Präsentation von Polyas an der FSU am 5. April 2012
=========================================
Teilnehmer:
- Marco Rüttger
- Gerald Wolf
- Wolfgang Jung
Ziel:
- Erhöhung der Wahlbeteiligung
- Vereinfachung des Verfahrens
Distanz der Studierenden war zu spüren. Daher die Veranstaltung.
Inhalt
Kleine Gremienwahlen, Stura-/FSR-Wahl, Rat der Graduiertenakademie, Urabstimmung
18000 Wahlberechtigte
Beteiligung ging in den letzten Jahren zurück, zw 16 und 18 %
hoher Aufwand
Erhöhung der Beteiligung durch vertraute Medien (Studenten nutzen ja auch Facebook)
wirtschaftliche Gründe
viel Personal
viel Zeitaufwand
100000 Umschläge und 20000 Blätter bisher
nicht umweltfreundlich
Kosten 20000€ bisher (es gab keine Aussage, was Polyas kostet. Die Polyas-Leute meinten, sie würden mit der Software kein Geld verdienen)
Ideal: Reduzierung Aufwand, rechtssicherheit, Akzeptanz, techn. Sicherheit
es bleibt nur Onlinewahl
2008 erste Überlegungen durch Vorgänger von Rüttger
2010 Onlinewahlen an der GA mit 451 Berechtigten auch mit Micromata
DFG wählt auch mit Polyas und GI --> wenn GI vertraut, muss das gut sein
Jan 2012 neue Wahlordnung parallel Anbietersuche
Prüfung im Rechtsamt mit URZ, STI sowie BSI und CASED
29.2.12 Entsch. Wahlvorstand
- 3. Administration, Ablauf
Einteilung in hmogene Gruppen
Senat in A1, A2; Gleichstellung in C1 und C2
Bsp. Zahnmedizin A2/B10/C2
insgesamt 18 mögliche Kombis (theoretisch sind mehr möglich)
PIN/TAN-Verfahren
Wahlamt generiert PIN mit GebDatum und Matrikelnummer (errechenbar?)
PIN und TAN nicht zusammen versenden, wegen Fehlermöglichkeiten
Übermittlung der PIN an Micromata
Vorschlag: Verwendung der Krankenkassenkarte, Datenschutzprobleme, außerdem zuviel Wechsel
Wähler wird mitgeteilt, wie die Kombi aus Matnr und Gebdat ist
Micromata generiert die TAN
keine personenbezogenen Daten übermittelt
Wahlamt sendet TANs
Unterlagen im Wahlamt generiert
Druck erfolgt im Haus, eintüten Kuviertiermaschine durch Azubi des SSZ
Versand ab 24.5.2012
Keine Zugangsdaten an Briefwähler
Beginn, Abbruch, Unterbrechung und Beendigung durch zwei Berechtigte (§8 Abs.1 WO)
Freischaltung 13.6. 14 Uhr
Ende 26.6. 14 Uhr
Einrichtung eines Wahlportals
muhahah: Screenshot mit einem IE-Tab: »Wie mache ich einen Screenshot« --> Spezialexperten
Fragen: Ist Verfikation durch Zusendung ausreichend? Wie ist Gewährleistet, dass nur Berechtigte abstimmen?
PIN/TAN nicht veröffentlicht, keine zusendung, Sicherheitsmasstab ist Briefwahl, Unterschrift ist auch nicht prüfbar
Läuft Vergabe automatisiert? Schritte innerhalb der FSU
Vorteile ggü Briefwahl: organisatorische und wirtschaftliche, Nutzung von PC und Internet ist ressourcensparend, akzeptiert von Studis, Zeitersparnis, auch durch den Wähler, Auszählung erfolgt genau,
Maßnahmen zur Verhinderung von Stimmenkauf: Mgl. des Wahlamtes sind begrenzt, wird rechtl Hinweise geben
Fragen an das Wahlamt
Weitere Fragen:
Verwendung der PIN: Daten auf THOSKA vorhanden, leicht aufzufinden, daher sehr öffentliche Zahlkombination, Matnr auf Listen: Matnr darf nicht zusammen mit Namen veröffentlich werden, THOSKA kann nicht jeder einsehen, müssen Daten finden, die Uni und Wähler bekannt sind.
Präsi Micromata:
Gerald Wolf, Projektleiter MM
keine Präsentation
seit 15 Jahren Onlinewahlen
wollen Dialog führen
Vorführung Onlinewahlsystem
Herr Wolfang Jung, 1996 Onlinewahlen, begonnen in Finnland, Projekt für Schüler/Studenten
PIN einfach zu berechnen
TAN achtstelliger Code
groß/klein, Zahlen => 62 Zeichen, außer verwechselbarer Zeichen (l<->l, 0<->O etc.)
Daher 55 Zeichen verfügbar
bei GI ist PIN Mitgliedsnr
Frage Pub: Level Briefwahl/Onlinewahl, online ist effizienter zu tauschen: Aber das Schreiben muss abgefangen werden; aber finanzielle Anreize sind da:
Frage Pub: MM generiert TANs, Wie werden TANs eingespeist? Wie ist Absicherung?
Antw: wir bekommen Wählerverz. als csv und haben Programm, welches TANs generiert. Versand verschlüsselt mit GnuPG. MM hat keine Kenntnis über TANs. erstellung von sql wird in verzeichnis importiert, enthalten ins der Wähler und Hashcode der Datei, keine kenntnis über tans im Klartext, SHA256, für hash in Database, tan-Programm muss nicht bei MM laufen
Frage Pub: warum MM-lösung
Antw: liegt an vertrag, vorgaben an 2010,
Frage: kann man es jetzt anders gestalten?
antw: verfahrenstedhn. Frage, war als Option drin, jetzt wäre es unkritisch zur FSU zu wechseln.
Frage: liegen pin und tan gleichzeitig irgendwo vor
antw: nein
f: Auf welchem System wird die Software installiert und werden die Server nur(!) für dieses System verwendet oder laufen noch andere Dienste auf dem Server ?
a: alles auf einem system, mit option auslagerung Wählerverzeichnis; keine anderen Dienste, tripwire, aide, postgres,
f: Welche Datenbank wird verwendet? In welchen Format werden die Stimmen abgespeichert? Welche Daten werden zusätzlich gespeicher?
a: postgres, ...
f:
a: urne votum verschl. abgelegt, zugang mit kenntnis zweier pw aus wahlvorstand, JCE mit BouncyCastle, RSA2048, hybrid mit AES256
f: wann liegt wo was
a: dokument existiert, haben die leute nicht mit dabei, wird zur verfügung gestellt,
pin und tan liegen in db vor
wähler auth. sich
validator signiert pro eintrag
validator prüft verwendung, falls ja, ist das ein angriff; falls nein, wird token ausgeliefert, 512bit zufall; ist authmerkmal für urne
urne merkt isch token und schickt token an wverz
token liegen verschl-. in db
nach dem commit wird signatur als verbraucht gekennzeichnet
token an wähler ausgeliefert alslink
mit link geht es zur urne
urne ermittelt stimmzettel
liefert den an browser
wähler stimmt ab
urne registriert und bestätigt das an user
urne informiert verz das wähler gewählt hat
token in urne zum löschen makriert#
neuanmeldung nicht möglich
im verze wird token gelöscht
alle 30 abgaben wird eine hashsumme gespeichert, lokal und im verzeichnis
f: Wie hoch sind die statistische Erreichbarkeit der Wahlplatform und die Zuverlässigkeit. Wie lange dauert im Schnitt die Begebung eines Fehlers, welcher zu einer Nichterreichbarkeit des Systems geführt hat?
a: bisher einen ausfall wegen hardware, dauerte 6 stunden, also 99,4%, bei anderen 100%, problem ist eher organisatorisch, pw sollen auf papier niedergeschrieben und versiegelt werden
f: namensänderung?
a: stichtagsregelung, grundlage sind daten des stichtages, 25.4.2012 bei FSU
f: browser mit JS, cookies etc.?
a: mit kompromittiertem system ist alles möglich, liegt außerhalb von polyas, es gibt virt. tastatur, die sich bei jedem klick ändert
a: studierende können ins URZ oder ins Wahlamt gehen
a: fp des zert wird auf das Wahlschreiben gedruckt. angriff mitm soll damit ausgeschlossen werden, Thawte signiert
f: tan wird per hash geprüft, server erzeugt hash
a: ja, innerhalb https klartext
f: Welche unabhängige, externe (sic!) Sicherheitsunternehmen hat die Software geprüft?
a: code von bsi, dfg, pentest der DFG, RedTeam AC
f: wurde software getestet?
a: whiteboxtest
f: Aussage der Tester?
a: keine schwachstellen außer mitm
f: Gab es eine ausführliche (!) Prüfung auf Funktionsfehler durch externe (nicht dem Hersteller)?
a: pentest hat funktion getestet, zielt aber auf angriff ab, gerade findet ausführliche funktionale prüfung statt (Vorbereitung auf CC EAL3+)
f: Wie wird sichergestellt, dass die geprüfte und zertifizierte Software auch der ausgelieferten entspricht?
a: short answer (jens): reflections on trusting trust,
a: austausch von dateien wird von aide gemeldet,
f: Inwiefern ist das Prinzip der Gleicheit geschützt? (Stimmabgabe darf nicht zuordbar sein)
a:
f: Können nachträgliche Stimmen nicht doch manipiliert werden? Es ist ja eine Onlinewahl, somit gibt es von jedem Rechner, der einen I-Net-Anschluss besitzt, die potentielle Möglichkeit in das System einzudringen.
a:
f: Wie wird garantiert, dass eine Manipulation durch den Systemadministrator/Verwalter des "elektronischen Wahllokals" (Software/Server) nicht möglich ist? Hierbei auch zu beachten, dass "elektronische Stimabgaben" hinzugefügt werden könnten.
a:
f: Wie würde DOS-Attacken begnet werden?
a: Durch IP-Filter (begrenzt auf x IP-Adressen)
f: Wie wird sich vor DDOS-Attacken geschützt?
a: ddos geht.
f: Wie weit wurde die erfolgreiche Manipulation eines elektronischen Wahlsystems durch den CCC aufgearbeitet und die beschriebene Sicherheitslücke geschlossen?
a: nedap problematik
f: Schutz vor Man-in-the-middle Attacken?
a:
f:
a: Polyas kann nicht bei Landtagswahlen eingesetzt werden. Wegen BVerfG
f: Ha der Wahlvorstand Einsicht in den Quellcode und kompiliert selbst auf dem Server?
a: ja, mit nda; selbst kompilieren ist problem; wegen gewährleistung;
f: Wie wird eine öffentliche Überprüfbarkeit/ EInsicht in die Wahlauszählung hergestellt?
a: xml datei wird erstellt und ausgewertet, wird signiert abgelegt,
a: ja, system muss man vertrauen, wahlvorstand kann dumps veröffentlichen
f: sind die dumps anonymisiert?
a (jens): aufgrund der voriger beschreibung, ja
f: token bei verbindungsabbau
a: siehe beschreibung
f: Manipulation, unterbrechung von versuch und manipulation
a: versuch ist bspw. dos oder 50000 ungültige ssh-logins, wenn beeinflussung entdeckt wird, dann gibt es mgl.
f: wahl nachvollziehbar, protokollierung? was wird gespeichert?
a: keine daten mit rückschlüsse auf daten, nur außergewöhnlichkeiten, keine ip-adressen,
Präsi Wahlsystem:
Wahlvorstandsclient: Schlüssel sind beliebige Passwörter
Logdateien reden von MD5, angeblich wurden Logmeldungen nicht bearbeitet
Weitere Dokumente
===============
Sonstiges
=======
Die Wahlordnung sollte mal in der aktuellen Fassung geprüft werden. Eventuell haben die Studierenden die Möglichkeit, ein Wahlprüfverfahren durchzuführen. Dann kann ein Betroffener das Wahlverfahren anfechten.