damit eine derartige Prüfung möglich ist, wird der SSL-Datenverkehr dazu auf den Proxy-Systemen aufgebrochen, so dass gegenüber den Clients (Rechner, Tablets etc.) ein dynamisch vom Proxy erstelltes Zertifikat erscheint, das vom Originalzertifikat der E-Voting-Webseite abweicht.

  Aus diesem Grund kann es sein, dass der Fingerprint des Zertifikates innerhalb eines Netzes nicht mit dem Original im Internet übereinstimmt.

  Das wäre nun aber die einzige Chance gewesen, den Angriff zu entdecken. Wendet sich der verunsicherte Wähler an die Behörden und fragt nach, so bekommt er z.B. folgendes zu hören; aus der Kommunikation mit dem Wählersupport des Kantons St. Gallen zum Thema (die Quelle ist dem Autor dieser Zeilen bekannt):

  

  

  Wie man sieht, erkärt auf Nachfrage sogar der evoting-Support selber, dass man unterschiedliche Fingerprints ignorieren soll, weil es “Umstände” gibt, “bei denen der Fingerprint nicht korrekt dargestellt wird”. Wie soll nun ein Wähler feststellen, ob er auf der richtigen Seite gelandet ist? Er hat keine Möglichkeit, und ist einem Angriff wie dargestellt hilflos ausgeliefert; den Instruktionen der Behörden zu folgen jedenfalls reicht dazu nicht.

• Im Punkt “Immerhin hat ein Hack dazu geführt, dass die Stimmenden auf das gefälschte Portal umgeleitet wurden.” verlautbart die Bundeskanzlei:

  Damit die Umleitung auch im Internet grossflächig funktioniert, müssten zentrale Elemente der Internet-Infrastruktur unter Kontrolle gebracht werden. Das wäre sehr schwer unbemerkt vorzunehmen.

  Diese Hoffnung, die die Bundeskanzlei hier äussert, hält der Praxis wohl nicht stand. In der einschlägigen Fachliteratur wird das Thema dagegen richtig (und nicht wie von der Bundeskanzlei dargestellt) bewertet:

  It's been suggested that DNSSEC or IPv6 are solutions to this problem, but this is only in theory. Both of these technologies have to be fully rolled out to be effective, and this is likely years away, at best.

  Wenn man als Betreiber wie im Falle der Genfer jedoch nicht einmal bei DNSSec mitmacht, dann wird das sicher auch nicht besser. Deshalb gab's unsererseits ja gerade die Kritik.

• Im Punkt “Das Umleiten auf das gefälschte Portal ist aber nur dank einer Sicherheitslücke im E-Voting-System möglich.” erklärt die Bundeskanzlei:

  Nein. Das Umleiten auf das gefälschte Portal hängt nicht vom Vorliegen einer Sicherheitslücke beim E-Voting-System ab. Es kann den Genfer Behörden keine Unterlassung vorgeworfen werden, durch die das Umleiten von Internet-Nutzern entscheidend begünstigt worden wäre.

  Auch das ist falsch. Konkret haben die Genfer Behörden bis heute zwei Gegenmassnamen unterlassen, die geeignet wären, Wähler vor dem gezeigten Angriff zu schützen:

  1. Sie haben (wie oben beschrieben) kein DNSSec implementiert.

  2. Sie haben kein HSTS Preload implementiert.

  Diese Unterlassungen sind 2018 nicht mehr zu entschuldigen.

Ein Wort noch sei mir zur “Expertengruppe” erlaubt, die den Bundesrat berät. Die Bundeskanzlei schreibt unten im Text:

Nach Ansicht der Expertengruppe kann die elektronische Stimmabgabe als sicherer und vertrauenswürdiger Stimmkanal ausgebaut werden.

Eine “Expertengruppe”, die so wenig Expertise mitbringt, dass sie bereits einen einfachen und seit Jahrzehnten bekannten Angriff wie DNS-Spoofing nicht richtig einordnen kann, ist keine. Meine Hoffnung ist entsprechend klein, dass solche “Experten” dann ernstzunehmenden Angriffsformen wie Hardware- oder System-Angriffen in Form von Targeted Attacks durch State Actors standhalten werden – zumal diese, wie angekündigt, ja auch durch die Profis der Amerikaner und wohl auch der Russen und der Chinesen zu erwarten sind.

Die Schweiz täte gut daran, evoting sofort abzuschalten und sich das ganze noch einmal zu überlegen.

Zum Thema siehe auch: Weshalb E-Voting keine gute Idee ist, und vermutlich auch nie eine sein wird sowie “Digitale Demokratie” (aka evoting) ist nicht innovativ, sondern sie ist vor allem keine Demokratie.