Die Post fokussiert sich seit 2019 auf die Entwicklung ihres zukünftigen E-Voting-Systems. Daran arbeitet ihr Spezialistenteam im Kryptografiezentrum in Neuenburg. Anfang 2021 hat sie die Offenlegung der Betaversion des Systems gestartet und seither in mehreren Etappen verschiedene Systemkomponenten veröffentlicht. Die internationale Fachwelt hat bereits mit der Prüfung des Systems begonnen und verschiedene Befunde eingereicht, dank derer die Post Verbesserungen umsetzen und Fehler korrigieren konnte.
150 000 Zeilen Quellcode
Die Post veröffentlicht nun den Quellcode des zukünftigen E-Voting-Systems. Damit ist der Grossteil aller Systemkomponenten öffentlich und steht zur unbefristeten Prüfung durch externe Expertinnen und Experten bereit. Die Post hat den Quellcode seit 2019 verbessert und weiterentwickelt. Dabei stand neben der Behebung von Fehlern die Verbesserung der Auditierbarkeit im Fokus. Ziel dabei ist, dass unabhängige Fachleute den Quellcode möglichst schnell verstehen können. Um eine gute Auditierbarkeit des Systems sicherzustellen, hat die Post eine unabhängige Prüfung in Auftrag gegeben. Der öffentlich zugängliche Bericht weist dem System eine sehr gute Auditierbarkeit nach (gesamthaft 4,4 von 5 erreichbaren Punkten).
Jede Software wird kontinuierlich weiterentwickelt und verbessert. Die Post befolgt den Ansatz der transparenten Softwareentwicklung, wonach Änderungen sichtbar gemacht werden. Änderungen am Quellcode sind daher ab sofort auch zwischen den Releases regelmässig auf GitLab publiziert, damit die Community die Weiterentwicklung einfacher mitverfolgen kann.
Die Post legt alle Informationen zum System dauerhaft offen. Die Überprüfung des E-Voting-Systems unterscheidet sich damit von anderen Bug-Bounty-Programmen. Expertinnen und Experten können nicht nur den Quellcode testen, sondern das System auf ihrem Rechner laufen lassen, untersuchen und auch die kryptografischen Grundlagen auf Fehler prüfen. Die Post zahlt für bestätigte kritische Schwachstellen bei E-Voting auch vergleichsweise hohe Belohnungen von bis zu 250 000 Franken. Marcel Zumbühl, Chief Information Security Officer der Post erklärt: «Um die besten Fachleute und Hackerinnen der Szene zu gewinnen, setzen wir bei E-Voting für bestätigte Schwachstellen auf hohe Belohnungen: Im weltweiten Vergleich sind diese branchenüblich, sie fallen aber deutlich höher aus, als bei durchschnittlichen Bug-Bounty-Programmen der Post und in der Schweiz. Dies liegt im Umfang und der Komplexität bei E-Voting begründet.» Der Aufwand auf Seiten der Hackerinnen und Kryptografen für die Prüfung des E-Voting-Systems sei dadurch um ein Vielfaches grösser als bei anderen Anwendungen.
Die Post entwickelt in ihrem E-Voting-Zentrum in Neuenburg eine Verifikationssoftware zur vollständigen Stimmenüberprüfung. Dies ist ein technisches Hilfsmittel für die Wahlprüferinnen und -prüfer. Die Verifikationssoftware kann unterschlagene oder veränderte Stimmen selbst dann nachweisen, wenn einer oder mehrere Server der Post, auf denen das System läuft, unterwandert wären. Nun macht die Post die Spezifikation dieser Software publik.
Den Quellcode der Verifikationssoftware veröffentlicht die Post in den kommenden Monaten unter einer freizügigen Open-Source-Lizenz. Dritte werden so die Möglichkeit haben, die Software neu- oder weiterzuentwickeln und in der Folge auch kommerziell zu vertreiben. So besteht die Möglichkeit, dass Kantone zukünftig eine Verifikationssoftware beziehen können, die unabhängig vom übrigen E-Voting-System entwickelt und betrieben wird.