>b's weblog

News. Journal. Whatever.

Spieglein Spieglein am Security-Check-StandNSU-Polizistenmord: Versteckte Spur

Warum E-Voting auch dann unsicher sein wird, falls es je gelingt, die sogenannte “Universelle Verifizierbarkeit” sauber zu implementieren

Derzeit ist ja nicht davon auszugehen, dass es auch nur ein einziges nicht-geknacktes E‑Voting-System gibt. Und entsprechend könnte man sagen, die Diskussion, was wäre, wenn es eins gäbe, sei müssig. Allerdings macht auch Erich Aschwanden im ansonsten ausgewogenen Artikel in der NZZ denselben Fehler:

Das ist nur möglich, wenn ein System mit universeller Verifizierbarkeit zur Verfügung steht. Dank dieser haben die Stimmenden und die Wahlbehörden jederzeit die volle Kontrolle über die abgegebenen Stimmen und können Manipulationen zweifelsfrei erkennen.

Das ist sachlich falsch. Auch dann, falls eine nicht-geknackte Version der sogenannten “Universellen Verifizerbarkeit” vorliegen würde, kann niemand – auch Wahlbehörden nicht – gut gemachte Manipulationen überhaupt erkennen. Ein paar Beispiele für Angriffsmöglichkeiten:

  1. Single Point of Failures (SPOF) in der Architektur

    1. SPOF: Schlüsselgenerierung

      Wer die Schlüsselgenerierung nimmt, kann Wahlen beliebig fälschen

    2. SPOF: Schlüsselverteilung

      Wer die Schlüsselverteilung kontrolliert, kann Wahlen beliebig fälschen, indem er Schlüssel austauscht

    3. SPOF: Druckzentrum

      Wer das Druckzentrum nimmt, kann alle Prüfziffern fälschen und mittels eines Botnets Wahlen fälschen

    4. SPOF: Druckjob-Kommunikation

      Wer kontrolliert, was gedruckt werden soll, kann alle Prüfziffern fälschen und mittels eines Botnets Wahlen fälschen

  2. Kombinationsangriffe

    1. Kombination: alle Servermaschinen nehmen

      Wer alle Servermaschinen nimmt (da sprechen wir von ein, zwei Duzend Maschinen), der kann Wahlen beliebig fälschen

    2. Kombination: Schlüssel-empfangende Maschinen

      Wer alle Schlüssel-empfangende Maschinen nimmt, kontrolliert die Schlüsselverteilung empfängerseitig; er kann Wahlen beliebig fälschen

    Grosse Geheimdienste haben die Kapazität für solche Kombinationsangriffe als Targeted Attack.

Die sogenannte “Universelle Verifizierbarkeit” ist eine Chimäre. Sie ist nur ein Werbeversprechen – auch dann, falls sie überhaupt je funktionieren sollte.