Präsentation von Polyas an der FSU am 5. April 2012
=========================================
Teilnehmer:
Ziel:
Distanz der Studierenden war zu spüren. Daher die Veranstaltung.

Inhalt
     Kleine Gremienwahlen, Stura-/FSR-Wahl, Rat der Graduiertenakademie, Urabstimmung 
     18000 Wahlberechtigte
     Beteiligung ging in den letzten Jahren zurück, zw 16 und 18 %
     hoher Aufwand
     Erhöhung der Beteiligung durch vertraute Medien (Studenten nutzen ja auch Facebook)
     wirtschaftliche Gründe
     viel Personal
     viel Zeitaufwand
     100000 Umschläge und 20000 Blätter bisher
     nicht umweltfreundlich
     Kosten 20000€ bisher (es gab keine Aussage, was Polyas kostet. Die Polyas-Leute meinten, sie würden mit der Software kein Geld verdienen)
     Ideal: Reduzierung Aufwand, rechtssicherheit, Akzeptanz, techn. Sicherheit
     es bleibt nur Onlinewahl
     2008 erste Überlegungen durch Vorgänger von Rüttger
     2010 Onlinewahlen an der GA mit 451 Berechtigten auch mit Micromata
     DFG wählt auch mit Polyas und GI --> wenn GI vertraut, muss das gut sein
     Jan 2012 neue Wahlordnung parallel Anbietersuche
     Prüfung im Rechtsamt mit URZ, STI sowie BSI und CASED
     29.2.12 Entsch. Wahlvorstand
     Einteilung in hmogene Gruppen
     Senat in A1, A2; Gleichstellung in C1 und C2
     Bsp. Zahnmedizin A2/B10/C2
     insgesamt 18 mögliche Kombis (theoretisch sind mehr möglich)
     PIN/TAN-Verfahren
     Wahlamt generiert PIN mit GebDatum und Matrikelnummer (errechenbar?)
     PIN und TAN nicht zusammen versenden, wegen Fehlermöglichkeiten
     Übermittlung der PIN an Micromata
     Vorschlag: Verwendung der Krankenkassenkarte, Datenschutzprobleme, außerdem zuviel Wechsel
     Wähler wird mitgeteilt, wie die Kombi aus Matnr und Gebdat ist
     Micromata generiert die TAN
     keine personenbezogenen Daten übermittelt
     Wahlamt sendet TANs
     Unterlagen im Wahlamt generiert
     Druck erfolgt im Haus, eintüten Kuviertiermaschine durch Azubi des SSZ
     Versand ab 24.5.2012
     Keine Zugangsdaten an Briefwähler
     Beginn, Abbruch, Unterbrechung und Beendigung durch zwei Berechtigte (§8 Abs.1 WO)
     Freischaltung 13.6.  14 Uhr
     Ende 26.6. 14 Uhr
     Einrichtung eines Wahlportals
     muhahah: Screenshot mit einem IE-Tab: »Wie mache ich einen Screenshot« --> Spezialexperten
     Fragen: Ist Verfikation durch Zusendung ausreichend? Wie ist Gewährleistet, dass nur Berechtigte abstimmen?
     PIN/TAN nicht veröffentlicht, keine zusendung, Sicherheitsmasstab ist Briefwahl, Unterschrift ist auch nicht prüfbar
     Läuft Vergabe automatisiert? Schritte innerhalb der FSU
     Vorteile ggü Briefwahl: organisatorische und wirtschaftliche, Nutzung von PC und Internet ist ressourcensparend, akzeptiert von Studis, Zeitersparnis, auch durch den Wähler, Auszählung erfolgt genau, 
     Maßnahmen zur Verhinderung von Stimmenkauf: Mgl. des Wahlamtes sind begrenzt, wird rechtl Hinweise geben
     Fragen an das Wahlamt
     
     Weitere Fragen:
     Verwendung der PIN: Daten auf THOSKA vorhanden, leicht aufzufinden, daher sehr öffentliche Zahlkombination, Matnr auf Listen: Matnr darf nicht zusammen mit Namen veröffentlich werden, THOSKA kann nicht jeder einsehen, müssen Daten finden, die Uni und Wähler bekannt sind. 
     

Präsi Micromata:
Gerald Wolf, Projektleiter MM
keine Präsentation
seit 15 Jahren Onlinewahlen
wollen Dialog führen
Vorführung Onlinewahlsystem

Herr Wolfang Jung, 1996 Onlinewahlen, begonnen in Finnland, Projekt für Schüler/Studenten
PIN einfach zu berechnen
TAN achtstelliger Code
groß/klein, Zahlen => 62 Zeichen, außer verwechselbarer Zeichen (l<->l, 0<->O etc.)
Daher 55 Zeichen verfügbar
bei GI ist PIN Mitgliedsnr

Frage Pub: Level Briefwahl/Onlinewahl, online ist effizienter zu tauschen: Aber das Schreiben muss abgefangen werden; aber finanzielle Anreize sind da: 

Frage Pub: MM generiert TANs, Wie werden TANs eingespeist? Wie ist Absicherung? 
Antw: wir bekommen Wählerverz. als csv und haben Programm, welches TANs generiert. Versand verschlüsselt mit GnuPG. MM hat keine Kenntnis über TANs. erstellung von sql wird in verzeichnis importiert, enthalten ins der Wähler und Hashcode der Datei, keine kenntnis über tans im Klartext, SHA256, für hash in Database, tan-Programm muss nicht bei MM laufen

Frage Pub: warum MM-lösung
Antw: liegt an vertrag, vorgaben an 2010, 
Frage: kann man es jetzt anders gestalten?
antw: verfahrenstedhn. Frage, war als Option drin, jetzt wäre es unkritisch zur FSU zu wechseln.

Frage: liegen pin und tan gleichzeitig irgendwo vor
antw: nein

f: Auf welchem System wird die Software installiert und werden die Server nur(!) für dieses System verwendet oder laufen noch andere Dienste auf dem Server ?
a: alles auf einem system, mit option auslagerung Wählerverzeichnis; keine anderen Dienste, tripwire, aide, postgres, 

f: Welche Datenbank wird verwendet? In welchen Format werden die Stimmen abgespeichert? Welche Daten werden zusätzlich gespeicher?
a: postgres, ...

f: 
a: urne votum verschl. abgelegt, zugang mit kenntnis zweier pw aus wahlvorstand, JCE mit BouncyCastle, RSA2048, hybrid mit AES256

f: wann liegt wo was
a: dokument existiert, haben die leute nicht mit dabei, wird zur verfügung gestellt, 
  pin und tan liegen in db vor
  wähler auth. sich
  validator signiert pro eintrag
  validator prüft verwendung, falls ja, ist das ein angriff; falls nein, wird token ausgeliefert, 512bit zufall; ist authmerkmal für urne
  urne merkt isch token und schickt token an wverz
  token liegen verschl-. in db
  nach dem commit wird signatur als verbraucht gekennzeichnet
  token an wähler ausgeliefert alslink
  mit link geht es zur urne
  urne ermittelt stimmzettel
  liefert den an browser
  wähler stimmt ab
  urne registriert und bestätigt das an user
  urne informiert verz das wähler gewählt hat
  token in urne zum löschen makriert#
  neuanmeldung nicht möglich
  im verze wird token gelöscht
  alle 30 abgaben wird eine hashsumme gespeichert, lokal und im verzeichnis
  

f: Wie hoch sind die statistische Erreichbarkeit der Wahlplatform und die Zuverlässigkeit. Wie lange dauert im Schnitt die Begebung eines Fehlers, welcher zu einer Nichterreichbarkeit des Systems geführt hat?
a: bisher einen ausfall wegen hardware, dauerte 6 stunden, also 99,4%, bei anderen 100%, problem ist eher organisatorisch, pw sollen auf papier niedergeschrieben und versiegelt werden

f: namensänderung?
a: stichtagsregelung, grundlage sind daten des stichtages, 25.4.2012 bei FSU

f: browser mit JS, cookies etc.?
a: mit kompromittiertem system ist alles möglich, liegt außerhalb von polyas, es gibt virt. tastatur, die sich bei jedem klick ändert
a: studierende können ins URZ oder ins Wahlamt gehen
a: fp des zert wird auf das Wahlschreiben gedruckt. angriff mitm soll damit ausgeschlossen werden, Thawte signiert

f: tan wird per hash geprüft, server erzeugt hash
a: ja, innerhalb https klartext

f: Welche unabhängige, externe (sic!) Sicherheitsunternehmen hat die Software geprüft?
a: code von bsi, dfg, pentest der DFG, RedTeam AC

f: wurde software getestet?
a: whiteboxtest

f: Aussage der Tester?
a: keine schwachstellen außer mitm

f: Gab es eine ausführliche (!) Prüfung auf Funktionsfehler durch externe (nicht dem Hersteller)?
a: pentest hat funktion getestet, zielt aber auf angriff ab, gerade findet ausführliche funktionale prüfung statt (Vorbereitung auf CC EAL3+)

f: Wie wird sichergestellt, dass die geprüfte und zertifizierte Software auch der ausgelieferten entspricht? 
a: short answer (jens): reflections on trusting trust,
a: austausch von dateien wird von aide gemeldet, 

f: Inwiefern ist das Prinzip der Gleicheit geschützt? (Stimmabgabe darf nicht zuordbar sein)
a:

f: Können nachträgliche Stimmen nicht doch manipiliert werden? Es ist ja eine Onlinewahl, somit gibt es von jedem Rechner, der einen I-Net-Anschluss besitzt, die potentielle Möglichkeit in das System einzudringen.
a:

f: Wie wird garantiert, dass eine Manipulation durch den Systemadministrator/Verwalter des "elektronischen Wahllokals" (Software/Server) nicht möglich ist? Hierbei auch zu beachten, dass "elektronische Stimabgaben" hinzugefügt werden könnten.
a:

f: Wie würde DOS-Attacken begnet werden?
a: Durch IP-Filter (begrenzt auf x IP-Adressen)

f: Wie wird sich vor DDOS-Attacken geschützt?
a: ddos geht.

f: Wie weit wurde die erfolgreiche Manipulation eines elektronischen Wahlsystems durch den CCC aufgearbeitet und die beschriebene Sicherheitslücke geschlossen?
a: nedap problematik

f: Schutz vor Man-in-the-middle Attacken?
a:

f: 
a: Polyas kann nicht bei Landtagswahlen eingesetzt werden. Wegen BVerfG

f: Ha der Wahlvorstand Einsicht in den Quellcode und kompiliert selbst auf dem Server?
a: ja, mit nda; selbst kompilieren ist problem; wegen gewährleistung; 

f: Wie wird eine öffentliche Überprüfbarkeit/ EInsicht in die Wahlauszählung hergestellt?
a: xml datei wird erstellt und ausgewertet, wird signiert abgelegt, 
a: ja, system muss man vertrauen, wahlvorstand kann dumps veröffentlichen

f: sind die dumps anonymisiert?
a (jens): aufgrund der voriger beschreibung, ja 

f: token bei verbindungsabbau
a: siehe beschreibung

f: Manipulation, unterbrechung von versuch und manipulation
a: versuch ist bspw. dos oder 50000 ungültige ssh-logins, wenn beeinflussung entdeckt wird, dann gibt es mgl.

f: wahl nachvollziehbar, protokollierung? was wird gespeichert?
a: keine daten mit rückschlüsse auf daten, nur außergewöhnlichkeiten, keine ip-adressen, 


Präsi Wahlsystem:
Wahlvorstandsclient: Schlüssel sind beliebige Passwörter
Logdateien reden von MD5, angeblich wurden Logmeldungen nicht bearbeitet



Weitere Dokumente
===============

Sonstiges
=======

Die Wahlordnung sollte mal in der aktuellen Fassung geprüft werden. Eventuell haben die Studierenden die Möglichkeit, ein Wahlprüfverfahren durchzuführen. Dann kann ein Betroffener das Wahlverfahren anfechten.