Warum E-Voting auch dann unsicher sein wird, falls es je gelingt, die sogenannte “Universelle Verifizierbarkeit” sauber zu implementieren
Derzeit ist ja nicht davon auszugehen, dass es auch nur ein einziges nicht-geknacktes E‑Voting-System gibt. Und entsprechend könnte man sagen, die Diskussion, was wäre, wenn es eins gäbe, sei müssig. Allerdings macht auch Erich Aschwanden im ansonsten ausgewogenen Artikel in der NZZ denselben Fehler:
Das ist nur möglich, wenn ein System mit universeller Verifizierbarkeit zur Verfügung steht. Dank dieser haben die Stimmenden und die Wahlbehörden jederzeit die volle Kontrolle über die abgegebenen Stimmen und können Manipulationen zweifelsfrei erkennen.
Das ist sachlich falsch. Auch dann, falls eine nicht-geknackte Version der sogenannten “Universellen Verifizerbarkeit” vorliegen würde, kann niemand – auch Wahlbehörden nicht – gut gemachte Manipulationen überhaupt erkennen. Ein paar Beispiele für Angriffsmöglichkeiten:
Single Point of Failures (SPOF) in der Architektur
SPOF: Schlüsselgenerierung
Wer die Schlüsselgenerierung nimmt, kann Wahlen beliebig fälschen
SPOF: Schlüsselverteilung
Wer die Schlüsselverteilung kontrolliert, kann Wahlen beliebig fälschen, indem er Schlüssel austauscht
SPOF: Druckzentrum
Wer das Druckzentrum nimmt, kann alle Prüfziffern fälschen und mittels eines Botnets Wahlen fälschen
SPOF: Druckjob-Kommunikation
Wer kontrolliert, was gedruckt werden soll, kann alle Prüfziffern fälschen und mittels eines Botnets Wahlen fälschen
Kombinationsangriffe
Kombination: alle Servermaschinen nehmen
Wer alle Servermaschinen nimmt (da sprechen wir von ein, zwei Duzend Maschinen), der kann Wahlen beliebig fälschen
Kombination: Schlüssel-empfangende Maschinen
Wer alle Schlüssel-empfangende Maschinen nimmt, kontrolliert die Schlüsselverteilung empfängerseitig; er kann Wahlen beliebig fälschen
Grosse Geheimdienste haben die Kapazität für solche Kombinationsangriffe als Targeted Attack.
Die sogenannte “Universelle Verifizierbarkeit” ist eine Chimäre. Sie ist nur ein Werbeversprechen – auch dann, falls sie überhaupt je funktionieren sollte.