E-Government Blog | Die Post

« E-Voting-Systeme gehören zu den komplexesten überhaupt»

Geschrieben von Die Schweizerische Post AG | Oct 28, 2021 8:34:00 AM

Im «Laboratoire lorrain de recherche en informatique et ses applications » (LORIA) der Universität de Lorraine und anderer Universitäten forschen mehrere Teams zur Entwicklung der kryptografischen und symbolischen Grundlagen von sicheren IT-Systemen und zur Algorithmischen Zahlentheorie. Die symbolische Analyse eines Systems erlaubt es, dessen kryptografischen Beweise automatisiert, das heisst mithilfe einer Software zu überprüfen. Es ist eine rechtliche Anforderung an E-Voting-Systeme in der Schweiz, eine symbolische Analyse zum System vorzulegen. Die Schweizerische Post hat bei einer Erarbeitung der symbolischen Analyse ihres Systems einem Team von LORIA in Auftrag gegeben. Im Rahmen dieser Zusammenarbeit ist es zu einem Erfahrungsaustausch zwischen dem involvierten Wissenschaftler-Team und den E-Voting-Spezialisten der Post gekommen. Die beiden Leiter des Projekts, Prof. Dr. Véronique Cortier und Prof. Dr. Pierrick Gaudry führen im Gespräch mit Xavier Monnat, E-Voting-Product Manager bei der Post, welche Themen in der E-Voting-Forschung aktuell sind.

 

Véronique Cortier und Pierrick Gaudry, Université de Lorraine

 

Was haben Sie dem E-Voting-Team der Post gestern mitgegeben?


Véronique:
 Fachlich haben wir den Spezialisten der Post die Herleitung des symbolischen Beweises zum kryptografischen Protokoll, den wir im Auftrag der Post erarbeitet haben, nähergebracht. Wir haben erklärt, wie wir das Tool Proverif einsetzen und spezifisch für den Einsatz im E-Voting-System weiterentwickelt haben. Das Tool erlaubt es Spezialisten auch ausserhalb des Fachgebiets E-Voting, die Korrektheit der Beweise im kryptografischen Protokoll automatisiert, d.h. mit der Software, zu prüfen.

 

Können Sie Ihrerseits etwas mitnehmen von Ihrem Besuch hier in der Schweiz?


Pierrick: 
Wir forschen beide an der Universität, erarbeiten Hypothesen und belegen diese in wissenschaftlichen Arbeiten. Wichtig für diese wissenschaftliche Arbeit ist aber gerade auch der Erfahrungsaustausch in der Praxis, wo wir mit der Umsetzung des akademischen Know-hows in einer Software in Berührung kommen. Dieser Austausch ist auch eine wertvolle Quelle, um Herausforderungen zu erkennen, die wir in unserer Forschung beleuchten können. Das wissenschaftliche und das praxisorientierte Wissen können sich so gegenseitig befruchten. Darüber hinaus lernen wir in der Zusammenarbeit mit der Schweizerischen Post auch den E-Voting-Kontext ausserhalb Frankreichs kennen.

 

Wie unterscheiden sich den die Rahmenbedingungen für E-Voting zwischen den genannten Ländern?


Véronique:
 Der grösste Unterschied zwischen der Schweiz und Frankreich liegt bei der physischen Stimmabgabe. Während in Frankreich der Grossteil der Wählerinnen und Wähler physisch an der Urne abstimmen, ist in der Schweiz der bevorzugte Stimmkanal der briefliche. Aus wissenschaftlicher Sicht ist die Stimmabgabe an der Urne, wie sie in Frankreich praktiziert wird (ohne elektronische Wahlmaschinen) um einiges sicherer als die Stimmabgabe auf dem Briefweg. Ein politischer und kultureller Unterschied zeigt sich auch bei der Einschätzung des Risikos für den Kauf von Stimmen. Während dies in vielen europäischen Ländern als eine der Hauptherausforderungen für die Stimmabgabe per Brief oder im Internet diskutiert wird, stuft die Schweiz dieses Risiko als vernachlässigbar ein. In der Konsequenz sind in der Schweiz technische Methoden, die aufzeigen können, wenn es eine auffällige Häufung von identischen Mustern bei der Stimmabgabe gibt, die auf eine Stimmabgabe unter (finanziellem) Druck hinweisen, nicht relevant.

 

Spezialisten des E-Voting-Teams der Post

 

Was unterscheidet ein E-Voting-System von einer anderen Software?


Véronique:
 Wenn wir E-Voting mit einem anderen System vergleichen, wo sensible Daten verarbeitet werden, zeigen sich einige Unterschiede. Wird mein E-Banking-Konto gehackt, ist der Angriff sofort sichtbar, weil Geld auf dem Konto fehlt. Der Angriff auf ein E-Voting-System ist demgegenüber nicht erkennbar, da jeder nur die eigene abgegebene Stimme kennt. Das muss auch so sein, weil sonst das Stimmgeheimnis nicht gewahrt werden kann. Auf der anderen Seite ist aber beim E-Voting der Anspruch, dass eine erfolgte Manipulation sichtbar gemacht wird, aufgrund der demokratiepolitischen, gesellschaftlichen Relevanz viel höher als bei einem Angriff auf ein E-Banking-System. Ebenso kann das Fehlverhalten eines Einzelnen bei der Stimmabgabe Folgen für das Kollektiv, die Gesellschaft mit sich bringen, während ein risikoreiches Verhalten beim E-Banking nur mir selbst schadet.

 

Pierrick: Insgesamt kann man sagen, dass E-Voting-Systeme zu den komplexesten Systemen überhaupt gehören. Dies liegt in den Eigenschaften begründet, die Véronique ausgeführt hat. Dazu kommt auch eine Komplexität in der Architektur dieser Systeme, die sehr viele Rollen und auf verschiedene Organisationen aufgeteilte Verantwortungen definiert. Die Komplexität eines E-Voting-Systems wie jenes der Post ist daher sehr viel höher als bei anderen Systemen.

 

Was bedeutet das für die Forschung zum Thema E-Voting?


Véronique:
 E-Voting ist eine eigene Fachdomäne. Die eingesetzten kryptografischen Methoden sind fachspezifisch und werden nicht breit für andere elektronische Dienste eingesetzt. Auch die Anforderungen an E-Voting-Systemen entsprechen nicht dem Standard, da sie gleichzeitig Sicherheit und Transparenz über die verarbeiteten Daten voraussetzen.

In der Folge ist das Thema E-Voting auch in der Forschung eine Nische. Gäbe es einen grösseren Markt für E-Voting, d.h. würden mehr Länder E-Voting-Systeme einsetzen, gäbe dies sicher auch der Forschung zum Thema Aufschwung. Pionierprojekte wie jenes in Estland oder in der Schweiz sind daher für die Wissenschaft von grossem Interesse. 

 

Können Sie die wichtigsten Voraussetzungen nennen, die es braucht, damit ein E-Voting-System sicher ist?


Véronique:
 Die Basis des sicheren E-Voting-Systems sind kryptografische Grundlagen, die es erlauben, zwei einander entgegengesetzte Ansprüche zu erfüllen: gleichzeitig das Stimmgeheimnis zu wahren und die Überprüfung aller Stimmen zu ermöglichen.

Pierrick: Sicherheit ist auch immer eine Frage der Einschätzung der Risiken. Um die Sicherheit von IT-Systemen zu garantieren, werden Annahmen über vertrauenswürdige und nicht vertrauenswürdige Systemkomponenten und involvierte Akteure getroffen. Die Sicherheitsanforderungen an E-Voting in der Schweiz sind hoch. Es gibt mehrere Komponenten im System, die als nicht vertrauenswürdig eingestuft werden, bspw. der Server des Stimmberechtigten.

Im Belenios E-Voting-System, das wir zur Anwendung in Vereinsabstimmungen oder auf lokaler Ebene entwickelt haben, wird der Voting Client des Stimmberechtigten dagegen als vertrauenswürdig eingestuft. Je nach Vorgaben für ein System unterscheiden sich daher auch die System-Architektur und die kryptografischen Methoden, welche die Sicherheit eines Systems garantieren. Ein kultureller Unterschied in der Schweiz zu anderen Ländern ist wie vorher erwähnt die Einstufung des Risikos von Stimmenkauf.

 

Xavier Monnat, Produktmanager E-Voting Post

 

Wie ist es möglich, die Stimmen in der elektronischen Urne auf Manipulationen hin zu überprüfen, ohne die einzelnen Stimmen zu entschlüsseln?


Véronique:
 Wie das genau technisch umgesetzt wird, ist von der verwendeten Technologie abhängig. Übergeordnet kann ich es so beschreiben: Kryptografische Elemente garantieren, dass das Resultat der Abstimmung der Gesamtheit der elektronisch abgegebenen Stimmen entspricht. Im Prozess von der Stimmabgabe bis zu deren Registrierung in der elektronischen Urne erzeugt das System kryptografische Beweise. Diese Beweise können durch eine unabhängige Verifikationssoftware überprüft werden. Jeder Experte kann dies überprüfen. Sind alle Beweise korrekt registriert, belegt dies, dass es keine Manipulationen im elektronischen Urnengang gegeben hat.

 

Die Schweiz ist eines von wenigen Ländern, das Versuche mit E-Voting durchgeführt hat und voraussichtlich wieder durchführen wird. Denken Sie, dass die Demokratie zunehmend digital wird und zukünftig auch weitere Länder auf E-Voting setzen werden?


Pierrick:
 Welchen Weg die Länder gehen, können wir nicht voraussagen. Estland und die Schweiz sind zwei interessante, wenn auch sehr unterschiedliche Beispiele für den Einsatz von E-Voting. In Estland ist die Nutzung des Systems eng an die starke staatliche E-ID geknüpft. In anderen Ländern fehlt diese Basis einer weit verbreiteten staatlichen E-ID. Ich denke, viele Länder werden ihren Fokus zuerst darauf legen und darauf aufbauend weitere staatliche Dienstleistungen wie die Stimmabgabe digitalisieren.

Die Schweiz hat noch einmal eine andere Ausgangslage. Hier ist die postalische Stimmabgabe sehr verbreitet. E-Voting ist daher hier nicht mit einer staatlichen E-ID verknüpft. Die Zugangsdaten für E-Voting erhalten die Schweizer Stimmberechtigten gleich wie die Abstimmungsunterlagen per Postversand.

Véronique: Die Schweiz leistet wichtige Arbeit, um E-Voting das Terrain zu bereiten. Sie definiert hohe Anforderungen an den Versuchsbetrieb mit E-Voting und hält diese rechtlich verbindlich fest. Die Post trägt ihren Teil dazu bei und entwickelt ein System, das diesen rechtlichen Anforderungen entspricht. Das Sicherheitsniveau und die technische Umsetzung entsprechen dem State of the Art der aktuellen Forschung. Die Schweiz und die Post haben die Messlatte hoch gesetzt, was die Einführung von E-Voting betrifft und können für andere Länder ein Vorbild sein.

 

Véronique Cortier

Véronique Cortier ist Forschungsdirektorin CNRS am LORIA-Labor im französischen Nancy. Sie hat einen Doktortitel in Informatik von der l'École Normale Supérieure de Cachan, wo sie auch studiert hat.
In ihrer Forschung befasst sie sich mit der Sicherung von Computersystemen mithilfe von mathematischen und IT-Konzepten wie der Logik, dem Überschreiben und dem automatischen Beweisen. Sie interessiert sich besonders für Sicherheitsprotokolle für beispielsweise Onlinezahlungen, sichere Kommunikation oder E-Voting. Sie hat mehr als 80 Arbeiten publiziert und ist Mitglied in den Redaktionskomitees von vier Wissenschaftsjournalen und zahlreichen Konferenzen. 2015 wurde sie von der Académie des Sciences mit dem Prix INRIA als beste Jungforscherin ausgezeichnet.

Pierrick Gaudry
Pierrick Gaudry ist Forschungsdirektor CNRS am LORIA-Labor im französischen Nancy.
Er hat einen Doktortitel in Informatik der École polytechnique und forscht zur algorithmischen Zahlentheorie und deren Anwendung in der Public-Key-Kryptografie sowie zum E-Voting. Er ist Mitautor von rund sechzig Publikationen. Zudem hat er zusammen mit Kolleginnen und Kollegen die Rekorde für die ganzzahlige Faktorisierung und die Berechnung diskreter Logarithmen aufgestellt.