Präsentation von Polyas an der FSU am 5. April 2012 ========================================= Teilnehmer: * Marco Rüttger * Gerald Wolf * Wolfgang Jung Ziel: * Erhöhung der Wahlbeteiligung * Vereinfachung des Verfahrens Distanz der Studierenden war zu spüren. Daher die Veranstaltung. Inhalt * 1. Wahlen im SS12 Kleine Gremienwahlen, Stura-/FSR-Wahl, Rat der Graduiertenakademie, Urabstimmung 18000 Wahlberechtigte Beteiligung ging in den letzten Jahren zurück, zw 16 und 18 % hoher Aufwand Erhöhung der Beteiligung durch vertraute Medien (Studenten nutzen ja auch Facebook) * 2. Onlinewahlen wirtschaftliche Gründe viel Personal viel Zeitaufwand 100000 Umschläge und 20000 Blätter bisher nicht umweltfreundlich Kosten 20000€ bisher (es gab keine Aussage, was Polyas kostet. Die Polyas-Leute meinten, sie würden mit der Software kein Geld verdienen) Ideal: Reduzierung Aufwand, rechtssicherheit, Akzeptanz, techn. Sicherheit es bleibt nur Onlinewahl 2008 erste Überlegungen durch Vorgänger von Rüttger 2010 Onlinewahlen an der GA mit 451 Berechtigten auch mit Micromata DFG wählt auch mit Polyas und GI --> wenn GI vertraut, muss das gut sein Jan 2012 neue Wahlordnung parallel Anbietersuche Prüfung im Rechtsamt mit URZ, STI sowie BSI und CASED 29.2.12 Entsch. Wahlvorstand * 3. Administration, Ablauf Einteilung in hmogene Gruppen Senat in A1, A2; Gleichstellung in C1 und C2 Bsp. Zahnmedizin A2/B10/C2 insgesamt 18 mögliche Kombis (theoretisch sind mehr möglich) PIN/TAN-Verfahren Wahlamt generiert PIN mit GebDatum und Matrikelnummer (errechenbar?) PIN und TAN nicht zusammen versenden, wegen Fehlermöglichkeiten Übermittlung der PIN an Micromata Vorschlag: Verwendung der Krankenkassenkarte, Datenschutzprobleme, außerdem zuviel Wechsel Wähler wird mitgeteilt, wie die Kombi aus Matnr und Gebdat ist Micromata generiert die TAN keine personenbezogenen Daten übermittelt Wahlamt sendet TANs Unterlagen im Wahlamt generiert Druck erfolgt im Haus, eintüten Kuviertiermaschine durch Azubi des SSZ Versand ab 24.5.2012 Keine Zugangsdaten an Briefwähler Beginn, Abbruch, Unterbrechung und Beendigung durch zwei Berechtigte (§8 Abs.1 WO) Freischaltung 13.6. 14 Uhr Ende 26.6. 14 Uhr Einrichtung eines Wahlportals muhahah: Screenshot mit einem IE-Tab: »Wie mache ich einen Screenshot« --> Spezialexperten Fragen: Ist Verfikation durch Zusendung ausreichend? Wie ist Gewährleistet, dass nur Berechtigte abstimmen? PIN/TAN nicht veröffentlicht, keine zusendung, Sicherheitsmasstab ist Briefwahl, Unterschrift ist auch nicht prüfbar Läuft Vergabe automatisiert? Schritte innerhalb der FSU Vorteile ggü Briefwahl: organisatorische und wirtschaftliche, Nutzung von PC und Internet ist ressourcensparend, akzeptiert von Studis, Zeitersparnis, auch durch den Wähler, Auszählung erfolgt genau, Maßnahmen zur Verhinderung von Stimmenkauf: Mgl. des Wahlamtes sind begrenzt, wird rechtl Hinweise geben Fragen an das Wahlamt Weitere Fragen: Verwendung der PIN: Daten auf THOSKA vorhanden, leicht aufzufinden, daher sehr öffentliche Zahlkombination, Matnr auf Listen: Matnr darf nicht zusammen mit Namen veröffentlich werden, THOSKA kann nicht jeder einsehen, müssen Daten finden, die Uni und Wähler bekannt sind. Präsi Micromata: Gerald Wolf, Projektleiter MM keine Präsentation seit 15 Jahren Onlinewahlen wollen Dialog führen Vorführung Onlinewahlsystem Herr Wolfang Jung, 1996 Onlinewahlen, begonnen in Finnland, Projekt für Schüler/Studenten PIN einfach zu berechnen TAN achtstelliger Code groß/klein, Zahlen => 62 Zeichen, außer verwechselbarer Zeichen (l<->l, 0<->O etc.) Daher 55 Zeichen verfügbar bei GI ist PIN Mitgliedsnr Frage Pub: Level Briefwahl/Onlinewahl, online ist effizienter zu tauschen: Aber das Schreiben muss abgefangen werden; aber finanzielle Anreize sind da: Frage Pub: MM generiert TANs, Wie werden TANs eingespeist? Wie ist Absicherung? Antw: wir bekommen Wählerverz. als csv und haben Programm, welches TANs generiert. Versand verschlüsselt mit GnuPG. MM hat keine Kenntnis über TANs. erstellung von sql wird in verzeichnis importiert, enthalten ins der Wähler und Hashcode der Datei, keine kenntnis über tans im Klartext, SHA256, für hash in Database, tan-Programm muss nicht bei MM laufen Frage Pub: warum MM-lösung Antw: liegt an vertrag, vorgaben an 2010, Frage: kann man es jetzt anders gestalten? antw: verfahrenstedhn. Frage, war als Option drin, jetzt wäre es unkritisch zur FSU zu wechseln. Frage: liegen pin und tan gleichzeitig irgendwo vor antw: nein f: Auf welchem System wird die Software installiert und werden die Server nur(!) für dieses System verwendet oder laufen noch andere Dienste auf dem Server ? a: alles auf einem system, mit option auslagerung Wählerverzeichnis; keine anderen Dienste, tripwire, aide, postgres, f: Welche Datenbank wird verwendet? In welchen Format werden die Stimmen abgespeichert? Welche Daten werden zusätzlich gespeicher? a: postgres, ... f: a: urne votum verschl. abgelegt, zugang mit kenntnis zweier pw aus wahlvorstand, JCE mit BouncyCastle, RSA2048, hybrid mit AES256 f: wann liegt wo was a: dokument existiert, haben die leute nicht mit dabei, wird zur verfügung gestellt, pin und tan liegen in db vor wähler auth. sich validator signiert pro eintrag validator prüft verwendung, falls ja, ist das ein angriff; falls nein, wird token ausgeliefert, 512bit zufall; ist authmerkmal für urne urne merkt isch token und schickt token an wverz token liegen verschl-. in db nach dem commit wird signatur als verbraucht gekennzeichnet token an wähler ausgeliefert alslink mit link geht es zur urne urne ermittelt stimmzettel liefert den an browser wähler stimmt ab urne registriert und bestätigt das an user urne informiert verz das wähler gewählt hat token in urne zum löschen makriert# neuanmeldung nicht möglich im verze wird token gelöscht alle 30 abgaben wird eine hashsumme gespeichert, lokal und im verzeichnis f: Wie hoch sind die statistische Erreichbarkeit der Wahlplatform und die Zuverlässigkeit. Wie lange dauert im Schnitt die Begebung eines Fehlers, welcher zu einer Nichterreichbarkeit des Systems geführt hat? a: bisher einen ausfall wegen hardware, dauerte 6 stunden, also 99,4%, bei anderen 100%, problem ist eher organisatorisch, pw sollen auf papier niedergeschrieben und versiegelt werden f: namensänderung? a: stichtagsregelung, grundlage sind daten des stichtages, 25.4.2012 bei FSU f: browser mit JS, cookies etc.? a: mit kompromittiertem system ist alles möglich, liegt außerhalb von polyas, es gibt virt. tastatur, die sich bei jedem klick ändert a: studierende können ins URZ oder ins Wahlamt gehen a: fp des zert wird auf das Wahlschreiben gedruckt. angriff mitm soll damit ausgeschlossen werden, Thawte signiert f: tan wird per hash geprüft, server erzeugt hash a: ja, innerhalb https klartext f: Welche unabhängige, externe (sic!) Sicherheitsunternehmen hat die Software geprüft? a: code von bsi, dfg, pentest der DFG, RedTeam AC f: wurde software getestet? a: whiteboxtest f: Aussage der Tester? a: keine schwachstellen außer mitm f: Gab es eine ausführliche (!) Prüfung auf Funktionsfehler durch externe (nicht dem Hersteller)? a: pentest hat funktion getestet, zielt aber auf angriff ab, gerade findet ausführliche funktionale prüfung statt (Vorbereitung auf CC EAL3+) f: Wie wird sichergestellt, dass die geprüfte und zertifizierte Software auch der ausgelieferten entspricht? a: short answer (jens): reflections on trusting trust, a: austausch von dateien wird von aide gemeldet, f: Inwiefern ist das Prinzip der Gleicheit geschützt? (Stimmabgabe darf nicht zuordbar sein) a: f: Können nachträgliche Stimmen nicht doch manipiliert werden? Es ist ja eine Onlinewahl, somit gibt es von jedem Rechner, der einen I-Net-Anschluss besitzt, die potentielle Möglichkeit in das System einzudringen. a: f: Wie wird garantiert, dass eine Manipulation durch den Systemadministrator/Verwalter des "elektronischen Wahllokals" (Software/Server) nicht möglich ist? Hierbei auch zu beachten, dass "elektronische Stimabgaben" hinzugefügt werden könnten. a: f: Wie würde DOS-Attacken begnet werden? a: Durch IP-Filter (begrenzt auf x IP-Adressen) f: Wie wird sich vor DDOS-Attacken geschützt? a: ddos geht. f: Wie weit wurde die erfolgreiche Manipulation eines elektronischen Wahlsystems durch den CCC aufgearbeitet und die beschriebene Sicherheitslücke geschlossen? a: nedap problematik f: Schutz vor Man-in-the-middle Attacken? a: f: a: Polyas kann nicht bei Landtagswahlen eingesetzt werden. Wegen BVerfG f: Ha der Wahlvorstand Einsicht in den Quellcode und kompiliert selbst auf dem Server? a: ja, mit nda; selbst kompilieren ist problem; wegen gewährleistung; f: Wie wird eine öffentliche Überprüfbarkeit/ EInsicht in die Wahlauszählung hergestellt? a: xml datei wird erstellt und ausgewertet, wird signiert abgelegt, a: ja, system muss man vertrauen, wahlvorstand kann dumps veröffentlichen f: sind die dumps anonymisiert? a (jens): aufgrund der voriger beschreibung, ja f: token bei verbindungsabbau a: siehe beschreibung f: Manipulation, unterbrechung von versuch und manipulation a: versuch ist bspw. dos oder 50000 ungültige ssh-logins, wenn beeinflussung entdeckt wird, dann gibt es mgl. f: wahl nachvollziehbar, protokollierung? was wird gespeichert? a: keine daten mit rückschlüsse auf daten, nur außergewöhnlichkeiten, keine ip-adressen, Präsi Wahlsystem: Wahlvorstandsclient: Schlüssel sind beliebige Passwörter Logdateien reden von MD5, angeblich wurden Logmeldungen nicht bearbeitet Weitere Dokumente =============== * Diplomarbeit von Christian Backs: »Anbindung eines externen Authentifizierungsdienstes an ein Online-Wahlsystem« URL: https://www.cdc.informatik.tu-darmstadt.de/de/publikations-details/?no_cache=1&pub_id=TUD-CS-2010-0029 * CC-Schutzprofil des BSI: BSI-CC-PP-0037-2008: URL: https://www.bsi.bund.de/ContentBSI/Themen/ZertifizierungundAnerkennung/ZertifierungnachCCundITSEC/SchutzprofileProtectionProfile/schutzprofile.html#PP0037 * Bericht bei Heise: » Sicherheitsanforderungen für Online-Wahlen zertifiziert« URL: http://heise.de/-181321 Sonstiges ======= Die Wahlordnung sollte mal in der aktuellen Fassung geprüft werden. Eventuell haben die Studierenden die Möglichkeit, ein Wahlprüfverfahren durchzuführen. Dann kann ein Betroffener das Wahlverfahren anfechten.