>b's weblog

Analysis of the Cryptographic Implementation of the Swiss Post Voting Protocol

For this, we accepted the alleged security properties of the protocol as given without looking closely at the formal proofs. […] In other parts of the system’s source code, we encountered four major problematic areas. Provided that corresponding system components are controlled by an attacker, each of them has the potential of weakening the system’s security properties.

Dazu haben wir die angeblichen Sicherheitseigenschaften des Protokolls als gegeben akzeptiert, ohne uns die formalen Beweise genau anzusehen. In anderen Teilen des Quellcodes des Systems stießen wir auf vier große Problembereiche. Sofern entsprechende Systemkomponenten von einem Angreifer gesteuert werden, hat jede von ihnen das Potenzial, die Sicherheitseigenschaften des Systems zu schwächen.

Das übersetzt man wohl am besten mit: durchgefallen.

Report on the SwissPost-Scytl e-voting system, trusted-server version

Our mandate was accomplished on a best-effort basis, within very limited time-constraints. The specification documents were the core of our mandate, not the code.

Unser Auftrag wurde nach bestem Wissen und Gewissen und innerhalb sehr kurzer Zeit durchgeführt. Die Spezifikationsdokumente waren der Kern unseres Auftrags, nicht der Code.

Das übersetzt man mit: die haben sich das System selbst gar nicht angeschaut, sondern schreiben nur über die Spezifikation. Und über dieselbe schreiben sie:

As a result, we conclude that cast-as-intended verifiability may or may not be sound now, but it is not proven and has not had sufficient examination as far as we know. Although we did not find new attacks within the minimum adversary model in which the server-side of the voting system is completely trusted, we did find specific attacks within the stronger model that is often informally claimed throughout the documents. A single malicious entity on the server side can read and undetectably alter votes. This is easy given the absence of use of a verifiable mixing protocol but, less intuitively, would remain possible even if a verifiable mixnet was used.

Infolgedessen kommen wir zu dem Schluss, dass die Verifizierbarkeit, ob eine Stimme wie beabsichtigt verbucht wurde oder nicht, jetzt vielleicht fundiert ist oder auch nicht, jedenfalls ist sie nicht bewiesen und wurde nach unserem Kenntnisstand nicht ausreichend untersucht. Obwohl wir keine neuen Angriffe innerhalb des minimalen Gegner-Modells gefunden haben, in dem die Server-Seite des Abstimmungssystems als vollständig vertrauenswürdig gilt, haben wir spezifische Angriffe innerhalb des stärkeren Modells gefunden, das oft informell in den Dokumenten beansprucht wird. Eine einzige bösartige Entität auf der Serverseite kann Stimmen lesen und unauffindbar ändern. Dies ist einfach, da kein nachprüfbares Mixing-Protokoll verwendet wird, bleibt aber weniger intuitiv möglich, auch wenn ein nachprüfbares Mix-Netz verwendet wird.

Kurz: ein Desaster. Schon die Spezifikation reicht, um sagen zu können, das System ist gebrochen.

Auditbericht: Sicherheitsüberprüfung betriebliche Aspekte E-Voting-System der Post

Das Security Audit wurde im Juni 2019 durchgeführt und basierte auf der Sichtung und Analyse der zur Verfügung gestellten Dokumente und Einzel- und Gruppeninterviews mit Vertretern der in den Betrieb involvierten Abteilungen der Post Informatik.

Übersetzt: der sogenannte “Security Audit” ist eine Lachplatte. Das System wurde nicht einmal angeschaut. Stattdessen hat man Dokumente studiert und sich über die freundlichen Mitarbeiter gefreut, mit denen man sprechen konnte. Es ist nicht falsch zu sagen: es hat gar kein Security Audit stattgefunden.

Zusammenfassung

Ob die Konzepte halten: keine Ahnung. Der Code ist völlig unsicher. Die hochgelobte sichere Verifizierbarkeit existiert gar nicht. Der Betreiber kann die Wahl fälschen und das Stimmgeheimnis aufheben. Das sagt bereits die Spezifikation. Ein Security Audit des Systems hat nicht stattgefunden.

Wer solch ein E-Voting-System einsetzt, begeht Harakiri.